Разведка и органы национальной безопасности предупреждают об угрозах в цепи поставок США

В четверг разведывательное сообщество выступило с «призывом к действию», чтобы усилить цепочки поставок в США против угроз, исходящих от иностранных противников, которые, по словам официальных лиц, представляют собой «уникальные угрозы контрразведки и безопасности».

Национальный центр контрразведки и безопасности (NCSC) при Управлении директора национальной разведки, а также Агентство кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности, Федеральная комиссия по связи (FCC) и Центр развития передового опыта Министерства обороны сотрудничают в целях «повышения осведомленности» об угрозах американским цепочкам поставок и обмена информацией о снижении рисков с общественностью.

«Если пандемия COVID-19 и связанная с ней нехватка продукции не были достаточным сигналом тревоги, недавние атаки на цепочку поставок программного обеспечения должны послужить убедительным призывом к действию», — сказал исполняющий обязанности директора NCSC Майкл Орландо. «Мы должны повысить устойчивость, разнообразие и безопасность наших цепочек поставок».

Он добавил: «От этого зависит жизнеспособность нашей нации».

Агентства также сотрудничают с Национальной ассоциацией государственных служащих по закупкам и Национальной ассоциацией округов в проведении того, что NCSC называет «4-м ежегодным Национальным месяцем целостности цепочки поставок».

Разведывательное сообщество заявило, что на цепочки поставок в США влияет ряд факторов, в том числе нехватка производства, сбои в торговле и стихийные бедствия, но предупредило, что «действия иностранных противников по использованию уязвимостей в цепочках поставок США создают уникальные угрозы для контрразведки и безопасности».

В NCSC заявили, что иностранные злоумышленники все чаще используют компании и надежных поставщиков в качестве «векторов атаки» против США для шпионажа, кражи информации и саботажа. Официальные лица предупредили, что эти действия ставят под угрозу продукты и услуги, которые «поддерживают правительство и промышленность Америки», и предупредили о последствиях — «утрате интеллектуальной собственности, рабочих мест, экономических преимуществ и уменьшении военной мощи».

NCSC объяснила, что недавняя компрометация SolarWinds привлекла большее внимание общественности к атакам на цепочки поставок программного обеспечения, но отметила, что это только последний пример из ряда атак за последние несколько лет.

В феврале, по данным NCSC, США выдвинули обвинения против северокорейских военных хакеров в киберпреступлениях, которые создавали криптовалютные схемы, поддерживаемые атаками на цепочки поставок программного обеспечения.

В октябре прошлого года шести сотрудникам российской военной разведки были предъявлены обвинения в нескольких киберпреступлениях, включая атаку на цепочку поставок программного обеспечения NotPetya в 2017 году, которая «нанесла ущерб банкам, коммерции, коммунальным предприятиям и логистике во всем мире».

А в сентябре прошлого года NCSC заявила, что США выдвинули обвинения против китайских хакеров за нацеливание на более 100 компаний по всему миру, включая поставщиков программного обеспечения. В NCSC заявили, что хакеры модифицировали программный код провайдеров для «дальнейших кибер-вторжений» против клиентов по всему миру с целью кражи данных и бизнес-информации.

NCSC заявила на этой неделе, что атаки на цепочку поставок программного обеспечения «особенно коварны», потому что они «подрывают базовое доверие между потребителями и поставщиками программного обеспечения», и предупредила, что клиенты должны «опасаться» даже основных киберзадач, заявив, что «авторизованные ресурсы могут быть скомпрометированы».

Что касается устранения угроз, NCSC заявила, что организации и компании должны работать над диверсификацией своих цепочек поставок, укрепляя партнерские отношения с правительством и промышленностью в отношении информации об угрозах, но признала, что «не существует единого надежного решения для иммунизации Америки от угроз цепочки поставок».

NCSC заявила, что для американских компаний критически важно общаться в рамках своей организации и создавать программы обучения, а также выявлять критические системы, сети и определять способы смягчения и минимизации любых попыток сбоя или атаки.

Усилия разведывательного сообщества по информированию об угрозах цепочки поставок были предприняты после того, как в феврале президент Байден подписал указ о проведении 100-дневного обзора цепочек поставок в четырех областях — компьютерные чипы, аккумуляторы большой емкости, фармацевтические препараты, важные минералы и редкоземельные элементы.

Согласно приказу, в течение одного года будут завершены шесть отраслевых обзоров, посвященных вопросам обороны, общественного здравоохранения и биологической готовности, информационных и коммуникационных технологий, транспорта, энергетики и производства продуктов питания.

Представители разведки и национальной безопасности, а также законодатели по обе стороны прохода предупредили, что Китай представляет угрозу для цепочки поставок США, но в указе не упоминается Китай, а вместо этого делается акцент на других уязвимостях.

«Мы не выделяем какую-либо страну», — сказал тогда один высокопоставленный чиновник администрации. «Мы выделяем усилия по созданию сильных и устойчивых цепочек поставок по ряду важнейших продуктов и секторов, и эти уязвимости — возможность экологической катастрофы».

Чиновник добавил, что они «намерены изучить этот обзор и устранить ряд различных уязвимостей», в частности, там, где США «чрезмерно зависят от стран-конкурентов», включая Китай.

Источник: https://www.foxnews.com/politics/intelligence-national-security-agencies-us-supply-chain-threats