[Перевод] Почему прозрачность — основа доверия в сфере кибербезопасности27.11.2024 16:45

image


Один мудрец однажды сказал: «Чем больше людей вы приглашаете в свой дом, тем аккуратнее он становится». Тот же принцип открытости можно с легкостью применить и к миру бизнеса. Чем прозрачнее организация на уровне бизнес-процессов и корпоративной культуры, тем более дисциплинированной она, скорее всего, будет в своей деятельности. Прозрачность является основой для построения доверия между поставщиками, клиентами и партнерами, и это еще более актуально в отношении кибербезопасности. Здесь мы рассмотрим фундаментальные факторы, обеспечивающие прозрачность, а вместе с ней и доверие.

Необходимость прозрачного подхода к кибербезопасности

Риски и потенциальные последствия кибератак и утечек данных по праву занимают важное место в повестке дня каждой организации. Предприятия и государственные учреждения всех отраслей больше не готовы принимать на веру заявления поставщиков о безопасности их продуктов и решений. Более того, во многих странах и регионах законодательство требует, чтобы они имели более полное представление о безопасности продуктов и услуг, используемых в их организациях.

Идея о том, что сокрытие деталей и принципов работы системы — лучший способ повысить ее безопасность, часто называемая безопасностью через неясность, уже в значительной степени опровергнута. Сам Национальный институт стандартов и технологий США (NIST) утверждает, что «безопасность системы не должна зависеть от секретности реализации или ее компонентов».

Анализ методов обеспечения безопасности поставщика технологий является одним из основных аспектов проведения оценки рисков поставщика. При этом изучается потенциальное воздействие продуктов поставщика на сеть заказчика и подключенные к ней системы, а также определяется наличие у поставщика соответствующих мер по снижению рисков.

Поэтому заказчики требуют полной прозрачности всех аспектов подхода вендора к поддержке оптимальной безопасности продукта и ее поддержанию в течение всего жизненного цикла продукта. Это требование прозрачности должно быть принято, поскольку оно является основополагающим для определения того, могут ли продукты поставщика поддерживать собственную систему безопасности клиента, а также для построения доверия между поставщиками, партнерами и клиентами.

Многочисленные преимущества прозрачности

Когда производитель технологий прозрачно рассказывает о своих методах обеспечения безопасности, он тем самым демонстрирует свою приверженность обеспечению безопасности продуктов. Это включает в себя предоставление функций и настроек безопасности, которые позволяют клиентам использовать продукты наиболее безопасным образом для защиты своих систем и данных.

Прозрачность также обеспечивает более эффективное сотрудничество и обмен информацией с клиентами и партнерами, позволяя им быстро устранять любые вновь обнаруженные уязвимости в программном обеспечении.

Кроме того, прозрачность помогает производителям и заказчикам извлекать уроки из прошлых инцидентов, связанных с безопасностью, и совершенствовать свою общую систему безопасности. Обоснованные решения помогут предотвратить будущие инциденты и обеспечить постоянную защиту данных и информации клиентов.

Выходя за рамки требований сертификатов по кибербезопасности

В этом контексте отраслевые стандарты и сертификаты могут служить полезным подтверждением приверженности компании базовому уровню кибербезопасности. Очевидно, что в тех случаях, когда такие сертификаты требуются по закону, поставщики должны продемонстрировать свою приверженность им. Они также полезны при установлении базового уровня, который может быть обязательным по договору, когда компании вступают в деловые отношения друг с другом для предоставления услуг своим клиентам. Заказчики также могут использовать сертификаты в процессе закупок, чтобы убедиться, что производители удовлетворяют минимальным требованиям.

Однако следует избегать использования сертификатов в качестве «серебряной пули» для демонстрации комплексного подхода к кибербезопасности. Сертификация свидетельствует о минимальном уровне безопасности на определенный момент времени, которого придерживается компания, независимо от того, идет ли речь о корпоративной информационной безопасности (ISO 27001, различные экспортные правила по кибербезопасности и т.д.) или о сертификации безопасности, ориентированной на продукт (FIPS 140, ETSI EN 303 645 и другие стандарты для конкретных стран).

Кроме того, стандарты и сертификаты по своей природе часто могут быть широкими и охватывать конкретные отрасли и случаи их использования, а потому не всегда актуальны для специализированных случаев использования. Например, стандарт IEC 62443 ориентирован на промышленную автоматизацию и системы управления, что в меньшей степени относится к физической безопасности.

С коммерческой точки зрения сертификация и соответствие стандартам могут быть использованы в качестве функции «галочки» и стратегии получения конкурентных преимуществ в процессе закупок. Цель состоит в том, чтобы собрать как можно больше сертификатов для создания видимости «хорошего» положения в области кибербезопасности. Это особенно актуально, если стандарт и технические требования «заперты» за покупкой и не находятся в свободном доступе.

