डिजिटल सप्लाई चैन सिक्यूरिटी

डिजिटल सप्लाई चैन सिक्यूरिटी सप्लाई चैन के अन्दर साइबर सिक्यूरिटी को बढ़ाने के प्रयासों को संदर्भित करती है। यह सप्लाई चैन सुरक्षा का एक उपसमूह है और सूचना टेक्नोलॉजी सिस्टम, सॉफ़्टवेयर और कंप्यूटर नेटवर्क के लिए साइबर सुरक्षा आवश्यकताओं के प्रबंधन पर केंद्रित है, जो की साइबर-आतंकवाद, मैलवेयर, डेटा चोरी और उन्नत निरंतर संकट (एपीटी) जैसे संकटों से प्रेरित हैं। ) इस प्रकार से संकटों को कम करने के लिए विशिष्ट सप्लाई चैन साइबर सुरक्षा गतिविधियों में केवल विश्वसनीय विक्रेताओं से खरीदारी सम्मिलित है, और बाहरी नेटवर्क से महत्वपूर्ण मशीनों को डिस्कनेक्ट करना, और उपयोगकर्ताओं को उन संकटों और सुरक्षात्मक उपायों के बारे में शिक्षित करना जो वे उठा सकते हैं।

इस प्रकार से संयुक्त राज्य अमेरिका के होमलैंड सिक्योरिटी विभाग के राष्ट्रीय सुरक्षा और प्रोग्राम निदेशालय के कार्यवाहक उप अवर सचिव, ग्रेग शेफ़र ने एक सुनवाई में कहा कि उन्हें पता है कि ऐसे उदाहरण हैं जहां संयुक्त राज्य अमेरिका में बेचे जाने वाले आयातित इलेक्ट्रॉनिक और कंप्यूटर उपकरणों पर मैलवेयर पाया गया है।

सप्लाई चैन साइबर सिक्यूरिटी संकटों के उदाहरण

 * नेटवर्क या कंप्यूटर हार्डवेयर जो की पहले से ही स्थापित मैलवेयर के साथ वितरित किया जाता है।
 * मैलवेयर जो की सॉफ़्टवेयर या हार्डवेयर में डाला जाता है (विभिन्न माध्यमों से)
 * सप्लाई चैन के अन्दर सॉफ़्टवेयर अनुप्रयोगों और नेटवर्क में निर्बलता जो की दुर्भावनापूर्ण हैकर (कंप्यूटर सिक्यूरिटी) द्वारा खोजी जाती हैं
 * कॉउन्टरफेइट कंप्यूटर हार्डवेयर

संबंधित अमेरिकी सरकार के प्रयास

 * व्यापक राष्ट्रीय साइबर पहल
 * रक्षा खरीद विनियम: राष्ट्रीय रक्षा प्राधिकरण अधिनियम की धारा 806 में उल्लेखित
 * साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति: व्हाइट हाउस ने पहली बार सुरक्षित और ओपन इंटरनेट के लिए अमेरिका के दृष्टिकोण को सामने रखा था। इस प्रकार से रणनीति तीन मुख्य विषयों कूटनीति, विकास और रक्षा की रूपरेखा तैयार करती है।
 * कूटनीति: यह रणनीति राष्ट्रों के मध्य सर्वसम्मति के माध्यम से निर्मित स्वीकार्य राज्य व्यवहार के मानदंडों की स्थापना करके "एक खुले, अंतर-संचालनीय, सुरक्षित और विश्वसनीय सूचना और संचार मूलभूत रूप को बढ़ावा देने" के लिए निर्धारित की गई है।
 * विकास: इस रणनीति के माध्यम से सरकार "विदेशों में, द्विपक्षीय रूप से और बहुपक्षीय संगठनों के माध्यम से साइबर सिक्यूरिटी क्षमता निर्माण की सुविधा प्रदान करना चाहती है।" इसका उद्देश्य वैश्विक आईटी मूलभूत रूप की रक्षा करना और खुले और सुरक्षित नेटवर्क को बनाए रखने के लिए समीप अंतरराष्ट्रीय साझेदारी बनाना है।
 * रक्षा: रणनीति कहती है कि सरकार "यह सुनिश्चित करेगी कि हमारे नेटवर्क पर अटैक करने या शोषण करने से जुड़े संकट संभावित लाभों से कहीं अधिक हैं" और सभी देशों से घुसपैठ करने वाले अपराधियों और गैर-राज्य अभिनेताओं की जांच करने, उन्हें पकड़ने और उन पर मुकदमा चलाने का आह्वान किया गया है। जो एक की नेटवर्क सिस्टम को बाधित करते है।

