Rafał Jaczyński
Autor
Rafał Jaczyński

Bezpieczeństwo łańcucha dostaw

Zarządzanie i marketing
08.03.2021

W ciągu ostatnich dwóch lat mnóstwo czasu poświęciłem na dyskusje z osobami związanymi z tematem bezpieczeństwa łańcucha dostaw 5G w Europie. Część z nich to moi koledzy po fachu, eksperci ds. cyberbezpieczeństwa. Innymi rozmówcami byli politycy. Pewne pomysły, które zrodziły się podczas tych rozmów, zostały rozpowszechnione. Niektóre z nich znalazły się w artykułach, czy zbiorach niewiążących wytycznych (takich jak unijny 5G Toolbox), inne uwzględniono w krajowych systemach prawnych. Po tych wszystkich miesiącach jedno pytanie wciąż odbija się echem w mojej głowie - czy nie szukamy problemu tam, gdzie tak naprawdę go nie ma, próbując określić kim jest „zaufany dostawca”?

Kontrolujmy ryzyko wszędzie tam, gdzie jest to możliwe

Kwestia bezpieczeństwa łańcucha dostaw to chleb powszedni każdego dyrektora ds. bezpieczeństwa. Nie trzeba dodawać, że od tego kto i do czego ma dostęp, zależy ryzyko związane z cyberbezpieczeństwem. Dla każdego doświadczonego specjalisty powinno być również oczywiste, że w branży ICT łańcuch dostawców ma złożoność fraktala - nasi dostawcy i usługodawcy też mają swoich dostawców i usługodawców, a ci kolejnych. Z praktycznego punktu widzenia, łańcuch dostaw przemysłu telekomunikacyjnego jest nieskończenie złożony i stale się rozwija. A jednak zaskakująco wielu z tych, którzy chcą określać się mianem CISO lub eksperta ds. cyberbezpieczeństwa, uważa, że dysponuje wszystkim, czego potrzeba, aby sprawdzić, zweryfikować i rozróżnić dostawców na podstawie analizy ryzyka ex ante.

I to jest właśnie błąd. Jedyne, co jest wykonalne, a zarazem może przynieść jakiekolwiek pożądane skutki, to prosta kontrola mającą na celu usunięcie dostawców, którzy nie mają absolutnie żadnego pojęcia o cyberbezpieczeństwie – o czym świadczyć mogłoby na przykład niewykazywanie praktycznie żadnego wysiłku, zaangażowania ani zasobów w tej sprawie. Poza tym, nie ma tak naprawdę innego wystarczająco skutecznego sposobu pozwalającego stwierdzić który z dostawców technologii lepiej kontroluje łańcuch dostaw i procesy związane z rozwojem. Nie dysponujemy czasem, narzędziami ani żadnymi innymi zasobami umożliwiającymi tę analizę, nie mówiąc już o samodzielnym jej dokonaniu. Jedyne, co jest możliwe do osiągnięcia, to odróżnienie chłopców od mężczyzn - ale dalsze różnicowanie, zwłaszcza w przypadku dostawców technologii z listy Fortune 500, jest po prostu nierealne dla większości operatorów telekomunikacyjnych, przedsiębiorstw czy nawet organów rządowych. Jeśli ktokolwiek udowodni mi, że się mylę, bez wahania przyznam się do winy - ale przed próbą kontrataku odpowiedz sobie szczerze na pytanie, czy rzeczywiście widziałeś wnętrza fabryk lub centrów R&D swoich dostawców - oraz wszelkie obiekty ich poddostawców? Jaki był wynik procesu oceny ryzyka jednego z Twoich dostawców, SolarWinds Inc. - bo jestem pewien, że z nią pracowałeś? A która jako „zaufany dostawca” została wykorzystana do uzyskania dostępu do kilkuset firmowych i rządowych sieci na całym świecie... 

