防范网络威胁

不久前，商誉行业发现其客户的支付数据已被网络犯罪分子破坏。86.8万个支付卡账户的数据被盗。袭击的入口在哪里?黑客使用恶意软件侵入了第三方供应商的系统。

一年前，塔吉特百货公司(Target)遭遇了一起大规模且高度公开的数据泄露事件，1.1亿客户和4000万张支付卡的数据被盗。这家全国零售商的系统最初是通过与其供应商之一(一家暖通空调供应商)的连接被攻破的。

Goodwill和塔吉特百货绝不是个例。网络入侵逐年激增，影响了数据的保密性、完整性和可用性;IBM最近的研究表明，仅在2014年至2015年间，此类安全事件的数量就增加了64%。这些统计数据可能只是冰山一角;它们仅指检测到并声明的安全事件。

零售和电信公司是这类攻击最常见的受害者，但现在物联网(IoT)也让制造业和生产变得同样脆弱。更广泛地说，辅助子系统已被证明容易受到攻击;汽车引擎控制电脑被黑客通过CD播放机和轮胎压力监控器入侵的故事被广泛报道。看似无害的设备已被用于大规模的拒绝服务中断;这些攻击最近对亚马逊、BBC、CNN、Netflix和其他家喻户晓的组织造成了严重破坏，打印机、相机和婴儿监视器等联网设备都遭到了黑客攻击。

至少同样令人担忧的是:更多的攻击——无论是无心的还是恶意的——来自内部人士:员工、承包商、顾问、供应商和合作伙伴。在近三分之二的事件响应调查中，IT支持的主要组成部分被外包给第三方2013年全球安全报告来自安全服务提供商Trustwave。任何业务都离不开合作伙伴或供应商:公司与这些实体的联系范围很广泛，从通过电子邮件或其他电子交换采购订单细节，到供应商控制的设施管理系统，再到集成的设计和生产环境，所有这些都是潜在的安全漏洞。对更高效率和更多创新机会的追求增加了与供应链中其他企业整合的压力，而往往没有适当考虑随之而来的业务风险上升。

当然，我们并不缺乏将这种风险降至最低的技术和技术。即使在最复杂的业务中，也可以隔离信息，以便在一个业务流程中与供应商完全信任和开放，同时阻止对其他信息的访问。这些保障措施的实施不仅仅是一项IT职能;它要求商业领袖像考虑他们的实体渠道一样仔细考虑他们的信息需求，并要求商业人员撰写合同，允许监督供应商的信息安全。

这并不是说企业领导人没有意识到这些挑战——或者没有尝试。BDO的一项调查显示，超过三分之二(69%)的上市公司董事会成员表示，与12个月前相比，他们的董事会“更多地参与”网络安全。这还不够。尽管意识有所提高，但只有三分之一(34%)的企业董事表示，他们已经记录并开发了保护企业关键数字资产的解决方案。显然，还有更多工作要做。

在实践中，企业高管应该采取风险心态。如果企业领导者不能在他们对合作伙伴和供应商的信任与他们的底线和价值面临的风险之间取得平衡，那么很少有有用的风险缓解技术能够真正有效。他们必须权衡机会、增长和盈利能力与风险，并根据自己的商业判断做出明智的投资决策。高管和董事有责任对自己进行网络安全教育，并使自己能够做出明智的决定。

显而易见的是，无论数据泄露发生在供应链的哪个环节，都要将数据泄露的可能性和后果降至最低。对于上市公司来说，后果可能是深远的:在美国，证券交易委员会(Securities and Exchange Commission)的指导意见要求，公司不仅要披露发生的重大网络安全事件，还要披露可能发生的重大风险。对于那些外包具有重大风险的职能的公司，指南要求描述这些职能以及公司如何应对风险。但健全的网络安全也有一个好处:真正采用适当平衡的网络安全措施的公司可以建立可能使他们相对于竞争对手具有相当大优势的能力。

