供应链:日益增长的网络攻击目标

Colonial Pipeline、SolarWinds和Microsoft Exchange的网络漏洞都是最新的生动案例，提醒人们网络安全是一个核心供应链问题，而且这种威胁的频率和影响都在不断增加。Colonial Pipeline是供应链最真实意义上的缩影，为美国东海岸提供45%的燃料。SolarWinds的软件开发供应链受到影响，影响了1.8万名网络管理软件用户的更新，其中包括几个关键的美国政府机构。与此同时，微软Exchange的攻击影响了至少3万名用户。

这些都是供应链网络安全至关重要的完美例子。黑客正在系统地直接破坏组织，并利用间接供应链公司作为访问高价值目标的门户。

所有这一切都发生在COVID-19大流行导致工作场所中断的时候。公司正在加速数字化转型，以提高其进入市场和满足客户需求的可见性、敏捷性和弹性。在影响深远的全球供应链中，每天都有更多关键数据被共享。今天所有的公司都是相互联系的。没有一家公司是、也不可能是一座被牢不可破的护城河包围的信息城堡。

太阳风是一个丑陋的提醒，如果你的生态系统中的公司脆弱，你也会脆弱。从这一刻起，你不应该再考虑网络安全而不考虑第三方风险。相反，你的供应链上的公司，即使是小公司，也不应该认为他们是安全的，因为你“没有黑客想要的任何东西”。

在当今相互联系日益数字化的供应链世界中，任何规模的组织都是潜在的目标。黑客会试图通过你进入另一家公司，他们会试图通过你的客户或供应商进入你。由于新的混合商业模式，整个情况变得更加复杂。你的员工可能会从家里到办公室轮流工作，使用不同的设备和连接方式。虽然你可能觉得情况在你的控制之中，但你的供应商、合作伙伴和供应链中的其他第三方呢?

对于大公司来说，这里有一些基本的步骤，你应该立即与你的供应链利益相关者一起采取，帮助他们保护自己，最终保护你。

首先，您应该确保您和您供应链中的每个公司都有一个事件响应计划，其中包括定期计划的关键数据备份。正如Colonial事件所强调的那样，知道在事件发生期间和之后该做什么，以及在勒索软件攻击的情况下备份重要数据，可能意味着对你的业务造成重大打击和轻微烦恼之间的区别。

为了帮助实施这一行动和其他行动，你的供应链中的公司应该有一个指定的、训练有素的网络领导。通过关注人类行为，负责建立网络安全文化的人。他们不需要成为技术专家。他们需要能够传达，养成良好的网络习惯对每个人来说是多么重要。他们需要确保公司围绕四个核心问题制定一些简单的政策:

• 密码:鼓励他们将密码改为15个字符的密码。据报道，太阳风的一些员工使用“solarwinds123”作为他们的密码。不要让黑客轻易破解你的密码。任何8个字符的密码都可以在3分钟内被破解，但一个13个字符的密码需要520万年。

• 多因素身份验证随时都可以使用。如果没有提供，考虑切换到提供它的软件或服务。

• 网络钓鱼让他们对员工进行关于如何识别网络钓鱼邮件或短信的进修培训。这封邮件甚至可能看起来像是来自他们公司或你公司的另一个人。强调千万不要打开任何可疑的附件或链接。告诉他们通过其他渠道联系寄件人，以核实其真实性。
  

• 设备:鼓励第三方审查他们的员工使用什么设备连接到他们的网络或你的网络。如果他们使用的是个人设备，请确保他们遵守密码和多因素身份验证的规则。避免使用usb和可移动媒体。

由数字供应链研究所和网络准备研究所共同制定的这些基本事项和其他建议可以帮助您开始通过建立网络安全运营文化来加强您的安全性和供应链的安全性。从今天开始，提高你的第三方的意识。督促他们养成良好的上网习惯。这对你的公司和你接触过的每一家公司都至关重要。通过共同努力，我们可以改善所有人的网络安全。

Craig Moss是Ethisphere执行副总裁，数字供应链研究所变革管理总监，网络准备研究所内容总监。

克里斯托弗·g·凯恩(Christopher G. Caine)是全球企业中心(Center for Global Enterprise)的主席，这是一家总部位于纽约的非营利组织，致力于研究全球经济一体化时代的当代企业。他也是墨卡托二十一世纪的总裁兼首席执行官，这是一家专业服务公司，帮助客户参与全球经济。