To już najwyższy czas, żeby się obudzić. Według badania Extended Enterprise Risk Management Survey 2020 przygotowanego przez Deloitte, tylko 20% respondentów twierdzi, że jest w stanie skutecznie monitorować wszystkich lub nawet tych najbardziej krytycznych podwykonawców. Jeśli nie uzyskałeś jeszcze wystarczającej kontroli, już nigdy tego nie zrobisz - tempo postępu technicznego i biznesowego, skutkujące coraz większą złożonością łańcuchów dostaw, po prostu pozostawi Cię w tyle.

Co możemy zrobić zamiast tego? Ponieważ praktyczne możliwości oceny ryzyka związanego z domeną zarządzaną przez naszych dostawców są ograniczone, zarówno z powodu braku dostępu do nich, jak i braku realnego wpływu, powinniśmy kontrolować zaufanie i minimalizować ryzyko w momencie, w którym mniej zaufana domena łączy się z naszą. Dostawca może naruszyć bezpieczeństwo sieci na trzy sposoby: 

  • Przez osoby lub systemy, które mają dostęp do Twojej sieci.
  • Przez luki w produktach, które dostarcza.
  • Nie dostarczając tego, co jest konieczne i kiedy jest to wymagane do obsługi sieci.

I tyle! Dostawca - niezależnie od tego, czy jest źródłem zagrożenia, czy też ofiarą ataku z zewnątrz - nie może natomiast wysłać i nie wyśle myśliwców, bombowców, rakiet ani żołnierzy. Nie zaingeruje też w naszą sieć 5G za pomocą magii. Potrzebuje czegoś innego - urządzenia lub pary rąk, które faktycznie „dotykają” sieci. I właśnie ten aspekt nie tylko możemy, ale i powinniśmy kontrolować, aby osiągnąć to, czego potrzebujemy. Jako indywidualni właściciele domów, nie nadzorujemy źródła zaopatrzenia w wodę - ale przy użyciu kranu z pewnością możemy wpływać na to, ile i o jakiej temperaturze woda do nas trafi. Czy nie jest to łatwiejsze i skuteczniejsze niż próba wpłynięcia na działanie tamy?

Najważniejsze są kadry

Kontrolowanie osób, które mają dostęp do sieci, wymaga trzech rzeczy: 

  • Osoby, którym udzielamy dostępu, muszą zostać sprawdzone ex ante, w razie potrzeby z wymaganiem adekwatnego poświadczenia bezpieczeństwa osobowego
  • Uprawnienia, które przyznajemy jako operator sieci, muszą być jawne, a nie dorozumiane, a także powiązane z konkretnymi osobami, których uprawnienia określone są ramami czasowymi, zakresem dostępu i lokalizacją.
  • Indywidualne działania muszą być stale monitorowane w trakcie dostępu do sieci i obiektów. Dotyczy to także takich modeli usług, w których ustanowione jest połączenie techniczne z systemami pod kontrolą dostawcy.

Podczas gdy dwa ostatnie narzędzia są powszechnie akceptowane jako najlepsza praktyka, z jakiegoś powodu wielu operatorów oraz rządów przestaje wymagać od personelu mającego dostęp do sieci 5G, na których tak bardzo im zależy, posiadania poświadczenia bezpieczeństwa na poziomie krajowym. Z pewnością zwiększyłoby to obciążenie pracą władz odpowiedzialnych za proces weryfikacji, dlatego rozumiem ich niechęć - ale skoro sieci 5G są traktowane jako istotne dla bezpieczeństwa narodowego, dlaczego nie traktujemy tak ludzi, którzy mają do nich dostęp i je utrzymują?

