Хакерски атаки на вериги за доставки: Правителството вижда нови правила за затягане на сигурността

С нарастващите атаки на веригата за доставки на софтуер правителството на Обединеното кралство предлага нови правила за смекчаване на заплахата от пробиви чрез доверен софтуер, който е подправен от кибератаци.

Департаментът за цифрови технологии, култура, медии и спорт (DCMS) публикува a призоваване за мнения по новите правила, което може да наложи доставчиците на ИТ услуги и управляваните доставчици на услуги (MSP) да преминат същите оценки на киберсигурността, които правят критичните национални инфраструктурни доставчици.

„Тъй като веригите за доставки стават взаимосвързани, уязвимостите в продуктите и услугите на доставчиците съответно се превръщат в по-привлекателни цели за нападателите, които искат да получат достъп до организациите“, заяви правителството. „Последните високопоставени кибер инциденти, при които нападателите използваха доставчици на управлявани услуги като средство за атака на компании, категорично напомнят, че участниците в киберзаплахите са повече от способни да използват уязвимости в сигурността на веригата за доставки и на пръв поглед малки играчи във веригата за доставки на дадена организация могат въвеждат непропорционално високи нива на кибер риск. “

ВИЖТЕ: Политика за мрежова сигурност (TechRepublic Premium)

DCMS изследвания установи, че само 12% от организациите проверяват доставчиците за рискове от киберсигурност и само около 5% се справят с уязвимостите в по-широката си верига на доставки.

Правителството на Обединеното кралство е особено загрижено за рисковете, свързани с бизнеса и агенциите на страната от ИТ аутсорсинг, като посочва атаки като „CloudHopper“, при които организациите са компрометирани чрез техния доставчик на управлявани услуги.

Новите правила могат да означават, че доставчиците на услуги ще трябва да отговарят на правилата на Обединеното кралство Рамка за кибер оценка (CAF), поставяйки този сектор заедно с кибер изискванията, наложени на доставчиците на критична инфраструктура в Обединеното кралство.

CAF има за цел да гарантира, че съответните сектори имат политики за защита на устройствата и предотвратяване на неоторизиран достъп, гарантиране на защитата на данните в покой и при транзит, осигуряване на резервни копия и обучение по киберсигурност за персонала.

През февруари Националният център за киберсигурност на Обединеното кралство (NCSC) предупреди, че атаките по веригата на доставки се увеличават, като посочва конкретно атаките срещу тръбопроводи за изграждане на софтуер.

ВИЖТЕ: Ransomware току-що стана много реален. И вероятно ще се влоши

Рисковете от веригата за доставки на софтуер се фокусираха, след като хакери нарушиха софтуера за наблюдение на корпоративната мрежа на SolarWinds Orion, за да компрометират ключови американски правителствени агенции и най-добрите фирми за киберсигурност в страната. Президентът на Microsoft Брад Смит нарече атаката, за която САЩ и Обединеното кралство обвиниха руското разузнаване, “момент на отчитане” за американския сектор на технологиите и киберсигурността.

САЩ също са в състояние на повишена готовност за атаки на веригата за доставки на софтуер, предвид въздействието на SolarWinds върху американския технологичен сектор и атаката на рансъмуер срещу Colonial Pipeline. Миналата седмица американският президент Байдън подписа изпълнителна заповед, която задължава федералните агенции да прилагат многофакторно удостоверяване в рамките на 180 дни и да криптират данните както в покой, така и при транзит.

Техническите компании също се сблъскват с потенциално разрушителни нови закони в Австралия чрез законопроекта за изменение на законодателството за сигурността (критична инфраструктура) Бил 2020, което би обхванало доставчиците на облак заедно с традиционните оператори на критична инфраструктура. Microsoft се противопостави на предложеното законодателство, защото ще позволи на държавните агенции да насочват реакцията на компанията към кибератака и да изискват информация от нея. Cisco, Salesforce и Amazon Web Services (AWS) също лобират срещу сметката.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com