Logo de la unión europea.
Logo del ministerio de agricultura, pesca y alimentación
Logo del plan de recuperación, transformación y resilencia
AKIS logo
Icono contacto
Icono buscador

Proxecto H2020 CYRENE: Certificación da seguridade e resiliencia dos servizos da cadea de subministración

  • Tipo Proxecto
  • Estado Cheo
  • Execución 2020 -2023
  • Orzamento asignado 4.992.750,00 €
  • Ámbito Europeo
  • Fonte principal de financiamento H2020
  • Páxina web do proxecto Proyecto CYRENE
Descrición

A xestión das actividades da cadea de subministración (SC) é cada vez máis complexa. Un dos motivos é a falta dun sistema integrado para que os axentes e operadores de seguridade protexan a súa infraestrutura crítica interconectada e os seus sistemas cibernéticos na nova era dixital. O proxecto CYRENE, financiado pola UE, busca mellorar a seguridade, a privacidade, a resiliencia, a rendición de contas e a fiabilidade das cadeas de subministración mediante un proceso de avaliación da conformidade (CAP) novedoso e dinámico que avalía a seguridade e a resistencia dos servizos da cadea de subministración.

O PAC tamén avalía as infraestruturas informáticas interconectadas que comprenden estes servizos e os dispositivos individuais que admiten as operacións de CS. Validarase un novo enfoque colaborativo, multinivel e baseado en evidencias para a avaliación da privacidade e do risco, en escenarios/condicións realistas que impliquen infraestruturas de CS e usuarios finais do mundo real.

Descrición das actividades

CYRENE comezou reunindo requisitos legais e de seguridade para os servizos da cadea de subministración (SCS). Os requisitos de seguridade foron recollidos das partes interesadas de SCS (tanto socios do proxecto como partes interesadas externas mediante cuestionarios en liña), mentres que os requisitos legais foron recollidos polo socio legal do consorcio. Clasificáronse, analizáronse e comunicáronse os requisitos. A análise dos requisitos levou á especificación do esquema de avaliación da certificación da conformidade e do proceso de avaliación da conformidade, definido como un proceso de avaliación gradual, multinivel e baseado en evidencias entre diferentes actores (auditores, avaliadores, provedores de servizos da cadea de subministración, administradores e axentes de seguridade) con dereitos de control de acceso xerárquicos. Ademais, desenvolvéronse modelos ontolóxicos para dependencias e eventos de infraestrutura, así como para activos de hardware e software, ameazas, vulnerabilidades, ciberdependencias, actores e as súas interaccións, e algoritmos para os efectos en cascada de ameazas, riscos e vulnerabilidades.

Ademais, definiuse unha arquitectura para unha plataforma que soportará o proceso de avaliación da conformidade. A realización exitosa dos citados resultados marcou o cumprimento dos tres primeiros fitos do proxecto: MS1, MS2 e MS3. Os traballos posteriores centráronse no deseño e implementación de requisitos previos (é dicir, activos, vulnerabilidades, servizos da cadea de subministración, procesos comerciais nun esquema de base de datos relacional compatible con CVSS3.1) para facilitar o cálculo horizontal do risco en cadeas de subministración interconectadas que implican múltiples actores (por exemplo, provedores da cadea de subministración, auditores e avaliadores). Deseñaron e implementáronse servizos de rastrexo automático para recoller e extraer información da web escura. Do mesmo xeito, implementouse unha canalización de datos para o procesamento de datos, a conservación, o almacenamento, os gráficos e a análise de textos. Utilizouse a aprendizaxe automática para clasificar o texto en función da súa relevancia para ciberataques, actividades ilegais e eventos emerxentes detectados en foros, mercados e sitios web escuros.

A Threat Intelligence Sharing Platform utilizouse para combinar e clasificar os termos extraídos da web escura en conceptos cibernéticos relacionados con incidentes de ciberseguridade e malware. Tamén se configuraron tecnoloxías adecuadas para permitir a integración exitosa de módulos desenvolvidos previamente. Estes inclúen un repositorio de GitLab para cargar código de módulo relevante ao sistema de integración e varias ferramentas de integración como Kafka Broker, Elasticsearch e KeyCloak para un acceso seguro.

Ademais, o ambiente de Redmine configurouse para informar de problemas e facer un seguimento das actividades do proxecto. As tarefas de integración continua inclúen o entorno GitLab mencionado anteriormente para o repositorio de código para o proceso que executa probas e desprega código para cada iteración. Finalmente, distribuíuse un modelo para a recollida de información que conducirá ao esquema de probas para módulos individuais así como ao sistema integrado. Ademais, as actividades do Paquete de Traballo 5 inclúen o deseño da metodoloxía de experimentación coa creación de modelos axeitados para levar ao deseño real dos experimentos a realizar no Paquete de Traballo 6.

Obxectivos

CYRENE aborda o problema de avaliar e certificar os requisitos de seguridade e resiliencia dos servizos da cadea de subministración (SCS). Para iso, o proxecto ofrece servizos, bloques de construción e compoñentes para un proceso mellorado de Avaliación de Riscos (RA) que tamén pode servir como proceso de Avaliación de Conformidade (CA) para avaliar as ameazas e vulnerabilidades de seguridade, así como para avaliar a seguridade e a resistencia dos SCS e os seus obxectivos de seguridade.

Unha innovación importante do proxecto é o dobre uso da Metodoloxía RCA, xa que pode ser usada por provedores e socios comerciais individuais de SCS para avaliar e xestionar os riscos de SCS e xerar Perfís de Protección SCS (PP, é dicir, declaracións de seguridade), pero tamén pode ser usada por auditores externos e organismos de certificación para acceder aos obxectivos de ciberseguridade, requisitos e declaracións de SCS PP. O esquema de certificación CYRENE é unha extensión do EUCC de ENISA. Ademais, o proxecto desenvolve unha plataforma e un conxunto de ferramentas complementarias para apoiar o proceso de certificación.