Twój najbardziej czuły punkt to ten, o którym nie masz pojęcia

Spójrzmy na problem luk w zabezpieczeniach produktów. Po pierwsze, z punktu widzenia efektu, nie ma znaczenia, czy są one zamierzone, czy też wynikają z głupich błędów. Liczy się to, że jeśli istnieją, można je wykorzystać do uzyskania dostępu do sieci i innych niepożądanych działań. Ponownie, istnieją tylko trzy warunki, które muszą być spełnione, aby podmiot atakujący mógł wyrządzić szkody w sieci, wykorzystując lukę w zabezpieczeniach:

  • Luka występowała pierwotnie w produkcie, który kupiliśmy lub wprowadziliśmy  w ramach którejś z aktualizacji.
  • Jest to wstępnie zaprogramowana „funkcjonalność”, aktywująca się w oparciu o określone warunki, tj. czas lub datę, lub mogąca być zdalnie aktywowana z sieci lub z zewnątrz.
  • Nie mamy możliwości wykrycia ani zareagowania na czas w celu całkowitego powstrzymania lub przynajmniej złagodzenia negatywnych skutków wykorzystania luki.

Należy powiedzieć, że absolutnie żadna liczba testów bezpieczeństwa nie da 100% gwarancji, że produkt nie zawiera luk. Mogą one jednak ograniczyć ich liczbę lub służyć jako czynnik różnicujący przy podejmowaniu decyzji zakupowych. Co do zasady, w przypadku operatorów i rządów dbających o bezpieczeństwo, żadna wersja krytycznego elementu sieci ani aktualizacja nie powinna trafiać do działającej sieci bez weryfikacji bezpieczeństwa, a żaden element sieci nie powinien być zwolniony z kontroli wyrywkowej, tj. mającej zastosowanie do wybranych aktualizacji. Zgodnie ze specyfikacjami ETSI / 3GPP i rekomendacjami Komisji Europejskiej, w 5G takimi krytycznymi elementami byłyby te realizujące funkcje rdzenia (ang. core) sieci.

Jak wspomniano wcześniej, luki w zabezpieczeniach mogą być wyzwalane przez predefiniowane warunki lub poprzez komunikację zewnętrzną. Dlatego tak istotne jest, aby operatorzy mieli dostęp do stanowisk testowych, które mogą być wykorzystywane jako „bliźniacze sieci”, analogiczne do środowisk przejściowychDevOps, mające służyć weryfikacji wpływu zmian konfiguracji parametrów sieci lub ruchu wewnątrzsieciowego na zachowanie poszczególnych elementów sieci. Dzięki temu ruch kontrolny do i z elementów sieciowych w aktywnej sieci mógłby być przynajmniej monitorowany i filtrowany pod kątem zgodności z oczekiwanym profilem ruchu. Wymagałoby to od operatorów skonfigurowania oraz utrzymania laboratoriów służących uruchamianiu, porównywaniu, sprawdzaniu i testowaniu przynajmniej plików binarnych, oraz ocenie nowych produktów i aktualizacji na „bliźniaczych sieciach” testowych przed ich wdrożeniem w działającej sieci. Jest to proces wymagający dużego nakładu pracy i sporych inwestycji, więc operatorzy i organy regulacyjne powinny rozważyć jakieś rodzaje wspólnych przedsięwzięć, skupiających się na weryfikacji bezpieczeństwa produktów sieci mobilnej – podobnych do tych, które zostały utworzone przez niektórych operatorów w celu projektowania i obsługi sieci dostępu radiowego. Dobra wiadomość jest taka, że wskazane rozwiązanie daje duży zwrot z inwestycji, jest nieporównywalnie mniej kosztowne do wszelkich prób usuwania dostawców z sieci, a ataki typu SolarWinds zostałyby najprawdopodobniej wykryte lub nawet całkowicie uniemożliwione poprzez połączenie tych rozsądnych i skutecznych środków.

Dla mniejszych operatorów, czy takich, którzy są w stanie zaakceptować większe ryzyko, podstawowy poziom bezpieczeństwa zapewniany przez systemy certyfikacji i gwarancji, takie jak EECC, GSMA NESAS, jak również te, które są obecnie opracowywane przez ENISA, może być wystarczający. Należy mieć przy tym świadomość, że każdy certyfikat należy rozumieć jako demonstrację możliwości dostawcy, a nie jako gwarancję bezpieczeństwa produktu przez cały okres jego użytkowania. Certyfikacja potwierdza jakość i możliwości danej wersji produktu i można uznać ją za silne zapewnienie bezpieczeństwa wyłącznie w przypadku użycia przez operatora dokładnie tej samej wersji produktu bez kolejnych aktualizacji. Jest to mało prawdopodobne w przypadku elementów sieci 5G, ponieważ są one ulepszane wraz z rosnącą funkcjonalnością i stopniowo dostosowywane do wymagań operatorów sieci. 

