不久前,商誉行业发现其客户的支付数据已被网络罪犯窃取。86.8万个支付卡账户的数据被盗。袭击的入口?黑客利用恶意软件侵入了第三方供应商的系统。
一年前,塔吉特百货(Target)遭遇了一次大规模的、备受关注的数据泄露事件,1.1亿名客户的数据和4000万张支付卡被盗。这家全国性零售商的系统最初是通过与其供应商之一(一家暖通空调供应商)的连接被攻破的。
Goodwill和Target绝不是个例。网络泄露事件正逐年激增,影响着数据的保密性、完整性和可用性;IBM最近的研究表明,仅在2014年至2015年间,此类安全事件的数量就增加了64%。这些统计数字可能只是冰山一角;它们仅指检测到并宣布的安全事件。
零售和电信公司是这类攻击最常见的受害者,但现在,美国的互联网公司物联网(IoT)这也使得制造业和生产同样脆弱。更广泛地说,辅助子系统已被证明容易受到攻击,这令人担忧;黑客通过CD播放机和轮胎压力监测器进入汽车引擎控制电脑的故事广为流传。看似无害的设备被用于大规模的拒绝服务中断;这些攻击最近对亚马逊、BBC、CNN、Netflix和其他家喻户晓的组织造成了严重破坏,打印机、相机和婴儿监视器等联网设备遭到了黑客攻击。
至少同样令人担忧的是:更多的攻击——无论是无意的还是恶意的——来自内部人员:员工、承包商、顾问、供应商和合作伙伴。在近三分之二的事件响应调查中,IT支持的主要组成部分被外包给第三方2013年全球安全报告来自安全服务提供商Trustwave。没有任何业务是独立于合作伙伴或供应商运作的:公司与这些实体的联系范围从通过电子邮件或其他电子交换交换采购订单细节,到供应商控制的设施管理系统,再到集成的设计和生产环境——所有这些都是潜在的安全漏洞。对更高效率和更多创新机会的追求,增加了与供应链中其他企业整合的压力,往往没有适当考虑随之而来的商业风险上升。
当然,并不缺乏将风险最小化的技术和技术。即使在最复杂的业务中,也可以隔离信息,以便在一个业务流程中与供应商完全信任和开放,同时阻止对其他信息的访问。实施这些保障措施不仅仅是一项IT功能;它要求商业领袖考虑他们的信息需求,就像他们考虑他们的物理管道一样,它要求商业人员撰写合同,允许监督供应商的信息安全。
这并不是说商业领袖们没有意识到这些挑战——或者没有在努力。BDO的一项调查显示,超过三分之二(69%)的上市公司董事会成员表示,与12个月前相比,他们的董事会“更多地参与”网络安全事务。这还不够。尽管意识有所提高,但只有三分之一(34%)的公司董事表示,他们已经记录并制定了保护企业关键数字资产的解决方案。显然,必须做得更多。
在实践中,企业高管应该采取风险思维。如果企业领导人不能平衡他们对合作伙伴和供应商的信任与对其底线和价值的风险,那么很少有有用的风险缓解技术能够真正有效。他们必须权衡机会、增长和盈利能力与风险,并根据自己的商业判断做出有意识的投资决策。高管和董事们有责任对自己进行网络安全教育,并赋予自己做出明智决策的权力。
该命令的明显部分是尽量减少任何数据泄露的可能性,从而减少任何数据泄露的后果——无论它发生在供应链的哪个位置。对于上市公司来说,其后果可能是深远的:在美国,证券交易委员会(Securities and Exchange Commission)的指导要求公司不仅要在重大网络安全事件发生时披露,还要披露可能发生的重大风险。对于那些外包具有重大风险的职能的公司,指南要求描述这些职能以及公司如何处理风险。但健全的网络安全也有一个好处:真正采用适当平衡的网络安全措施的公司,可能会建立起相对于竞争对手而言具有相当大优势的能力。
任何供应链都有内部和外部的网络漏洞。本文主要关注后者,但为了上下文,有必要简要介绍一下内部问题。
