Целостность цепочки поставок имеет решающее значение для национальной безопасности, общественной безопасности и экономической конкурентоспособности. Однако операционные технологические среды (OT), состоящие из аппаратных и программных систем, используемых для мониторинга и управления физическими процессами, создают уникальные проблемы для поддержания безопасных и устойчивых цепочек поставок. Согласно опросу, почти 80% кибератак в промышленных системах управления нацелены на цепочку поставок.

Осознавая ставки, крайне важно выявлять и снижать неотъемлемые риски в этих сложных средах». Недавние исследования подчеркивают срочность проведения тщательной оценки рисков из-за значительных последствий сбоев в цепочке поставок в средах ОТ.

Оценка рисков в цепочках поставок ОТ

Проведение строгих оценок рисков является основой для разработки целевых стратегий по повышению целостности цепочки поставок. Ключевые шаги включают:

  1. Картографирование сквозной цепочки поставок: документирование всех элементов от сырья до конечной поставки продукции/услуг.
  2. Выявление уязвимостей: Оцените каждый процесс и поставщика на предмет потенциальных кибер- и физических рисков. Распространенные уязвимости включают:
  • Использование поддельных или поддельных компонентов
  • Скомпрометированные производственные и распределительные мощности
  • Риски стороннего программного обеспечения
  • Утечки данных, раскрывающие запатентованные разработки
  • Внутренние угрозы внутри организации и партнеров
  • Отсутствие прозрачности в отношении поставщиков субуровня
  1. Оценка вероятности и влияния на бизнес: Определите вероятность и потенциальные последствия нарушения цепочки поставок. Риски высокой вероятности и влияния имеют приоритет.
  2. Непрерывный мониторинг: активное сканирование возникающих угроз в цепочке поставок с помощью партнерств, разведки угроз, аудитов и технологий. Соответствующее обновление оценок рисков.

Кибербезопасность должна быть глубоко интегрирована в эти оценки, поскольку среды ОТ подвержены как физическим, так и цифровым рискам. Учитывая конвергенцию ИТ и ОТ, четкое понимание кибербезопасность ОТ Основы имеют важное значение. В последнее время число атак на цепочки поставок возросло более чем на 200%, часто они нацелены на стороннее программное обеспечение и подчеркивают необходимость более тщательного контроля всех звеньев.

Комплексные стратегии повышения целостности цепочки поставок

Такие стратегии, как расширенная проверка поставщиков, выходят за рамки базовой комплексной проверки и включают в себя глубокую оценку состояния кибербезопасности поставщика, послужного списка соответствия, тестирование устойчивости и способность соблюдать принципы разработки продукта, изначально обеспечивающего безопасность.

Кроме того, новые технологии могут обеспечить сквозную видимость в глобальных и сложных средах оценки рисков цепочки поставок. Блокчейн позволяет отслеживать компоненты с защитой от несанкционированного доступа. Датчики IoT контролируют условия на всех этапах производства и транспортировки, повышая безопасность эксплуатационных технологий. Аналитика на основе ИИ выявляет аномалии и риски в цепочке поставок.

Реализация этих стратегий безопасности цепочек поставок требует значительных ресурсов и приверженности. Однако эти усилия меркнут по сравнению с далеко идущими последствиями, с которыми организации столкнулись бы в противном случае, как это было отмечено в тематических исследованиях крупных атак и сбоев в цепочках поставок.

Соблюдение нормативных требований и стандартов

Поскольку мы пробираемся сквозь сложности обеспечения безопасности наших цепочек поставок с помощью инновационных стратегий, соответствие развивающимся правилам и стандартам, таким как NIST и ISO, становится нашей следующей критической задачей. Руководство, предоставляемое этими органами, предлагает основу для обеспечения того, чтобы наши усилия были как эффективными, так и соответствовали нормативным требованиям в области безопасности цепочек поставок.

Однако достижение этого требует адаптивности и проактивного взаимодействия с регулирующими органами. Контрольные показатели соответствия постоянно обновляются для устранения возникающих угроз, таких как уязвимости стороннего программного обеспечения, что требует гибкости в обновлении внутренних политик и средств контроля. Поддержание открытых каналов связи с регулирующими органами позволяет сотрудничать в формировании прагматичных политик.

В то время как соответствие обеспечивает основу, по-настоящему устойчивые цепочки поставок требуют многоуровневого подхода. Соответствие, хотя и является существенным, является лишь одним из аспектов обеспечения безопасности цепочек поставок ОТ. Создание устойчивости к безграничным угрозам для отраслей, начиная от финансов и заканчивая критической инфраструктурой, требует многогранного подхода, подчеркивающего избыточность, диверсификацию и гибкость.

