美国供应链能否免于网络攻击？

2 月，乔·拜登总统签署了 14017 号行政命令，呼吁对关键的美国供应链进行全面审查。此举是为了应对在 COVID-19 大流行高峰期间一线医护人员的个人防护设备 (PPE) 等医疗用品短缺的情况。订单确定的其他需求包括用于汽车行业和其他高科技应用的半导体芯片。

这些问题阻碍了美国人获得基本产品的能力，并为受影响行业的工人造成不稳定。据白宫称，新命令的目标是在此类问题再次发生之前主动解决。

白宫表示：“虽然我们无法预测什么危机会袭击我们，但我们应该有能力在面临挑战时迅速做出反应。” “美国必须确保生产短缺、贸易中断、自然灾害以及外国竞争对手和对手的潜在行动永远不会让美国再次处于弱势。”

总统的竞选活动明确表示，他的政府致力于全面解决供应链风险。但该倡议会成功吗？

从安全的角度来看，当局应考虑许多问题。否则将导致重复的时间和精力，浪费资源，同时无法降低可能导致另一次供应链攻击的网络风险。

确保美国供应链安全的第一步是识别其漏洞和风险。拜登的行政命令重点关注六个领域：国防工业基础、公共卫生、信息技术和通信、电力和能源、交通运输和农业。

供应链对数字产品和服务的依赖造成了严重的漏洞，使网络安全成为审查的重要组成部分。民族国家行为者可能决定通过网络犯罪来阻止供应链的担忧是真实的。行政命令第 4.4 节明确指出，网络风险管理是一个关键问题和重点领域。在一年内，必须提交报告，说明供应链对竞争对手国家的依赖程度。政府如何为此目的让信息安全社区参与将决定所有部门的主动性。

确保一年内取得成果

这项事业在一年的时间范围内涵盖了很多领域。信息安全和技术社区吸取过去一年的经验教训，为推动该计划的各方提供意见至关重要。信息共享和分析中心 (ISAC) 和 IT 部门协调委员会 (ITSCC) 等行业团体的努力将是成功的核心。此外，四大咨询公司提供的大量数据和分析在与第三方打交道时需要优先考虑风险。

美国国防部应该在帮助该倡议无缝推出方面发挥关键作用。国防部监管的一项类似工作是网络安全成熟度模型认证 (CMMC)，它要求政府签约材料的供应商满足特定标准。迄今为止，基于公共和私人对 CMMC 的反应，一项关键建议是尽可能避免混合合同授予和审查过程。行业领导者和政府机构应共同努力，为跨各种供应链的网络制定一个简单而有效的标准。

标准化的重要性

建立正确的合作伙伴关系并获得信息安全专家的意见是一回事，但确保整个美国供应链的网络安全成熟度提高又是另一回事。当推广到如此庞大的生态系统时，沟通是一个可以制定或打破新需求的元素。它由衡量驱动，无论网络安全成熟度如何，结果都会在不同群体之间标准化。 NIST CSF 供应链风险管理子类别或前面提到的 CMMC 等标准是明确要求并在整个供应链中有效实施它们的绝佳工具。 NIST CSF 下的网络评估方法在为信息安全知之甚少的供应商提供背景方面特别有价值。

在衡量方面，考虑到全球供应链生态系统的复杂性，不可能排除美国供应链中的所有潜在风险。尽管如此，识别检查各种潜在故障点的场景还是很有价值的。以创造性的方式利用现有的风险量化方法是实现真正弹性的关键。公司必须将供应链风险理解为实现良好治理的一种手段，利用安全团队的意见、数据和信息共享以及风险管理软件的进步。

人们只能希望拜登的供应链计划能够利用过去事件的现有数据以及对未来的预测分析。能否对整个供应链进行基准测试，并在一年内确定所有漏洞？我们能否减轻美国供应链中严重的网络风险？这还有待观察。

Padraic O'Reilly 是 Cyber​​Saint 的联合创始人兼首席产品官。