在组织内部,系统正变得越来越容易受到网络攻击。在制造业中尤其如此,基于专有技术的工业控制系统(ics)历来控制自动化生产过程。这些系统与网络是隔离的,这意味着要使用它们,工厂操作员必须亲自到场并知道如何使用它们。
然而,随着时间的推移,ICS系统(例如SCADA)开始使用“标准”技术(例如Windows操作系统或SQL服务器作为数据库),并且现在连接到公司网络,因此它们可以在整个企业中整合和共享信息。这提供了显著的附加价值,因为它使公司能够远程监控和管理生产,但它也增加了受到网络攻击的机会。
此外,现在有更多的方法来访问工业控制系统。一旦它们更广泛地联网,物理访问就不再需要了。然后,该系统可能会被遍布公司网络的恶意软件访问。恶意软件不再需要为专有操作系统定制编写,因为新系统基于通用的商业平台。现在,如果没有适当的保护,企业IT系统上的一个简单的恶意软件感染可以很容易地传播到工业系统。
当你走出公司的四面墙时,这个问题同样令人担忧。大多数公司现在管理着数百甚至数千个外部供应商关系,其中大多数涉及某种程度的信息共享和访问。这就产生了严重的漏洞,特别是当这些过程是自动化的时候。公司可以在IT外围建立防火墙来保护其信息的防御工事已经一去不复返了;大多数公司甚至不能再围绕自己的网络边界划出一条清晰的界限,因此自己的网络与合作伙伴的网络之间的界限变得模糊。供应商的整合,加上云计算服务的采用,以及自带设备(BYOD)和远程办公等员工计划,几乎完全消除了企业的边界。
一些公司现在正在努力寻找管理和治理这个问题的方法,这不仅仅是一个IT或采购问题。这是一个全公司范围的风险问题,现在正引起法律和合规团体的注意。那么,需要什么呢?答案是发展更复杂的监督项目。
那么,如何才能做到这一点,从而减轻供应链中的网络安全风险呢?如今,对于网络安全的总体应对措施,并不缺乏可靠的信息。但本文的作者发现,以下方法与防范外部供应链的破坏特别相关。
•映射供应链中的数据流。大多数商业领袖现在都认识到数据是一项主要资产,但很少有人清楚地了解数据如何流入和流出他们的公司,他们与谁共享数据,以及如何管理和控制这些数据流——无论是内部还是外部。
•计划一个全面的风险评估。不应将本组织的网络安全方法与其主流业务活动分开看待;它们之间的联系太紧密了。防护水平必须与事故的潜在影响和可能性成正比。出于这个原因,信息安全风险评估可能是评估供应链安全性和确定要解决的关键领域的正确方法。评估将超越上述数据映射。理想情况下,一个独立的第三方可以帮助确保评估的客观性。
•与新兴标准保持一致。随着企业意识到网络安全风险,特别是在供应链方面,新的标准已经制定出来。特别是,美国国家标准与技术研究院(NIST)和国际标准化组织(ISO)等组织已经发布了与网络安全管理相关的框架和指南。这些框架是由政府和私营部门合作创建的,使用一种共同的语言,根据业务需求以经济有效的方式解决和管理网络安全风险,而不会对企业提出额外的监管要求。NIST还制作了一个关于该框架的动画短片*,供企业高管和网络安全专业人士观看。
许多其他组织和标准制定社区也采用了自己的框架。这些框架最重要的特征之一是它们强调了应对网络攻击所需能力的重要性。我们的理解是,攻击是不可避免的,因此,与其仅仅寻求防范攻击,还不如建立具有快速响应能力的系统,并在理想情况下将攻击可能造成的损害降到最低,这一点至关重要。
•在所有供应链合同中设定明确的期望。诚然,这说起来容易做起来难。是的,围绕安全级别和保证的合同条款是必要的一步,但许多公司正在努力界定此类条款所需的具体级别,并在网络安全审计和执法监督问题上苦苦挣扎。当你有成千上万的供应商时,你怎么可能审核他们所有的安全控制?审计你自己的已经够难的了。第三方认证和认证是有帮助的,但在认证的范围和有效性方面仍有很多灰色地带。对于供应商来说,获得认证既昂贵又耗时,而且很难定义他们需要的认证级别和类型。
