供应链网络安全:日益重要的趋势

2022年10月20日

卢卡·乌尔丘奥利,麻省理工学院萨拉戈萨分校教授

卢卡·乌尔丘奥利著
麻省理工学院萨拉戈萨项目供应链管理兼职教授

供应链网络威胁越来越受到公司的关注。仅在2021年,IT安全专家就发现网络攻击和数据泄露的平均数量增长了15.1%与前一年相比。与世界各地的公司拥抱4.0行业而工艺数字化趋势,这些数字预计还会上升。因此,全球行业和政府必须谨慎地推动这些持续的趋势,确保正确部署解决方案和战略,以提高安全性,并加强整个供应链的稳健性。

网络攻击的动机

网络攻击背后的动机可能有很多。我们将区分三种类型:经济、意识形态和地缘政治因素驱动的动机.供应链中的盗窃和伪造等安全问题对公司来说并不新鲜。然而,使用物理安全措施建立防御可能会将攻击转移到更脆弱的层,特别是IT系统。使用网络攻击(例如,操纵数据、复制数据、破坏安全设备等),有组织的犯罪集团可以为盗窃金钱提供便利知识产权或任何其他类型的有价值的公司资产。

在其他情况下,攻击是根据特定的意识形态(即,黑客入侵),发出“干扰、尴尬或以儆效尤”的信息(Urciuoli et al. 2013)。例如,已经登记了一些攻击事件,以谴责不尊重可持续目标的行业的行为。恐怖主义和宗教理想可能是袭击背后的原因,目的是惩罚人群,使一个国家陷入恐惧或恐慌。

最后,地缘政治紧张局势经常升级为网络战,即国家黑客组织通过破坏重要的社会功能造成损害。最近,意大利能源和电力运营商成为网络攻击的目标扰乱煤气和电力供应。专家认为,俄罗斯黑客是这些攻击的幕后黑手。此外,黑客可以窃取和收集国家的敏感信息,或者利用媒体和通信渠道进行宣传,以削弱现有政权。

剖析日益复杂的供应链攻击

网络威胁是任何旨在执行的活动利用计算机对个人或组织采取的非法行动网络或硬件设备。公司可能会被剥夺敏感数据,例如员工、客户或供应商数据,但也会被剥夺新产品设计等知识产权。

随着工业4.0的扩展,供应链网络安全是关键

网络入侵可能导致运营中断影响生产力、销售、订单履行和客户满意度。在非常极端的情况下,黑客可以操纵可编程逻辑控制器(PLC))制造工厂系统,影响质量,影响品牌声誉,甚至导致社会安全问题。

孤立的攻击

回顾过去的事件,黑客攻击了孤立的供应链节点,造成了重大破坏。例如,2020年12月4日,一群黑客攻击了莫斯科的电子商务解决方案公司PickPoint。包裹寄存柜公司在莫斯科和圣彼得堡拥有一个由8000个寄存柜组成的网络,这些寄存柜位于开放和自由进出的空间。黑客利用网络攻击,成功打开了莫斯科2732个储物柜,并窃取了里面的包裹,显示出供应链最后一英里的脆弱性。

Ransomware攻击

另一种攻击供应链的技术由恶意软件组成,可以感染链序列中的计算机。例如,2017年,NotPetya病毒危及了物流集团马士基的系统随后,病毒蔓延到各个行业和港口,感染了150个国家的20多万台电脑,造成了数十亿美元的损失。当马士基意识到病毒通过合作伙伴和客户网络传播的速度有多快时,它决定完全关闭系统。关闭之后,所有跟踪和后勤行动都保持了三天的沉默。港口码头不得不停止运营,数千艘海上船只在码头等待或停泊在港口码头周围的海上。NotPetya类似于WannaCry勒索软件,它会阻止显示“磁盘包含错误,需要修复”信息的计算机。为了解锁电脑,受害者被要求支付赎金。

马士基设法在10天内重建了整个IT基础设施,并慢慢恢复了运营。然而,据估计公司蒙受了3亿美元的损失,声誉受到了无法估量的损害尤其是考虑到袭击发生后媒体的报道。

供应链攻击

在过去的几年里,网络攻击变得更加复杂作案者更了解被攻击组织背后的供应链。因此,许多大型企业都加强了对网络攻击的保护。然而,黑客们已经明白,属于同一供应链的小公司更容易受到感染和攻击能否以此为跳板重新感染自己的供应商或买家其中包括规模更大的供应商群体。网络专家创造了这个术语供应链攻击对这些事件进行分类。