供应链的两个致命弱点

任何供应链都有内部和外部的网络漏洞。本文主要讨论后者，但是为了了解上下文，有必要简要地看一下内部问题。

在组织内部，系统正变得越来越容易受到网络攻击。这在制造业中尤其如此，在制造业中，基于专有技术的工业控制系统(ics)历来控制自动化生产过程。这些系统是与网络隔离的，这意味着要使用它们，工厂操作员必须亲自在场，并知道如何使用它们。

然而，随着时间的推移，ICS系统(例如SCADA)开始使用“标准”技术(例如Windows操作系统，或SQL server作为数据库)，现在连接到企业网络，以便它们可以在整个企业范围内整合和共享信息。这提供了显著的附加价值，因为它使企业能够远程监控和管理生产，但也增加了遭受网络攻击的机会。

此外，现在有更多的方法访问工业控制系统。一旦它们更广泛地联网，就不再需要物理访问了。然后，该系统可能会被散布在公司网络中的恶意软件访问。恶意软件不再需要为专有操作系统定制编写，因为新系统基于通用的商业平台。现在，如果没有适当的保护，企业IT系统上的一个简单的恶意软件感染很容易传播到工业系统。

当你走出公司的四面墙时，这个问题同样令人担忧。大多数公司现在管理着成百上千的外部供应商关系，其中大多数涉及某种程度的信息共享和访问。这就产生了重大的漏洞，特别是当这些流程是自动化的时候。设防的日子一去不复返了，公司可以在IT周边建立防火墙，保护自己的信息;大多数公司甚至无法在自己的网络边界上划一条清晰的界线，因此他们的网络与合作伙伴的网络之间的界限变得模糊。供应商集成，以及采用云计算服务和员工计划，如自带设备(BYOD)和远程办公，几乎完全消除了企业边界。

一些公司现在正在努力寻找管理和治理这个问题的方法，这不仅仅是一个IT或采购问题。这是一个全公司范围的风险问题，现在已经引起了法律和合规组织的注意。那么，我们需要什么呢?答案是发展更复杂的监督程序。

抑制外部供应链风险

那么，如何才能做到这一点，从而减轻供应链中的网络安全风险呢?如今，我们并不缺乏有效的信息来描述对网络安全的总体反应。但本文作者发现，以下方法尤其适用于防范外部供应链的破坏。

•映射供应链中的数据流。大多数企业领导人现在都认识到数据是一项主要资产，但很少有人清楚地了解数据是如何流入和流出公司的，他们与谁共享数据，以及这些数据是如何在内部和外部进行管理和控制的。

•计划一个全面的风险评估。该组织的网络安全方法不应脱离其主流业务活动来看待;它们之间的联系太紧密了。保护水平必须与事件的潜在影响和可能性成正比。因此，信息安全风险评估可能是评估供应链安全并确定需要解决的关键领域的正确方法。评估将超越上面提到的数据映射。理想情况下，应该由第三方进行评估，其独立性有助于确保评估的客观性。

•与新兴标准保持一致。随着企业意识到网络安全风险，特别是在供应链方面，新的标准已经制定出来。特别是，美国国家标准与技术研究院(NIST)和国际标准化组织(ISO)等组织已经发布了与网络安全管理相关的框架和指南。这些框架由政府和私营部门合作创建，使用一种共同的语言，根据业务需求以具有成本效益的方式应对和管理网络安全风险，而不会对企业提出额外的监管要求。NIST还制作了一段简短的动画视频*，介绍了该框架，面向高管和网络安全专业人士。

许多其他组织和标准制定社区也纷纷效仿，推出了自己的框架。这些框架最重要的特征之一是强调应对网络攻击所需能力的重要性。我们的理解是，攻击是不可避免的，因此，与其只是寻求防范它们，还不如构建具有快速响应能力的系统，并在理想情况下将它们可能造成的损害降至最低。

•在所有的供应链合同中设定明确的期望。诚然，这说起来容易做起来难。是的，围绕安全级别和保证的合同条款是必要的一步，但许多公司正在努力定义此类条款所需的具体级别，并努力解决网络安全审计和执法监督问题。当你有数千个供应商时，你怎么可能审计他们所有的安全控制呢?审计自己的已经够难的了。第三方认证和认证是有帮助的，但在认证的范围和有效性方面仍存在大量灰色地带。对于供应商来说，获得认证既昂贵又耗时，而且很难定义他们需要的认证级别和类型。

