Taggat med: leverantörskedjor

Säkra leverantörskedjor för styrsystem

Totalförsvarets forskningsinstitut

Totalförsvarets forskningsinstitut (FOI) har släppt en ny rapport om säkra leverantörskedjor för styrsystem. Rapporten visar på en ny trend när det gäller leverantörsskedjor som representeras av ett växande antal specialiserade leverantörer. Kedjan från leverantör till driftsatt industriellt informations- och kontrollsystem (ICS) blir då lång och komplex.

Rapporten går igenom olika regulatoriska krav såsom NIS-direktivet, Cyber Security Act och även branschpraxis samt rekommendationer från bl.a. ISO/IEC, MSB, FRA och CPNI.

Även intressanta saker såsom ansvarförhållanden och förtroendenivåer mellan operatörer och leverantörer tas upp i rapporten och hur dessa förhåller sig mellan olika standarder.

Rapporten är på 52 sidor och kan hittas här som PDF:

Säkra leverantörskedjor för styrsystem

Säkra leverantörskedjor går under benämningen Supply Chain Cyber Security på engelska. Författare till rapporten är Erik Zouave och Margarita Jaitner.

Bild på kontrollpanel av Patryk Grądys från Unsplash

Reproducerbar mjukvara

För mig som jobbar med cybersäkerhet och granskning är reproducerbar mjukvara något som är intressant på flera plan. Jag kan vid en granskning av källkoden med större sannolikhet avgöra om den kod jag granskar är den verkliga kod som hamnar i den slutgiltiga binären eller produkten.

Bildkälla

Genom att dokumentera stegen för att producera (kompilera) en mjukvara så försvåras exempelvis attacker som försöker lägga in bakdörrar på vägen eller en kompilator med bakdörr. Vi ser allt fler cyberattacker mot utvecklare samt attacker mot leverantörskedjor (supply chain attacks).

Därför är det nu bra att det säkra och anonyma operativsystemet Tails nu går skapa reproducerbart. Du kan alltså själv ladda hem hela källkodsträdet och skapa en ISO som bör helt stämma överens med den du kan ladda hem genom de officiella kanalerna.

Och för att citera Tails:

Being free software is a necessary condition for tools to be trusted for their security. The only way for security researchers to know if a piece of software is trustworthy, is to audit its source code.

But operating systems are delivered to their users in binary form that cannot be simply reverted back to their original source code.

Flera opensource-operativsystem och mjukvaror håller på eller har redan infört reproducerbara byggen:

  • OpenWRT
  • FreeBSD
  • NetBSD
  • Debian
  • Tor

Vidare läsning för den som är intresserad av ämnet finns på: https://reproducible-builds.org/resources/