Zabezpieczanie krytycznie ważnych komputerów zaczyna się w fabryce

Stworzony przez Narodowy Instytut Standardów i Technologii raport pokazuje, że systemy komputerowe zawierające cenne dane są poddawane atakom przez cały swój cykl życia, zaczynając jeszcze od fazy projektowania.

Rozpakowanie i uruchomienie pachnącego jeszcze nowością laptopa prosto z fabryki kojarzy się raczej z systemem, który jest jeszcze bezpieczny i nie tknięty wirusem ani wormem, ale wcale nie musi być to prawda (urządzenie w końcu zapewne montowane było w Chinach). Wystarczy wspomnieć historię ze Zjednoczonego Królestwa sprzed 2 lat, gdzie Daily Telegraph opublikował informację jakoby mafia była podejrzana o zmodyfikowanie partii terminali płatniczych (jeszcze w fabryce lub zaraz po zejściu z linii produkcyjnej w Chinach) i pozyskanie w ten sposób danych z tysięcy kart kredytowych i debetowych (chociaż historia ta nie została potwierdzona oficjalnie więc trudno stwierdzić, na ile była prawdziwa). Główna autorka raportu "Pilotaż zarządzania ryzykiem łańcucha dostaw dla federalnych systemów informacyjnych", Marianne Swanson stwierdza:

Systemy komputerowe są atakowane jeszcze przed instalacją przez przeciwników z rosnącym wyrafinowaniem technologicznym, co ułatwia szybka globalizacja naszej infrastruktury systemów informatycznych, naszych dostawców i naszych przeciwników.

Raport jest skierowany głównie dla osób zarządzających tworzeniem systemów informatycznych "o wysokim poziomie wpływu", tzn. takich, których przejęcie przez hackerów miałoby potencjalnie katastrofalne efekty. Zawiera on całą serię zalecanych praktyk pozwalających na zredukowanie ryzyka udanego ataku na łańcuch zaopatrzenia, takich jak na przykład myślenie o wymaganiach bezpieczeństwa jeszcze na etapie planowania projektu, ochrona środowiska łańcucha zaopatrzenia, ochrona mechanizmów dostawy przed potencjalnymi atakami, nadzorowanie dostawców i przeprowadzanie audytów i kontroli jakości funkcji bezpieczeństwa.

NIST opublikował publiczną pierwszą wersję nowego raportu w celu zebrania komentarzy. Wygląda na to, że Rozległa Inicjatywa Krajowego Cyberbezpieczeństwa wprowadzona przez rząd Obamy zaczyna się powoli rozkręcać. Cytując znanego eksperta od bezpieczeństwa komputerowego, Bruca Schneiera, "Bezpieczeństwo to proces, nie produkt".

[via Science Daily ]

Leszek Karlik