供應鏈技術的進步引發安全疑慮

包括人工智慧 (AI)、大數據、分析和區塊鏈在內的各種技術正在大幅改變供應鏈的運作方式。供應鏈比以往更快、更準確且更具預測性。一切都很好。但真是如此？在這些進步之下，至少有一個重大漏洞也隨之而來：網路安全的風險增加。連網的供應鏈對技術嫻熟的網路犯罪分子來說，有更多的攻擊媒介和更豐厚的回報，甚至有跨越多個組織的可能性。這也讓供應鏈成為虎視眈眈的目標。

網路攻擊不可避免

隨著供應鏈的網路攻擊越來越普遍，組織必須對攻擊有所預期並規劃應對措施，而非只是預防攻擊而已。簡而言之，網路攻擊已經是「何時」而非「如果」的問題。

Gartner 在 2022 年《供應鏈在複雜度升高下蓬勃發展之調查》¹ 中發現，31% 的受訪者表示，在過去兩年間，他們都有經歷過影響供應鏈運作的網路攻擊。該市場研究公司預測，此數字在 2025 年將增加到 45% ²。此外，根據 Verizon 的 2024 年資料外洩調查報告 (DBIR) 顯示，人為失誤仍是常見的攻擊媒介之一，包括透過電子郵件的網路釣魚攻擊、某人撿到並插入遭受感染的隨身碟、勒索軟體和其他與詐欺相關的威脅都在增加，與去年相比，增加了 180% ³ (圖 1)。

圖 1：人類仍然是最容易受到攻擊的侵入點，因此勒索軟體和詐欺越來越普遍。(圖片來源： Verizon DBIR)

這類安全破洞在時間和金錢方面代價高昂。根據 Ponemon Institute 的《2023 年內部風險成本全球報告》，產業安全漏洞的平均成本上升到每個組織 1,620 萬美元，事件圍堵的時間中位數為 86 天。⁴ 相比前一年的統計數據則為 1,540 萬美元和 85 天。這些統計數據甚至並未納入組織的品牌成本。

網路攻擊經常出現在頭條新聞中，高科技和製造業是重要目標。去年，製造業是網路犯罪分子最常鎖定的目標 (圖 2)。在近期的技術發展下，網路安全對組織的成功來說相當關鍵。有鑑於此，企業在網路安全上的投資一直逐漸增加。到 2025 年，全球預算總額預計將達到 2,120 億美元，比 2024 年成長 15.1%。⁵

圖 2：去年，製造業是網路犯罪分子最常鎖定的目標。(圖片來源：Statistica)

安全最佳實務

在這個充滿活力和變化的環境，採購部門必須優先規劃網路安全措施，並將整個供應鏈中的內部員工、客戶和供應商都納入考量。在組織中，網路安全必須維持優先重點項目，並在定期風險評估中納入考量。培養網路意識並在網路安全韌性上加以投資相當重要。一些最佳實務包括：

• 資料加密：使用先進加密標準 (AES) 將所有資料類型加密。美國政府選擇這種對稱式分組加密來保護機密資訊。
• 保護員工憑證與存取：人類容易出錯，因此要加強訓練和定期提醒。員工是公司的第一道防線，必須具備判別網路釣魚電子郵件和可疑連結的能力，更要保護好登入資訊。
• 訓練要反映現實生活：讓員工瞭解真實情況，以及這些網路攻擊會對公司及合作夥伴有何影響。定期提供有關新型攻擊的最新資訊：生動的資訊更容易記住。
• 進行滲透測試：聘請專家來掃描漏洞，並在漏洞遭到入侵前加以解決。更新弱密碼，並且保護資料庫、端點和網路。
• 針對問題進行規劃：制訂並維護直覺可行的事件因應計畫，並採取可部署的補救措施。定期測試。

合作夥伴之路

確保 Tier 1 以下合作夥伴的資訊安全策略到位，跟優先考量組織內部的網路安全同等重要。制定資訊安全檢查表，確保合作夥伴加以遵守。此外，也要鼓勵合作夥伴在供應鏈內深入推廣這些優良實務。CSA 雲端控制矩陣針對 17 個領域提供 197 項控制目標，涵蓋雲端安全和合規性的關鍵層面。⁶ 如果您的合作夥伴容易遭受攻擊，就可能成為攻擊媒介，導致惡意人士入侵您的組織。

安全如同一場青蛙過街遊戲。好人創造了一種保護系統和資料的新方法後，壞人就會想出一套破壞的方式。隨著先進技術日益普及，保持警戒並遵守最佳實務是保持安全的重要關鍵。

參考資料

1: https://www.scmr.com/article/tackling_hidden_risks_in_the_supply_chain_insights_for_procurement_leaders - :~:text=According to Gartner’s 2022 Thriving Amid Heightened Complexities Supply Chain Survey, 31%25

2: https://aratum.com/perspective/emerging-threats-in-supply-chain-cybersecurity-in-2024/#:~:text=The%20Most%20Compelling%20Cybersecurity%20Stats%20of%202022%20%7C%20Alert%20Logic

3: https://www.verizon.com/business/resources/reports/dbir/

4: https://ponemonsullivanreport.com/2023/10/cost-of-insider-risks-global-report-2023/

5: https://www.gartner.com/en/newsroom/press-releases/2024-08-28-gartner-forecasts-global-information-security-spending-to-grow-15-percent-in-2025

6: https://cloudsecurityalliance.org/research/cloud-controls-matrix