O proceso de certificación, o marco e o conxunto de ferramentas validaranse en dúas probas no mundo real. Os resultados das probas utilizaranse como base para formular un conxunto de mellores prácticas. A importancia das cadeas de subministración modernas é fundamental, xa que son a base de case todas as actividades das sociedades modernas. O seu bo funcionamento é esencial, mentres que a súa interrupción adoita ter un profundo impacto social, económico e político. A certificación da seguridade e a resistencia dos servizos da cadea de subministración aumenta a confianza dos consumidores e contribúe a un mercado único dixital competitivo e fiable.

Os obxectivos de CYRENE son:

  • Crea esquemas de certificación de seguridade e privacidade personalizados e baseados en riscos para servizos de cadea de subministración de confianza baseados nas TIC.
  • Desenvolver un novo e dinámico proceso de avaliación de riscos e cumprimento de ciberseguridade que admita diferentes tipos de avaliacións de cumprimento.
  • Desenvolver un esquema de certificación para os servizos da cadea de subministración.
  • Especificar servizos de modelado e simulación para prever, detectar e previr de forma dinámica os riscos de ciberseguridade e privacidade na cadea de subministración, e definir estratexias de mitigación.
  • Valide a solución CYRENE aplicándoa aos servizos da cadea de subministración do mundo real.
  • Desenvolver mellores prácticas e estándares mellorados para a avaliación de riscos e a certificación dos servizos da cadea de subministración.
  • Contribuír a reforzar a capacidade de ciberseguridade da UE e abordar os futuros retos da ciberseguridade.
Resultados

A pesar da enorme importancia socioeconómica das cadeas de subministración (SC), os axentes e operadores de seguridade aínda carecen dun xeito sinxelo e integrado de protexer as súas infraestruturas críticas (CI) e os sistemas cibernéticos interconectados na nova era dixital. A visión de CYRENE é mellorar a seguridade, a privacidade, a resiliencia, a rendición de contas e a fiabilidade dos servizos da cadea de subministración mediante a prestación dun proceso de avaliación da conformidade (CAP) novo e dinámico que avalía a seguridade e a resistencia dos servizos da cadea de subministración, as infraestruturas de TI interconectadas que comprenden estes servizos e os dispositivos individuais que soportan as operacións da cadea de subministración.

Para cumprir os seus obxectivos, o CAP proposto baséase nun enfoque colaborativo de avaliación de riscos e privacidade, baseado en probas e multicapa, que apoia aos oficiais e operadores de seguridade de SC a diferentes niveis para recoñecer, identificar, modelar e analizar de forma dinámica as ameazas e vulnerabilidades persistentes avanzadas, así como para xestionar os riscos diarios de ciberseguridade e privacidade e violacións de datos. CYRENE validarase en escenarios/condicións realistas que impliquen infraestruturas da cadea de subministración e usuarios finais. Ademais, o proxecto garantirá a participación activa dunha ampla gama de partes interesadas externas como medio para desenvolver un ecosistema máis amplo arredor dos resultados do proxecto, sentando as bases para a adopción a gran escala de CYRENE e o seu impacto global.

Información adicional

Os seguintes resultados do proxecto avanzaron no estado da técnica: O esquema de avaliación/certificación da conformidade: o esquema proposto amplía o EUCC (Esquema de certificación de ciberseguridade) de ENISA e céntrase en servizos complexos de cadeas de subministración interconectadas, que se visualizan en tres capas de abstracción, a saber, procesos empresariais, infraestruturas interconectadas e activos dixitais.

O ecosistema moi diverso resultante de actores, procesos e tecnoloxías de apoio é un obxectivo de avaliación para o que se expresan os requisitos de conformidade para garantir a súa seguridade e resistencia. O proceso de avaliación de riscos e conformidade (RCA) e a avaliación de riscos da cadea de subministración baseada en evidencias multinivel: a metodoloxía especificou os pasos dun proceso de RCA e as funcións, fórmulas e cálculos necesarios para realizar unha avaliación de risco de SC colaborativa en diferentes organizacións e roles. Os pasos inclúen as partes interesadas implicadas no proceso colaborativo, as funcións e autorizacións de cada parte interesada e os fluxos de traballo colaborativos asociados aos procesos de avaliación e simulación.

O proceso ten un dobre propósito: pode ser usado polas partes interesadas de SCS para avaliar a súa parte da cadea de subministración e formular reclamacións de seguridade, pero tamén pode ser usado por avaliadores externos e organismos de certificación para certificar as afirmacións de seguridade declaradas. A Ontoloxía CYRENE para dependencias e eventos de infraestruturas modela as relacións entre os activos de SC e as ciberdependencias a medida que participan nos procesos comerciais. Os procesos comerciais comprenden servizos da cadea de subministración onde participan organizacións e individuos con roles diversos con diferentes dereitos de acceso xerárquicos.

Coordinadores
  • MAGGIOLI SPA (MAGGIOLI)

Proxectos relacionados

Proxecto SIMBA H2020: Innovación sostible das aplicacións do microbioma no sistema alimentario.
Ler máis
Proxecto H2020 SUSFOOD2: cofundador de ERA-Net on Sustainable Food Production and Consumption (SUSFOOD2)
Ler máis
Proxecto H2020 ADAPT: desenvolvemento acelerado de patacas múltiples tolerantes ao estrés
Ler máis
Proxecto H2020 agroBRIDGES: Construír pontes entre consumidores e produtores apoiando cadeas curtas de subministración de alimentos mediante un enfoque sistémico, holístico e de múltiples partes interesadas.
Ler máis