Aufdecken des Software Supply Chain-Problems.

Der gebrechliche Zustand unserer physischen Lieferketten wurde vor die Augen der Welt gelegt, eine Offenbarung, die mit der COVID-19-Epidemie begann, aber nach weiteren Enthüllungsereignissen zügig weiterging. Die meisten Amerikaner erkannten es, als sie zum Toilettenpapiergang gingen und feststellten, dass sie im Badezimmer kreativ werden mussten. Die Panik trat kurz danach auf.

Die Kostenreduzierung und Effizienz für die Hersteller und Hersteller führen zu niedrigeren Kosten für die Verbraucher, ein Grund, warum viele von ihnen die Praxis nicht in Frage gestellt haben.

Seit Jahren hat sich unser völliges Vertrauen in ein System von Just-in-Time-Lieferketten bewährt, in denen Waren unmittelbar vor ihrem Bedarf geliefert werden und überschüssige Lagerbestände auf ein Minimum reduziert werden, um Kosten zu senken und die Effizienz zu steigern. Das Herstellungsverfahren wurde ursprünglich in den 1970er Jahren von Toyota entwickelt, um ihnen beim Bau von Autos zu helfen. Das System funktionierte jedoch so gut, dass es heute in Unternehmen auf der ganzen Welt in allen Größen eingesetzt wird, unabhängig von den von ihnen hergestellten Waren. Die Kostenreduzierung und Effizienz für die Hersteller und Hersteller führen zu niedrigeren Kosten für die Verbraucher, ein Grund, warum viele von ihnen die Praxis nicht in Frage gestellt haben.

Der fatale Fehler in diesem globalen Netzwerk der Abhängigkeit besteht natürlich darin, dass Menschen, wenn diese Lieferketten bis zu einem Punkt unterbrochen werden, an dem sie keine Waren mehr auf ihrer lebenswichtigen, hauchdünnen Zeitachse liefern können – beispielsweise während einer globalen Katastrophe in einem Jahrhundert werden nicht in der Lage sein, das zu bekommen, was sie brauchen, wenn sie es brauchen. Wenn die Verwundbarkeit nicht offensichtlich genug war, wurde am 23. März ein 400 Meter langes Containerschiff zwischen den beiden benachbarten Ufern des Suezkanals eingeklemmt, was das Problem für alle sichtbar machte, da 12% des Welthandels durchlaufen Die winzige Wasserstraße wurde jetzt abrupt gestoppt. Die Blockierung des Kanals durch das Evergreen-Schiff soll vierhundert Millionen Dollar pro Stunde gekostet haben, ein Betrag, den sicherlich unzählige Organisationen spüren werden, die die Kosten an die Verbraucher weitergeben werden. Unglücklicherweise für Just-in-Time waren die Auswirkungen nicht nur monetär, da der Fehler in seinem System allmählich offensichtlich wurde. Verbraucher und Hersteller hatten sich mit ihren Lieferketten zu wohl gefühlt, was dazu führte, dass sie unsicher und kostspielig wurden, wenn sie ignoriert wurden.

Rechenzentrum.

Fragen der nationalen Sicherheit

Die Auswirkungen dieser Unterbrechungen der Lieferkette beginnen, mehr als nur unsere Handelswaren in erheblichem Maße zu belasten. Sie wirken sich auf die nationale Sicherheit der Vereinigten Staaten aus. Betrachten Sie den Fall von Halbleitern, bei deren Herstellung die USA stark auf Taiwan angewiesen sind. Die strategisch unschätzbaren Chips werden in einer Vielzahl von Technologien eingesetzt, sowohl in Konsumgütern als auch in militärischen Waffensystemen. Das taiwanesische Angebot wird verwendet, um 90% des Halbleiterbedarfs von US-Technologieunternehmen zu decken, und ist für Washington so wichtig, dass es nun versucht, strategische Allianzen mit anderen Nationen aufzubauen und Milliarden von Dollar für den Beginn der Fertigung zu Hause aufzuwenden. Stellen Sie sich also vor, China würde in Taiwan einmarschieren und die vorhandenen Produktionskapazitäten für Chips auf der Insel nutzen.

Die Undurchsichtigkeit ihrer Komplexität gibt den Begünstigten die Entschuldigung, über ihr Innenleben völlig unwissend zu sein.

