什么是数字供应链网络安全风险？

---

任何产品的供应链都包含许多动态组件。从为产品寻找原材料开始，到将成品交付给客户结束的流程，都涉及供应链中的每个环节。

与当代行业的许多其他方面一样，供应链也正在由于数字技术的出现而发生变化。随着技术的进步，网络威胁也在增加。本文介绍了数字供应链，以及它们的优势和网络安全风险。

传统供应链与现代供应链

在传统供应链中，随着商品从供应商流向客户，包含许多关键活动，包括：

• 通过研究估计产品的需求。

• 为生产商采购原材料。

• 生产商生产并向零售商交付最终产品。

• 分销商将商品运送到各个零售商。

• 零售商销售并向客户交付商品。

数字供应链的主要任务和产品流程是相同的，但方法不同。

在传统的供应链中，需要精确定义的工作流程才能使链条以线性且反应式的方式运行。该链条受旧系统中的历史交易控制，而不是受实时条件控制。网络各组件之间缺乏交互限制了传统供应链中的可见性。

为了构建更互联、更动态和更具预测性的供应链，数字供应链采用了网络化方法。这些创新使得可以及早发现问题并根据当前情况而不是预先设定的程序主动解决中断。连接对于打破孤岛并在整个供应链中提供洞察力至关重要。

现代供应链中的数字化转型

为了实现数字供应链承诺的敏捷性、可见性和速度，多种创新技术协同工作。

物联网 (IoT)

物联网 (IoT) 设备包括联网的传感器、设备和执行器。预计到 2021 年，全球将有 250 亿台此类设备。

物联网设备监控供应链中使用的车辆、机器、设备和操作环境。物联网设备在数字供应链网络内部共享数据，从而产生以下影响：

• 仓库管理员和零售商等供应链参与者能够更清晰地了解商品的流动。

• 通过预测分析和维护，机器和其他设备的停机时间显著减少。

人工智能 (AI)

预测能力和决策能力不仅来自数据。人工智能的发展有助于将实时数据转化为明智的业务决策。这些决策由机器学习算法做出，无需特定的人工干预。在以下领域，这些算法有助于预测和决策：

• 预测需求

• 安排维护

• 发现产品异常

• 降低成本

• 库存控制

数字供应链网络安全风险

数字供应链战略的优化也扩大了网络攻击的潜在目标基础。在供应链攻击中，攻击者试图利用这种跨越整个供应链的现代技术生态系统。

与供应链网络安全相关的风险包括：

• 人为风险 - 人员可能犯下代价高昂的错误，甚至故意危及整个供应链。这些人为风险可能源于诸如将登录信息发送给第三方或未能保护物联网传感器等行为。

• 第三方风险 - 在数字供应链中，每个参与者都更容易受到第三方企业（如供应商或物流公司）的不良网络安全实践的影响，即使是最简单的供应链也涉及多个参与方。根据 Gartner 的数据，60% 的企业使用了 1000 多个第三方。

• 供应商风险 - 这种数字化的大部分内容增加了对软件和硬件供应商开发的技术解决方案的依赖。供应链中的威胁参与者通常会利用查找和利用软件漏洞来破坏有价值的数据。在供应链中，某些硬件产品可能是伪造的或被篡改的。

• 合规风险 - 在网络化供应链中，当信息定期在多个系统之间共享时，存在违反管理此数据的行业标准的风险。如果审计发现不合规，则需要考虑昂贵的声誉损失和有害的罚款。

在全球大流行期间发生的一些网络安全事件加剧了供应链技术威胁的风险。Kaseya 攻击是最显著的事件之一，该攻击针对网络监控和远程管理软件，影响了多达 1500 家企业。由于 Kaseya 攻击对其运营的影响，一家瑞典连锁杂货店被迫关闭其所有 800 家门店。

管理供应链网络安全风险

在规划时，确保供应链安全必须是重中之重。以下是一些管理供应链网络安全威胁的重要建议：

• 在关键的供应链协议和文档（如采购的 RFP）中包含安全条款。

• 在整个供应链中实施基本的安全措施，例如更改设备的默认密码、限制用户权限和加密通信。

• 更彻底地调查供应商，以确保他们能够充分满足网络安全标准。为此，必须完成详细的安全问卷，并询问供应商有关关键的物理安全措施、访问控制、恶意软件预防和检测技术以及安全编码实践。

• 根据需要监控软件供应链中来自不同供应商的风险敞口。这应该包括一个专门的软件解决方案，该解决方案可以自动执行复杂数字供应链中的供应商风险管理。

• 提高供应链员工对网络安全威胁的认识。应为所有在公司所有供应链运营中工作的员工提供安全教育、培训和意识 (SETA) 计划，以解决供应链风险。

数字供应链管理适用于各种商业模式，从制造商到零售商。通过创建集成的透明网络，所有相关方都可以利用新兴技术轻松跟踪实物产品和信息流。然而，务必意识到供应链威胁日益增长的风险。如果企业希望在数字供应链中同时获得功能和安全性，那么预防是最好的保护措施。