Bezpieczeństwo przez utajnianie to pieśń przeszłościPotrzeba wykrywania i powstrzymywania niebezpiecznych działań ma ogromne znaczenie - żaden dostawca nie powinien uniemożliwiać operatorowi sieci zrozumienia specyfikacji interfejsów czy sposobu w jaki normalnie w sieci odbywa się ruch, nie powinien też odrzucać wniosków operatorów dotyczących dostępu do ważnych informacji z obszaru bezpieczeństwa. W przypadku sieci 5G mogłoby to przełożyć się na następujące wymogi bezpieczeństwa, które powinny zostać uwzględnione w ofertach i ewentualnie poparte przepisami krajowymi:

1. Wszystkie elementy sieci 5G muszą przesyłać informacje o zdarzeniach istotnych dla bezpieczeństwa do centralnego repozytorium logów poprzez bezpieczny kanał, w czasie zbliżonym do rzeczywistego, bez użycia systemów pośredniczących. 2. Wszystkie elementy sieci 5G muszą umożliwiać instalację sond sieciowych innych firm i agentów, takich jak EDR. 3. Wszystkie elementy sieci muszą zapewniać otwarte API w celu pobrania szczegółowej inwentaryzacji sprzętu i oprogramowania elementów sieci. 4. Wszystkie elementy sieci muszą zgłaszać zdarzenia AAA, zdarzenia związane z bezpieczeństwem, nietypowe zachowanie i stan operacyjny (zadania, procesor / pamięć, lista procesów, wykorzystanie). 5. Wszystkie elementy sieci muszą umożliwiać szczegółową rozliczalność ich macierzy ruchu sieciowego (protokoły, porty, etc). 6. Dla wszystkich elementów sieci musi być przygotowanyprzewodnik dotyczący najlepszych praktyk bezpiecznej konfiguracji oraz instrukcja dotyczącą ich bezpiecznego wdrażania. 7. Wszystkie elementy sieci muszą instalować wyłącznie oprogramowanie, które jest podpisane cyfrowo przez dostawcę i instalowane z dedykowanych kont - jedynych uprawnionych do wykonywania tej operacji. Proces instalacji powinien wymagać uwierzytelniania wieloskładnikowego. 8. Wersje binarne całego oprogramowania (w tym firmware) muszą być równoważne binarnie, tj. kompilacja kodu źródłowego produktu ma być zgodna z binariamii dostarczonymi przez dostawcę. 9. Poprawki bezpieczeństwa musza być dokonywane oddzielnie od poprawek funkcjonalnych i mieć ograniczony zakres. 10. Dostawcy muszą bez opóźnień ujawniać wszelkie luki lub słabości zidentyfikowane w ich produktach oraz zapewnić wskazówki dotyczące możliwych środków zaradczych, jeśli takie istnieją, a także opracowywać poprawki zabezpieczeń w celu złagodzenia tych luk w rozsądnym czasie.

Jedynym działaniem po stronie dostawcy, mającym największy wpływ na stan bezpieczeństwa sieci przez cały okres jej użytkowania, jest po prostu opracowywanie i dostarczanie aktualizacji zabezpieczeń. Luki, jeśli zostaną znalezione, należy załatać, kropka.

Dostawca nie ma i nigdy nie będzie miał żadnej wymówki od zapewnienia skutecznych poprawek bezpieczeństwa dla swoich produktów, które nie zostały oznaczone jako wycofane z eksploatacji / użytkowania i nie ma też żadnego powodu, aby klient nie mógł takich poprawek żądać. Konserwacja produktu, koniec wsparcia i wszelkie aspekty związane z końcem cyklu życia produktu oczywiście nie są tu bez znaczenia, ponieważ mogą one ograniczać możliwość zainstalowania poprawki na nieobsługiwanym urządzeniu lub platformie oprogramowania - ale co do zasady, umowa SLA w zakresie dostarczania aktualizacji zabezpieczeń musi nie tylko istnieć, ale także być egzekwowana.

