数字供应链中的数据保护

编者按:本文是本系列文章的第5部分，本系列文章将探讨数据在数字化供应链转型中的关键作用。

你可以阅读第一部分点击此链接
你可以阅读第二部分点击此链接．
你可以阅读第三部分点击此链接．
你可以阅读第四部分点击此链接

在这个由五部分组成的系列中，我们分享了关于数据在数字供应链中的核心作用的想法。然而，在提供巨大机遇的同时，数字化供应链也带来了新的风险。数据保护和网络安全现在必须成为任何供应链风险管理计划的重要组成部分。

随着企业在内部和整个供应链进行数字化转型，越来越多的关键数据正在影响深远的全球供应链中共享。竞争优势越来越多地来自机密的商业数据——商业秘密、工艺诀窍和专有算法。公司之间的合作和数据集成越来越多，这使得数据保护更加复杂。

此外，消费者数据及其利用的爆炸式增长也推动了一波关于个人身份信息(PII)如何存储、处理、传输和使用的法规。从欧洲的《通用数据保护条例》(GDPR)到加州的《消费者隐私法》(CCPA)，再到中国的新《个人信息保护法》，法规正在席卷全球。作为回应，各公司建立了数据隐私计划，以便在内部和供应链合作伙伴之间处理个人身份信息。

如今，公司需要关注保护机密的商业信息和商业秘密，并满足数据隐私法规的要求。网络安全攻击可能对业务连续性和数据丢失造成毁灭性影响。

每一个有效的项目都需要从评估风险开始，并优先考虑哪些数据和系统最需要保护。在数据保护和网络安全方面，重要的是要从两个角度评估风险:数据丢失或泄露以及业务连续性。评估商业秘密公开或关键库存和运输数据被更改的负面影响。但也要评估无法发送或接收付款或购买订单的负面影响。

在内部管理数据丢失和业务连续性风险已经很困难了。现在，将成千上万的供应商、分销商和客户添加到数字供应链中的数据流中。在考虑网络安全时，一定要考虑第三方风险。相反，你供应链上的公司，即使是小公司，也不应该认为他们是安全的，因为你“没有黑客想要的东西”。

在当今互联的数字世界中，任何规模的组织都可能成为潜在目标。黑客会试图通过你进入另一家公司，他们会试图通过你的客户或供应商进入你。由于新的混合(远程/办公室)工作场所，整个情况变得更加复杂。你的员工可能会从家到办公室轮流工作，使用不同的设备和连接。虽然你可能觉得你已经控制了局面，但你的供应链合作伙伴呢?

在过去18个月里，部分是为了直接应对疫情，黑客系统地关注供应链网络攻击，通常以勒索软件的形式进行。针对大型跨国公司供应链中的公司有几个原因。许多供应商都是中小型公司，网络安全控制手段远没有那么成熟。供应商可以通过其连接的企业资源规划系统成为通往主要目标的网关。另外，削弱供应商可以直接影响跨国公司的业务连续性。

太阳风公司的黑客攻击提醒人们，网络安全是一个供应链问题。太阳风只是一个入口，而不是最终目标。但这并不是一个新的供应链问题。2014年塔吉特(Target)被入侵是一个广为人知的例子，黑客利用一家公司(暖通空调供应商)攻击他们的真正目标(塔吉特)。

这两个例子都很好地说明了供应链网络安全的重要性。黑客有系统地利用供应链公司作为访问高价值目标的门户。

供应链、IT、网络安全、法律和合规之间的跨职能协调对于构建切实可行、可持续的计划以保护数据和降低网络风险至关重要。要记住两点:

•第一，你不能在你的公司周围建立坚不可摧的墙，因为数据需要流向供应链中的其他公司。
•第二，人类行为对数据保护和网络安全至关重要。

对于大公司来说，你应该立即与你的供应链合作伙伴采取一些基本步骤来帮助他们保护自己，并最终保护你。最重要的是，供应链中的每个公司都应该有一个指定的、训练有素的网络领导者。负责通过关注人类行为来建立网络安全文化的人。他们不需要成为技术专家。他们需要能够沟通，对每个人来说，培养良好的网络习惯是多么重要。他们需要确保公司围绕四个核心问题制定一些简单的政策:

•密码:使用15个字符的密码。据报道，太阳风公司的一些员工使用“solarwinds123”作为密码。不要让黑客轻易破解你的密码。任何8个字符的密码都可以在3分钟内被破解，但使用相同的计算能力，一个13个字符的密码需要520万年。
•多因素认证:任何时候提供都可以使用。如果没有提供，考虑切换到提供该功能的软件或服务。
•网络钓鱼:为员工进行关于如何识别网络钓鱼邮件或短信的再培训。这封电子邮件甚至可能看起来像是来自他们公司的其他人或你的公司。强调不要打开任何可疑的附件或链接。告诉员工通过其他渠道联系发件人，以验证其真实性。
•设备:鼓励第三方审查他们的员工正在使用哪些设备连接到他们的网络或您的网络。如果他们使用的是个人设备，请确保他们遵守密码短语和多因素身份验证的规则。避免使用usb和可移动媒体传输文件。

所有公司都迫切需要将其网络安全文化扩展到供应链合作伙伴。督促供应链中的公司养成良好的网络习惯。这对你的公司和你接触的每一家公司都至关重要。

作者简介:克雷格·莫斯(Craig Moss)是公司数据和变更管理总监全球企业中心数字供应链研究所(DSCI)。为了了解更多，访问DSCI．