供应链安全威胁管理

supply-chain-security-management-broken

放眼全球各产业界,分工越来越细化,各企业在专注于核心竞争力的同时,也将工作重点聚焦于全球供应链之上。在质量、成本、速度、效率等业绩指标的压力下,安全方面的投入只能被一再挤压,天平开始失衡。

继2013年Target严重信息泄露事故之后,近年来,一连串的公司信息失窃案件特别是超市、百货、连锁、电商等行业的信息泄露事故多得让人揪心。这些安全事故中有不少是“冤大头”,就如同Home Depot和Goodwill这类的被黑客通过第三方厂商做跳板而光顾的。

一家企业,不管规模有多大,业务有多综合,也难避免会使用到第三方厂商的产品。然而,第三方厂商特别是小众化产品的安全使用问题长期以来都被忽视,五花八门的第三方厂商很可能并没有健全的产品安全漏洞修复机制,毕竟他们并不像Windows那些普及和常见。即使是自行开发的应用系统,也可能会在基本功能得到满足之后,缺乏长期的维护改进,特别是对所依赖的第三方中间件、控件或插件等等部件的安全审核。

环顾全球,世界越来越平坦,在全球性的供应链运行体中,与第三方的业务信息交换只会越来越多,与第三方的网络连接也只会越来越复杂,想想入侵Target的犯罪分子,要绕道空调供应商,问路电子账单系统,借壳Web程序漏洞,拐进PoS终端,方才剑指SQL主机。不要以为这是小概率甚至不可能的事情,在巨大的利益诱惑下,常人眼中的不可能正是技术高超且步步为营的黑客们所乐见的。

放眼国内,业务流程和科技创新对安全的驱动和需求更应该早日引起我们的重视,在结构调整、职能转变、营改增、简化流程、放宽准入等国家经济宏观政策刺激之下,市场将重焕活力,社会分工与协同合作将更为细化,战略创新型、绿色节能环保型的产品和服务将大批涌现,在这一波浪潮中,创新型的安全产品和服务也将被催生出来,同时,传统的安全解决方案也面临着全新的重大挑战。

安全业务的分工细化将带来服务外包的蓬勃发展,基于互联网云计算的服务外包模式在西方发达国家已经被证明成功了,不过在国家安全的顾虑和意识形态的壁障面前,美国的互联网公司只能被国内的借鉴者们和改良者击退。分工细化也将促进更多供应链管理方面的安全问题,入侵跳板、后门程序等顾虑无疑会让企业增加对第三方产品及服务的安全审核工作和监管需求。大规模的协同合作及移动化让信息的创建、交易的达成、数据的访问不再局限于传统上的工作区域和工作用终端设备,IT解决方案的消费化,让云端系统应用、终端设备安全、人员安全意识的管理需求日益严峻。

传统上,来自内部的安全威胁特别是内贼往往是信息失窃的最大因素之一,说到供应链的安全威胁,我们还是逃不开人员管理问题。不要以为供应链上的所有厂商的工作人员都是职场上的道德模范,相反,他们最为熟悉供应链信息流程,甚至这其中的弱点,他们具有对其它厂商信息系统的一定访问权限,如果这些人员起了歹心,不用非常高明的黑客技术,他们也能轻易窃取大量重要信息并来进行私下贩卖获利。如果他们再勾结外部技艺高超的黑客组织,那对供应链的破坏力将是前所未有的。

除了那些在职的内部人员和供应链人员,那些离职后仍然在这个行业中混的,特别是跳槽到竞争者行列中的人员,威胁程度可能更高。服务提供商、外部顾问、合同工等等通过可信的第三方渠道获得网络和数据存储,继而酿成安全事故的案例近年来越来越多。

不少企业并没有足够的针对内部人员和供应链人员威胁的应对措施,或者有必要的离职手续如保密协议和反竞业协议,但却并没有得到足够的足够的重视和执行。

如何进行供应链安全管理呢?昆明亭长朗然科技有限公司业务信息安全顾问董志军表示:

一、永远不要大意!既然大家处于同一条供应链上,依据木桶理论,供应链的安全管理水平最弱之处,将成为企业安全管理的短板。同在一条船上,就不能简单地通过一份合约把信息安全事故责任推给供应方,而应该从保障整个产业链安全健康共同发展的角度来实施供应链安全管理。知名的跨国公司无一例外都会对供应链进行定期的信息安全审核,就如同对待环境保护、安全生产和劳工福利等热点问题一样,看看苹果公司和富士康公司相关的产品制造新闻就知道供应链的安全是多么的重要。

二、不要简单以为供应链安全管理就是上下游厂商之间的利益博弈,做好供应链安全管理其实也是多方共赢的一件好事儿。首先,管理好供应链安全的前提当然是建立自身的信息安全管理体系,如果自家的信息安全管理水平尚处于混沌状态,想加入一个利润丰富的产业链都难,所以产业链中处于强势地位的大客户往往是供应链厂商提升信息安全管理能力的外部驱动力。其次,即使供应链厂商已经建立起了基本的信息安全管理体系,仍然可能有很大的改进空间,通过相互的交叉审核,不仅可以沟通交流经验,取长补短,更能让整体产业链的安全管理最佳实践得以提升,同时强化厂商之间的业务粘性。最后,拥有领先的信息安全管理水平的厂商,无疑会成为供应链甚至全行业内的信息安全标竿,在促进品牌商业信誉度的同时,依靠这些无形资产占领价值链中的中高端。

三、在技术控管方面,加强供应链接入层面的访问控制及威胁侦测,除了部署常规的防火墙和入侵检测系统之外,在应用系统和数据存取层面也强化监控和审核力度。参照、建立和强化对第三方安全产品的评估和审核力度,防范出现不可控的安全事故——安全厂商及其所在主权国家监管机关通过后门技术或系统回传等功能窃取商业机密及用户个人信息。

四、在流程控管方面,除了强化供应链安全方面的风险评估之外,应该强化帐户和权限的管理,建立和改善企业与供应链之间的帐户与权限管理机制,进行供应链用户进行定期的业务需求及访问权限相关的回顾,启用双重身份验证机制,防止出现身份效用、帐户密码权限分享、离职人员帐户未及时删除等安全隐患。

五、在人员管理方面,不能仅仅例行公事般,让员工和供应链人员草草签署保密协定。问一问,人们真正的理解保密协定中的内容和精神吗?我们要沟通教育,要让人们理解这些保密协定的核心内容,并且真正认可和接受它们。如果在特定的社会环境和发展年代之下,职场人士的职业道德水平普遍较低下,那么在沟通教育方面,必要的反面的教育典型一定不可少,只有在足够的警示效应和惩戒威慑下,人们才会真正的尊重规则和遵守契约。

当前,我国经济面临产业升级和结构调整的大好机遇,深化国有企业和国资改革必将兼并重组一大批公司。在传统产业向产业链、价值链的高端延伸时,供应链安全威胁必将愈演愈烈。而在人均国民收入不断上升,劳动力红利逐渐消失,劳动密集性产业向东盟国家大规模转移的大趋势下,全球及区域供应链安全威胁的管理能力,必将成为企业管理的一项核心工作。请让我们做好准备!

昆明亭长朗然科技有限公司,专注于帮助各类型的机构强化人员的信息安全管理,除了针对内部员工的安全意识培训视频教程之外,我们也提供针对管理层的简要业务安全课程。这些课程重在讲信息安全相关的道理,也是实现企业安全文化建设的重要智力源泉。欢迎各位业务安全管理界的专业人员与我们联系,洽谈业务信息安全相关的培训合作。