A co jeśli dostawca zniknie?

W dzisiejszym niestabilnym środowisku geopolitycznym i gospodarczym nie można lekceważyć ryzyka wycofania się dostawcy 5G z biznesu. Zmaterializowało się ono już w przeszłości, kiedy to Nortel Networks, wówczas drugi największy na świecie dostawca sprzętu telekomunikacyjnego, którego wartość w szczytowym momencie (rok 2000) wynosiła 250 miliardów dolarów, zniknął z rynku w roku 2009. Co zatem mogą zrobić operatorzy i organy regulacyjne, aby kontrolować skutki tego ryzyka?

Dostawca, który wycofał się z rynku, oznacza dla operatorów korzystających z jego produktów brak dalszej możliwości dostarczania urządzeń czy oprogramowania, ale co gorsza, odcięcie od konserwacji, aktualizacji i napraw elementów już obecnych w ich sieci. Tak właśnie kończy się wybieranie dostawców na podstawie gdybania odnośnie szans pozostania danego podmiotu na rynku - to po prostu hazard, co doskonale obrazuje przykład Nortela. Zakładając, że przeprowadzona została jedna z podstawowych, najlepszych praktyk - czyli analiza due diligence w zakresie zdolności dostawcy do realizacji dostaw, istnieją dwa dalsze środki ostrożności, które operator sieci powinien podjąć, aby zabezpieczyć swoją przyszłość przy wyborze dostawcy:

  • upewnić się, że posiadany przez zapas części zamiennych jest wystarczający.
  • upewnić się, że kod źródłowy oprogramowania sieciowego, z którego korzysta - wraz z narzędziami i instrukcją jego budowy - jest przcchowywany w depozycie notarialnym, a umowa zezwala na dostęp operatora na określonych warunkach.

„Zaufany dostawca” to fałszywa alternatywa

W ten sposób dotarliśmy do pomysłu klasyfikacji dostawcy jako „zaufanego” lub „niezaufanego” jako metody zarządzania ryzykiem w łańcuchu dostaw. Powszechnym błędem jest przekonanie, że wykluczenie dostawców jest najlepszą opcją ograniczenia ryzyka. Z pewnością zadziała, jeśli wykluczymy WSZYSTKICH dostawców, ponieważ rzeczywiście będziemy mogli wtedy powiedzieć, że ryzyko łańcucha dostaw zostało skutecznie złagodzone w wyniku braku tegoż łańcucha dostaw. Jeśli jednak (co rekomenduję) zdecydujemy się nie podążać tą ścieżką, okaże się, że w branżach z niewielką liczbą dostawców, ich wykluczanie jest po prostu złą strategią ograniczania ryzyka. Dokładnie tak jest w przypadku sieci 5G, gdzie w większości rzeczywistych przypadków operator wybierałby z co najwyżej pięciu dostawców, a w przypadku wdrożeń 5G innych niż „green field”, wybór ogranicza się do czterech z nich. Podstawowym błędem jest przekonanie, że ograniczenie wyboru poprzez odgórne wyłączenie któregoś z nielicznych dostawców z puli zmniejsza ryzyko - jeśli jedynym wyborem, jakiego można dokonać, jest wybór dwóch dostawców z tylko dwóch dostępnych, tak naprawdę nie ma ani wyboru, ani konkurencyjnego rynku, który mógłby faktycznie podnieść poprzeczkę w postaci odpowiednich wymagań bezpieczeństwa. Co więcej, pozostali po wykluczeniach dostawcy nie mieliby motywacji do zapewniania większego bezpieczeństwa czy ulepszania swoich produktów o kolejne funkcje związane z cyberbezpieczeństwem – niestety, taki stan rzeczy od dekad jest właśnie przekleństwem bezpieczeństwa sieci komórkowych.

