供應鏈管理的資安影響

　　資安攻擊的手法與強度與日俱增，駭客除了直接入侵公司，也會選擇從其合作的供應商下手，造成企業重大損失。近期接連出現台積電、美國軟體公司SolarWinds的供應鏈遭到侵害，使得供應鏈的資安管理議題再度引起討論。供應鏈為何產生資安漏洞？企業應如何防範？本期「樂活職人」為您深入說明。

---

從木桶理論看供應鏈資安

　　2023年6月30日出現一則新聞快訊：「勒索軟體lockbit駭客聲稱入侵台積電，並對其勒索USD 7千萬」，根據調查顯示，該起事件是駭客入侵台積電的IT硬體供應商所造成，因為供應商未及時更新防火牆版本、使用弱密碼，且未適當遮罩客戶名稱，使得駭客有機可乘。消息一出，不僅震撼臺灣資安界，也讓企業界再次意識到供應鏈資安管理的重要性。

　　無獨有偶，近期美國軟體公司SolarWinds也爆發供應鏈攻擊事件，其監控與管理平臺SolarWinds Orion遭到駭客入侵，透過更新程式中的木馬程式，導致全球數以萬計的企業組織受到影響，被評為近年最大的資安攻擊事件之一，也顯示出一家供應商的漏洞，可能影響整個供應鏈，讓企業遭受巨大的損失。本次事件引發關於供應鏈資安風險管理的討論，美國政府更要求供應商提供詳細的軟體物料清單（SBOM），以提高軟體供應鏈的透明度與資訊安全程度。

　　在資安領域中，有一個「木桶理論」：一個以木板箍製而成的木桶，其最大容水量不取決於最長的木板，而是最短的一塊。套用在資安防護上，供應鏈中每一個環節的水準必須保持一致，只要任一處有狀況，都可能引發致命的後果。因此，企業必須加強各環節的資安管理，並確保供應商也遵從相關措施。

 

打造完整的資安防線

　　事實上，國際間越發重視供應鏈的資安管理。美國自2002年開始，實施由國土安全部海關邊境保護局所制定的C-TPAT（Customs-Trade Partnership Against Terrorism, 海關-商貿反恐怖聯盟），希望攜手相關業界，建立供應鏈安全管理系統，確保從起點到終點的運輸與貨物安全，並提出網路安全建議，以保護智慧財產權、客戶資訊、財務與貿易數據…等公司重要的資訊資產。

　　隨著全球化程度加速與數位轉型的推進，供應鏈中的利害關係人也增加，同時產生更多的資安攻擊缺口。因此，企業除了強化自身的資安管理，還需要與供應商緊密合作，實施有效的資安管理制度，從公司內部至供應鏈打造完整的資安防線。

　　現今資訊安全不只是產品的附加價值，而是產品的一部分。以可口可樂為例，公司使用Security Scorecard的資安風險管理工具，來管控與衡量供應商的資安風險。供應商須具備全面的資安措施，以贏得客戶信任，藉此提高企業形象，增加客戶的忠誠度。

 

保持警覺防止損害

　　供應鏈的資安管理對個人、家庭與企業都有直接影響。對個人而言，消費者可能在購買日常生活用品的過程中，因企業或供應商的資安措施不足，導致個資外洩，因此應保持警覺，使用來自可信賴供應商提供的產品和服務，並遵守相關的資安建議，以保障個人資訊和隱私的安全。

　　在家庭層面，許多民眾使用智慧照明、安全監控系統等智慧家居裝置，皆與供應鏈緊密相連，如果供應商的資安措施不完善，家庭網路可能遭駭客侵入，危害家人的安全與隱私。

　　對企業而言，供應鏈資安管理直接影響營運與信譽，安全的供應鏈可以確保產品和服務品質，降低資安攻擊帶來的損害。

 

　　總而言之，供應鏈資安管理不僅關乎企業的利益，更攸關個人和家庭的安全。無論購買產品、使用服務，或是選擇合作夥伴，都應考慮供應鏈的資安狀況，當所有環節都保持在高度的資安水準，才能建構更安全的數位世界。面對不斷變化的資訊時代，企業與個人都須共同努力、持續成長，讓資訊安全成為你我的堅強後盾。

 

圖片來源：freepik

#