Die Komplikationen dieser globalen physischen Lieferketten sind jetzt offensichtlich, aber das Problem endet nicht in der Fertigungsindustrie. Die Software-Lieferkette, die Verbraucher und Entwickler jeden Tag ohne viel Nachdenken nutzen, ähnelt den traditionellen Lieferketten. außer es handelt sich nicht um taktile Güter. Stattdessen konzentriert es sich darauf, Code bereitzustellen und sicherzustellen, dass er korrekt ist und ordnungsgemäß in Anwendungen und Systeme integriert wird. Entwickler können fantastische Produkte produzieren und Verbraucher können nahtlose Produktivität genießen. Diese neue ätherische Art der Lieferkette wurde in letzter Zeit aufgrund des jüngsten Cyberangriffs russischer Akteure unter die Lupe genommen.

Lesen Sie auch  Heißluftfritteusen und Gartenmöbel: Was am Donnerstag, 5. Mai, in den Mittelgängen von Aldi und Lidl zu sehen ist

Der Angriff auf die Lieferkette, der irgendwann im vergangenen Frühjahr begann, obwohl er im folgenden Winter auf dem Radar der Menschen landete, hat auch heute noch Auswirkungen, da Unternehmen und Regierungen ihre Netzwerke nach Spuren von Eindringlingen absuchen. Der Vorfall beinhaltete ein unauffälliges Update der Infrastrukturüberwachungssoftware von SolarWinds, einem Unternehmen für IT-Managementlösungen. Unbekannt für die Besitzer der Software enthielt das Update Malware, die es den Bedrohungsakteuren, die sie dort platziert hatten, ermöglichte, Spionage und Datendiebstahl in den Netzwerken sowohl privater Unternehmen als auch Regierungsorganisationen durchzuführen, die sie heruntergeladen hatten.

Der Angriff wurde von den Medien ausführlich behandelt und gab der Biden-Regierung den Anstoß, 30 russische Einzelpersonen und sechs Technologiefirmen mit Vergeltungsmaßnahmen zu bestrafen und zehn Mitglieder der russischen diplomatischen Mission auszuschließen. Zweifellos haben viele Leute es in den Nachrichten gesehen oder online darüber gelesen, ohne eine Ahnung zu haben, wer SolarWinds ist oder welche Infrastrukturüberwachungssoftware für ein Unternehmen funktioniert. Trotz weit verbreiteter Unwissenheit über das Thema war der Punkt der Sache klar. Ein feindlicher ausländischer Schauspieler hatte sich in Software gehackt, die von Tausenden privater und öffentlicher Organisationen verwendet wurde, und Malware eingesetzt, die die Netzwerke gefährden und eine zukünftige Nutzung ermöglichen würde.

Der SolarWinds-Hack war so wirkungsvoll, dass er in einem kürzlich veröffentlichten jährlichen Bericht über die Bedrohungsbewertung durch das Büro des Direktors des Nationalen Geheimdienstes erwähnt werden musste. Bevor der russische Angriff explizit ausgerufen wird, fasst er das Problem folgendermaßen zusammen: „Während des letzten Jahrzehnts haben staatlich geförderte Hacker die Lieferketten von Software und IT-Diensten kompromittiert und ihnen bei der Durchführung von Operationen geholfen – Spionage, Sabotage und potenzielle Präpositionierung für die Kriegsführung.“

Lesen Sie auch  Gloria Allred kritisiert Bill Cosbys Argument in der Playboy-Villa-Klage als schädlich: Es ist ein „wichtiges Thema“

Die Probleme, die mit diesen Lieferketten verbunden sind, sind auf die Funktion zurückzuführen, die sie so erfolgreich macht. Die Undurchsichtigkeit ihrer Komplexität gibt den Begünstigten die Entschuldigung, über ihr Innenleben völlig unwissend zu sein. Es ermöglicht Kunden, Waren schnell und effizient zu erhalten, ohne dass sie neugierig werden müssen, wie die Ereigniskette ablief. Der Schock der Käufer, wenn sie mit leeren Regalen konfrontiert werden, ist ein Beispiel für diese Blindheit.

Eine ähnliche Blindheit tritt in der Welt der Software auf, da niemand wirklich das Innenleben eines Systems versteht. Benutzer sind ständig auf Anwendungen angewiesen, die auf Hunderten verschiedener Softwarepakete oder Abhängigkeiten basieren, um ordnungsgemäß ausgeführt zu werden. Selbst die Entwickler der Anwendungen würden es schwer haben, die Komplexität aller Abhängigkeiten zu erklären, auf die sie sich verlassen. Dieser scheinbar unschuldige Mangel an Klarheit kann zu einer katastrophalen Situation führen – wie aus der Verletzung von SolarWinds hervorgeht.

