Нидерланды: NCSC публикует руководство по киберрискам в цепочке поставок
КибербезопасностьРуководства

Нидерланды: NCSC публикует руководство по киберрискам в цепочке поставок

NCSC подчеркнул, что руководство направлено на выявление потенциальных рисков в цепочке поставок, связанных с использованием товаров и услуг, поставляемых из стран с агрессивной киберпрограммой. Руководство предназначено для сотрудников организаций, которые играют важную роль в управлении цифровыми рисками, и может применяться как к уже используемым товарам, так и к товарам, которые рассматриваются для закупки.

Процесс киберпроверки включает:

  • выбор продукта и / или услуг для киберпроверки;
  • определение объема продуктов и услуг, подлежащих оценке в рамках киберпроверки;
  • проведение киберпроверки; и
  • определение того, требуют ли результаты киберпроверки дополнительной оценки рисков.

Сама киберпроверка включает в себя выяснение, разработано ли программное обеспечение, операционная система (OS), аппаратное обеспечение или микропрограммное обеспечение поставщиком из страны, о которой идет речь, и, если ответ “да” на любой из этих вопросов, затем анализ риска с точки зрения конфиденциальности, целостности и доступности. Там, где требуется дополнительная оценка рисков, в руководстве предусматривается, что оценка должна проводиться на основе компонентов “угроз”, “защищаемых интересов” и “устойчивости”.

В руководстве подробно описывается, как цепочка киберуничтожения (CKC) является полезной основой для сценариев атак, как злоумышленники могут проникнуть в организацию (in), получить постоянный доступ и перемещаться по организации в цифровом виде (through), и как они достигают своих целей (out). Этап “внедрения” рисков в цепочке поставок может включать намеренно установленные бэкдоры или уязвимости, обновления вредоносного программного обеспечения или инсайдерскую угрозу через сервисного инженера. Этап “до конца” обычно представляет собой эксплуатацию продукта или услуги, которые соединяются или взаимодействуют с другим продуктом или услугой в организации. Наконец, этап “выхода” охватывает такие сценарии, как шпионаж за данными, которые передаются поставщику по умолчанию, скрытое влияние на работу продукта или услуги и саботаж продукта или услуги.

admin
Author: admin