Безопасность встроенного ПО в цепочках поставок финансового сектора: вызовы и решения

Современные финансовые организации сталкиваются с растущими угрозами безопасности, связанными с использованием встроенного ПО (firmware) в устройствах, которые формируют основу их инфраструктуры. Исследование подчеркивает, что 88% компаний финансового сектора уже столкнулись с атаками, связанными с уязвимостями встроенного ПО в их цепочках поставок. В этой статье мы рассмотрим ключевые риски, факторы, влияющие на уязвимость цепочек поставок, и стратегии для усиления безопасности.

Ключевые проблемы в безопасности встроенного ПО

1. Низкий уровень осведомленности:
   • Лишь 53% опрошенных организаций активно отслеживают риски, связанные с безопасностью встроенного ПО, в рамках всей своей цепочки поставок.
   • Большинство компаний недооценивают потенциальные последствия компрометации встроенного ПО, что создает лазейки для злоумышленников.
2. Недостаточные инвестиции:
   • Несмотря на растущие угрозы, только 38% компаний считают, что выделяемые ресурсы на обеспечение безопасности встроенного ПО адекватны текущим вызовам.
3. Сложность мониторинга:
   • Финансовые организации используют разнообразные устройства (серверы, ноутбуки, IoT-устройства), что усложняет централизованное управление безопасностью встроенного ПО.
4. Рост атак:
   • 88% компаний за последние годы сталкивались с инцидентами, связанными с атакой на встроенное ПО.
   • Среди наиболее распространенных сценариев атак выделяются попытки внедрения вредоносного кода и компрометация оборудования.

Факторы, увеличивающие уязвимость цепочек поставок

1. Глобализация поставок:
   • Многие устройства производятся в различных регионах, что создает риски интеграции компонентов с потенциально уязвимым встроенным ПО.
2. Сложность цепочек поставок:
   • Множество участников в цепочке (производители, дистрибьюторы, субподрядчики) усложняют управление безопасностью и проверку всех компонентов.
3. Человеческий фактор:
   • 89% компаний считают, что для улучшения безопасности необходимо увеличить выделение человеческих ресурсов.

Рекомендации по усилению безопасности встроенного ПО

1. Централизованный мониторинг и анализ рисков:
   • Внедрение решений, позволяющих отслеживать состояния встроенного ПО во всех устройствах, используемых в цепочке поставок.
   • Использование инструментов автоматического сканирования и анализа для идентификации уязвимостей.
2. Повышение уровня осведомленности:
   • Проведение тренингов для сотрудников, отвечающих за управление цепочками поставок.
   • Разработка внутренних регламентов и процедур по оценке рисков встроенного ПО.
3. Инвестиции в кибербезопасность:
   • Увеличение бюджетов на проверку и аудит встроенного ПО на этапах поставок и интеграции.
   • Применение инструментов для проверки подлинности встроенного ПО, таких как криптографическая защита и механизмы доверенной загрузки.
4. Сотрудничество с поставщиками:
   • Требование от поставщиков соблюдения стандартов безопасности, таких как NIST SP 800-193.
   • Подписывание договоров с четкими положениями об ответственности за безопасность компонентов.
5. Регулярное обновление встроенного ПО:
   • Внедрение автоматических процессов для обновления встроенного ПО с использованием надежных источников.
   • Регулярная проверка наличия обновлений для устранения известных уязвимостей.

Заключение

Встроенное ПО остается одним из самых уязвимых элементов в цепочках поставок финансового сектора. Учитывая рост числа атак и сложность цепочек поставок, организациям необходимо уделять приоритетное внимание защите встроенного ПО. Это включает как инвестиции в технологии и обучение, так и разработку долгосрочных стратегий сотрудничества с поставщиками.

Ключевые данные исследования:

• 88% организаций финансового сектора пострадали от атак на встроенное ПО.
• Только 38% компаний считают, что текущие инвестиции в безопасность адекватны.
• 89% компаний отмечают необходимость увеличения человеческих ресурсов для управления рисками встроенного ПО.

Источник: Firmware Security in Financial Services Supply Chains, исследование Vanson Bourne.

Author: admin