Кибербезопасность цепочки поставок в производстве
Национальный институт стандартов и технологий США через свою группу по кибербезопасности — Национальный центр передового опыта по кибербезопасности (NCCoE) предложил концепцию децентрализованной обработки данных для обеспечения безопасности и отслеживания цепочки поставок промышленных предприятий. В особенности это важно для кибербезопасности организаций критической информационной инфраструктуры.
В документе «Прослеживаемость цепочки поставок: Производственная мета-структура» предложен децентрализованный подход к обработке данных, чтобы помочь производителям и предприятиям критической информационной инфраструктуры обеспечить безопасность своих цепочек поставок и производственной инфраструктуры.
В документе представлена структура, разработанная для улучшения отслеживанияи в различных цепочках поставок за счет возможности структурированного учета отслеживаемых данных.
Благодаря надежным хранилищам данных компании производственной экосистемы могут получить доступ к информации о цепочке поставок, необходимой для проверки происхождения продукции, соответствия требованиям и контрактным обязательствам внешних организаций и оценки целостности цепочки поставок.
Система устанавливает несколько ключевых принципов для обеспечения прозрачности, надежности и целостности отслеживания цепочки поставок.
Отслеживаемость строится на основе записей, созданных в ходе операций в цепочке поставок (например, производство, отгрузка, получение) с обеспечением криптографической защиты данных.
По мере усложнения глобальных цепочек поставок такой подход укрепляет целостность цепочек поставок, поддерживает выполнение внешних обязательств (например, юридических, контрактных, операционных) и укрепляет доверие в рамках производственной экосистемы.
Предлагаемое решение позволяет организациям обмениваться только данными отслеживания, необходимыми для внешней проверки, сохраняя при этом контроль над конфиденциальной информацией. Этот принцип контролируемого раскрытия сочетает прозрачность и конфиденциальность, помогая заинтересованным сторонам снизить бизнес-риски и одновременно повысить прозрачность.
Документ включает в себя рекомендации по вопросам безопасности, конфиденциальности и контроля доступа. Руководство содержит рекомендации для промышленных предприятий и экосистем, которые помогут разработать свои стратегии кибербезопасности и конфиденциальности для устранения операционных, контрактных рисков и рисков, связанных с цепочками поставок. Соответствие более широким рекомендациям NIST, таким как NIST SP 800-53 и NIST Privacy Framework, может еще больше повысить целостность и надежность систем отслеживания в различных секторах.
В документе отмечается важность управления идентификацией, учетными данными и доступом для обеспечения кибербезопасности. Производственным экосистемам рекомендуется встраивать защиту конфиденциальности в архитектурные решения. Строгий контроль доступа, тщательное использование метаданных идентификаторов и внедрение технологий, повышающих конфиденциальность (например, защита с нулевым доверием, дифференциальная конфиденциальность), могут помочь сбалансировать полезность отслеживания с мероприятиями по обеспечению конфиденциальности.
Для устранения рисков конфиденциальности производственным экосистемам рекомендуется собирать только тот минимум персональных данных, который необходим для обеспечения возможности отслеживания в цепочке поставок. Конфиденциальные поля (например, имена, контактные данные, идентификаторы) рекомендуется скрыть при внешнем доступе или запросе в разных экосистемах. Персональные данные следует хранить только до тех пор, пока это необходимо для соблюдения требований законодательства или оперативных потребностей.
Необходимо определить четкие роли и обязанности по защите данных в цепочке поставок с помощью контрактов (например, соглашений об обмене данными), политик, процессов и процедур, которые соответствуют применимым требованиям и нормативным актам в области конфиденциальности.
Предполагается дальнейшее развитие платформы, в частности будут расширяться модели взаимодействия, повышающие конфиденциальность.
Источник: NIST