A beszerzési lánc biztonsága

Bizonyára minden, az IT biztonság iránt érdeklődő olvasó hallott már a Bloomberg által kirobbantott Supermicro-botrányról, valamint az azt feldolgozó írások egyikével. Nem kellett sokáig várni az egész sztorit módszeresen tagadó nyilatkozatok dömpingjére sem. Az Amazon, Apple, Supermicro és a kínai kormány egyaránt tagadta, hogy bármi információja lett volna egy olyan chip-ről, amely az eszközöket kompromittálta volna. Tovább gyűrűzött a történet, amikor a Bloomberg megjelentette a következő cikkét, melyben egy meg nem nevezett amerikai szolgáltató hálózatában találtak egy Supermicro szerver Ethernet-portjára helyezett lehallgatásra alkalmas chipet.

Nehéz megtalálni a bizonyosságot ennyi hír és cáfolat között, de a régi magyar mondás szerint nem zörög a haraszt, ha nem fújja a szél.

Supply-Chain-Security-Cover-01-636x322

Brian Krebs is ezt boncolgatja a témát feldolgozó blogbejegyzésében, abból a szempontból, hogy hogyan lehetséges az, hogy az amerikai kormányzat esetleg tudott már ilyen súlyos sérülékenységekről, mégsem tájékoztatta a publikumot erről. Emleget egy bizonyos kormányzati “szürke-listát”, amely megszűri a kormányzati beszállítókat. Nem ez lenne az első eset, hogy megtartanak maguknak infókat, elég súlyos támadások alapultak már NSA-től kikerült sérülékenységeken (pl. EternalBlue, a WannaCry és NotPetya támadásokhoz használt exploit).

Tovább bonyolítja a helyzetet, hogy sokszor nem is lehet tudni, magát az eszközt ki gyártotta. Jó példa erre a Xiongmai története. A kínai gyártó termékeit rengeteg egyéb néven árulják világszerte, és a gyártó annak ellenére nem változtat a biztonsági alapbeállításain, hogy már több forrásból jelezték nekik, és be is ígérték a javításokat.

Fontos lehet ennek a témának az a vonzata is, hogy bár az amerikai kormánynak van “szürke-listája”, nem biztos hogy az EU-s vagy akár a magyar szervek hasonlóan kiterjedt listákat használnak. A kritikus infrastruktúra biztonságáért felelős BM OKF egyik kiemelt feladata most is az érintett cégek/területek folyamatos tájékoztatása az IT biztonsági frissítésekről, de vajon eljutunk-e mi is arra a szintre, amikor a kormányszervek már egyes gyártókat teljesen diszkvalifikálnak? Szóba került ez már, hiszen az EP és a magyar kormány is határozatot hozott, hogy a Kaspersky termékeit felül kell vizsgálni potenciális nemzetbiztonsági céllal. Mikor kerül vajon bármi Kínában gyártott eszköz is a felülvizsgálandó listára?

És vajon mikor jut el oda akár az amerikai, akár az EU-s vezetés, hogy más eszközöket is felhasználjon a kiberháborúban?

Egy gondolat a(z) “A beszerzési lánc biztonsága” című bejegyzésnél

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés /  Módosítás )

Google kép

Hozzászólhat a Google felhasználói fiók használatával. Kilépés /  Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés /  Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés /  Módosítás )

Kapcsolódás: %s