Logo de la unión europea.
Logo del ministerio de agricultura, pesca y alimentación
Logo del plan de recuperación, transformación y resilencia
AKIS logo
Icono contacto
Icono buscador

Projecte H2020 CYRENE: Certificació de la seguretat i resiliència dels serveis de la cadena de subministrament

  • Tipus Projecte
  • Estat Completat
  • Execució 2020 -2023
  • Pressupost assignat 4.992.750,00 €
  • Àmbit Europeo
  • Font principal de finançament H2020
  • Web del projecte Proyecto CYRENE
Descripció

La gestió de les activitats de la cadena de subministrament (CS) és cada cop més complexa. Una de les raons és la manca d'un sistema integrat perquè els responsables de seguretat i els operadors protegeixin les infraestructures crítiques interconnectades i els cibersistemes a la nova era digital. El projecte CYRENE, finançat amb fons europeus, busca millorar la seguretat, la privadesa, la resiliència, la rendició de comptes i la fiabilitat de les cadenes de subministrament mitjançant un nou i dinàmic Procés d'Avaluació de la Conformitat (PAC) que avalua la seguretat i la resiliència dels serveis de les CS.

El PAC també avalua les infraestructures de TI interconnectades que componen aquests serveis i els dispositius individuals que recolzen les operacions de les CS. Es validarà un nou enfocament col·laboratiu, multinivell i basat en l'evidència per a l'avaluació de riscos i privadesa en l'àmbit d'escenaris/condicions realistes que inclouen infraestructures de CS i usuaris finals reals.

Descripció de les activitats

CYRENE va començar recopilant requisits legals i de seguretat per als serveis de la cadena de subministrament (SCS). Els requisits de seguretat es van recopilar de les parts interessades dels SCS (tant socis del projecte com parts interessades externes mitjançant qüestionaris en línia), mentre que els requisits legals van ser recopilats pel soci legal del consorci. Els requisits es van classificar, analitzar i reportar. L'anàlisi dels requisits va conduir a l'especificació de l'esquema d'avaluació de la certificació de la conformitat i del procés d'avaluació de la conformitat, definit com a procés d'avaluació gradual, multinivell i basat en evidència entre diferents actors (auditors, avaluadors, proveïdors de serveis de la cadena de subministrament, administradors i responsables de seguretat) amb drets de control d'accés jeràrquic. A més, es van desenvolupar models ontològics per a les dependències i esdeveniments de la infraestructura, així com per als actius de maquinari i programari, les amenaces, les vulnerabilitats, les ciberdependències, els actors i les seves interaccions, i algorismes per als efectes en cascada de les amenaces, els riscos i les vulnerabilitats.

Així mateix, es va definir una arquitectura per a una plataforma que suportarà el procés davaluació de la conformitat. La culminació amb èxit dels resultats esmentats va marcar el compliment de les tres primeres fites del projecte: MS1, MS2 i MS3. Treballs posteriors es van enfocar en el disseny i implementació dels prerequisits (és a dir, actius, vulnerabilitats, serveis de la cadena de subministrament, processos de negocis en un esquema de base de dades relacional que compleix amb CVSS3.1) per facilitar el càlcul horitzontal dels riscos entre cadenes de subministrament interconnectades que involucren múltiples actors (és a dir, proveïdors de proveïdors). Serveis de rastreig automàtic van ser dissenyats i implementats per recol·lectar i extreure informació de la dark web. De manera similar, es va implementar una canonada de dades per a processament de dades, curació, emmagatzematge, gràfics i anàlisi de text. Machine Learning es va emprar per classificar el text d'acord amb la rellevància del seu contingut per a ciberatacs, activitats il·legals i esdeveniments emergents detectats en fòrums, mercats i llocs de la dark web.

