從“2018全球供應鏈25強”看供應鏈安全
在今年5月Gartner釋出的“2018全球供應鏈25強”中,聯合利華以綜合6.36的成績遠超排名第二的企業,成為2018年的供應鏈最強的企業。Gartner研究副總裁Stan Aronow介紹稱,聯合利華擁有強大的供應鏈,這家荷蘭消費品行業領導者正大力投資促進其供應鏈實現數字化轉型。
當下,企業的數字化轉型步伐越來越快,也有更多的供應商可以接觸到企業的敏感資料,因此企業也面臨著供應鏈攻擊(也稱第三方供應商攻擊,指通過外部合作伙伴或供應商入侵系統或資料庫)帶來的風險,這種新型的攻擊方式具備很強的破壞力。
隱藏在硬體和軟體供應鏈中的風險
幾乎每個企業都會購買、使用外部軟體和硬體。出於安全考慮,每一個採購的裝置,每個下載使用軟體都需要審查,需要監控其潛在的安全風險。
如果將有風險的軟體或硬體元件嵌入到產品中,可能會導致更多的安全問題。例如Heartbleed漏洞,影響了數百萬個網站和移動裝置以及許多主要供應商的軟體,包括Oracle,VMware和思科。若硬體或軟體產品被故意篡改,或被假冒產品取代,將會給供應鏈帶來更大的危害。
思科非常擔心由於第三方供應商違約而丟失機密或敏感的智慧財產權資訊,因此建立了一套標準來量化供應商的安全級別,一旦供應商的安全級別低於基線,便會同供應商一同探討如何整改,改變現狀。
使用雲服務的同時,不應忽略其中的風險
單一的、精簡型的企業已被數字生態系統所取代,從獨立的應用程式到整個資料中心的所有內容都已經轉移到了雲服務商。
國內雲服務市場規模(單位:億元)
目前,我國雲服務市場規模保持持續的增長,且市場增速已超過國際市場。意味著越來越多的企業在使用雲服務,企業在使用雲服務的同時,其實也把安全外包給了雲服務提供商。
專業服務公司並不意味著安全
選擇規模較大的供應商也並非選擇了安全。2017年7月,涉及600萬客戶記錄的Verizon洩密事件是由客戶服務分析提供商Nice Systems引起的。Nice在公共Amazon S3儲存伺服器上放置了六個月的客戶服務電話日誌,其中包括帳戶和個人資訊。Nice報告說,它擁有3500名員工,併為超過85%的財富100強客戶提供服務,無論規模及專業性在行業內均是首屈一指。而德勤,一家擁有超過25萬僱員的會計師事務所,曾承認黑客能夠訪問一些重要客戶的電子郵件和保密計劃,是由於管理員帳戶上的訪問控制能力較弱,攻擊者獲得了訪問許可權。
業務風險與合規要求
根據Ponemon Institute(美國研究中心 成立於2002年 致力於隱私、資料保護和資訊保安研究 )在2017年的調查報告顯示,56%的組織發生過因供應商造成的違規。與每個組織有敏感資訊互動的平均供應商數量由378個增加到471個,並且僅有35%的組織有這些供應商的詳細清單。另一方面,對供應商之間流轉、共享組織資料這一情況,只有18%的組織表示知情。更可怕的是 ,當組織終止與某供應商的合作關係時,風險亦然存在。
國內外政府及監管機構也越來越重視個人隱私資料的保護:
-
2017年6月1日施行的《中華人民共和國網路安全法》,強調了對基礎設施及個人資訊的保護。
-
2018年5月1日實施的《資訊保安技術個人資訊保安規範》,從國家標準層面,明確了企業收集、使用、分享個人資訊的合規要求,為企業制定隱私政策及個人資訊管理規範指明瞭方向。
-
2018年5月25日正式生效的GDPR,被稱為歐盟“史上最嚴”條例,若被處罰,企業將面臨全球總收入的4%或2000萬歐元取其高的最高處罰。
-
2018年9月10日,中國人大網公佈《十三屆全國人大常委會立法規劃》,69件法律草案列入第一類專案。其中,個人資訊保護法是第61個專案。個人資訊保護即將立法。
如何管理第三方風險
適當監督第三方的風險不僅可以實現合規,還能帶來更多的收益。據統計,如果一家公司評估所有供應商的安全和隱私政策,違規的可能性從66%下降到46%。
2018年6月,“安全值”聯合“供應鏈安全聯盟”釋出了《第三方安全風險管理能力框架》,提到:第三方風險管理能力將應用於從合同簽訂之前到合同執行過程中一直到合同完成之後整個生命週期,並且在數字化環境下,風險控制需要得到領導充分的重視和支援,經多個業務和職能部門的協同來完成。
可見,第三方供應商的管理不能一蹴而就,是一個持續、需要多部門協同的工作,尤其是許多企業擁有大量的供應商,往往不知如何開展工作。
因此,我們建議從以下幾個角度入手對第三方供應商的進行管理:
1. 瞭解供應商是誰,有哪些供應商接觸敏感資料。供應商分級,找出高風險供應商。
2. 調查與評估:對不同風險級別的供應商,採用不同調查與評估策略,瞭解供應商的真實安全情況。
3. 對發現的問題提出整改建議並跟蹤整改效果。
4. 持續的監控供應商的安全狀況。
資料來源:Gartner、Ponemon Institute、2018年中國雲端計算行業發展現狀分析及未來發展趨勢預測、供應鏈安全聯盟、安全值
宣告:本文來自安全牛,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。