供应链网络安全:越来越重要的趋势

2022年10月20日

卢卡·尤西奥里,MIT-Zaragoza教授

由卢卡·尤西奥里
兼职教授MIT-Zaragoza供应链管理的程序

供应链网络威胁越来越多的人关心公司。仅在2021年,IT安全专家鉴定增加15.1%的平均数量的网络攻击和数据泄露与前一年相比。与世界各地的公司接受4.0行业和过程数字化的趋势,这些数字将上升。因此,全球产业和政府必须小心开车这些持续的趋势,确保正确的解决方案和策略来改善安全部署,加强供应链整体的鲁棒性。

网络攻击的动机

可以几个网络攻击背后的动机。我们将区分三种类型:动机由经济、意识形态和地缘政治因素。安全问题就像盗窃和伪造的供应链并不是新公司。然而,与物理安全措施可能建立防御攻击转移到更加脆弱层,特别是IT系统。使用网络攻击(例如,操作数据,复制数据,破坏安全设备,等等),有组织的犯罪集团可以促进窃取金钱、知识产权或任何其他类型的有价值的公司资产。

在其他情况下,攻击是犯下以下特定意识形态(即,黑客入侵),发送消息”破坏,难堪,或者让他们的目标的一个例子——”(尤西奥里et al . 2013年)。例如,病例注册的攻击进行谴责的行为不尊重的行业可持续发展的目标。恐怖主义和宗教理想可能背后攻击惩罚人的群体,一个国家陷入恐惧和惊慌。

最后,地缘政治紧张局势经常升级为网络战,即国家黑客组织造成伤害,破坏至关重要的社会功能。最近,意大利能源和电力运营商网络攻击的目标破坏天然气和电力供应。专家认为,俄罗斯黑客是这些攻击背后。此外,黑客可能窃取和从国家收集敏感信息或使用媒体和沟通渠道宣传削弱现有政权。

日益复杂的供应链的解剖学的攻击

网络威胁是旨在执行任何活动非法行为对个人或组织通过电脑、网络或硬件设备。公司可以被剥夺敏感数据——例如,员工,客户,或供应商数据,但也像新产品设计的知识产权。

随着工业的扩张4.0,供应链网络安全是关键

网络漏洞可以停止操作、影响生产力、销售、订单执行和客户满意度。在极端情况下,黑客可以操纵可编程序逻辑控制器(PLC))系统的制造工厂,影响质量,品牌声誉,甚至导致社会安全问题。

孤立的攻击

看着过去的事件,黑客攻击孤立供应链节点,造成实质性的伤害。例如,在2020年12月4日,一群黑客PickPoint目标,电子商务解决方案专业包柜,在莫斯科。8000年包裹箱公司网络柜位于莫斯科和圣彼得堡在开放和自由访问空间。使用一个网络攻击,黑客设法打开2732年莫斯科和偷包柜包里面,展示最后一英里在供应链的脆弱性。

Ransomware攻击

另一种技术攻击供应链由链可以感染电脑的恶意软件序列。例如,2017年,NotPetya病毒破坏物流集团马士基的系统,随后蔓延产业和港口,感染超过150个国家的200000台电脑,造成数十亿美元的损失。当马士基意识到病毒传播的速度通过其合作伙伴和客户网络,它完全决定关闭其系统。关闭之后,三天的沉默对于所有跟踪和物流操作。港口码头已经停止操作,让成千上万的海上船只在码头上等待或锚定在海上周边港口码头。NotPetya像WannaCry ransomware,因为它阻止了电脑显示消息“磁盘包含错误和需要修理。“开启电脑,受害者被要求支付赎金。

马士基设法重建其整个IT基础设施在10天内,慢慢地恢复其操作。然而,据估计,公司遭受了3亿美元的损失和不可估量的损害其声誉攻击后,尤其是考虑到媒体的报道。

供应链的攻击

在过去的几年里,网络攻击变得更加复杂和罪犯更加意识到单背后的供应链组织的攻击。因此,许多大型企业都提高了防范网络攻击。然而,黑客已经明白,小公司的供应链更容易感染和相同可以作为跳板再次感染他们的供应商或买家吗,其中较大的供应商组。网络专家们创造了这个词供应链的攻击对这些事件进行分类。

例如,2020年,黑客设法渗透SolarWinds,供应链软件提供商。他们介绍后门恶意软件作为SolarWind猎户座的软件更新或修补和管理进一步妥协的数据、网络和系统的所有公司使用这个软件。这个黑客已经影响到超过18000的组织和被认为是损害9个联邦机构和大约100私营企业。最令人担忧的方面是业内人士仍未被发现的几个月,可能窃取和破坏大量的数据。这不是一个孤立的攻击,因为类似事件在2021年5月注册,2021年7月在殖民管道和Kaseya ransomware攻击,分别。

