Supply Chain Security eller Supply Chain Risk Management blir stadig oftere nevnt. Det males noen temmelig sorte bilder, der utenlandske myndigheter planter avlytningsenheter eller "kill-switches" i nettverkskomponenter og annet IKT-utstyr som vi handler hos dem. Dette ser vi spesielt i USA, der Kinesiske Huawei og ZTE jevnlig anklages for å muligens ha slike bakdører. Jeg skriver muligens, for meg bekjent har det ikke vært påvist at utstyr fra de produsentene har slike bakdører.
Hvor mye av dette er basert på reelle risiki, og hvor mye er nasjonal industripolitikk?
Når myndighetene, spesielt Forsvaret, gikk for å bruke COTS var dette begrunnet i at det ville spare utviklingskostnader, og det vil gi rask tilgang til ny teknologi. Den teknologiske utviklingstakten har økt dramatisk, så det gir god mening i en strategi der en tar del i andres utvikling, fremfor å skulle utvikle alt selv, eller i allianser med andre (f.eks. NATO). Sikkerhetsutfordringene ved en slik strategi har vært kjent hele tiden, og etterhvert fikk man Common Criteria standarden for sertifisering av IKT-utstyr. CC har vært anvendt de siste 10 årene, og det har vært stilt krav om CC sertifisering, (EAL seritifisering) for utstyr som skal brukes i Forsvarets systemer. I praksis har dette medført at en gitt produsent sender et lite antall modeller til sertifisering, trolig fordi det er ganske kostbart. (Kostnadene blir jo i noen grad sendt til kundene, men likevel). I tillegg er en sertifiseringspriosess ganske omfattende, så det går også mye tid før et gitt produkt får sin sertifisering.
Resultatet? Utstyret som er tillatt brukt er eldre, har dårligere funksjonalitet enn de siste produktene som slippes på markedet, og vil etterhvert nå sitt End-of-life tidspunkt og dermed ikke lenger være tilgjengelig for kjøp. Men vent litt. Var ikke poenget med COTS strategien at vi skulle høste av den teknologiske utviklingen? Når vi bruker CC på denne måten, frasier vi oss muligheten til å bruke ny teknologi for å oppnå økt effekt av vår IKT. Dette kan umulig være riktig?
Og det er det heller ikke. Derfor har blant annet NATO gått mer og mer bort fra å kreve EAL-sertifisering av utstyret, men utsteder heller Protection Profiles som er mer generelle, og mer rettet mot produsenten enn mot utstyret.
Måten vi bruker CC på har altså tatt et steg "tilbake" i forhold til den detaljerte kontrollen av utstyret man hadde lagt opp til. Det passer dårlig for de som er forkjempere for en slik tankegang.
Velkommen Supply Chain Risk Management. Vi ser de samme argumentene og løsningene som før. Trusselen males opp, standarder etableres og fokuset rettes mot utstyret.
... bare for å nevne noen.
Vi trenger forsåvidt ikke dra så langt for å høre de samme tankene. Vår egen Nasjonal Sikkerhetsmyndighet har uttrykt at Supply Chain Security har fokus, og at dette er noe de ønsker å lage retningslinjer for. Det kan i så fall bety at vi igjen skal gå i en retning av sertifisering av utstyr, med alle de ulemper det medfører. Om så skjer, betyr det at alle som er underlagt dette sikkerhetsregimet, igjen blir låst til utdatert og mer kostbart IKT utstyr. Dette er ganske dramatisk, ettersom vi heller burde omfavne ny teknologi.
Er trusselen fra utenlandske myndigheter overdrevet? Er avlytting og kill-switcher bare fantasi?
Helt sikkert ikke, men om vi lar denne potensielle trusselen gjøre slik at vi fratar oss selv muligheten til å opnå økt effektivitet og produktivitet... Ja da går jo vinningen opp i spinningen.
Ønskedrømmen om en sikker supply chain bør gis opp, og i stedet finne måter å oppdage og håndtere reell risiko. Stikkprøver er en mulighet, Cyber Defence team kan spille en rolle når det handler om å oppdage ondsinnet funksjonalitet i nettverksutstyr. Men bland for all del ikke industripolitikk inn i dette.
(Caveat: Jeg snakker her kun om infosec-delen av Supply Chain Risk Management)
Ingen kommentarer:
Legg inn en kommentar