担心供应链网络安全？你不够害怕的 5 个原因 - 第 2 部分

Katherine Barrios，Xeneta 首席营销官

我们昨天在第 1 部分中看到了供应链网络安全的第一个原因。现在我们看到了今天剩下的原因。在当今世界，“普通罪犯、有组织的犯罪团伙和民族国家利用复杂的技术发起针对性很强且极难检测的攻击”，一份关于当前网络犯罪状况的报告警告说（PricewaterhouseCoopers ，美国网络犯罪：风险上升，准备程度降低）。

评估供应链中的网络安全风险

Xeneta 的首席营销官凯瑟琳·巴里奥斯 (Katherine Barrios) 表示，网络攻击的一个特别有害的方面是威胁总是“不断移动” .

就其本质而言，攻击者试图绕过障碍和反制措施。

领先于威胁——比如 WannaCry 或 WannaCrypt 勒索软件攻击和快速移动的“Petya”是具有挑战性的。 “WannaCry”已经影响了 150 多个国家/地区的 230,000 多台计算机 - 其中对英国国民健康服务部门造成的破坏最大 西班牙电话公司 Telefónica 和德国国家铁路。 “Petya”不仅影响了马士基 Line 以及许多其他公司的 IT 基础设施，例如跨国制药公司 Merck , 广告客户 WPP , 食品公司 Mondelez , 和律师事务所 DLA Piper。

当病毒影响像马士基航运这样负责货物流动（船队、集装箱）的航运公司时，对供应链的连锁反应是迅速而巨大的（Olivia Solon 和 Alex Hern，“'Petya' Ransomware Attack:What它是以及如何被阻止？卫报 .)

行动迅速、充满敌意的团体和个人拥有“持久性、战术技能和技术实力”，可以破坏和摧毁主要的 SCM 系统，包括不祥的物流链（PWC，美国网络犯罪）。

无论是通过恶意软件（“恶意软件”）、利用“地下”互联网中提供的受损凭据、分布式拒绝服务 (DDoS)（恶意行为者破坏系统）还是 SQL 注入（将恶意代码插入结构化查询语言），除此之外，黑客还具有创造性（德鲁·史密斯，“您的供应链是否免受网络攻击？”《供应链季刊》）。

此外，虽然员工培训在一定程度上缓解了这种情况，但并不总是可以避免内部事件——那些由员工漏洞引起的事件。内部事件可能包括社会工程现象（犯罪分子通过利用员工的人性心理获得对建筑物、系统或信息的访问权）。还有员工随意使用设备以及不遵守最佳实践的员工对信息的错误处理（PWC，美国网络犯罪）。

供应链网络威胁的潜在规模

就其核心而言，供应链管理“有助于维持人类生命——人类依靠供应链来提供食物和水等基本必需品”（CSCMP，供应链管理专业委员会，“供应链管理的重要性”）。

任何中断都可能导致社会崩溃。由于 Petya 造成的计算机故障，工作人员不得不手动监测切尔诺贝利核电站的辐射水平，基辅市民无法使用 ATM 机。 （Nicole Perlroth、Mark Scott 和 Sheera Frenkel，“网络攻击袭击乌克兰，然后在国际上蔓延”，纽约时报 ).

6 月下旬潜在的危及生命的风险非常真实——勒索软件攻击蔓延到了 Heritage Valley Health System，该系统在宾夕法尼亚州西部、俄亥俄州东部和西弗吉尼亚州经营着 Heritage Valley Sewickley 和 Heritage Valley Beaver 医院，暂时占领了高温高压 计算机系统。

幸运的是，唯一实际的服务暂停发生在健康服务网络的实验室和诊断成像社区站点，这些服务现在“功能齐全”。 （“Heritage Valley Health system 网络安全事件的最新消息”，最新消息，HVHS。

进出口商仍因马士基和 APM 码头设施系统关闭造成的延误而“困扰”——马士基航运因此免除了发生的滞期费和滞留费。 （Mike Wackett，“网络攻击仍然困扰着马士基，因为它正在努力重新夺回销量，”The Loadstar ).

人们只能想象未来类似的触发事件会产生更大规模的影响。供应链中人员和货物流动的下一次干扰可能会导致更严重的社会影响，而不仅仅是企业绩效。 （世界经济论坛 , 解决供应链和运输风险的新模式：风险响应网络与 埃森哲 合作的一项举措 ).

网络复杂性

我们“应该害怕”供应链/运输网络的未来的另一个令人沮丧的原因是网络威胁的复杂性。

Michael Daniel 在他的文章“为什么网络安全如此困难？”中详细描述了复杂程度。哈佛商业评论：

“网络空间按照与物理世界不同的规则运作。我指的不是社会“规则”，而是网络空间的物理和数学。光速网络的节点性质意味着距离、边界和邻近度等概念都以不同的方式运作，这对安全具有深远的影响。”

因为没有典型的邻近性，也没有典型的边界，“物理世界”的构造和解决方案不能很好地工作。

“例如，在现实世界中，我们将边境安全的任务分配给联邦政府。但考虑到网络空间的物理特性，每个人的网络都在边界上。如果每个人都在边境生活和工作，我们怎么能把边境安全完全交给联邦政府呢？在现实世界中，犯罪是局部的——你必须在一个地方偷东西，所以警察有基于物理边界的管辖权。”

网络空间并非如此。组织和机构在法律和政策方面都在触及棘手的新领域，例如政府和私营企业之间的适当保护责任划分。防御风险（无论是来自组织的外部还是内部）需要大量投资以跟上威胁的步伐。

应对供应链中的网络风险：更需要采取行动

许多公司没有对网络安全进行必要的投资。 Alex Bau 认为这归结为行为经济学（“为什么高管对网络安全投资不足的行为经济学”，Harvard 商业评论）。当然有令人生畏的成本考虑。从 2017 年到 2021 年，全球网络安全支出将超过 1 万亿美元——许多公司无法跟上步伐。 （史蒂夫·摩根，“网络安全支出前景：2017 年至 2021 年将达到 1 万亿美元”，CSO ).

还有希望。区块链解决方案，联合起来汇集网络安全工作、智能传感器（Marianne Mannschreck，“智能传感器和物联网将如何发展供应链”，ITProPortal 、进一步培训……这些都是通往更美好未来的可能途径，其中（希望）减少恐惧的理由。

此博客的作者是 Xeneta 的首席营销官 Katherine Barrios