本文讲的是 供应链安全五大关键数字风险的思考,供应链正迈向自动化与集成。比如说,云计算、机器人技术和人工智能在提高生产力与改善客户服务方面的应用。事实上,最近几年,物流运输业一直在开发无人机和仓储机器人,Uber也致力于打造自治汽车。这在上个世纪是连想都想象不出的技术大发展。
但是,尽管物联网(IoT)携诸多优势渗透我们的日常生活,但也给我们的供应链系统带来了网络攻击和其他漏洞利用的威胁。随着公司企业和研究人员对端到端供应链的普及宣传,供应链也逐渐成为网络攻击的一大重点目标。这种模型推动了供应链各层级之间通过数字方式的广泛信息共享与分发。
Petya勒索软件停滞了马士基航运集团供应链
2017年6月末,NotPetya恶意软件袭击了全球59个国家的跨国企业,世界首屈一指的集装箱货运公司马士基航运接单受阻,充分验证了供应链面临的巨大威胁。航运订单之前只能通过电话下单,马士基航运集团刚刚引入数字化策略,攻击便发生了。
马士基遭到最惨重打击的基础设施,是其APM终端设备,造成全球59个国家76个港口运营中断。受影响的地区包括纽约(美国东海岸最大港口)、荷兰鹿特丹港,以及尼赫鲁港(印度最大集装箱港口)。
如今,马士基的IT系统已恢复上线,但这次网络攻击对其他航运公司意味着什么呢?他们比马士基更安全吗?他们的员工知不知道当自己的系统遭到恶意软件或勒索软件攻击时该怎么做?
这对每家公司企业而言都是发人深省的,因为很可能在不远的将来就会面临类似的情况。事实上,NotPetya勒索软件攻击还仅仅是个开始;如果公司企业继续认为“业务规模小”就没有风险威胁,那么更大的混乱就等在前方。
网络安全风险&考虑
正如美国国家标准与技术局研讨会上讨论的一样,公司企业供应链中的几个关键网络安全风险与考虑,需要由网络空间相关公司的每个利益相关者好好思考并回答。
- 第三方服务提供者或厂商
上游供应商应有何种网络安全实践?对这些期待或标准的遵从应如何评估?这是物流业面临的基本缺失之一。全球商业巨头根本不清楚其供应商所用系统和应用的更新和受保护程度。推荐供应商管理库存(VMI)和协同计划、预测和补充概念。
- 较低层供应商的糟糕信息安全实践
多少公司能确保其较低层供应商了解最新的系统、网络和应用级漏洞?
- 雇员缺乏网络安全意识
网络安全人才极度紧缺,尤其是在供应链这一块。供应链上就没有什么广泛的网络安全模块覆盖。实际上,多数大学校园甚至没有在本科或研究生物流项目中,引入基础网络安全培训。而且,在为关键供应链职位招聘人员时,有多少招聘者对基本网络安全知识做了评估的?
- 公司或供应商系统中的软件安全漏洞
网络罪犯通常会进行网络扫描以发现薄弱环节。大多数情况下,并非网络中最强壮最广泛应用的系统,而是其中最弱的一环,暴露在网络攻击之下。这有可能是之前并未引起你注意的一个保留系统。这就是网络安全——不是可以选择80/20规则或ABC分析法以设定优先级的一种商业策略。
- 嵌入式恶意软件假冒硬件/软件
这基本上指的是利用BYOD集成供应链的小规模公司。这些BYOD设备上的恶意软件防护和检测水平如何?要确保连入网络的硬件和软件,都接受信息安全团队的扫描。
于是,现在你知道了,无论你运营的是中小企业还是顶级公司,投资网络安全都是必须的。网络安全是个长期过程,因为网络罪犯一直在找寻你网络/系统中的新漏洞。他们永远不会停止利用漏洞。因此,不采用最佳网络安全实践的代价,比实现之高昂得多。