Proxecto H2020 CYRENE: Certificación da seguridade e resiliencia dos servizos da cadea de subministración
- Tipo Proxecto
- Estado Cheo
- Execución 2020 -2023
- Orzamento asignado 4.992.750,00 €
- Ámbito Europeo
- Fonte principal de financiamento Horizonte 2020
- Páxina web do proxecto Proyecto CYRENE
A xestión das actividades da cadea de subministración (CS) é cada vez máis complexa. Unha das razóns é a falta dun sistema integrado para que os responsables e operadores de seguridade protexan as súas infraestruturas críticas e os sistemas cibernéticos interconectados na nova era dixital. O proxecto CYRENE, financiado pola UE, busca mellorar a seguridade, a privacidade, a resiliencia, a responsabilidade e a fiabilidade das cadeas de subministración mediante un proceso de avaliación da conformidade (PAC) novedoso e dinámico que avalía a seguridade e a resiliencia dos servizos da cadea de subministración.
O PAC tamén avalía as infraestruturas de TI interconectadas que compoñen estes servizos e os dispositivos individuais que dan soporte ás operacións de CS. Validarase unha nova abordaxe colaborativa, multinivel e baseada na evidencia para a avaliación de riscos e a privacidade en escenarios/condicións realistas que impliquen infraestruturas de información do mundo real e usuarios finais.
CYRENE comezou recompilando requisitos legais e de seguridade para os servizos da cadea de subministración (SCS). Os requisitos de seguridade foron recompilados das partes interesadas de SCS (tanto socios do proxecto como partes interesadas externas a través de cuestionarios en liña), mentres que os requisitos legais foron recompilados polo socio legal do consorcio. Clasificáronse, analizáronse e informáronse dos requisitos. A análise dos requisitos levou á especificación do esquema de avaliación da certificación da conformidade e do proceso de avaliación da conformidade, definido como un proceso de avaliación gradual, multinivel e baseado en evidencias entre diferentes actores (auditores, avaliadores, provedores de servizos da cadea de subministración, administradores e responsables de seguridade) con dereitos de control de acceso xerárquico. Ademais, desenvolvéronse modelos ontolóxicos para dependencias e eventos de infraestrutura, así como para activos de hardware e software, ameazas, vulnerabilidades, ciberdependencias, actores e as súas interaccións, e algoritmos para os efectos en cascada de ameazas, riscos e vulnerabilidades.
Ademais, definiuse unha arquitectura para unha plataforma que dará soporte ao proceso de avaliación da conformidade. A consecución con éxito dos resultados mencionados marcou o cumprimento dos tres primeiros fitos do proxecto: MS1, MS2 e MS3. O traballo posterior centrouse no deseño e a implementación de requisitos previos (é dicir, activos, vulnerabilidades, servizos da cadea de subministración, procesos empresariais nun esquema de base de datos relacional compatible con CVSS3.1) para facilitar o cálculo horizontal do risco en cadeas de subministración interconectadas que involucran a múltiples actores (é dicir, provedores da cadea de subministración, auditores e avaliadores). Os servizos de rastrexo automático foron deseñados e implementados para recoller e extraer información da web escura. Do mesmo xeito, implementouse unha canle de datos para o procesamento, a selección, o almacenamento, a creación de gráficos e a análise de texto de datos. A aprendizaxe automática empregouse para clasificar texto en función da súa relevancia para os ciberataques, as actividades ilegais e os eventos emerxentes detectados en foros, mercados e sitios web escuras.
A Plataforma de Compartición de Intelixencia sobre Ameazas empregouse para fusionar e clasificar termos extraídos da web escura en conceptos cibernéticos correlacionados con incidentes de ciberseguridade e software malicioso. Tamén se configuraron as tecnoloxías axeitadas para permitir a integración correcta de módulos desenvolvidos previamente. Inclúen un repositorio de GitLab para cargar o código dos módulos relevantes no sistema de integración e varias ferramentas de integración como Kafka Broker, Elasticsearch e KeyCloak para o acceso seguro.
Ademais, o entorno de Redmine foi configurado para informar de problemas e rastrexar as actividades do proxecto. As tarefas de integración continua inclúen o entorno GitLab xa mencionado para o repositorio de código do proceso que executa probas e desprega código para cada iteración. Finalmente, distribuíuse un modelo para recompilar información que levará ao esquema de probas para os módulos individuais, así como para o sistema integrado. Ademais, as actividades do Paquete de Traballo 5 inclúen o deseño da metodoloxía de experimentación coa creación de modelos axeitados para levar ao deseño real dos experimentos que se realizarán no Paquete de Traballo 6.
CYRENE aborda o problema de avaliar e certificar os requisitos de seguridade e resiliencia dos servizos da cadea de subministración (SCS). Con este fin, o proxecto proporciona servizos, elementos constitutivos e compoñentes para un proceso mellorado de avaliación de riscos (RA) que tamén pode servir como proceso de avaliación de conformidade (CA) para avaliar as ameazas e vulnerabilidades á seguridade, así como para avaliar a seguridade e a resiliencia dos SCS e os seus obxectivos de seguridade.
