beebright / AdobeStock
在ISM2018上,网络安全不仅仅是一个流行词,周二早些时候,采购专业人士参加了几场相关的会议,以了解更多关于如何防范这种无形威胁的信息。
在这些演讲中,出现了一个共同的主题。采购可能会面临大量网络风险,因为它扩大了其供应基础的复杂性,并采用了互联的软件系统,但它从来不会独自这样做。相反,采购处于大量参与者的关系中,这些参与者都与他们的IT操作的安全性有利害关系。
这种独特的位置也使采购充分了解进入供应链的不断变化的威胁。在采购为日益全球化的经济打开大门的同时,它也在了解外国公司和政府如何利用it基础设施的弱点,在这个过程中获取消费者数据和知识产权。
这种威胁的地缘政治层面意味着采购部门现在需要构建一个真正有弹性的网络安全战略。要做到这一点,该职能将需要发挥其在关系管理方面的优势,让内部利益相关者、供应商和联邦政府都站在同一战线上,协调各方主动识别漏洞,并在威胁出现时集体减轻威胁。
威胁的性质
如今,网络安全给供应链带来了巨大的风险。正如科罗拉多州立大学运营和供应链管理助理教授扎卡里·罗杰斯周二在CAPS研究会议上解释的那样,2019年网络入侵的总成本预计将达到2万亿美元,比2010年的1800万美元增长144%。万博体育下载app
这在很大程度上是由于企业供应链的性质日益复杂。罗杰斯说,虽然更广泛的商业社区中的许多人认为网络安全仅仅是IT和CIO的领域,但情况不再如此。如今,越来越多的网络攻击之所以发生,并不是因为企业没有建立必要的IT安全系统,而是因为供应链下游供应商的不谨慎。
罗杰斯提到的一个令人心酸的例子是塔吉特(Target) 2013年的数据泄露。在这种情况下,塔吉特的暖通空调供应商法齐奥机械服务公司(Fazio Mechanical Services)受到了恶意软件电子邮件的侵害。与它家喻户晓的客户相比,Fazio是一家小公司,它的网络安全措施包括免费版的反病毒软件。
黑客通过泄露的电子邮件获得了Fazio员工的登录凭证,然后冒充Fazio进入了Target的供应商门户网站。在塔吉特的系统内,黑客窃取了数百万消费者的信用卡数据,并在此过程中给零售商造成了1.62亿美元的损失。
这种网络安全比喻是CAPS在其风险研究中发现的最常见的漏洞类型。这种方法被称为“供应商后门”,从犯罪的角度来看是有道理的。罗杰斯说,黑客们正在寻找“阻力最小的路径”,“通常会直接通过供应商”,而没有必要的手段或协议来抵御攻击。
因此,即使IT部门掌握了自己的网络安全战略,仅靠技术是不够的。供应链的坚固程度取决于其最薄弱的环节,网络安全网络的健全程度取决于其最不安全的节点。
技术过载
企业分布广泛的供应链变得不那么安全的部分原因是,采用技术的速度快于保护技术安全的政策。正如前国家安全局局长、退休将军基思·亚历山大周二在ISM首席执行官汤姆·德里的斡旋下与前中央情报局局长约翰·布伦南进行的主题对话中所解释的那样,即使是对网络安全具有积极心态的公司也可能存在许多他们甚至没有想到的漏洞。
问题的核心是,公司现在必须跟踪大量已知威胁的系统,并不断扫描新的漏洞。例如,2010年iPhone上的应用程序总数约为17万个。如今,iPhone用户有600多万种选择。
正因为如此,即使是在准备网络安全策略方面做得不错的公司也可能被暴露。亚历山大现在在私营部门从事这方面的咨询工作。他说,他合作过的一家2500人的公司有50个不同的系统来检测违规行为。然而,亚历山大的分析仍然发现了该公司尚未解决的40多万个额外漏洞。
