✨An ninh mạng chuỗi cung ứng

An ninh mạng chuỗi cung ứng đề cập đến những nỗ lực tăng cường an ninh mạng trong chuỗi cung ứng. Đây là một tập hợp con của bảo mật chuỗi cung ứng và tập trung vào việc quản lý các yêu cầu an ninh mạng cho các hệ thống công nghệ thông tin, phần mềm và mạng lưới, được điều khiển bởi các mối đe dọa như khủng bố mạng, phần mềm độc hại, đánh cắp dữ liệu và mối đe dọa dai dẳng (APT). Các hoạt động an ninh mạng chuỗi cung ứng điển hình để giảm thiểu rủi ro bao gồm chỉ mua từ các nhà cung cấp đáng tin cậy, ngắt kết nối các máy quan trọng khỏi mạng bên ngoài và giáo dục người dùng về các mối đe dọa và biện pháp bảo vệ mà họ có thể thực hiện.

Phó giám đốc phụ trách về Cơ quan Bảo vệ Quốc gia và Chương trình của Bộ An ninh Nội địa Hoa Kỳ, Greg Schaffer, nói tại một phiên điều trần rằng ông biết rằng có những trường hợp đã tìm thấy phần mềm độc hại trên các thiết bị điện tử và máy tính nhập khẩu được bán ở Hoa Kỳ Hoa.

Ví dụ về các mối đe dọa an ninh mạng chuỗi cung ứng

• Phần cứng mạng hoặc máy tính được phân phối với phần mềm độc hại đã được cài đặt trên đó.
• Phần mềm độc hại được chèn vào phần mềm hoặc phần cứng (bằng nhiều cách khác nhau)
• Các lỗ hổng trong các ứng dụng và mạng phần mềm trong chuỗi cung ứng được phát hiện bởi các tin tặc độc hại
• Phần cứng máy tính giả

Những nỗ lực của chính phủ Hoa Kỳ

• [http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative Sáng kiến mạng toàn quốc]
• Quy định mua sắm quốc phòng: Ghi trong mục 806 của Đạo luật ủy quyền quốc phòng
• [http://www.whitehouse.gov/sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf Chiến lược quốc tế về không gian mạng] : Nhà Trắng lần đầu tiên đưa ra tầm nhìn của Hoa Kỳ về một Internet an toàn và cởi mở. Chiến lược nêu ra ba chủ đề chính: ngoại giao, phát triển và quốc phòng.

: Ngoại giao: Chiến lược đặt ra để thúc đẩy một cơ sở hạ tầng thông tin và truyền thông mở, có thể tương tác, an toàn và đáng tin cậy, bằng cách thiết lập các chuẩn mực về hành vi nhà nước chấp nhận được xây dựng thông qua sự đồng thuận giữa các quốc gia. : Phát triển: Thông qua chiến lược này, chính phủ tìm cách tạo điều kiện cho việc xây dựng năng lực an ninh mạng ở nước ngoài, song phương và thông qua các tổ chức đa phương. Mục tiêu là bảo vệ cơ sở hạ tầng CNTT toàn cầu và xây dựng quan hệ đối tác quốc tế chặt chẽ hơn để duy trì các mạng mở và an toàn. :* Quốc phòng: Chiến lược kêu gọi rằng chính phủ sẽ đảm bảo rằng các rủi ro liên quan đến tấn công hoặc khai thác mạng lưới của chúng tôi vượt xa lợi ích tiềm năng và kêu gọi tất cả các quốc gia điều tra, bắt giữ và truy tố tội phạm và các chủ thể phi quốc gia xâm phạm và phá vỡ mạng hệ thống.

Những nỗ lực liên quan của chính phủ trên khắp thế giới

• Nga: Nga đã có các yêu cầu chứng nhận chức năng không được tiết lộ trong vài năm và gần đây đã khởi xướng nỗ lực Nền tảng phần mềm quốc gia dựa trên phần mềm nguồn mở. Điều này phản ánh mong muốn rõ ràng về tự chủ quốc gia, giảm sự phụ thuộc vào các nhà cung cấp nước ngoài.
• Ấn Độ: Công nhận rủi ro chuỗi cung ứng trong dự thảo Chiến lược an ninh mạng quốc gia. Thay vì nhắm mục tiêu loại trừ các sản phẩm cụ thể, họ đang xem xét các chính sách Đổi mới bản địa, ưu tiên cho các nhà cung cấp ITC trong nước để tạo ra sự hiện diện quốc gia mạnh mẽ, cạnh tranh toàn cầu trong lĩnh vực này.
• Trung Quốc: Xuất phát từ các mục tiêu trong Kế hoạch 5 năm lần thứ 11 (2006, năm 2010), Trung Quốc đã giới thiệu và theo đuổi hỗn hợp các chính sách Đổi mới bản địa tập trung vào an ninh và tích cực. Trung Quốc đang yêu cầu một danh mục sản phẩm đổi mới bản địa được sử dụng để mua sắm chính phủ và thực hiện Kế hoạch bảo vệ đa cấp (MLPS) yêu cầu (trong số những thứ khác) các nhà phát triển và sản xuất sản phẩm phải là công dân hoặc pháp nhân Trung Quốc, và công nghệ cốt lõi của sản phẩm các thành phần phải có quyền sở hữu trí tuệ độc lập của Trung Quốc hoặc bản địa.

Tài liệu tham khảo khác

• [http://www.fsisac.com/ Trung tâm phân tích và chia sẻ thông tin ngành tài chính]
• [http://www.whitehouse.gov/sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf Chiến lược quốc tế về không gian mạng] (từ Nhà Trắng)
• [http://www.whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf NSTIC]
• [http://www.safecode.org/publications/SAFECode_Software_Integrity_Controls0610.pdf Bảng trắng SafeCode]
• [https://www.opengroup.org/ttf/ Diễn đàn công nghệ đáng tin cậy và Tiêu chuẩn nhà cung cấp công nghệ tin cậy mở (O-TTPS)]
• [https://www.tophatsecurity.com/ddx/ Giải pháp bảo mật chuỗi cung ứng điện tử]
• [https://www.csmonitor.com/World/Passcode/2016/0518/Flaws-in-networking-devices-highlight-tech-industry-s-quality-control-problem Cấy phần mềm độc hại trong phần sụn]