重要的步骤确保供应链网络威胁

很明显,像自动化和数字化供应链和当前的趋势公司和社会带来很多好处。研究人员演示了几个实例,这些趋势可以显著提高生产率,运营成本效率,缩短上市时间,客户响应时间,等等。

公司负责保护消费者数据

信息交换整个供应链降低牛鞭效应和帮助经理优化安全库存和供应链的同步传递。其他信息,供应链企业需要共享问题的新产品设计和相关内部文件供应商发展项目的战略计划。bob手办官网这一切都有助于使供应链更具竞争力和获得市场份额。

网络安全措施

供应链利益相关者之间的互联性必须继续由专门的网络保护,培育,进一步支持关注确保供应链端到端。也就是说,一个组织无法保护其操作和设备没有涉及所有的供应商和他们的IT安全专家。

标准和认证存在支持组织愿意提高他们的网络威胁防护。例子是国际标准ISO / IEC 27001和NIST 800 - 55个国家标准与技术研究院(NIST),美国商务部的一个机构。的ISO / IEC 27001标准包括几个控制程序确保组织可以确保他们的ICT的安全层。这些包括访问控制、物理安全、系统采集、维护程序和供应商关系等。标准NIST 800 - 55提出一个健壮的方法来识别和衡量安全控制的影响在三个类别:实现中,效率和效果,和组织影响的措施。

尤其是NIST,开发了一种专门的方法来解决网络安全的供应链,主要集中在采购、供应商合同和信息共享NIST的网络安全的供应链风险管理(C-SCRM)实践。因此,活动,如供应商选择、投标评估要求报价(rfq) /请求(rfp),建议应该执行和合同条款符合网络安全需求。

供应链利益相关者之间的互联性必须继续培养,进一步提振了专门的网络保护,重点保护供应链端到端

同样,供应商审计和性能监控将包括网络安全风险管理和触发重新评估与供应商的合同条件或建立一个违约的情况下减轻反应。指南包括几个重要的实践培训经理,如信息共享规则,使用工作流发布和消费信息,信息共享协议,保护敏感数据,和持续的支持与供应商共享任何类型的信息。

消费者数据保护

的另一个重要责任供应链企业消费者数据保护的担忧。在电子商务和零售部门运营的公司应该有完备的系统来保护他们的消费者的信息。黑客可以盗取身份和信用卡犯罪作案细节(数百万的信用卡被盗,黑客从索尼的PlayStation网络,例如)。隐私保证对一个社会的信任,尊重,和自由的思想。最重要的是,它限制了政治权力:“有人知道我们越多,更多的权力,他们可以在我们。“因此,个人数据保护更加重要从地缘政治和国家安全的角度来看,例如,国家黑客组织窃取信息宣传方案。

欧洲国家正在紧锣密鼓地准备立法框架,以确保个人数据的保护。互联网网站和其他应用程序通常收集个人数据(例如,电子商务、电子学习、和交通应用程序和网站)。重要方面关于欧盟中包含个人数据保护的一般数据保护监管(GDPR) - 2016/679(欧盟)——设置指南”的处理一个个体,一个公司或一个组织在欧盟有关个人的个人资料。”

根据GDPR,个人数据是指信息或信息收集在一起为了识别一个特定的人。然而,现有的政策和法规不起草专门管理智能公共交通系统的操作(进行)。因此,发展新的监管框架预计在未来几年。

总之,网络安全考虑正在转换中扮演着独特的角色4.0供应链作为推荐的行业实践。董事会需要解决这些挑战将通过开发新策略zero-trust方法以及系统启用网络安全风险检测和响应。保护必须增强和扩展到整个供应链端到端,其内部功能。同样,现有标准可用来实现网络安全措施,最重要的是整个供应链的协调,消除漏洞,黑客可以利用在他们攻击疲软。

卢卡博士尤西奥里是一个兼职教授MIT-Zaragoza国际物流供应链管理的程序。他也是k皇家理工学院的副教授(瑞典斯德哥尔摩)和麻省理工学院研究分支机构运输与物流中心(麻省理工学院CTL)。

引用

发现Missconfigured或乱显示portlet,没有内容
动态内容:假
主人的名字:Article-phone-banner-copy
模板的关键:ARTICLE-PHONE-BANNER-TPL