地缘政治威胁
随着可用技术的数量以及由该技术产生的数据每两年翻一番,泄露的可能性也随之增加。但或许更令人担忧的是,企业面对的不仅仅是恶意的黑客组织。相反,他们更可怕的威胁是其他国际公司和外国流氓国家。
中国和俄罗斯是亚历山大和布伦南在讨论中重点关注的两个最突出的威胁。
在中国,主要的风险是知识产权的丧失,因为中国的制造商和科技公司试图获得相对于美国同行的竞争优势,而没有投入时间和资金进行独立研发。然而,由于美国和中国经济深度融合,补救措施更难找到。
“我们无法将自己的经济财富与中国这样的国家割裂开来,”德里在谈到潜在风险时说。“因此,有必要考虑到政策上的细微差别。”
俄罗斯为采取行动带来的经济障碍较少,但在减轻威胁方面却采取了令人沮丧的复杂方法。正如布伦南所解释的那样,俄罗斯很可能通过与有组织犯罪团伙合作来实施网络攻击,以增强政府自身的能力,并更加秘密地运作。
由于攻击并不总是来自政府机构,安全机构很难确定攻击背后的发起者。这给了俄罗斯这样的国家合理的推诿,帮助政府区分谁负责授权和执行攻击。
布伦南说,“我们还不能确定是普京这样的国家领导人授权了这种攻击,还是它们是独立运作的,”即使国家以某种方式参与了攻击。
关系是网络安全战略的核心
由于这一威胁属于民族国家层面,亚历山大和布伦南都强调了在工业界和政府之间建立更强有力的公私伙伴关系的必要性。
两位前官员表示,在他们设想的系统中,政府将继续承担起在网络安全领域发挥主导作用的责任,而各行业将帮助创建监管和信息共享结构,帮助政府更有效地管理威胁。
亚历山大将这种情况与空域管制进行了比较。对于空中交通,雷达不断扫描一个区域,以确保飞机不会相撞。然而,在网络空间中,数据的传播速度更快,而且可以传播到许多不同的地方。然而,网络空间不像空域那样受到安全或监管,因此政府对企业如何来回传递信息知之甚少,削弱了它们在为时已晚之前阻止网络飞机相撞的能力。
当然,挑战在于建立一种互利的关系,使双方能够进行合作。企业可能很高兴有额外的网络安全支持,但如果这种支持也希望了解企业在系统中正在做什么,就不会了。
“最大的障碍不是技术,而是建立必要的信任,让政府和企业合作,”德里说。
鉴于来自供应链的网络安全威胁越来越多,采购组织可能是建立这种信任的关键角色。
就像在管理供应商时一样,采购将必须定义它与政府机构的理想关系,它将在哪里与it合作建立访问权限,以及当合作伙伴被泄露时,它将如何与政府共享供应商信息。
因此,加强与内部IT团队之间的关系并调整目标对于处理网络攻击至关重要。在与潜在供应商合作时,特别是那些提供软件服务的供应商,it在选择过程中有发言权是至关重要的,这样它就可以对潜在供应商进行筛选,并帮助定义应该纳入供应商合同的适当安全合同。
因此,对复杂供应商管理需求的需求增加供应商关系管理软件对于采购组织来说,这是一种更为关键的能力。Rogers说,随着这种威胁的发展,网络安全准备应该成为供应商记分卡的重要组成部分,就像10年前可持续性成为采购集团的重点一样。这样做的结果可能是令人信服的。
举例来说,塔吉特并不是唯一一家使用Fazio提供暖通空调服务的大型零售商。沃尔玛也是一个客户。不过,塔吉特百货(Target)给所有供应商提供了同等级别的登录凭证访问系统的权限,而沃尔玛则采取了更细粒度的方法,只允许供应商访问他们直接服务的业务领域。
更积极主动的供应商管理方法阻止了被黑客入侵的Fazio进入沃尔玛的系统。结果是:在这个过程中损失了0美元。
讨论: