根据欧洲联盟网络安全局(ENISA):“在网络安全领域, 供应链涉及范围广泛的资源(硬件和软件), 存储(云或本地), 分发机制(web应用程序), 在线商店), 管理软件. 供应链攻击是至少两种攻击的组合. 第一次攻击是针对供应商,然后用来攻击目标以获取其资产. 目标可以是最终客户或其他供应商. 因此, 要把攻击归为供应链攻击, 供应商和客户都必须成为目标.”
供应链安全的重要性
近年来, 世界上不同国家的公共和私营机构遭受的供应链攻击越来越多. 在某些情况下, 攻击是由政府支持的APT组织实施的, 这些袭击具有地区性和全球性的影响.
有史以来最臭名昭著的供应链攻击之一就是太阳风猎户座案. 这次袭击 是由于 俄罗斯对外情报局(SVR)的一群APT 29成员.
把它放在格鲁吉亚的背景下
格鲁吉亚大约20%的领土被俄罗斯占领. 因此,应在此背景下分析和管理网络供应链风险.
俄罗斯有攻击和破坏格鲁吉亚关键信息基础设施的经验:
- 2008 -协同网络攻击 陪同俄罗斯在格鲁吉亚的军事行动;
- 2011 – Georbot 针对政府实体的网络间谍活动;
- 2015 -反对运动 格鲁吉亚内务部;
- 2019 – 破坏格鲁吉亚网站和攻击电视频道.
格鲁吉亚新的《澳门赌场官方软件》在评估国家威胁时解决了以下威胁:“涉及国家行为体的针对性攻击, 关键的信息基础设施已成为一个特别重要的目标, 威胁的来源不仅是“外部行动者”,“也包括系统内的相关行为者”(所谓的“内部威胁”). 同时, 一个重大的挑战是供应链的脆弱性以及与相关信息技术和系统相关的风险, 以及其他产品和服务.“目前, 格鲁吉亚没有规定a)识别与网络安全供应链相关的风险, b)建立控制措施以减轻与供应链攻击相关的风险.
软件 供应链
格鲁吉亚没有与软件供应链相关的法律限制. 这个主题很复杂,需要大量资源来识别威胁, 提供证据和相应的行动. 然而, 鉴于格鲁吉亚的进程尚不成熟, 我们可以讨论几个感知威胁的例子:
端点安全 -卡巴斯基解决方案被公民广泛使用, 私营部门,有时也包括政府机构. 美国禁止使用卡巴斯基产品.204-23禁止承包硬件, 软件, 以及由卡巴斯基实验室和其他受保护实体开发或提供的服务). 3月, 2022, 美国联邦通信委员会也更新了被禁止的设备和服务清单, 代表"对美国国家安全或美国人的安全和保障构成不可接受的风险德国联邦信息安全办公室(BSI)警告更换卡巴斯基的产品.
能源计量系统 -格鲁吉亚国家电力系统(GSE)是唯一的电力传输系统运营商. GSE使用源自俄罗斯的计量系统alphcenter. 另外, 几乎所有的能源公司都使用相同的系统, 这使得他们可以很容易地交换信息. 该软件在美国或欧盟国家不被禁止. 然而,格鲁吉亚的整个能源部门都面临着同样的供应链攻击风险.
澳门赌场官方下载资源规划(ERP)解决方案 - 1C是一家俄罗斯公司,其产品1C ERP在格鲁吉亚广泛使用. 在公共实体中可以找到许多使用1C的例子.
上面的例子并不详尽,也没有描述威胁的完整列表.
硬件 供应链
硬件也可以用于供应链攻击. 例如,在美国, 中国制造商华为、大华和海康威视 是否禁止在政府机构使用/购买. 然而, 这些监视系统由于成本低和简单,在格鲁吉亚的公共和私人建筑中广泛使用. 该系统用于关键信息基础设施, 以及国家执法机构和紧急服务部门, 包括主要公路监控系统. 格鲁吉亚没有有效的控制措施或机制来评价与上述供应商有关的风险和执行有关的控制措施.
服务供应链
与软件和硬件一样,管理服务供应链威胁也很重要. 截至2022年, 在关键信息基础设施中进行信息安全遵从性审计和渗透测试有一些规定. 然而,这些法规可能不足以管理服务供应链风险. 例如,以下服务(非详尽清单)绕过了该规定:
- 资讯科技审核及评估;
- 咨询和实施服务;
- 资讯科技基建项目.
除了, 还应考虑与国际公司在当地办事处有关的风险案例. 例如, 多年来, 四大咨询公司中有三家属于独联体地区, 因此莫斯科办事处监督第比利斯办事处;
2022年3月初, 除了对俄罗斯联邦的国际制裁之外, 四大会计师事务所中有三家关闭了在俄罗斯的办事处(安永除外), 哪些会留下来,但不会为政府和受制裁的公司服务). 格鲁吉亚办事处也有必要迁往另一个区域.
资讯科技人力的迁移
根据最近的媒体报道, 许多俄罗斯IT专家正在迁移到格鲁吉亚,以避免制裁,继续他们在欧洲和国际项目上的工作. 格鲁吉亚有很好的税收立法来吸引软件开发者和软件开发公司(所得税低至5%)。. 另外, 由于程序简化,人们可以在一天内注册一家商业公司. 没有官方数据描述新成立的IT公司或员工迁移的确切数量, 而是像乔治亚州这样的小市场, 这可能很重要.
人们可以估计一下上述迁移的潜在结果. 一方面,一方面,它可能会推动上市公司和私营公司的数字化转型因为格鲁吉亚严重缺乏合格的IT人员. 当地公司, 包括国家关键信息基础设施, 可能会试图用合格的移民来填补他们的短缺, 然而,很少有有效的控制机制来补偿这些风险.
另一方面, 加速数字化转型的代价可能会损害关键信息基础设施. 考虑到与俄罗斯的地区关系, 格鲁吉亚面临着与供应链攻击和内部威胁相关的威胁. 根据经典定义, 这些新成立的公司不符合供应链攻击的定义, 但俄罗斯情报机构往往要求直接或间接获取俄罗斯公司的客户数据, 这既会造成供应链威胁,也会造成内部威胁. 另外, 格鲁吉亚公共部门将几乎没有法律手段将本地注册的IT公司从招标中剔除.
风险急剧上升
供应链网络攻击的数量每年都在增加, 攻击的方法正在改变,而且, 经验表明, 组织严密的黑客组织(apt)往往得到国家情报部门的支持. 因此, 供应链攻击对国家关键信息基础设施的影响正在增加.
考虑到格鲁吉亚的国情, 与供应链相关的风险急剧增加. 在州一级没有有效的控制措施来降低供应链风险, 以及政府机构的意识, 公民, 而中小澳门赌场官方下载对供应链攻击的担忧较低. 结果是, 恶意产品在国家层面被积极使用, 这个国家变得非常依赖这些产品的供应商. 鉴于目前的特殊情况, 合格的俄罗斯IT人员向格鲁吉亚的迁移为加速数字化转型创造了机会, 同时从长远来看,也可能危及国家关键基础设施.
在短期内, 对上述挑战的最有效回应可能来自当地专业澳门赌场官方下载和私营部门本身,通过有效的提高对供应链风险的认识运动,以及统一的格鲁吉亚私营IT部门如何减轻风险. 更准确地说, IT公司可以签署供应链安全备忘录, 声明要避免的:
- 进口/分销被禁软件及硬件;
- 招聘已迁移的资讯科技人员和
- 与俄罗斯公司的所有服务完全隔离.