Наконец, развитие технологий, процессов и продуктов часто происходит гораздо быстрее, чем процесс стандартизации, а это значит, что производители, полагающиеся только на сертификацию, будут отставать от технологических новинок. Например, наличие в продуктах сетевого шифрования IEEE 802.1AE MACsec значительно повышает надежность сетевых коммуникаций, однако технология или передовой опыт использования технологии MACsec для защиты сетей не указаны в действующих стандартах.

Одним словом, хотя сертификаты и стандарты имеют определенную ценность, их следует рассматривать как базовый уровень, а не как цель, и как дополнение к более широкой деятельности вендора в области кибербезопасности.

Поиск доказательств в пользу прозрачности

При рассмотрении поставщиков есть несколько четких доказательств, которые демонстрируют приверженность прозрачности разработки продуктов и программного обеспечения и всего жизненного цикла продукта в отношении кибербезопасности. К ним относятся:

  • Предоставление клиентам информации о действиях и мерах по обеспечению безопасности, предпринимаемых на протяжении всего жизненного цикла продукта — от этапов разработки, производства и распространения до внедрения, эксплуатации и вывода из эксплуатации. Эти сведения должны также включать информацию о том, как обеспечивается безопасность всей цепочки поставок поставщика.
  • Публикация политик и практик безопасности как в отношении разработки продуктов, так и в отношении подхода вендора к обеспечению внутренней безопасности компании. Наличие четкого общедоступного набора политик и процедур по защите пользовательских данных и информации демонстрирует приверженность компании принципам безопасности и подотчетности.
  • Регулярно проводите независимые оценки и аудиты безопасности, чтобы выявить и устранить потенциальные слабые места в системе безопасности и дать клиентам уверенность в том, что компания серьезно относится к безопасности. Это может быть оценка на уровне организации, например оценка по стандарту ISO/IEC 27001, или на уровне конкретного продукта, например тестирование на проникновение третьими сторонами.
  • Поставляйте продукты, которые позволяют сторонним лицам, организациям и органам власти технически просто оценить уровень безопасности продуктов. Это включает в себя отказ от шифрования программного обеспечения устройства или других действий, направленных на поддержку «безопасности через отсутствие безопасности». Также важно предоставить спецификацию программного обеспечения (SBOM), в которой перечислены «ингредиенты», составляющие каждую часть программного обеспечения. В SBOM указываются все компоненты с открытым исходным кодом и компоненты сторонних разработчиков, присутствующие в программном обеспечении, лицензии, регулирующие эти компоненты, версии компонентов, используемых в программном обеспечении, и статус любых исправлений, необходимых для поддержания безопасности.
  • Прозрачность в информировании об инцидентах безопасности, когда они происходят, как в отношении организации поставщика, так и его продуктов. Поставщики должны иметь четкую политику управления уязвимостями. Это обеспечит информирование о характере инцидента, о том, как он был первоначально обнаружен, о шагах, предпринятых для устранения уязвимости (включая действия, требуемые клиентами), и о действиях, предпринятых для предотвращения будущих инцидентов.
  • Предоставление клиентам и партнерам регулярных обновлений информации о состоянии безопасности компании. Информация о любых изменениях в политике и практике безопасности не только помогает им оставаться в курсе событий, но и, что более важно, позволяет быстро принять меры по защите собственных продуктов, услуг и процессов. Кроме того, если клиенты и партнеры подпишутся на службу уведомлений о безопасности, это даст им возможность своевременно реагировать на проблемы безопасности.
  • Активное поощрение клиентов и исследователей к сообщению об обнаруженных ими потенциальных уязвимостях в системе безопасности поможет компании выявить и устранить потенциальные проблемы до того, как они могут быть использованы. Участие в программе CVE для раскрытия идентификаторов CVE, а также создание программы вознаграждения за обнаруженные ошибки демонстрирует зрелость и прозрачность кибербезопасности вендора и уверенность в его безопасных процессах разработки.
  • Поддержка клиентов в процессе проактивного управления жизненным циклом продукта, позволяющая им планировать вывод продукта из эксплуатации и его замену. Центральное место в этом процессе занимает подробное описание даты окончания поддержки программного обеспечения для устройств как можно раньше, в идеале — сразу после запуска продукта.

Каждый поставщик должен делать все возможное, чтобы поставлять продукты, отвечающие требованиям кибербезопасности заказчика. Сертификация и стандарты — это лишь часть успеха. Очень важна прозрачность. Опубликованные практики и политики, регулярные независимые оценки и аудиты безопасности, а также раскрытие информации об инцидентах безопасности — вот более надежные способы укрепить доверие к обязательствам поставщика по защите данных и предоставлению продуктов с высоким уровнем кибербезопасности.

Подробнее по теме предлагаем вам ознакомиться с книгой авторов Хьюз К., Тернер Т. «Прозрачное программное обеспечение: Безопасность цепочек поставок ПО»

» Оглавление
» Отрывок

По факту оплаты бумажной версии книги на e-mail высылается электронная книга.
Для Хаброжителей скидка 25% по купону — Кибербезопасность

P.S. Обращаем ваше внимание на то, что у нас на сайте проходит распродажа.

© Habrahabr.ru