Безопасность встроенного ПО в цепочках поставок финансового сектора: вызовы и решения
КибербезопасностьОтчеты

Безопасность встроенного ПО в цепочках поставок финансового сектора: вызовы и решения

Современные финансовые организации сталкиваются с растущими угрозами безопасности, связанными с использованием встроенного ПО (firmware) в устройствах, которые формируют основу их инфраструктуры. Исследование подчеркивает, что 88% компаний финансового сектора уже столкнулись с атаками, связанными с уязвимостями встроенного ПО в их цепочках поставок. В этой статье мы рассмотрим ключевые риски, факторы, влияющие на уязвимость цепочек поставок, и стратегии для усиления безопасности.


Ключевые проблемы в безопасности встроенного ПО

  1. Низкий уровень осведомленности:
    • Лишь 53% опрошенных организаций активно отслеживают риски, связанные с безопасностью встроенного ПО, в рамках всей своей цепочки поставок.
    • Большинство компаний недооценивают потенциальные последствия компрометации встроенного ПО, что создает лазейки для злоумышленников.
  2. Недостаточные инвестиции:
    • Несмотря на растущие угрозы, только 38% компаний считают, что выделяемые ресурсы на обеспечение безопасности встроенного ПО адекватны текущим вызовам.
  3. Сложность мониторинга:
    • Финансовые организации используют разнообразные устройства (серверы, ноутбуки, IoT-устройства), что усложняет централизованное управление безопасностью встроенного ПО.
  4. Рост атак:
    • 88% компаний за последние годы сталкивались с инцидентами, связанными с атакой на встроенное ПО.
    • Среди наиболее распространенных сценариев атак выделяются попытки внедрения вредоносного кода и компрометация оборудования.

Факторы, увеличивающие уязвимость цепочек поставок

  1. Глобализация поставок:
    • Многие устройства производятся в различных регионах, что создает риски интеграции компонентов с потенциально уязвимым встроенным ПО.
  2. Сложность цепочек поставок:
    • Множество участников в цепочке (производители, дистрибьюторы, субподрядчики) усложняют управление безопасностью и проверку всех компонентов.
  3. Человеческий фактор:
    • 89% компаний считают, что для улучшения безопасности необходимо увеличить выделение человеческих ресурсов.

Рекомендации по усилению безопасности встроенного ПО

  1. Централизованный мониторинг и анализ рисков:
    • Внедрение решений, позволяющих отслеживать состояния встроенного ПО во всех устройствах, используемых в цепочке поставок.
    • Использование инструментов автоматического сканирования и анализа для идентификации уязвимостей.
  2. Повышение уровня осведомленности:
    • Проведение тренингов для сотрудников, отвечающих за управление цепочками поставок.
    • Разработка внутренних регламентов и процедур по оценке рисков встроенного ПО.
  3. Инвестиции в кибербезопасность:
    • Увеличение бюджетов на проверку и аудит встроенного ПО на этапах поставок и интеграции.
    • Применение инструментов для проверки подлинности встроенного ПО, таких как криптографическая защита и механизмы доверенной загрузки.
  4. Сотрудничество с поставщиками:
    • Требование от поставщиков соблюдения стандартов безопасности, таких как NIST SP 800-193.
    • Подписывание договоров с четкими положениями об ответственности за безопасность компонентов.
  5. Регулярное обновление встроенного ПО:
    • Внедрение автоматических процессов для обновления встроенного ПО с использованием надежных источников.
    • Регулярная проверка наличия обновлений для устранения известных уязвимостей.

Заключение

Встроенное ПО остается одним из самых уязвимых элементов в цепочках поставок финансового сектора. Учитывая рост числа атак и сложность цепочек поставок, организациям необходимо уделять приоритетное внимание защите встроенного ПО. Это включает как инвестиции в технологии и обучение, так и разработку долгосрочных стратегий сотрудничества с поставщиками.

Ключевые данные исследования:

  • 88% организаций финансового сектора пострадали от атак на встроенное ПО.
  • Только 38% компаний считают, что текущие инвестиции в безопасность адекватны.
  • 89% компаний отмечают необходимость увеличения человеческих ресурсов для управления рисками встроенного ПО.

Источник: Firmware Security in Financial Services Supply Chains, исследование Vanson Bourne.

admin
Author: admin