विश्व संबंधित सरकारी प्रयास

 * सामान्य मानदंड मूल्यांकन आश्वासन स्तर (ईएएल) 4 के साथ डिजिटल सप्लाई चैन सिक्यूरिटी के सभी प्रासंगिक भाग जैसे उत्पाद, विकास पर्यावरण, आईटी सिस्टम सिक्यूरिटी, मानव संसाधन में प्रक्रियाएं, भौतिक सुरक्षा और मॉड्यूल एएलसी_एफएलआर.3 के साथ मूल्यांकन करने का सुविधा प्रदान करता है। इस प्रकार से (व्यवस्थित दोष निवारण) भौतिक साइट विज़िट द्वारा भी सुरक्षा अद्यतन प्रक्रियाएँ और विधियाँ सम्मिलित है। ईएएल 4 को एसओजीआईएस-एमआरए पर हस्ताक्षर करने वाले देशों में और सीसीआरए पर हस्ताक्षर करने वाले देशों में ईएलए 2 तक पारस्परिक रूप से मान्यता प्राप्त है, किन्तु इसमें एएलसी_एफआरएल.3 भी सम्मिलित है।
 * रूस: रूस में अनेक वर्षों से गैर-प्रकटीकरण कार्यक्षमता प्रमाणन आवश्यकताएं हैं और वर्तमान में ओपन-सोर्स सॉफ़्टवेयर पर आधारित राष्ट्रीय सॉफ़्टवेयर प्लेटफ़ॉर्म प्रयास प्रारंभ किया है। यह विदेशी आपूर्तिकर्ताओं पर निर्भरता कम करते हुए राष्ट्रीय स्वायत्तता की स्पष्ट इच्छा को दर्शाता है।
 * भारत: राष्ट्रीय साइबर सिक्यूरिटी रणनीति के मसौदे में सप्लाई चैन संकट की पहचान करता है। इस प्रकार से बहिष्करण के लिए विशिष्ट उत्पादों को लक्षित करने के अतिरिक्त, यह स्वदेशी नवाचार नीतियों पर विचार कर रहा है, इस क्षेत्र में एक सशक्त, विश्व स्तर पर प्रतिस्पर्धी राष्ट्रीय उपस्थिति बनाने के लिए घरेलू आईटीसी आपूर्तिकर्ताओं को प्राथमिकता दे रहा है।
 * चीन: 11वीं पंचवर्षीय योजना (2006-2010) के लक्ष्यों से आगे बढ़ते हुए, चीन ने सुरक्षा-केंद्रित और आक्रामक स्वदेशी नवाचार नीतियों का मिश्रण प्रस्तुत किया और उसे आगे बढ़ाया था। इस प्रकार से चीन को अपनी सरकारी खरीद और बहु-स्तरीय सुरक्षा योजना (एमएलपीएस) को प्रयुक्त करने के लिए एक स्वदेशी नवाचार उत्पाद सूची का उपयोग करने की आवश्यकता है, जिसके लिए (अन्य वस्तुं के अतिरिक्त) उत्पाद डेवलपर्स और निर्माताओं को चीनी नागरिक या विधिक व्यक्ति, और उत्पाद कोर टेक्नोलॉजी और कुंजी की आवश्यकता होती है। इस प्रकार से घटकों के पास स्वतंत्र चीनी या स्वदेशी बौद्धिक संपदा अधिकार होने चाहिए।

निजी क्षेत्र के प्रयास

 * एसएलएसए (सॉफ़्टवेयर कलाकृतियों के लिए आपूर्ति-श्रृंखला स्तर) संपूर्ण सॉफ़्टवेयर सप्लाई चैन में सॉफ़्टवेयर कलाकृतियों की अखंडता सुनिश्चित करने के लिए एक एंड-टू-एंड फ़्रेमवर्क है। इस प्रकार से आवश्यकताएँ गूगल के आंतरिक बाइनरी ऑथराइजेशन फॉर बोर्ग से प्रेरित हैं जो की पिछले 8+ वर्षों से उपयोग में है और यह गूगल के सभी उत्पादन कार्यभार के लिए अनिवार्य है। जिसमे एसएलएसए का लक्ष्य उद्योग की स्थिति में सुधार करना है, विशेष रूप से अधिक गंभीर अखंडता संकटों से बचाव के लिए ओपन सोर्स में सुधार करना है। इस प्रकार से एसएलएसए के साथ, उपभोक्ता अपने द्वारा उपभोग किए जाने वाले सॉफ़्टवेयर की सुरक्षा स्थिति के बारे में सूचित विकल्प चुन सकते हैं।

अन्य सन्दर्भ

 * वित्तीय क्षेत्र सूचना साझाकरण और विश्लेषण केंद्र
 * साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति (व्हाइट हाउस से)
 * एनएसटीआईसी
 * सेफकोड श्वेतपत्र
 * ट्रस्टेड टेक्नोलॉजी फोरम और ओपन ट्रस्टेड टेक्नोलॉजी प्रोवाइडर स्टैंडर्ड (O-TTPS)
 * साइबर सप्लाई चैन सुरक्षा समाधान
 * फ़र्मवेयर में मैलवेयर प्रत्यारोपण
 * सॉफ्टवेयर युग में सप्लाई चैन
 * सूचना और संचार टेक्नोलॉजी सप्लाई चैन संकट प्रबंधन कार्य बल: अंतरिम रिपोर्ट

यह भी देखें

 * सप्लाई चैन
 * सप्लाई चैन संकट प्रबंधन
 * सप्लाई चैन सुरक्षा
 * आईएसओ/पीएएस 28000
 * एनआईएसटी
 * विश्वसनीय कंप्यूटिंग