供應(yīng)鏈正邁向自動(dòng)化與集成。比如說，云計(jì)算、機(jī)器人技術(shù)和人工智能在提高生產(chǎn)力與改善客戶服務(wù)方面的應(yīng)用。事實(shí)上，最近幾年，物流運(yùn)輸業(yè)一直在開發(fā)無人機(jī)和倉儲(chǔ)機(jī)器人，Uber也致力于打造自治汽車。這在上個(gè)世紀(jì)是連想都想象不出的技術(shù)大發(fā)展。

但是，盡管物聯(lián)網(wǎng)(IoT)攜諸多優(yōu)勢(shì)滲透我們的日常生活，但也給我們的供應(yīng)鏈系統(tǒng)帶來了網(wǎng)絡(luò)攻擊和其他漏洞利用的威脅。隨著公司企業(yè)和研究人員對(duì)端到端供應(yīng)鏈的普及宣傳，供應(yīng)鏈也逐漸成為網(wǎng)絡(luò)攻擊的一大重點(diǎn)目標(biāo)。這種模型推動(dòng)了供應(yīng)鏈各層級(jí)之間通過數(shù)字方式的廣泛信息共享與分發(fā)。

Petya勒索軟件停滯了馬士基航運(yùn)集團(tuán)供應(yīng)鏈

2017年6月末，NotPetya惡意軟件襲擊了全球59個(gè)國家的跨國企業(yè)，世界首屈一指的集裝箱貨運(yùn)公司馬士基航運(yùn)接單受阻，充分驗(yàn)證了供應(yīng)鏈面臨的巨大威脅。航運(yùn)訂單之前只能通過電話下單，馬士基航運(yùn)集團(tuán)剛剛引入數(shù)字化策略，攻擊便發(fā)生了。

馬士基遭到最慘重打擊的基礎(chǔ)設(shè)施，是其APM終端設(shè)備，造成全球59個(gè)國家76個(gè)港口運(yùn)營中斷。受影響的地區(qū)包括紐約(美國東海岸最大港口)、荷蘭鹿特丹港，以及尼赫魯港(印度最大集裝箱港口)。

如今，馬士基的IT系統(tǒng)已恢復(fù)上線，但這次網(wǎng)絡(luò)攻擊對(duì)其他航運(yùn)公司意味著什么呢?他們比馬士基更安全嗎?他們的員工知不知道當(dāng)自己的系統(tǒng)遭到惡意軟件或勒索軟件攻擊時(shí)該怎么做?

這對(duì)每家公司企業(yè)而言都是發(fā)人深省的，因?yàn)楹芸赡茉诓贿h(yuǎn)的將來就會(huì)面臨類似的情況。事實(shí)上，NotPetya勒索軟件攻擊還僅僅是個(gè)開始;如果公司企業(yè)繼續(xù)認(rèn)為“業(yè)務(wù)規(guī)模小”就沒有風(fēng)險(xiǎn)威脅，那么更大的混亂就等在前方。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)&考慮

正如美國國家標(biāo)準(zhǔn)與技術(shù)局研討會(huì)上討論的一樣，公司企業(yè)供應(yīng)鏈中的幾個(gè)關(guān)鍵網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與考慮，需要由網(wǎng)絡(luò)空間相關(guān)公司的每個(gè)利益相關(guān)者好好思考并回答。

1. 第三方服務(wù)提供者或廠商

上游供應(yīng)商應(yīng)有何種網(wǎng)絡(luò)安全實(shí)踐?對(duì)這些期待或標(biāo)準(zhǔn)的遵從應(yīng)如何評(píng)估?這是物流業(yè)面臨的基本缺失之一。全球商業(yè)巨頭根本不清楚其供應(yīng)商所用系統(tǒng)和應(yīng)用的更新和受保護(hù)程度。推薦供應(yīng)商管理庫存(VMI)和協(xié)同計(jì)劃、預(yù)測(cè)和補(bǔ)充概念。

2. 較低層供應(yīng)商的糟糕信息安全實(shí)踐

多少公司能確保其較低層供應(yīng)商了解最新的系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用級(jí)漏洞?

3. 雇員缺乏網(wǎng)絡(luò)安全意識(shí)

網(wǎng)絡(luò)安全人才極度緊缺，尤其是在供應(yīng)鏈這一塊。供應(yīng)鏈上就沒有什么廣泛的網(wǎng)絡(luò)安全模塊覆蓋。實(shí)際上，多數(shù)大學(xué)校園甚至沒有在本科或研究生物流項(xiàng)目中，引入基礎(chǔ)網(wǎng)絡(luò)安全培訓(xùn)。而且，在為關(guān)鍵供應(yīng)鏈職位招聘人員時(shí)，有多少招聘者對(duì)基本網(wǎng)絡(luò)安全知識(shí)做了評(píng)估的?

4. 公司或供應(yīng)商系統(tǒng)中的軟件安全漏洞

網(wǎng)絡(luò)罪犯通常會(huì)進(jìn)行網(wǎng)絡(luò)掃描以發(fā)現(xiàn)薄弱環(huán)節(jié)。大多數(shù)情況下，并非網(wǎng)絡(luò)中最強(qiáng)壯最廣泛應(yīng)用的系統(tǒng)，而是其中最弱的一環(huán)，暴露在網(wǎng)絡(luò)攻擊之下。這有可能是之前并未引起你注意的一個(gè)保留系統(tǒng)。這就是網(wǎng)絡(luò)安全——不是可以選擇80/20規(guī)則或ABC分析法以設(shè)定優(yōu)先級(jí)的一種商業(yè)策略。

5. 嵌入式惡意軟件假冒硬件/軟件

這基本上指的是利用BYOD集成供應(yīng)鏈的小規(guī)模公司。這些BYOD設(shè)備上的惡意軟件防護(hù)和檢測(cè)水平如何?要確保連入網(wǎng)絡(luò)的硬件和軟件，都接受信息安全團(tuán)隊(duì)的掃描。

于是，現(xiàn)在你知道了，無論你運(yùn)營的是中小企業(yè)還是頂級(jí)公司，投資網(wǎng)絡(luò)安全都是必須的。網(wǎng)絡(luò)安全是個(gè)長(zhǎng)期過程，因?yàn)榫W(wǎng)絡(luò)罪犯一直在找尋你網(wǎng)絡(luò)/系統(tǒng)中的新漏洞。他們永遠(yuǎn)不會(huì)停止利用漏洞。因此，不采用最佳網(wǎng)絡(luò)安全實(shí)踐的代價(jià)，比實(shí)現(xiàn)之高昂得多。