供應鏈成為駭客有利可圖的目標

網路安全理應是讓我們採購和供應鏈人員夜不成眠的話題。把網路安全交由 IT 部門負責很誘人，但現實情況是，隨著人們逐漸意識到供應鏈是大多數組織的關鍵 (對電子製造商來說尤其如此)，惡意人士將更頻繁地將供應鏈視為有利可圖的目標。

這也會引發骨牌效應：投資人會擔心網路安全和相關稽查，組織就要對供應鏈的多重層面進行敦促，以確保下游發生的事件不會阻礙與運輸、物流、合作廠商或供應商夥伴的業務往來。

衡量市場

市場數據更證實這一點。Research and Markets 在 2023 年 1 月的一份報告中預測，全球供應鏈的安全市場將從 2022 年預估的 20 億美元增長到 2027 年的 35 億美元，年均複合成長率 (CAGR) 為 11%¹。這些數據將專業安全分析師和其他專業服務的聘用納入考量，包括支援和維護、培訓和教育。儘管規模較小的組織可能會在網路安全的預算上遭遇困難，但對任何規模的組織來說整體影響都很顯著：在攻擊不斷增加的市場中，要提高透明度並降低風險。

事實上，2022 年的 Verizon 資料外洩報告² (自 2008 年以來就開始追蹤網路安全事件) 就指出，在 7,013 起已識別的系統入侵事件中 (包括社群媒體、惡意軟體和駭客攻擊)，源自供應鏈的就佔 62%。這些攻擊中，絕大多數 (93%) 都出於經濟動機，且近三分之一都經過確認有資料外洩。

圖 1：製造業事件背後的動機 (隨時間推移)。與過去相比，駭客更頻繁朝製造業發動攻擊以尋求經濟利益。阻斷服務 (DoS) 攻擊逐漸變成最常見的事件。DoS 攻擊在 2018 年的報告中初次達到頂峰 (佔事件的 40% 以上)，但自 2019 年以來就不斷增加，現在約佔事件的 70%。(圖片來源： Verizon)

保持安全

要比網路犯罪分子搶先一步顯然不容易，但大多數組織都已經計畫相關投資。根據 Gartner 最近的一份報告，此類投資通常是對合作夥伴進行稽查，包括供應商、承包商和物流夥伴。事實上，65% 的受訪者都提到稽查，也有不少指出會對 IT 廠商 (40%) 或供應鏈 (39%) 採行風險管理工具³。絕大多數組織表示，會增加供應鏈網路安全方面的支出；其中有 63% 的受訪者表示，會有顯著甚至重大投資 (圖 2)。

圖 2：供應鏈網路安全支出的每年變化。十個組織中有九間都打算在未來一年內增加供應鏈安全的支出，只有 2% 的組織計畫減少投資。這些組織的目標是盡可能讓人工作業的評估、稽查和驗證工作達到自動化，以提高這些工作的可負擔性和效力。(圖片來源：Gartner)

Gartner 認為自動化和工具的擴大運用是這個趨勢的關鍵推手之一。報告指出：「受訪的主管表示，希望在已知威脅發生後從原本的應對與復原，轉變成持續且預測性的威脅監測。也希望將網路風險減緩的概念進一步深植到供應鏈作業中。」

人才難尋

網路安全層面的支出只是問題的一部分。目前，網路安全人才的需求和供給之間有巨大落差。去年 10 月，白宮就認定缺額達 700,000 名⁴。目前，美國政府表示，會將網路安全列為優先要務，特別是增加網路人才、網路培訓和教育以及提升數位認知方面的工作。綜觀全球，這個問題更令人震驚。(ISC)² 的網路安全人才研究顯示，全球人力缺口達 340 萬人⁵。除了採用上述的自動化 (能讓組織用更少的人力完成更多工作) 之外，還有一些策略可能有助於縮小差距：

• 提供彈性的工作條件以成為理想僱主
• 為既有員工投資更多的培訓和認證
• 將一些工作外包和交由服務供應商處理

發生網路安全事件會登上媒體焦點並有損組織形象，甚至會造成數百萬美元的損失。隨著供應鏈活動的形象和重要性不斷提高，有必要認真思考採取廣泛且深入的網路安全策略。自動化和科技將是關鍵工具，策略性地人才招募和培訓也有助於確保供應鏈的安全。

參考資料：

1: https://www.globenewswire.com/news-release/2023/01/19/2591533/0/en/Supply-Chain-Security-Global-Market-Report-2022-Increasing-Demand-for-Enhanced-Security-of-Supply-Chain-Transactions-Bolsters-Growth.html

2: https://www.verizon.com/business/resources/reports/dbir/

3: https://www.gartner.com/en/supply-chain/trends/supply-chain-cybersecurity

4: https://www.whitehouse.gov/oncd/briefing-room/2022/10/03/office-of-the-national-cyber-director-requests-your-insight-and-expertise-on-cyber-workforce-training-and-education/

5: https://www.isc2.org/Research/Workforce-Study