Прослеживаемость стала краеугольным камнем в управлении цепочками поставок и все чаще предписывается правительствами по всему миру как средство обеспечения безопасности продукции и защиты потребителей. Она позволяет сделать информацию, связанную с продуктом, доступной на протяжении всего его жизненного цикла с помощью информационно-коммуникационных технологий (ИКТ) (Олсен и Борит, 2013). Это позволяет компаниям отслеживать перемещение продукта по крайней мере на один шаг назад и один шаг вперед в любой точке цепочки поставок. Система прослеживаемости должна быть способна идентифицировать источники всех входов, таких как сырье, добавки и упаковка. Происхождение сырья и различные преобразования, которые претерпевает продукт, необходимо отслеживать, и отслеживать от источника до пункта назначения. Это позволяет различным участникам цепочки поставок получать доступ и идентифицировать источник продукта, транзитный пункт(ы) и пункт назначения.

Исторически системы прослеживаемости зависели от бумажной записи, что обеспечивало дешевую, хотя и длительную, утомительную и подверженную ошибкам альтернативу системам прослеживаемости на основе ИКТ (Appelhanz et al., 2016). Напротив, решения ИКТ способны выполнять обновления информации о продукте на лету и мгновенно сообщать об этих изменениях торговым партнерам и потребителям. Это дает значительные преимущества с точки зрения конкурентоспособности, прибыльности и прозрачности. Более того, появляющиеся технологии ИКТ для маломощных устройств, такие как радиочастотная идентификация (RFID) и Интернет вещей (IoT), открыли дверь для дальнейшего улучшения способа отслеживания продуктов по всей цепочке поставок (Bogaardt et al., 2016; Karippacheril et al., 2017; Olsen and Borit, 2018).

Недостатком внедрения компьютерных систем является то, что они могут быть скомпрометированы (Bogaardt et al., 2016; Jakes, 2020; Yeboah-Ofori and Islam, 2019). В понимание того, в какой степени это является целью этой статьи, мы делаем это, выполняя первый анализ угроз общей сквозной системы прослеживаемости для цепочек поставок. Хотя существуют различные анализы кибербезопасности систем прослеживаемости (Lin et al., 2019; Lu and Xu, 2017; Tian, ​​2016; 2017), они в основном сосредоточены на риске обмена данными и использовании технологии Blockchain для снижения рисков. Вместо этого мы выступаем за всесторонний и систематический сквозной анализ, который оценивает угрозы, действующие на разных уровнях системы прослеживаемости, от сбора данных (например, штрихкодов или RFID-меток) до конечного пользовательского приложения (например, мобильного приложения). Мы выступаем за сквозной анализ угроз, учитывая сложность систем цепочек поставок, которые включают в себя множество компонентов ИКТ и влияют на множество заинтересованных сторон. Уязвимости могут возникать из-за сложной взаимосвязи и часто упускаются при анализе в изоляции, как в предыдущих исследованиях. Мы также выступаем за воспроизводимые, расширяемые и фальсифицируемые анализы безопасности. Этого можно достичь, следуя системному подходу к моделированию угроз, придерживаясь общей архитектуры системы и делая явными и легко идентифицируемыми связи между активами, угрозами и контрмерами.

Вклады. В этой статье представлен подробный анализ угроз прослеживаемости цепочки поставок, ориентированный на активы. Это достигается путем определения архитектуры прослеживаемости, в значительной степени основанной на стандартах прослеживаемости GS1 (GS1, A2020(@) и архитектуре, представленной в Appelhanz et al. (2016). Предлагаемая архитектура состоит из четырех слоев, каждый из которых подробно описывает, как данные прослеживаемости собираются, переносятся, передаются и потребляются конечными пользователями. Архитектура описывает основные активы, используемые на каждом слое для сбора, хранения, обработки и обмена данными. Это делает наш анализ расширяемым за счет рассмотрения дополнительных слоев или активов.

Для системного выявления уязвимостей системы мы принимаем популярную модель угроз STRIDE от Microsoft, которая предлагает методологию для классификации уязвимостей на основе их вклада в широкий список угроз, включая подмену, фальсификацию, отказ от обязательств, раскрытие информации, отказ в обслуживании и повышение привилегий. Это означает, что наш анализ можно проводить по двум измерениям, сосредоточившись на определенном слое и прочитав его полный отчет об анализе или поняв, как конкретная угроза, такая как фальсификация, влияет на система в целом. Уязвимости отдельных компонентов системы были выявлены путем всестороннего обзора научной литературы и баз данных уязвимостей. Визуально мы отображаем связь между активами, угрозами и контрмерами в табличной форме и классифицируем их по типам активов. Результатом является набор из более чем сотни (актив, угроза, контрмера) связей, которые, насколько нам известно, формируют наиболее полный отчет по моделированию угроз в прослеживаемости цепочки поставок.

Признавая роль людей и процессов в системах прослеживаемости, мы кратко обсуждаем их роли, дополнительные угрозы, которые они приносят, а также передовые практики и стратегии смягчения. Это помогает понять слабые стороны на разных уровнях системы прослеживаемости и помогает заинтересованным сторонам выбрать наиболее подходящие средства контроля безопасности.

ссылка: https://www.sciencedirect.com/topics/computer-science/traceability-system