此外，并不是所有的认证都是平等的，例如，公司必须警惕供应商吹嘘其新数据中心认证的巧妙营销。客户必须仔细观察，以确保是供应商自己的控制得到了认证，而不仅仅是供应商使用了经过认证的第三方数据中心。

简单是最安全的方法:组织应该确保他们所有的外包合同都要求他们的供应商遵守定义的成熟度和审计标准;他们与他们的供应商轮流这样做;他们同意每年至少提供一次网络安全审计结果。如果供应商不能展示这样的结果，并且不愿意同意这样的做法，那么也许应该重新考虑他们的供应商地位。

•保险，但不要依赖保险。当然，保险范围可以帮助转移风险，但我们现在看到，它往往不足以弥补损失。例如，家得宝(Home Depot)的大规模数据泄露事件几年前曾在全球成为头条新闻，现在它的成本高达数亿美元，而且仍有数十起诉讼悬而未决。大多数旨在赔偿网络安全漏洞造成的损失的保单的上限通常在1亿美元左右，许多此类保单的承保范围存在无数缺口。此外，如果公司不努力评估和管理其数据共享关系，覆盖可能会被拒绝或限制。围绕安全需求、数据隐私、跨境数据传输和数据本地化法律的监管框架只会使问题更加复杂，并使治理更加复杂。

供应商应如何处理客户信息

供应商有什么义务?当涉及到他们在保护供应链免受网络攻击方面的角色和责任时，他们应该优先考虑什么，并在网络罪犯入侵时为他们的系统建立更多的弹性?

作为基础，供应商应该了解他们应该提供的安全保护来保护客户的数据。当然，前提条件是他们承认并评估他们之间的连通性，从而清楚地了解他们作为供应商在处理供应链数据时可能引入的风险。

同时，供应商应努力遵守公认的安全认证。其中最常见的包括美国健康保险可携带性和责任法案(HIPAA)评估、美国注册会计师协会服务组织控制报告(SOC 2)和支付卡行业数据安全标准(PCI-DSS)。作为一项建议，供应商应与国际适用的信息安全管理体系ISO 27001:2013标准保持一致。然而，仅仅遵守这些认证是不够的;供应商必须寻求并努力遵守针对其行业和客户需求的认证。

此外，供应商必须帮助防止供应商欺诈——这是一个日益严重的问题，尽管这并不需要肇事者的技术专长。如果采购或财务团队被供应商发出的看似合法的电子邮件欺骗，要求更改银行详细信息以换取大额付款，他们的客户将蒙受巨大损失。为了最大限度地减少在不知情的情况下启用此类骗局的可能性，供应商应该积极主动地与客户建立更好的沟通渠道——例如，商定一个流程，其中包括进一步确认银行详细信息的任何此类更改的额外步骤。

网络安全能创造什么机遇?

到目前为止，我们一直强调防范网络安全漏洞的不利方面。但也有一种更积极的观点:高度的供应链数据安全可以用来获得竞争优势。例如，在其网站上宣传其网上银行和移动银行服务的ISO 27001认证

可以预期，越来越多的客户会寻求明显的高安全性。供应商可以展示真正的安全框架认证，如ISO 27001，可以想象，能够将这些证书考虑到他们的定价和未来的合同谈判中。此外，经过验证的网络安全证书可以用来建立差异化——显示一个公司在其市场上比其他公司更安全。

显然，供应链网络安全的话题恰逢其时，也充满了自身的挑战。要描述的微妙之处和解释远远超过一篇文章所能列出的。但是，如果作者希望传达一个信息，那就是这个问题不能推迟到下一次董事会会议——或者更糟，直到下一次安全漏洞。英国战时领导人温斯顿·丘吉尔以坚持“今天就行动”而闻名。我们认为，这是应对21世纪众多网络安全攻击的恰当格言。

* NIST的视频可以在nist.gov/cyberframework上观看
**可以查看巴克莱的在线认证在这里