据外媒报道,上周,半导体和显示设备供应商应用材料公司(Applied Materials)在一次电话财报会议上披露,对其一家供应商的勒索软件攻击将使其在下一季度损失2.5亿美元。Applied Materials在其盈利报告中表示,预计2023财年第二季度的净销售额约为64.0亿美元,这也是评估了包括持续的供应链挑战以及与供应商网络安全事件的最终财务表现。
这家材料工程解决方案领导者并没有具体披露是哪家供应商,但行业分析师普遍认为,这家公司可能是半导体零部件供应商MKS Instruments。就在不久前,MKS公开披露了勒索软件攻击事件,并表示勒索软件事件在第一季度对公司处理订单、运送产品以及向客户提供服务的能力产生了重大影响。
最近,全球制造业企业网络安全事件频发,如上周我们报道了两家专业材料制造商摩根先进材料公司(Morgan Advanced Materials)和维苏威有限公司(Vesuvius Plc)在一个月内先后披露了网络安全事件,并从趋势上分析了供应链安全上挑战。这两家制造业厂商都身处钢铁冶炼产业链,其相关厂商就极有可能受到影响。 外媒报道评论指出,对MKS的网络攻击凸显了网络安全专家近年来表达的一种担忧:随着大型公司在保护其系统方面变得更好,攻击者将瞄准供应链中较小、较弱的环节。事实上,更多像MKS这样的企业正在公开承认网络攻击的实际后果。 鉴于全球企业广泛面临供应链的安全挑战,英国国家网络安全中心(NCSC)于2月16日发布了一份《供应链网络安全指南》,指南将帮助中大型企业“绘制”其供应链依赖关系,以便更好地预测来自承包商和分包商的网络风险,其中提及的方法和方向值得借鉴。 供应链管理的收益 01 妥善地进行供应链管理可以帮助企业了解您的供应商是谁,可以更好地了解所面临的网络安全因素,这些因素可以通过合同更容易地执行; 02 可以帮助企业更充分地应对与供应链相关的网络事件; 03 能够建立可重复的方法论,影响供应商的安全实践,并可以建立长期合作伙伴关系; 04 更容易遵守法律、法规和/或合同责任; 05 定期评估供应链将降低网络攻击或违规的可能性。
建立供应链映射关系 NCSC提出供应链映射(SCM)概念,SCM是记录、存储和使用从参与公司供应链的供应商处收集的信息的过程。目标是对您的供应商网络有最新的了解,以便更有效地管理网络风险,并进行尽职调查。 SCM列表的典型信息:
01 供应商及其分包商的完整清单,显示他们之间的联系; 02 提供什么产品或服务,由谁提供,以及该资产对组织的重要性; 03 组织与供应商之间的信息流(包括对信息价值的理解); 04 供应商组织内的保证联系人; 05 与上一次评估的完整性、下一次保证评估到期时间的详细信息以及任何未完成活动相关信息; 06 所需的任何认证、证明,如Cyber Essentials、ISO认证、产品认证。 全面的SCM信息能够更好地管理供应链风险,但NCSC额外强调了两点: 一个是对于大型组织而言收集这些信息可能是一项艰巨任务,供应链安全之所以复杂,更在于其存在多级关联关系,为此,SCM信息是否需要建立更深远的供应链下游关系,其也明确强调需要考虑的是获取信息的必要性与成本问题。另一方面,这些信息收集建立之后对攻击者来说也是一个极具吸引力的目标,因此所有 SCM 资产都应保存在一个安全的存储库中,该存储库需建立在强大的安全架构之上。 建立SCM的优先事项 《指南》指出,建立SCM的方法将取决于企业的采购和风险管理流程,以及具体使用的管理工具。对于首次接触SCM的企业而言,以下则为优先事项: 01 利用现有采购系统建立已知供应商的列表,优先考虑对组织至关重要的供应商; 02 确定哪些信息对获取您的供应链有用; 03 了解如何安全地存储信息并管理对信息的访问; 04 确定是否希望收集供应商分包商的信息,以及供应链下游覆盖范围; ·考虑使用其他服务来评估您的供应商,并提供有关其网络风险状况的补充信息; ·对于新供应商,请在采购流程中预先说明希望供应商提供什么; ·对于现有供应商,请告知他们希望获取的关于他们的信息以及原因,并将从现有供应商收集的信息更新为集中存储库。 05 更新标准合同条款,以确保在开始与供应商合作时提供所需信息; 06 定义组织中使用这些信息的最佳人选,这可能包括采购、企业所有者、网络安全和运营安全团队。让他们了解信息存储并提供访问权限; 07 考虑创建一个应急响应流程来处理发生事故的情况,您可能需要协调整个扩展供应链和第三方(如执法部门、监管机构甚至客户)的工作; 08 最后,记录由于供应链映射而在采购过程中需要更改的步骤。例如,可能需要考虑将不满足最低网络安全需求的供应商排除在供应链之外。 过去三年,疫情对于全球供应链的影响是深远的,而另外表现最为突出的两大因素其一是地缘政治问题,以及针对供应链的网络攻击。 《指南》也明确指出,“完全消除供应链攻击是不可能的。如果风险成为现实,能够快速响应将限制对企业的损害范围。”我们在分析供应链安全时同样认为其多元的复杂程度几乎很难用一种方法甚至几种方法就能解决,但从趋势分析企业必须为频发的供应链攻击储备应对之道。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安