编者注:这是探索数据在数字供应链转型中的关键作用的五部分系列文章的第5部分。
你可以阅读第一部分点击这个链接
你可以阅读第二部分点击这个链接.
你可以阅读第三部分点击这个链接.
你可以阅读第四部分点击这个链接.
你可以阅读第五部分点击这个链接.
在这个由五部分组成的系列文章中,我们分享了数据在数字供应链中的核心作用。然而,伴随着它提供的巨大机会,数字供应链也产生了新的风险。数据保护和网络安全现在必须成为任何供应链风险管理计划的重要组成部分。
随着企业在内部和整个供应链中进行数字化转型,越来越多的关键数据正在影响深远的全球供应链中共享。竞争优势越来越多地来自于机密的商业数据——商业秘密、工艺诀窍和专有算法。公司之间的协作和数据集成越来越多,这使得数据保护变得更加复杂。
此外,消费者数据及其利用的爆炸式增长推动了有关如何存储、处理、传输和使用个人身份信息(PII)的法规浪潮。从欧洲的《通用数据保护条例》(GDPR)到加州的《消费者隐私法》(CCPA),再到中国新的《个人信息保护法》,法规正在席卷全球。公司已经通过建立数据隐私计划来应对他们如何在内部以及与供应链合作伙伴处理个人身份信息。
如今,公司需要关注保护机密商业信息和商业秘密,并遵守数据隐私法规。网络安全攻击对业务连续性和数据丢失都是毁灭性的。
每一个有效的计划都需要从评估风险开始,并优先考虑哪些数据和系统是最重要的。在数据保护和网络安全的情况下,重要的是要从两个角度来评估风险:数据丢失或泄露和业务连续性。评估商业机密公开或关键库存和运输数据被更改的负面影响。但也要评估无法发送或接收付款或购买订单的负面影响。
在内部管理数据丢失和业务连续性风险已经足够困难了。现在,将成千上万的供应商、分销商和客户添加到数字供应链的数据流中。如果不考虑第三方风险,就不应该考虑网络安全。相反,你的供应链上的公司,即使是小公司,也不应该认为他们是安全的,因为你“没有黑客想要的任何东西”。
在当今相互联系的数字世界中,任何规模的组织都是潜在的目标。黑客会试图通过你进入另一家公司,他们会试图通过你的客户或供应商进入你。由于新的混合型(远程/办公室)工作场所,整个情况变得更加复杂。你的员工可能会从家里到办公室轮流工作,使用不同的设备和连接方式。虽然你可能觉得情况在你的控制之中,但你的供应链合作伙伴呢?
在过去的18个月里,部分是为了直接应对疫情,黑客们系统地专注于供应链网络攻击,通常以勒索软件的形式进行。将大型跨国公司的供应链中的公司作为目标有几个原因。许多供应商都是中小型公司,网络安全控制系统远没有那么复杂。供应商可以通过其连接的企业资源规划系统成为通往主要目标的门户。加上削弱供应商可以直接影响跨国公司的业务连续性。
SolarWinds的黑客攻击提醒我们,网络安全是一个供应链问题。SolarWinds只是一个入口,而不是最终目标。但这并不是一个新的供应链问题。2014年的塔吉特(Target)泄密事件是一个广为人知的例子,黑客利用一家公司(一家暖通空调供应商)来攻击他们的真正目标(塔吉特)。
这两个例子都很好地说明了为什么供应链网络安全如此重要。黑客有系统地利用供应链公司作为访问高价值目标的门户。
供应链、IT、网络安全、法律和合规之间的跨职能协调对于建立一个实用的、可持续的项目来保护数据和降低网络风险至关重要。要记住两点:
•第一,你不能在公司周围筑起牢不可破的高墙,因为数据需要流向供应链中的其他公司。
•二,人类行为对数据保护和网络安全至关重要。
对于大公司来说,你应该立即与你的供应链合作伙伴采取一些基本步骤,帮助他们保护自己,最终保护你。最重要的是,你的供应链中的每个公司都应该有一个指定的、训练有素的网络领导者。通过关注人类行为,负责建立网络安全文化的人。他们不需要成为技术专家。他们需要能够传达每个人养成良好的网络习惯是多么重要。他们需要确保公司围绕四个核心问题制定一些简单的政策:
密码短语:使用15个字符的密码短语。据报道,太阳风的一些员工使用“solarwinds123”作为他们的密码。不要让黑客轻易破解你的密码。任何8个字符的密码都可以在3分钟内被破解,但在同样的计算能力下,一个13个字符的密码需要520万年。
•多因素认证:随时使用。如果没有提供,考虑切换到提供它的软件或服务。
•网络钓鱼:对员工进行重新培训,让他们了解如何识别网络钓鱼邮件或短信。这封邮件甚至可能看起来像是来自他们公司的其他人或你的公司。强调千万不要打开任何可疑的附件或链接。告诉员工通过其他渠道联系发件人,以核实其真实性。
•设备:鼓励第三方审查他们的员工使用哪些设备连接到他们的网络或您的网络。如果他们使用的是个人设备,请确保他们遵守密码和多因素身份验证的规则。避免使用usb和可移动媒体传输文件。
所有公司都迫切需要将其网络安全文化扩展到其供应链合作伙伴。推动你供应链上的公司养成良好的网络习惯。这对你的公司和你接触过的每一家公司都至关重要。
作者简介:克雷格·莫斯(Craig Moss),数据与变革管理总监全球企业中心数字供应链研究所(DSCI)。要了解更多信息,访问DSCI.