The English version is AI translated.

Continue
本期索引

2023年09月號 乐活职人

供应链管理的资安影响

远东新世纪 / 简筠茹
播放语音

  资安攻击的手法与强度与日俱增,骇客除了直接入侵公司,也会选择从其合作的供应商下手,造成企业重大损失。近期接连出现台积电、美国软体公司SolarWinds的供应链遭到侵害,使得供应链的资安管理议题再度引起讨论。供应链为何产生资安漏洞?企业应如何防范?本期「乐活职人」为您深入说明。


从木桶理论看供应链资安

397363701

  2023年6月30日出现一则新闻快讯:「勒索软体lockbit骇客声称入侵台积电,并对其勒索USD 7千万」,根据调查显示,该起事件是骇客入侵台积电的IT硬体供应商所造成,因为供应商未及时更新防火墙版本、使用弱密码,且未适当遮罩客户名称,使得骇客有机可乘。消息一出,不仅震撼台湾资安界,也让企业界再次意识到供应链资安管理的重要性。

  无独有偶,近期美国软体公司SolarWinds也爆发供应链攻击事件,其监控与管理平台SolarWinds Orion遭到骇客入侵,透过更新程式中的木马程式,导致全球数以万计的企业组织受到影响,被评为近年最大的资安攻击事件之一,也显示出一家供应商的漏洞,可能影响整个供应链,让企业遭受巨大的损失。本次事件引发关于供应链资安风险管理的讨论,美国政府更要求供应商提供详细的软体物料清单(SBOM),以提高软体供应链的透明度与资讯安全程度。

  在资安领域中,有一个「木桶理论」:一个以木板箍制而成的木桶,其最大容水量不取决于最长的木板,而是最短的一块。套用在资安防护上,供应链中每一个环节的水准必须保持一致,只要任一处有状况,都可能引发致命的后果。因此,企业必须加强各环节的资安管理,并确保供应商也遵从相关措施。

 

打造完整的资安防线

  事实上,国际间越发重视供应链的资安管理。美国自2002年开始,实施由国土安全部海关边境保护局所制定的C-TPAT(Customs-Trade Partnership Against Terrorism, 海关-商贸反恐怖联盟),希望携手相关业界,建立供应链安全管理系统,确保从起点到终点的运输与货物安全,并提出网路安全建议,以保护智慧财产权、客户资讯、财务与贸易数据…等公司重要的资讯资产。

  随着全球化程度加速与数位转型的推进,供应链中的利害关系人也增加,同时产生更多的资安攻击缺口。因此,企业除了强化自身的资安管理,还需要与供应商紧密合作,实施有效的资安管理制度,从公司内部至供应链打造完整的资安防线。

  现今资讯安全不只是产品的附加价值,而是产品的一部分。以可口可乐为例,公司使用Security Scorecard的资安风险管理工具,来管控与衡量供应商的资安风险。供应商须具备全面的资安措施,以赢得客户信任,藉此提高企业形象,增加客户的忠诚度。

 

保持警觉防止损害

  供应链的资安管理对个人、家庭与企业都有直接影响。对个人而言,消费者可能在购买日常生活用品的过程中,因企业或供应商的资安措施不足,导致个资外洩,因此应保持警觉,使用来自可信赖供应商提供的产品和服务,并遵守相关的资安建议,以保障个人资讯和隐私的安全。

  在家庭层面,许多民众使用智慧照明、安全监控系统等智慧家居装置,皆与供应链紧密相连,如果供应商的资安措施不完善,家庭网路可能遭骇客侵入,危害家人的安全与隐私。

  对企业而言,供应链资安管理直接影响营运与信誉,安全的供应链可以确保产品和服务品质,降低资安攻击带来的损害。

 

  总而言之,供应链资安管理不仅关乎企业的利益,更攸关个人和家庭的安全。无论购买产品、使用服务,或是选择合作伙伴,都应考虑供应链的资安状况,当所有环节都保持在高度的资安水准,才能建构更安全的数位世界。面对不断变化的资讯时代,企业与个人都须共同努力、持续成长,让资讯安全成为你我的坚强后盾。

 

图片来源:freepik

#

回上一页  回单元索引
留言(0)

你可能会喜欢的Recommend

活动分享Events