Die Bedrohung durch solche Verstöße ist nicht auffällig. Der Bedrohungsakteur vergiftet nicht die Wasserversorgung oder schaltet das Stromnetz ab. Deshalb ist es unerlässlich, dass die Menschen die wahre Gefahr erkennen, die von verdeckten Informationsbeschaffungs- und Spionagekampagnen ausländischer Akteure ausgeht. Daten und Informationen sind der Schlüssel, um sowohl kalte als auch heiße Kriege zu führen. Wenn Russland oder China in die Netzwerke unserer Regierungsbehörden oder Technologieunternehmen gelangen und wichtige Informationen zur Kriegsführung oder wertvolles geistiges Eigentum sammeln können, können sie ihre Fähigkeit verbessern, die Vereinigten Staaten in Zukunft zu untergraben. Die Software-Lieferkette ist ein unsicherer Weg, den unsere Gegner kompromittieren konnten, und aus Gründen der nationalen Sicherheit muss er angegangen werden.

Leiterplatte.

Leiterplatte.

VERTRAUEN IM SYSTEM AUFBAUEN

Die richtige Lösung für diese neue Bedrohung – die der unsicheren und schwachen Lieferketten – ist nicht die völlige Unabhängigkeit, aber auch die Strategie des blinden Vertrauens in externe Parteien kann sich der Kontrolle nicht entziehen. Es wäre für ein modernes Land unmöglich, sich auf seine eigene Wirtschaft zu verlassen, um alles zu produzieren, was sie brauchten. Ebenso können moderne IT-Infrastrukturen nicht allein von ihrer Organisation entwickelt und gewartet werden. Die Welt ist jetzt komplex und erfordert ähnlich komplexe Antworten.

Unternehmen, insbesondere in den USA ansässige Unternehmen, müssen sich eingehend mit der Integration von Systemen und Software in ihre eigenen Abläufe befassen.

Es muss einen Paradigmenwechsel in der Sichtweise der Verbraucher auf ihre Produkte geben. Der Wunsch, alles billiger und schneller zu machen, hat zu der unwissenden Annahme geführt, dass das globale Netzwerk, das diese Vorteile bietet, fehlerfrei ist. Vielleicht wären die Menschen bereit, höhere Preise zu tolerieren, wenn dies bedeuten würde, dass die Verfügbarkeit und Sicherheit der Waren gewährleistet wäre.

Lesen Sie auch  Nesathurai: Die Maskenpflicht sollte an die Schulen in Windsor-Essex zurückkehren

Ebenso müssen Hersteller dieser Produkte berücksichtigen, dass diese Arbeitsweise nicht nachhaltig ist. Es gibt akzeptierte Risiken, die mit der Verwendung von Just-in-Time-Lieferketten und der Abhängigkeit von Systemen und Software von Drittanbietern verbunden sind. Das Problem ist nun, dass diese Risiken und ihre Kosten möglicherweise unwissentlich genehmigt wurden.

Unternehmen, insbesondere in den USA ansässige Unternehmen, müssen sich eingehend mit der Integration von Systemen und Software in ihre eigenen Abläufe befassen. Strengere Risikobewertungen von Drittanbietern, Sicherheitstools zum Schutz von Anwendungen zur Laufzeit und die Verbesserung der in Softwareupdates integrierten Mechanismen zur Vertrauensüberprüfung sind nur einige der möglichen Abhilfemaßnahmen. Es gibt auch die zunehmend beliebte Sicherheitsarchitektur, die als Zero-Trust bezeichnet wird. In diesem System wird keiner Person, keinem Gerät oder Dienst als nicht böswillig vertraut, was dazu führt, dass für Aktionen und Zugriffsanforderungen, die innerhalb eines Systems gestellt werden, Bedingungen und Kontrollen festgelegt werden.

Vorbei sind die Zeiten einfacher Lieferketten, die sich auf den guten Willen und den Mangel an Fehlern der anderen beteiligten Unternehmen stützten. Es ist mittlerweile weltweit klar, dass die Auswirkungen umso stärker und verheerender werden, je länger dieses Problem ignoriert wird. Die Bewertung des Vertrauens in diese komplexen Systeme ist erforderlich, um ein weiteres leeres Regal, einen verstopften Kanal oder ein Update bösartiger Software zu vermeiden.

Geschrieben von:

Caleb Larson

Caleb Larson ist ein Informationssicherheitsingenieur in der Finanzdienstleistungsbranche und Mitglied von InfraGard, einer Partnerschaft zwischen dem FBI und privaten Organisationen für kritische Infrastrukturen in den USA.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.