“美国政府ICT供应链”的全方位定义包括:(1)主要供应商;(2)层级供应商,通过提供产品和服务支持主要供应商;(3)通过商业、金融或其他相关关系与这些层级供应商关联的任何实体。报告认为,美国联邦政府的ICT供应链是多层次、网状的关系,而非单一或线性的关系。供应链对美国国家安全的威胁源于由各国政府或实体所拥有、指导或补贴生产、制造或组装的产品,这些实体已知会对美国构成潜在的供应链或情报威胁。这些产品可被修改为:(1)性能低于预期或失效;(2)为州或公司间谍活动提供便利;(3)以其他方式损害联邦信息技术系统的保密性、完整性或可用性。
随着第五代移动网络技术(5G)和物联网(IoT)等技术的发展,网络攻击的途径成倍地增加,软件供应链攻击将变得更加容易,也更加普遍。根据美国信息技术研究和咨询公司Gartner的预测,到2021年将安装251亿个物联网单元,到2020年90%的新计算机支持的产品设计将采用物联网技术。物联网连接的增长将对信息和通信技术的SCRM产生重要挑战。物联网的普及将扩大联邦信通技术网络的受攻击面,缩短破坏这些网络所需的时间,但发现这些破坏所需的时间却并未减少。而公共部门和私营部门都有责任在商业技术供应链中提高风险意识和加强风险管理。
因此美国政府急需一项针对美联邦ICT商业供应链漏洞的“供应链风险管理国家战略”。这一战略必须包含相关的支持政策,以使美国的安全态势是前瞻性的,而不是被动应对的,并对已经损害美国国家安全、经济竞争力或美国公民隐私的漏洞、违规和其他事件做出的反应。
有效的供应链风险管理是指能够预测供应链的未来发展,识别供应链面临的潜在威胁,制作威胁概要文件,能够减轻或解决供应链未来可能面临的威胁。但当前联邦政府的法律和政策并未全面解决SCRM问题。全球ICT产品生产和制造的演变以及联邦ICT现代化努力的过程,意味着未来进入联邦信息系统和国家安全系统的新产品将越来越复杂和全球化,那么美国政府应该如何管理其ICT供应链相关的风险?联邦信通技术供应链风险的最佳管理方法是:(1)采用自适应SCRM流程;(2)集中领导联邦信通技术的SCRM工作;(3)将联邦法规条例与拨款挂钩;(4)促进供应链透明度与工业伙伴关系;(5)制定前瞻性政策。
一、采用自适应供应链风险管理流程
联邦信通技术的现代化努力增加了对私营部门和商业现货产品的依赖。这些新产品具有日益复杂的、全球化的和动态的供应链,大的供应商可以在一个供应链中的多个节点上供货。随着公司开发新技术并与新供应商结成合作伙伴关系,不法行为者以私营部门实体和私营部门政府承包商网络为目标,获取敏感的政府信息,并进一步利用联邦信息系统内的漏洞。因此,薄弱的行业合作伙伴网络对美国政府和国家安全构成了威胁。
防范不法行为者的供应链攻击,需要与私营部门行为者进行沟通与协作。国家标准和技术研究所(NIST)一直有效地与私营部门合作,制定高质量、可实施的标准,以改善供应链安全和信通技术系统的网络安全,包括广泛采用的NIST网络安全框架。尽管NIST在这些工作中发挥了有效作用,但NIST开发的供应链控制仅适用于具有“显著影响”(high-impact)的联邦信息系统。NIST未来的工作可能需要包括将供应链标准扩展到更广泛的联邦信息系统,包括由私营部门承包商运营的系统。
与工业界结成伙伴关系还意味着需要从布什时代的国家网络安全综合倡议(CNCI)中吸取经验教训。CNC的有效性受到其审议和决定的保密性限制,这使美国国务院和国家网络安全中心无法与包括私营部门在内的外部组织接触。决策者必须增强而不是阻碍NIST等成功合作实体的努力,并在非保密的公共领域尽可能多地讨论供应链威胁。这些步骤将确保新的SCRM策略能够自适应、协作并获得所有相关方的认可。
