Funkcjonowanie w skali globalnej dostawców usług, przedsiębiorstw i różnego typu placówek rządowych w coraz większym stopniu jest uzależnione od niezakłóconej pracy złożonych sieci komputerowych i telekomunikacyjnych. Ważna jest nie tylko jakość i wydajność używanych rozwiązań. Nieodzowne jest też zaufanie do dostawcy sprzętu, oprogramowania lub usług, czyli przekonanie o etyczności jego działań, dochowaniu należytej rzetelności w tworzeniu produktów i świadczonym później wsparciu.

Zaufanie ma ogromne znacznie w kontekście istniejących w cyberprzestrzeni zagrożeń. Z uwagi na fakt, że cyberprzestępcy stają się coraz bardziej agresywni i pozbawieni skrupułów, przedsiębiorstwa muszą współpracować z godnym zaufania dostawcą rozwiązań IT, który ułatwi ochronę ich zasobów.

Cechy, którymi powinny charakteryzować się godne zaufania systemy IT

  • Deklaracja dostawców produktów i usług, że są zaprojektowane, wyprodukowane, sprzedawane i serwisowane zgodnie z dokumentacją.
  • Podjęcie przez producentów odpowiednich kroków w celu zabezpieczenia tworzonych rozwiązań przed podrabianiem, wpływaniem na sposób ich funkcjonowania lub instalowaniem nieautoryzowanych funkcji, np. backdoor.
  • Wbudowane i głęboko zintegrowane funkcje gwarantujące bezpieczeństwo, a nie dodawane jako nakładki na „etycznie neutralne” sprzęt i oprogramowanie (pozbawione wielu funkcji ochronnych, pozostawiające decyzję o sposobie ich wykorzystywania i zabezpieczania użytkownikom). Wśród mechanizmów ochronnych powinny być: zaszyfrowana komunikacja wewnętrzna, kontrola dostępu do zasobów w chronionych rozwiązaniach i sposobu ich użytkowania, a także weryfikacja zarządzania regułami polityki bezpieczeństwa.
  • Gotowość producentów rozwiązań i dostawców usług do nieustannego rozwijania ich funkcji oraz wprowadzania nowych metod ochronnych w reakcji na zmieniające się potrzeby klientów oraz pojawianie się nowych rodzajów zagrożeń.
  • Transparentność procesów tworzenia oraz utrzymywania sprzętu i oprogramowania przez dostawcę; dane dostępne publicznie w jednym miejscu, bez konieczności logowania się.
  • Utrzymywanie przez dostawcę własnego, publicznie dostępnego zespołu bezpieczeństwa odpowiedzialnego za pełne portfolio produktowe, który reaguje na zgłoszenia i współpracuje z innymi firmami na rynku, aby wykrywać i eliminować podatności, które pojawiły się w produkcie po premierze.
 

Jak Cisco dba o reputację?

Producent od wielu lat stosuje najlepsze praktyki branżowe, aby zapewnić pełną integralność cyklu rozwoju swoich produktów oraz ich całkowite bezpieczeństwo. Cisco wdrożyło szeroki zestaw powiązanych ze sobą praktyk, procedur i sposobów kontroli, aby wprowadzić techniczne i logiczne zabezpieczenia na każdym etapie łańcucha dostaw swoich produktów. Działania te odbywają się w trzech podstawowych obszarach: innowacyjność w zakresie bezpieczeństwa, ochrona w warstwie technicznej oraz weryfikacja funkcjonowania rozwiązań w celu wykrywania ewentualnych anomalii (bezpieczeństwo logiczne).

Już na etapie produkcji zadbano m.in. o to, aby wszystkie procesy były powtarzalne i ściśle określone, co znacznie zmniejsza ryzyko wystąpienia anomalii, które mogą wpłynąć na bezpieczeństwo użytkowania produktów. Stosowane są w nich bardzo silne, skalowalne algorytmy kryptograficzne, które dzięki szyfrowaniu gwarantują bezpieczeństwo przetwarzanych i przesyłanych informacji. Wprowadzono też mechanizmy, które zapewniają weryfikację autentyczności wykorzystywanego przez klienta sprzętu i oprogramowania. Wszystkie produkty są poddawane odpowiednim procesom certyfikacji, jeżeli tylko jest to wymagane przez prawo w poszczególnych krajach. W tym zakresie przedstawiciele Cisco ściśle współpracują z organami rządowymi i normalizacyjnymi w każdym państwie, dzięki czemu zdejmują ten obowiązek z klientów.

Świat nie jest jednak idealny. Aby zapewnić likwidację zgłaszanych luk i transparentnie dokumentować je w rejestrze, Cisco utrzymuje zespół Product Security Incident Response Team, odpowiedzialny za reagowanie na każde zgłoszenie o potencjalnej luce w oprogramowaniu lub sprzęcie producenta. Grupa ta aktywnie współpracuje z różnymi organizacjami, aby być w stanie reagować szybciej na nowe zdarzenia.

 

Dodatkowe informacje:

Łukasz Bromirski, dyrektor techniczny, Cisco Systems, lukasz.bromirski@cisco.com