例如,在2020年,黑客设法渗透到供应链软件提供商SolarWinds。他们介绍后门恶意软件是太阳风公司Orion软件的更新或补丁并设法进一步破坏所有使用该软件的公司的数据、网络和系统。这次黑客攻击已经影响了超过18000个组织,据信已经危及9个联邦机构和大约100家私营企业。最令人担忧的是,内部人员几个月来一直未被发现,很可能窃取并泄露了大量数据。这不是孤立的袭击,因为2021年5月和7月也发生了类似事件殖民管道和Kaseya勒索软件攻击。

确保供应链免受网络威胁的重要步骤

很明显,供应链和当前的趋势,如自动化和数字化为企业和社会带来诸多好处.研究人员已经在几个实例中证明,这些趋势可以显著提高生产率、运营成本效率、上市时间、客户响应时间等等。

公司有责任保护消费者数据

供应链上的信息交换减少了牛鞭效应帮助经理优化安全库存和同步供应链中的交接.供应链公司需要分享的其他信息包括新产品设计和其他与供应商发展计划战略计划相关的内部文件。这一切都有助于使供应链更具竞争力,并获得市场份额。

网络安全措施

供应链利益相关者之间的相互联系必须继续得到培养,并通过专门的网络保护进一步加强,重点是确保供应链端到端的安全.也就是说,如果没有所有供应商及其IT安全专业人员的参与,单个组织无法保护其操作和设备。

标准和认证的存在是为了支持愿意改善对网络威胁的保护的组织。例如国际标准ISO/IEC 27001和美国商务部下属机构国家标准与技术研究所(NIST)的NIST 800-55。的ISO/IEC 27001标准包括若干控制程序以确保组织能够确保其ICT层的安全性。其中包括访问控制、物理安全、系统获取、维护程序和供应商关系等等。标准NIST 800-55提出了一种强有力的方法来识别和衡量安全控制的影响分为三类:实施、效率和效果以及组织影响措施。

NIST特别开发了一种专门的方法来解决供应链中的网络安全问题主要关注采购,供应商合同和信息共享NIST网络安全供应链风险管理(C-SCRM)实践。因此,供应商选择、投标、评估报价请求(RFQs)/建议书请求(rfp)和合同条款等活动应符合网络安全要求。

供应链利益相关者之间的互联性必须继续得到培养,并通过专门的网络保护进一步加强,重点是确保供应链的端到端安全

同样,供应商审计和绩效监测预计将包括网络安全风险管理,并触发与供应商的合同条件重新评估,或在违约情况下建立缓解应对措施。该指导方针包括培训管理人员的几个重要做法例如,信息共享规则、发布和使用信息的工作流的使用、信息共享协议、敏感数据的保护以及对与供应商共享的任何类型的信息的持续支持。

消费者数据保护

供应链公司的另一个重要职责是保护消费者数据。在电子商务和零售领域经营的公司应该有适当的系统来保护消费者的信息。黑客可以通过攻击窃取身份和信用卡信息(例如,黑客从索尼的PlayStation网络中窃取了数百万张信用卡)。隐私保证了社会的信任、尊重和思想自由。最重要的是,它限制了政治权力:“某人对我们了解得越多,他们对我们的权力就越大。”因此,从地缘政治和国家安全的角度来看,个人数据保护甚至更为关键,例如,当国家黑客组织为宣传计划窃取信息时。

欧洲国家正在加紧准备工作保障个人资料的法律架构.互联网网站和其他应用程序通常会收集个人数据(例如,电子商务、电子学习和交通应用程序和网站)。关于个人数据保护的重要方面包含在欧盟的通用数据保护条例(GDPR) - (EU) 2016/679中,该条例为“个人、公司或组织处理与欧盟个人有关的个人数据”制定了指导方针。

根据GDPR,个人数据是指可以收集在一起以确定特定个人身份的信息或信息片段。然而,现有的政策和法规并没有起草专门管理智能公共交通系统(IPTS)的运营。因此,新的监管框架有望在未来几年取得进展。

总之,考虑到正在进行的转型,网络安全发挥着特殊的作用根据工业4.0实践推荐的供应链。董事会需要制定新的战略来应对这些挑战zero-trust方法以及能够检测和响应网络安全风险的系统。必须加强保护,并将保护扩大到整个供应链端到端,以及内部功能。同样,现有标准可用于实施网络安全措施,最重要的是实现整个供应链的协调,消除黑客在攻击中可能利用的薄弱漏洞。

卢卡·乌尔丘奥利博士他是麻省理工学院萨拉戈萨国际物流项目供应链管理的兼职教授。他还是瑞典皇家理工学院(斯德哥尔摩,瑞典)的副教授和麻省理工学院运输与物流中心(MIT CTL)的研究员。

参考文献

配置错误或放置错误的portlet,没有找到内容
动态内容:false
主名:文章-电话-横幅-副本
模板键:ARTICLE-PHONE-BANNER-TPL