В США сформирована целевая группа по управлению рисками в цепочке поставок ИКТ

В США сформирована целевая группа по управлению рисками в цепочке поставок ИКТ

Выпуск 1(6675) от 10 января 2019 г.
РУБРИКА: УПРАВЛЕНИЕ И БЕЗОПАСНОСТЬ

Обеспечение кибербезопасности во многом связано с вопросами защищенности цепочек поставок информационно-коммуникационного оборудования. Как правило, в этом плане в различных странах существует большое количество нормативных актов различных ведомств, не всегда согласованных между собой. В США решили исправить подобное положение и на национальном уровне создали целевую группу по управлению рисками в цепочке поставок ИКТ.

В середине сентября 2018 г. Министерство внутренней безопасности (Department of Homeland Security, DHS) США объявило о формировании первой в стране целевой группы по управлению рисками в цепочке поставок информационно-коммуникационных технологий (ИКТ). Ее задача – ​разработка рекомендаций по управлению рисками в глобальной цепочке поставок ИКТ. Отмечается, что целевая группа призвана сыграть одну из решающих ролей в деле защиты цифровой экономики США. Частно-государственное сотрудничество в ее рамках поможет определить эффективные и перспективные стратегии и решения в области снижения рисков в цепочке поставок ИКТ.

Причиной создания целевой группы и роста внимания к вопросам обеспечения безопасности в цепочках поставок электронной продукции стали серьезные подозрения в отношении ряда поставщиков. Так, в конце лета 2017 г. президент Трамп подписал «Закон о полномочиях в сфере обороны» (Defense Authorization Act), который, в частности, запретил правительству США и государственным подрядчикам использовать продукцию и технологии китайских поставщиков, включая крупнейших поставщиков ИКТ-оборудования, корпорации Huawei и ZTE.

Как правительство, так и предприятия различных отраслей и сфер экономики подвержены широкому спектру кибер-угроз со стороны потенциальных противников, хакеров, криминальных элементов. Эти злоумышленники представляют угрозу для поставщиков электроэнергии и других критических элементов инфраструктуры, таких как очистные сооружения или промышленные предприятия. При этом все более изощренным угрозам подвергаются все уровни цепочек поставок, включая подрядчиков, субпод-рядчиков и поставщиков.

Угрозы национальным цепочкам поставок ИКТ могут серьезно повлиять на национальную безопасность и экономику США. Ввиду того, что угрозы часто связаны с аппаратными средствами и могут охватывать весь жизненный цикл аппаратных и программных средств, задача защиты от них крайне сложна. Правительство и промышленность имеют общие интересы и, следовательно, несут общую ответственность за выявление, смягчение последствий и устранение угроз. Созданная целевая группа будет искать целостные решения, ориентированные на широкий круг заинтересованных сторон.

Целевая группа по управлению рисками в цепочке поставок ИКТ – ​часть программы управления кибернетическими рисками в цепочках поставок (Cyber Supply Chain Risk Management, C-SCRM Program), осуществляемой Управлением национальной защиты и программ Министерства внутренней безопасности США. В рамках программы C-SCRM на национальном уровне координируются усилия по устранению рисков в цепочках поставок продукции и услуг в сфере ИКТ путем разработки и развертывания соответствующих возможностей, ориентированных на федеральные органы исполнительной власти, владельцев и операторов критически важной инфраструктуры частного сектора, правительства штатов, местные, племенные и территориальные органы власти.

Целевая группа будет возглавляться Исполнительным комитетом, в который войдут представители Министерства внутренней безопасности совместно с председателями координационных советов по информационным технологиям и сектору средств связи. В саму целевую группу войдут представители фирм, работающих в сфере информационных технологий. Со стороны негосударственного сектора в руководство группы войдут представители корпораций Accenture, AT&T, CenturyLink, Charter, Cisco, Comcast, CTIA, CyberRx, Cyxtera, FireEye, Intel, Microsoft, Palo Alto Networks, Samsung, Sprint, Threat Sketch, TIA, T-Mobile, US Telecom и Verizon. Отраслевые организации будут представлены Ассоциацией изготовителей сотовых телекоммуникационных систем (CTIA), Коалицией кибербезопасности (Cybersecurity Coalition), Советом индустрии информационных технологий (Information Technology Industry Council), Центром анализа и совместного использования информации в сфере информационных технологий (Information Technology Information Sharing and Analysis Center), Национальной ассоциацией вещательных компаний (National Association of Broadcasters), Национальной ассоциацией операторов кабельных и телекоммуникационных сетей (NCTA) и Ассоциацией телекоммуникационной промышленности США.

Со стороны государства в целевую группу, помимо представителей Министерства внутренней безопасности, войдут представители Министерства обороны, Министерства финансов, Администрации общих служб, Министерства юстиции, Министерства торговли, Канцелярии директора национальной разведки и Управления социального страхования (Министерство здравоохранения).

Целевая группа займется сбором передового опыта, который будет полезен как государственным учреждениям, так и предприятиям различных отраслей промышленности и сферы услуг.

Работа начнется с проведения экосистемного анализа существующих отраслевых и государственных инициатив относительно цепочек поставок с целью выявления передовой практики, после чего усилия будут сосредоточены на критических пробелах в этой области. Особо отмечается, что разработка собственно руководящих принципов – ​хорошее начало, но их реализация все же имеет решающее значение в достижении успеха.


McKeefry Hailey Lynne. DHS Creates ICT Supply Chain Risk Management Task Force. EE Times, November 21, 2018: https://www.eetimes.com/document.asp?doc_id=1333998


ЧИТАЙТЕ ТАКЖЕ