此外,并不是所有的认证都是平等的,公司必须警惕供应商的聪明营销,例如,吹嘘新数据中心的认证。客户必须密切关注,以确保正在认证的是供应商自己的控制,而不仅仅是供应商正在使用经过认证的第三方数据中心。
简单是最安全的方法:组织应确保其所有外包合同都要求其供应商遵守已定义的成熟度和审计标准;他们对供应商也这样做;他们同意每年至少提供一次网络安全审计结果。如果供应商不能显示这样的结果,并且不愿意同意这样的做法,那么也许应该重新考虑他们的供应商地位。
•投保,但不要依赖它。当然,保险可以帮助转移风险,但我们现在看到,这往往不足以弥补损失。例如,几年前家得宝(Home Depot)的大规模数据泄露事件曾成为世界各地的头条新闻,现在它的成本高达数亿美元,还有数十起诉讼悬而未决。大多数旨在弥补网络安全漏洞损失的保单的上限通常在1亿美元左右,而许多此类保单的覆盖范围存在无数缺口。此外,如果公司没有认真评估和管理其数据共享关系,则可能会拒绝覆盖或限制覆盖。围绕安全要求、数据隐私、跨境数据传输和数据本地化法律的监管框架的拼凑只会使问题复杂化,并使治理变得更加复杂。
供应商有什么义务?当他们认识到自己在保护供应链免受网络攻击方面的角色和责任时,以及在网络罪犯入侵时为系统建立更多的弹性时,他们应该优先考虑什么?
作为基础,供应商应该了解他们应该提供哪些安全保护来保护客户的数据。当然,一个先决条件是他们承认并评估他们之间的连通性,从而清楚地了解他们作为供应商可能因处理供应链数据而引入的风险。
同时,供应商应努力符合公认的安全认证。其中最常见的包括美国健康保险流通与责任法案(HIPAA)评估、美国注册会计师协会服务组织控制报告(SOC 2)和支付卡行业数据安全标准(PCI-DSS)。作为建议,供应商应符合ISO 27001:2013标准-国际适用的信息安全管理体系。然而,仅仅遵守这些认证可能还不够;供应商必须寻求并努力遵守针对其行业和客户需求的认证。
此外,供应商必须帮助防止供应商欺诈——这是一个日益严重的问题,尽管它不需要作案者的技术专长。如果采购或财务团队被供应商发来的看似合法的电子邮件所欺骗,要求更改银行详细信息以获得大笔付款,他们的客户将蒙受巨大损失。为了最大限度地减少无意中导致此类欺诈的可能性,供应商应主动努力与客户建立更好的沟通渠道——例如,商定一个流程,其中包括进一步确认其银行详细信息的任何此类更改的附加步骤。
到目前为止,我们一直强调防范网络安全漏洞的负面影响。但也有一个更积极的观点:高水平的供应链数据安全可以用于竞争优势。例如,在其网站上推广其网上银行和手机银行服务的ISO 27001认证
可以预期,越来越多的客户会寻求明显高水平的安全性。能够展示真正的安全框架认证(如ISO 27001)的供应商可以预期能够将这些证书纳入其定价和未来的合同谈判中。此外,经过验证的网络安全证书可以用来建立差异化——表明一个公司在其市场上比其他公司更安全。
显然,供应链网络安全这一话题恰逢其时,也充满了自身的挑战。要描述的微妙之处和解释远比一篇文章所能描述的要多。但是,如果作者希望传达一个信息,那就是这个问题不能推迟到下次董事会会议,或者更糟的是,推迟到下一次安全漏洞。英国战时领导人温斯顿·丘吉尔以坚持“今天就行动”而闻名。我们认为,这是应对21世纪诸多网络安全冲击的恰当箴言。
* NIST的视频可以在nist.gov/cyberframework上观看
**可以查看巴克莱银行的在线认证在这里