Jak już wspomniałem wcześniej - jeśli nasza ocena, oparta na informacjach otrzymanych od dostawcy, jasno wykazuje, że dostawca nie ma zasobów, możliwości ani chęci dostarczania bezpiecznego produktu, wykluczenie go kręgu potencjalnych dostawców może być uzasadnione. Najbardziej niedbałych producentów stosunkowo łatwo odfiltrować. Jednak wysiłek potrzebny do dalszego odgórnego rozróżnienia ryzyka między dostawcami, którzy budowali prawie wszystkie istniejące sieci komórkowe od dziesięcioleci, powinno się zainwestować w praktyczne mechanizmy zarządzania ryzykiem, omówione już wcześniej. I to jedynie za ułamek potencjalnych kosztów wynikających z wykluczeń dostawców i ewentualnej konieczności wymiany sprzętu obecnego już w sieciach. Wyobrażam sobie też sytuację, w której wykluczenie dostawcy może funkcjonować jako forma kary dla tych, którzy nagminnie nie wywiązują się z obietnic lub odmawiają współpracy przy testowaniu bezpieczeństwa albo terminowej obsłudze luk w zabezpieczeniach. Zagrożenie wykluczeniem z rynku może być w tym biznesie naprawdę silną motywacją, zwłaszcza jeśli będzie poparte przepisami krajowymi - jednak kara nigdy nie powinna poprzedzać przestępstwa. Dlatego wykluczanie dostawców o ustalonej pozycji na podstawie teoretycznej analizy ryzyka powinno być zawsze uważane za niewłaściwe i - co gorsza - nieskuteczne. 

Konsekwencje przeoczania prawdziwego problemu

Branża cyberbezpieczeństwa (i zarządzania prywatnością) raz po raz spotyka się z pomysłami, które w skutek działań komercyjnych lub politycznych zyskują na popularności, choć z punktu widzenia bezpieczeństwa cybernetycznego i prywatności nie mają prawa przynieść niczego innego niż ogromnej straty czasu oraz zakłopotania, kiedy trzeba będzie po cichu wycofywać się z wprowadzanych z fanfarami rozwiązań. Rozważmy fiasko „Safe Harbor”. Przypomnijmy sobie ”Privacy Shield”. Pamiętajmy o uwierzytelnianiu wieloskładnikowym na podstawie kodów SMS lub zabezpieczeniach skoncentrowanych na brzegu sieci. Wszystkie te pomysły łączy to, że nigdy nie miały na celu zapewnienia prywatności ani bezpieczeństwa. To były protezy. Przez chwilę „działały” dzięki odrobinie szczęścia, ale przede wszystkim dlatego, że wielu z nas postanowiło przymknąć oko na oczywiste wady projektowe i wciąż pojawiające się dowody wskazujące na nieefektywność tych mechanizmów.

Koncepcja „zaufanego dostawcy” jest właśnie taką fałszywą alternatywą, która jedynie odwraca naszą uwagę od istoty problemu. Pomysł ten nie tylko nie minimalizuje żadnego praktycznego ryzyka, ale w rzeczywistości cofa w przeszłość współczesne myślenie o cyberbezpieczeństwie. W dodatku cofa je naprawdę daleko - przynajmniej do czasów, kiedy Trojanie uwierzyli, że Epeius jest zaufanym dostawcą - i nie muszą już interesować się jego produktem. Trzy tysiące lat później powinniśmy już potrafić wyciągnąć lekcję z ich błędu.

Czytaj także

Produkty

Zarządzanie cyberbezpieczeństwem, cyberbezpieczeństwo studia podyplomowe, cyberbezpieczeństwo studia warszawa
Zarządzanie cyberbezpieczeństwem
Studia podyplomowe
W weekend
1 rok
PL
ZAPISZ SIĘ product Zarządzanie cyberbezpieczeństwem