2023年09月號 樂活職人
供應鏈管理的資安影響
遠東新世紀 / 簡筠茹
資安攻擊的手法與強度與日俱增,駭客除了直接入侵公司,也會選擇從其合作的供應商下手,造成企業重大損失。近期接連出現台積電、美國軟體公司SolarWinds的供應鏈遭到侵害,使得供應鏈的資安管理議題再度引起討論。供應鏈為何產生資安漏洞?企業應如何防範?本期「樂活職人」為您深入說明。
從木桶理論看供應鏈資安
2023年6月30日出現一則新聞快訊:「勒索軟體lockbit駭客聲稱入侵台積電,並對其勒索USD 7千萬」,根據調查顯示,該起事件是駭客入侵台積電的IT硬體供應商所造成,因為供應商未及時更新防火牆版本、使用弱密碼,且未適當遮罩客戶名稱,使得駭客有機可乘。消息一出,不僅震撼臺灣資安界,也讓企業界再次意識到供應鏈資安管理的重要性。
無獨有偶,近期美國軟體公司SolarWinds也爆發供應鏈攻擊事件,其監控與管理平臺SolarWinds Orion遭到駭客入侵,透過更新程式中的木馬程式,導致全球數以萬計的企業組織受到影響,被評為近年最大的資安攻擊事件之一,也顯示出一家供應商的漏洞,可能影響整個供應鏈,讓企業遭受巨大的損失。本次事件引發關於供應鏈資安風險管理的討論,美國政府更要求供應商提供詳細的軟體物料清單(SBOM),以提高軟體供應鏈的透明度與資訊安全程度。
在資安領域中,有一個「木桶理論」:一個以木板箍製而成的木桶,其最大容水量不取決於最長的木板,而是最短的一塊。套用在資安防護上,供應鏈中每一個環節的水準必須保持一致,只要任一處有狀況,都可能引發致命的後果。因此,企業必須加強各環節的資安管理,並確保供應商也遵從相關措施。
打造完整的資安防線
事實上,國際間越發重視供應鏈的資安管理。美國自2002年開始,實施由國土安全部海關邊境保護局所制定的C-TPAT(Customs-Trade Partnership Against Terrorism, 海關-商貿反恐怖聯盟),希望攜手相關業界,建立供應鏈安全管理系統,確保從起點到終點的運輸與貨物安全,並提出網路安全建議,以保護智慧財產權、客戶資訊、財務與貿易數據…等公司重要的資訊資產。
隨著全球化程度加速與數位轉型的推進,供應鏈中的利害關係人也增加,同時產生更多的資安攻擊缺口。因此,企業除了強化自身的資安管理,還需要與供應商緊密合作,實施有效的資安管理制度,從公司內部至供應鏈打造完整的資安防線。
現今資訊安全不只是產品的附加價值,而是產品的一部分。以可口可樂為例,公司使用Security Scorecard的資安風險管理工具,來管控與衡量供應商的資安風險。供應商須具備全面的資安措施,以贏得客戶信任,藉此提高企業形象,增加客戶的忠誠度。
保持警覺防止損害
供應鏈的資安管理對個人、家庭與企業都有直接影響。對個人而言,消費者可能在購買日常生活用品的過程中,因企業或供應商的資安措施不足,導致個資外洩,因此應保持警覺,使用來自可信賴供應商提供的產品和服務,並遵守相關的資安建議,以保障個人資訊和隱私的安全。
在家庭層面,許多民眾使用智慧照明、安全監控系統等智慧家居裝置,皆與供應鏈緊密相連,如果供應商的資安措施不完善,家庭網路可能遭駭客侵入,危害家人的安全與隱私。
對企業而言,供應鏈資安管理直接影響營運與信譽,安全的供應鏈可以確保產品和服務品質,降低資安攻擊帶來的損害。
總而言之,供應鏈資安管理不僅關乎企業的利益,更攸關個人和家庭的安全。無論購買產品、使用服務,或是選擇合作夥伴,都應考慮供應鏈的資安狀況,當所有環節都保持在高度的資安水準,才能建構更安全的數位世界。面對不斷變化的資訊時代,企業與個人都須共同努力、持續成長,讓資訊安全成為你我的堅強後盾。
圖片來源:freepik
#