La Threat Intelligence Sharing Platform es va utilitzar per unir i classificar els termes extrets de la dark web en conceptes cibernètics correlacionats amb incidents de ciberseguretat i codi maliciós. També s'han configurat les tecnologies adequades per permetre la integració amb èxit dels mòduls desenvolupats anteriorment. Aquestes inclouen un dipòsit GitLab per pujar el codi del mòdul rellevant al sistema d'integració, diverses eines d'integració com Kafka Broker, Elasticsearch i KeyCloak per a un accés segur.

A més, s'ha configurat l'entorn Redmine per al reportatge de problemes i el seguiment de les activitats del projecte. Les tasques d'integració contínua inclouen l'entorn GitLab abans esmentat per al dipòsit de codi per al procés que executa les proves i implementa el codi per a cada iteració. Finalment, s'ha distribuït una plantilla per a la recopilació d'informació que conduirà a l'esquema de proves dels mòduls individuals i del sistema integrat. A més, les activitats del paquet de treball 5 inclouen el disseny de la metodologia d'experimentació amb la creació de plantilles adequades per conduir al disseny real dels experiments que es faran al paquet de treball 6.

Objectius

CYRENE aborda el problema d'avaluar i certificar els requisits de seguretat i resiliència dels serveis de la Cadena de Subministrament (SCS). Per això, el projecte proporciona serveis, blocs de construcció i components per a un procés millorat d'Avaluació de Riscos (AR) que també pot servir com a procés d'Avaluació de Conformitat (EC) per avaluar les amenaces i vulnerabilitats de seguretat, així com per avaluar la seguretat i resiliència dels SCS i els seus objectius de seguretat.

Una innovació important del projecte és el doble ús de la Metodologia RCA, ja que pot ser utilitzada per proveïdors individuals de SCS i socis comercials per avaluar i gestionar els riscos de SCS i generar els Perfils de Protecció SCS (PP, és a dir, declaracions de seguretat), però també pot ser utilitzada per auditors externs i organismes de certificació per accedir als objectius de SCS. L'esquema de certificació de CYRENE és una extensió de l'EUCC d'ENISA. A més, el projecte desenvolupa una plataforma i un conjunt d'eines complementàries per donar suport al procés de certificació.

El procés de certificació, lesquema i el conjunt deines es validaran en dues proves realitzades en situacions reals. Els resultats de les proves sutilitzaran com a base per a la formulació dun conjunt de millors pràctiques. La importància de les cadenes de subministrament modernes és fonamental, ja que són la base de gairebé qualsevol activitat de les societats modernes. El seu funcionament correcte és fonamental, mentre que la seva disrupció sol tenir un profund impacte social, econòmic i polític. La certificació de la seguretat i resiliència dels serveis de la cadena de subministrament augmenta la confiança dels consumidors i contribueix a un Mercat Únic Digital competitiu i fiable.

Els objectius de CYRENE són:

  • Crear esquemes de certificació de seguretat i privadesa personalitzats i basats en riscos per a serveis de cadena de subministrament fiables basats en sistemes TIC.
  • Desenvolupar un nou procés dinàmic d'avaluació de riscos i de conformitat en ciberseguretat que admeti diferents tipus d'avaluació de conformitat.
  • Desenvolupar un esquema de certificació per a serveis de la cadena de subministrament.
  • Especificar serveis de models i simulació per pronosticar, detectar i prevenir dinàmicament els riscos de ciberseguretat i privadesa a la cadena de subministrament, i definir estratègies de mitigació.
  • Validar la solució CYRENE mitjançant la seva aplicació a serveis reals de la cadena de subministrament.
  • Desenvolupar millors pràctiques i millores d'estàndards per a l'avaluació i la certificació de riscos dels serveis de la cadena de subministrament.
  • Contribuir a enfortir la capacitat de la UE en matèria de ciberseguretat i abordar desafiaments futurs en matèria de ciberseguretat.
Resultats

Tot i la tremenda importància socioeconòmica de les cadenes de subministrament (SC), els agents i operadors de seguretat encara no tenen una manera fàcil i integrada de protegir les seves infraestructures crítiques (CI) i sistemes cibernètics interconnectats a la nova era digital. La visió de CYRENE és millorar la seguretat, la privadesa, la resiliència, la responsabilitat i la confiança dels SC a través de la provisió d'un Procés d'Avaluació de la Conformitat (CAP) nou i dinàmic que avalua la seguretat i la resiliència dels serveis de la cadena de subministrament, les infraestructures de TI interconnectades que componen SC.