二、建立联邦信通技术SCRM的集中领导
美国政府缺乏一个统一的、整体的SCRM方法。大多数与SCRM相关的情报收集活动都是以人为本而不是以技术为基础,这使得联邦SCRM计划难以全面应对全球威胁,也难以随着需求的增加而扩展。法律法规之间的冲突和混乱导致漏洞、重复劳动和政策执行不一致。
国会和行政部门应鼓励信息共享和巩固联邦SCRM领导,以优化收集和传播工作。需要为SCRM的中央领导配备适当的资源和人员,负责将进入联邦IT网络的产品供应商和增值转销商审查到规定的级别。管理和预算办公室(OMB)可以通过修改A-130通告将SCRM的中央权力分配给总务管理局(GSA)、美国国土安全部(DHS)或另一个联邦机构。该SCRM中心将提供全面权威的数据和持续监测,减少对特定机构SCRM的需求,并使各机构能够将其工作重点放在特定配置和实施情况上,机构如何使用技术直接关系到它们如何应用风险缓解措施。最后,这一办公室需要在非保密的世界中运行,与保密环境直接联系,并有权溯源,以确保瞄准已知威胁。
三、将联邦法规条例与拨款挂钩
在修改政策的同时,国会应将政策修订与确保联邦机构以可审计的方式采取行动的筹资战略,两者联系起来。一项建议是扩大Wolf条款,即2013年《综合和进一步持续拨款法》第515条,以适用于所有联邦机构和实体。近期的一个机会是将本文中的SCRM要求与机构为2017年《政府技术现代化法》提供的资金联系起来,要求对新的信通技术投资和现代化努力进行SCRM计划审查。该规定的一个改进是要求各机构每年提交:(1)关于其已建立的SCRM计划的信息;(2)在该计划内开展的活动;(3)使用的缓解措施。这些年度报告将有助于为所有联邦政府实体建立一个“最佳实践库”,提高信息共享和对不断变化的风险的认识。目前的报告是以合规为导向的,对共享信息或提高联邦信通技术网络的安全状况没有任何作用。
四、促进供应链透明度和与工业界伙伴关系
供应链透明度提高了联邦信通技术供应链的安全性,使联邦政府能够负责任和安全地获取信息,并提高了政府在供应链攻击不断的环境中应对和减少网络安全事件影响的能力。与对国家安全的影响直接相关的是,联邦政府应根据戴尔、惠普和微软等公司已经采取的行动,促进联邦信通技术提供商以及初级或一级供应商的公开上市,或至少向政府客户披露这些信息,作为其公司责任努力的一部分。政府还应根据所需的风险管理严格程度(并非所有计划和供应商都存在相同程度的风险,因此可能不需要这种程度的透明度),推动自身供应链中的所有供应商实现透明度。虽然应制定审计措施以确保透明度,但这些信息并不总是需要公开发布。在采取这些措施时,决策者应借鉴以往供应链透明度的努力,例如2010年《多德·弗兰克华尔街改革和消费者保护法》第1502条,该条要求一些公司记录其"冲突矿物"(conflict minerals)供应商,以便限制美国从助长刚果民主共和国冲突的行为体方采购,以此来减少刚果民主共和国境内的暴力行为。通过行业合作和信息共享,政府客户和行业将提高对多层供应商关系中存在的风险以及已存的潜在有效配置的认识。
五、制定前瞻性政策
与其中运行的固件和软件相比,任何信通技术组件的物理结构越来越不重要。未来的风险将涉及软件、基于云的基础架构和超融合产品(hyper-converged products),而不是硬件。供应商、供应商或制造商的业务联盟、投资来源以及联合研发也是风险的来源,但传统的SCRM中并不总是涵盖这些风险。识别这些风险并创造性地解决它们,作为供应链风险管理适应性方法的一部分,对于联邦政策的成功非常重要。
编译 | 方师师
声明:本文来自互联网研究前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。