Funkcjonowanie w skali globalnej dostawców usług, przedsiębiorstw i różnego typu placówek rządowych w coraz większym stopniu jest uzależnione od niezakłóconej pracy złożonych sieci komputerowych i telekomunikacyjnych. Ważna jest nie tylko jakość i wydajność używanych rozwiązań. Nieodzowne jest też zaufanie do dostawcy sprzętu, oprogramowania lub usług, czyli przekonanie o etyczności jego działań, dochowaniu należytej rzetelności w tworzeniu produktów i świadczonym później wsparciu.

Zaufanie ma ogromne znacznie w kontekście istniejących w cyberprzestrzeni zagrożeń. Z uwagi na fakt, że cyberprzestępcy stają się coraz bardziej agresywni i pozbawieni skrupułów, przedsiębiorstwa muszą współpracować z godnym zaufania dostawcą rozwiązań IT, który ułatwi ochronę ich zasobów.

Cechy, którymi powinny charakteryzować się godne zaufania systemy IT

  • Deklaracja dostawców produktów i usług, że są zaprojektowane, wyprodukowane, sprzedawane i serwisowane zgodnie z dokumentacją.
  • Podjęcie przez producentów odpowiednich kroków w celu zabezpieczenia tworzonych rozwiązań przed podrabianiem, wpływaniem na sposób ich funkcjonowania lub instalowaniem nieautoryzowanych funkcji, np. backdoor.
  • Wbudowane i głęboko zintegrowane funkcje gwarantujące bezpieczeństwo, a nie dodawane jako nakładki na „etycznie neutralne” sprzęt i oprogramowanie (pozbawione wielu funkcji ochronnych, pozostawiające decyzję o sposobie ich wykorzystywania i zabezpieczania użytkownikom). Wśród mechanizmów ochronnych powinny być: zaszyfrowana komunikacja wewnętrzna, kontrola dostępu do zasobów w chronionych rozwiązaniach i sposobu ich użytkowania, a także weryfikacja zarządzania regułami polityki bezpieczeństwa.
  • Gotowość producentów rozwiązań i dostawców usług do nieustannego rozwijania ich funkcji oraz wprowadzania nowych metod ochronnych w reakcji na zmieniające się potrzeby klientów oraz pojawianie się nowych rodzajów zagrożeń.
  • Transparentność procesów tworzenia oraz utrzymywania sprzętu i oprogramowania przez dostawcę; dane dostępne publicznie w jednym miejscu, bez konieczności logowania się.
  • Utrzymywanie przez dostawcę własnego, publicznie dostępnego zespołu bezpieczeństwa odpowiedzialnego za pełne portfolio produktowe, który reaguje na zgłoszenia i współpracuje z innymi firmami na rynku, aby wykrywać i eliminować podatności, które pojawiły się w produkcie po premierze.