Unha innovación importante do proxecto é o dobre uso da Metodoloxía RCA, xa que pode ser empregada por provedores de SCS individuais e socios comerciais para avaliar e xestionar os riscos SCS e xerar Perfis de Protección SCS (PP, é dicir, declaracións de seguridade), pero tamén pode ser empregada por auditores externos e organismos de certificación para acceder aos obxectivos, requisitos e validez de ciberseguridade das declaracións PP SCS. O esquema de certificación CYRENE é unha extensión do EUCC da ENISA. Ademais, o proxecto desenvolve unha plataforma e un conxunto de ferramentas complementarias para apoiar o proceso de certificación.
O proceso, o marco e o conxunto de ferramentas de certificación validaranse en dúas probas no mundo real. Os resultados das probas servirán de base para formular un conxunto de boas prácticas. A importancia das cadeas de subministración modernas é fundamental, xa que son a base de case todas as actividades das sociedades modernas. O seu correcto funcionamento é esencial, mentres que a súa interrupción adoita ter un profundo impacto social, económico e político. A certificación da seguridade e a resiliencia dos servizos da cadea de subministración aumenta a confianza dos consumidores e contribúe a un mercado único dixital competitivo e fiable.
Os obxectivos de CYRENE son:
- Crear esquemas de certificación de seguridade e privacidade personalizados e baseados no risco para servizos da cadea de subministración fiables e baseados nas TIC.
- Desenvolver un proceso novedoso e dinámico de avaliación de riscos e cumprimento da ciberseguridade que admita diferentes tipos de avaliacións de cumprimento.
- Desenvolver un sistema de certificación para os servizos da cadea de subministración.
- Especificar servizos de modelado e simulación para predicir, detectar e previr dinamicamente os riscos de ciberseguridade e privacidade na cadea de subministración e definir estratexias de mitigación.
- Validar a solución CYRENE aplicándoa a servizos da cadea de subministración do mundo real.
- Desenvolver as mellores prácticas e mellorar os estándares para a avaliación de riscos e a certificación dos servizos da cadea de subministración.
- Contribuír a reforzar a capacidade de ciberseguridade da UE e a abordar os futuros retos da ciberseguridade.
A pesar da enorme importancia socioeconómica das cadeas de subministración (CS), os axentes e operadores de seguridade aínda carecen dunha forma sinxela e integrada de protexer as súas infraestruturas críticas (IC) e os sistemas cibernéticos interconectados na nova era dixital. A visión de CYRENE é mellorar a seguridade, a privacidade, a resiliencia, a responsabilidade e a fiabilidade dos servizos da cadea de subministración mediante a prestación dun proceso de avaliación da conformidade (PAC) novedoso e dinámico que avalíe a seguridade e a resiliencia dos servizos da cadea de subministración, as infraestruturas de TI interconectadas que compoñen estes servizos e os dispositivos individuais que dan soporte ás operacións da cadea de subministración.
Para cumprir os seus obxectivos, a PAC proposta baséase nunha abordaxe colaborativa, multicapa e baseada na evidencia para a avaliación de riscos e privacidade que axuda aos responsables e operadores de seguridade do SC a diferentes niveis a recoñecer, identificar, modelar e analizar dinamicamente as ameazas e vulnerabilidades persistentes avanzadas, así como a xestionar os riscos diarios de ciberseguridade e privacidade e as violacións de datos. CYRENE validarase en escenarios/condicións realistas que impliquen infraestruturas da cadea de subministración e usuarios finais da vida real. Ademais, o proxecto garantirá a participación activa dunha ampla gama de partes interesadas externas como medio para desenvolver un ecosistema máis amplo arredor dos resultados do proxecto, sentando as bases para a adopción a grande escala de CYRENE e o seu impacto global.
Os seguintes produtos do proxecto melloraron o estado da arte: o esquema de avaliación/certificación da conformidade: o esquema proposto amplía o EUCC (esquema de certificación de ciberseguridade) da ENISA e céntrase en servizos complexos e interconectados da cadea de subministración, que se visualizan en tres capas de abstracción, a saber, procesos empresariais, infraestruturas interconectadas e activos dixitais.
O ecosistema resultante, altamente diverso, de actores, procesos e tecnoloxías de apoio é un obxectivo de avaliación para o que se expresan requisitos de conformidade para garantir a súa seguridade e resiliencia. O proceso de avaliación de riscos e conformidade (RCA) e a avaliación de riscos da cadea de subministración baseada en evidencias multinivel: a metodoloxía especificou os pasos dun proceso RCA e as funcións, fórmulas e cálculos necesarios para realizar unha avaliación de riscos da cadea de subministración colaborativa en diferentes organizacións e roles. Os pasos inclúen as partes interesadas implicadas no proceso de colaboración, os roles e as autorizacións de cada parte interesada e os fluxos de traballo de colaboración asociados cos procesos de avaliación e simulación.
O proceso ten un dobre propósito: as partes interesadas do SCS poden empregalo para avaliar a súa parte da cadea de subministración e formular declaracións de seguridade, pero tamén poden empregalo avaliadores externos e organismos de certificación para certificar as declaracións de seguridade declaradas. A ontoloxía CYRENE para dependencias e eventos de infraestrutura modela as relacións entre os activos do SC e as ciberdependencias mentres participan nos procesos de negocio. Os procesos empresariais comprenden os servizos da cadea de subministración nos que participan organizacións e individuos con diversos roles e diferentes dereitos de acceso xerárquico.
- MAGGIOLI SPA (MAGGIOLI)