供应链管理的资安影响

　　资安攻击的手法与强度与日俱增，骇客除了直接入侵公司，也会选择从其合作的供应商下手，造成企业重大损失。近期接连出现台积电、美国软体公司SolarWinds的供应链遭到侵害，使得供应链的资安管理议题再度引起讨论。供应链为何产生资安漏洞？企业应如何防范？本期「乐活职人」为您深入说明。

---

从木桶理论看供应链资安

　　2023年6月30日出现一则新闻快讯：「勒索软体lockbit骇客声称入侵台积电，并对其勒索USD 7千万」，根据调查显示，该起事件是骇客入侵台积电的IT硬体供应商所造成，因为供应商未及时更新防火墙版本、使用弱密码，且未适当遮罩客户名称，使得骇客有机可乘。消息一出，不仅震撼台湾资安界，也让企业界再次意识到供应链资安管理的重要性。

　　无独有偶，近期美国软体公司SolarWinds也爆发供应链攻击事件，其监控与管理平台SolarWinds Orion遭到骇客入侵，透过更新程式中的木马程式，导致全球数以万计的企业组织受到影响，被评为近年最大的资安攻击事件之一，也显示出一家供应商的漏洞，可能影响整个供应链，让企业遭受巨大的损失。本次事件引发关于供应链资安风险管理的讨论，美国政府更要求供应商提供详细的软体物料清单（SBOM），以提高软体供应链的透明度与资讯安全程度。

　　在资安领域中，有一个「木桶理论」：一个以木板箍制而成的木桶，其最大容水量不取决于最长的木板，而是最短的一块。套用在资安防护上，供应链中每一个环节的水准必须保持一致，只要任一处有状况，都可能引发致命的后果。因此，企业必须加强各环节的资安管理，并确保供应商也遵从相关措施。

 

打造完整的资安防线

　　事实上，国际间越发重视供应链的资安管理。美国自2002年开始，实施由国土安全部海关边境保护局所制定的C-TPAT（Customs-Trade Partnership Against Terrorism, 海关-商贸反恐怖联盟），希望携手相关业界，建立供应链安全管理系统，确保从起点到终点的运输与货物安全，并提出网路安全建议，以保护智慧财产权、客户资讯、财务与贸易数据…等公司重要的资讯资产。

　　随着全球化程度加速与数位转型的推进，供应链中的利害关系人也增加，同时产生更多的资安攻击缺口。因此，企业除了强化自身的资安管理，还需要与供应商紧密合作，实施有效的资安管理制度，从公司内部至供应链打造完整的资安防线。

　　现今资讯安全不只是产品的附加价值，而是产品的一部分。以可口可乐为例，公司使用Security Scorecard的资安风险管理工具，来管控与衡量供应商的资安风险。供应商须具备全面的资安措施，以赢得客户信任，藉此提高企业形象，增加客户的忠诚度。

 

保持警觉防止损害

　　供应链的资安管理对个人、家庭与企业都有直接影响。对个人而言，消费者可能在购买日常生活用品的过程中，因企业或供应商的资安措施不足，导致个资外洩，因此应保持警觉，使用来自可信赖供应商提供的产品和服务，并遵守相关的资安建议，以保障个人资讯和隐私的安全。

　　在家庭层面，许多民众使用智慧照明、安全监控系统等智慧家居装置，皆与供应链紧密相连，如果供应商的资安措施不完善，家庭网路可能遭骇客侵入，危害家人的安全与隐私。

　　对企业而言，供应链资安管理直接影响营运与信誉，安全的供应链可以确保产品和服务品质，降低资安攻击带来的损害。

 

　　总而言之，供应链资安管理不仅关乎企业的利益，更攸关个人和家庭的安全。无论购买产品、使用服务，或是选择合作伙伴，都应考虑供应链的资安状况，当所有环节都保持在高度的资安水准，才能建构更安全的数位世界。面对不断变化的资讯时代，企业与个人都须共同努力、持续成长，让资讯安全成为你我的坚强后盾。

 

图片来源：freepik

#