Для обеспечения дополнительного контекста ниже представлен обзор некоторых ключевых регулирующих органов и стандартов, связанных с безопасностью цепочки поставок ОТ:

Регулирующий орган Стандарт/Руководство Ключевые положения цепочки поставок
НИСТ НИСТ 800-161 Практики управления рисками в цепочке поставок кибербезопасности для систем и организаций
ИСО ИСО 28000 Системы управления безопасностью цепочки поставок
МВБ Основы управления рисками цепочки поставок CISA Снижение рисков для цепочек поставок критической инфраструктуры
НКРЭ Стандарты CIP Защита критической инфраструктуры для крупных электроэнергетических компаний
Управление по контролю за продуктами и лекарствами (FDA) Руководство по безопасности цепочки поставок Обеспечение безопасности продуктов питания, лекарств, медицинских изделий
МО DFARS/FAR кибер-регламент Требования кибербезопасности для подрядчиков оборонной промышленности

В этой таблице обобщены некоторые ключевые нормативные указания, применимые к защите цепочек поставок ОТ в секторах критической инфраструктуры. Она подчеркивает разнообразие правил и необходимость в адаптивных, но совместимых стратегиях безопасности, как обсуждалось выше.

Создание устойчивой цепочки поставок

Устойчивость цепочки поставок сводит к минимуму сбои за счет использования таких стратегий, как

4

Поскольку мы укрепляем нашу оборону сегодня, будущее несет как вызовы, так и возможности. Новые технологии, такие как ИИ и Интернет вещей, не только формируют меняющийся ландшафт угроз, но и являются ключом к защите цепочек поставок завтрашнего дня.

Будущее целостности цепочки поставок ОТ

Блокчейн, ИИ, Интернет вещей и другие инновации преобразуют управление рисками в цепочке поставок, обеспечивая беспрецедентную прослеживаемость, прозрачность и гибкость. Однако недобросовестные субъекты также используют эти инструменты, требуя постоянной бдительности и адаптации как со стороны государственного, так и частного секторов. Правительства и международные организации, такие как Всемирный экономический форум, играют решающую роль в укреплении безопасности глобальной цепочки поставок посредством политики, координации правоохранительных органов и многостороннего сотрудничества.

В то время как технологии будут нарушать цепочки поставок непредсказуемым образом, человеческий фактор — от поддержки руководства до обучения сотрудников — останется в основе любой надежной стратегии безопасности. Инвестирование как в технологии, так и в таланты позволит организациям защитить свои самые важные активы для будущих поколений.

Изучив стратегии, проблемы и будущие направления целостности цепочки поставок ОТ, стало ясно, что это сложная область со многими гранями. Однако вопросы остаются. Давайте рассмотрим некоторые из наиболее часто задаваемых вопросов, которые возникают на этом пути к защите наших операционных технологий.

Часто задаваемые вопросы

Что отличает риски цепочки поставок в ОТ-средах от ИТ-сред?

Среды ОТ содержат прямые соединения с физическими системами, такими как электростанции и производственные линии. Поэтому нарушения в цепочке поставок представляют собой немедленные риски физической безопасности, а не только утечки данных. Системы ОТ также используют специализированное оборудование и программное обеспечение, которое сложнее быстро патчить.

Как организации могут обеспечить соблюдение разнообразных и меняющихся правил безопасности цепочки поставок?

Будьте в курсе новых правил посредством партнерства с руководящими органами. Развивайте внутреннюю гибкость для быстрой адаптации политик и контроля. Сосредоточьтесь на духе, а не на букве требований соответствия.

Какие первые шаги должна предпринять организация, чтобы начать повышать целостность своей цепочки поставок в ОТ-средах?

  • Оцените текущие риски, пробелы в системе безопасности и зависимости в вашей цепочке поставок.
  • Усилить проверку существующих/потенциальных поставщиков и деловых партнеров.
  • Разработать планы реагирования на инциденты и обеспечения непрерывности поставок в случае сбоев.
  • Обучайте сотрудников безопасным закупкам, кибергигиене и устойчивости цепочки поставок.
  • Оцените технологии для улучшения прослеживаемости, прозрачности и мониторинга по всей цепочке поставок.

Заключение

Безопасность цепочки поставок в средах ОТ требует проактивного, многоуровневого подхода. Компании должны оценивать и снижать риски на всех звеньях, поддерживать соответствие нормативным требованиям и повышать устойчивость за счет избыточности и диверсификации. Сделав целостность цепочки поставок стратегическим приоритетом при поддержке руководства, организации могут получить конкурентное преимущество и поставлять инновационные, но безопасные продукты.

Хотя угрозы быстро развиваются, межсекторальное сотрудничество и способность адаптироваться к новым технологиям позволят миссии стать достижимой. Благодаря коллективной настойчивости и проницательности компании могут защитить жизненно важные системы ОТ, питающие наш мир сегодня и в будущем.