Per tal de complir els seus objectius, el CAP proposat es basa en un enfocament col·laboratiu d'avaluació de riscos i privadesa basat en evidència de múltiples nivells que recolza, en diferents nivells, els oficials i operadors de seguretat dels SC per reconèixer, identificar, modelar i analitzar dinàmicament amenaces i vulnerabilitats persistents avançades, així com per manejar les riscos diaris i les dades. CYRENE es validarà a l'àmbit d'escenaris/condicions realistes que comprenguin infraestructures de la cadena de subministrament i usuaris finals de la vida real. A més, el projecte garantirà la participació activa d'un gran nombre de parts interessades externes com a mitjà per desenvolupar un ecosistema més ampli al voltant dels resultats del projecte, la qual cosa asseurà les bases per a l'adopció a gran escala de CYRENE i el seu impacte global.

Informació addicional

Els resultats següents del projecte han fet progressar l'Estat de l'Art: L'Esquema d'Avaluació de Conformitat/Certificació: L'esquema proposat estén l'EUCC (Esquema de Certificació de Ciberseguretat) d'ENISA i se centra en serveis complexos interconnectats de la cadena de subministrament, que es visualitzen en tres capes d'abstracció, és a dir, processos de negoci, infraestructures.

L'ecosistema altament divers resultant d'actors, processos i tecnologies de suport és un Objectiu d'Avaluació per al qual s'expressen requisits de conformitat per assegurar-ne la seguretat i la resiliència. El Procés d'Avaluació de Risc i Conformitat (RCA) i l'Avaluació de Risc de la Cadena de Subministrament Basada en Evidència Multinivell: La metodologia ha especificat els passos d'un procés de RCA i les funcions, les fórmules i els càlculs que es requereixen per realitzar una avaluació col·laborativa de riscos de SC en diferents organitzacions i rols. Els passos inclouen les parts interessades involucrades en el procés col·laboratiu, els rols i les autoritzacions de cada part interessada i els fluxos de treball de col·laboració associats amb els processos d'avaluació i simulació.

El procés té una doble utilitat: pot ser utilitzat per les parts interessades de SCS per avaluar-ne la part de la cadena de subministrament i formular declaracions de seguretat, però també pot ser utilitzat per avaluadors externs i organismes de certificació per certificar declaracions de seguretat expressades. L'Ontologia CYRENE per a Dependències i Esdeveniments d'Infraestructura: modela les relacions entre els actius de SC i les ciberdependències quan participen als processos de negoci. Els processos de negoci componen els serveis de la cadena de subministrament on organitzacions i persones amb diversos rols participen amb diferents drets d'accés jeràrquics.

Coordinadors
  • MAGGIOLI SPA (MAGGIOLI)

Projectes relacionats

Projecte H2020 SIMBA: Innovació sostenible d'aplicacions de microbiomes al sistema alimentari.
Llegeix més
Projecte H2020 SUSFOOD2: Cofundador ERA-Net sobre producció i consum d'aliments sostenibles (SUSFOOD2)
Llegeix més
Projecte H2020 ADAPT: Desenvolupament accelerat de patata tolerant a l'estrès múltiple
Llegeix més
Projecte H2020 agroBRIDGES: Construir ponts entre consumidors i productors recolzant cadenes curtes de subministrament d'aliments mitjançant un enfocament sistèmic, holístic i multiactor.
Llegeix més