（本文將收錄在五月底在SSCL供應(yīng)鏈創(chuàng)新峰會(huì)上首發(fā)的《供應(yīng)鏈未來：科技和創(chuàng)新趨勢》一書中，敬請(qǐng)期待）。

世界上最大的四家航運(yùn)公司都曾遭受網(wǎng)絡(luò)攻擊

隨著法國航運(yùn)巨頭CMA CGM遭到勒索軟件攻擊，意味著自2017年以來，全球四大海運(yùn)公司在過去四年中都遭到了網(wǎng)絡(luò)攻擊。

Maersk在2017年被NotPetya勒索軟件劫持了數(shù)周。地中海航運(yùn)公司（Mediterranean Shipping Company）在2020年4月，一種未命名的惡意軟件毒株襲擊了該公司，導(dǎo)致其數(shù)據(jù)中心癱瘓數(shù)天。中遠(yuǎn)海運(yùn)2018年7月被勒索軟件，網(wǎng)絡(luò)被擊倒數(shù)周。CMA CGM，該公司在上海、深圳和廣州的中國分公司被Ragnar Locker勒索軟件襲擊后，關(guān)閉了其全球海運(yùn)集裝箱預(yù)訂系統(tǒng)。

這意味著，物流供應(yīng)鏈中非常重要的一環(huán)--航運(yùn)行業(yè)中，四大巨頭沒有一個(gè)免于重大網(wǎng)絡(luò)攻擊。

針對(duì)CMA的勒索郵件

物流供應(yīng)鏈公司網(wǎng)絡(luò)風(fēng)險(xiǎn)依然很大

物流供應(yīng)鏈公司依靠現(xiàn)代技術(shù)開展業(yè)務(wù)和簡化運(yùn)營。然而，管理物流供應(yīng)鏈風(fēng)險(xiǎn)是一項(xiàng)艱巨、耗時(shí)且昂貴的工作。未能管理其風(fēng)險(xiǎn)的組織更容易受到網(wǎng)絡(luò)攻擊，從而造成嚴(yán)重中斷。

福布斯報(bào)告稱，53% 的大型公司至少經(jīng)歷過一次由第三方引起的網(wǎng)絡(luò)攻擊，包括數(shù)據(jù)泄露。據(jù) CyberGRX 稱，由第三方造成的網(wǎng)絡(luò)攻擊平均每次造成 750 萬美元的損失。

除了數(shù)據(jù)攻擊之外，物流供應(yīng)鏈公司還可能面臨因誤解客戶需求、不適當(dāng)?shù)漠a(chǎn)品流動(dòng)（包括原材料、零件或成品）以及自然災(zāi)害（包括龍卷風(fēng)、颶風(fēng)、洪水和地震）引起的風(fēng)險(xiǎn)。

物流供應(yīng)鏈中的網(wǎng)絡(luò)攻擊類型

對(duì)于物流供應(yīng)鏈公司，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)令人生畏和沮喪，大多數(shù)組織都遭受數(shù)據(jù)中斷、財(cái)務(wù)問題和網(wǎng)絡(luò)攻擊的困擾。這些中斷會(huì)影響他們的效率、準(zhǔn)確性和精細(xì)管理。

然而，企業(yè)正在迅速采用數(shù)字技術(shù)，如物聯(lián)網(wǎng) (IoT)、機(jī)器學(xué)習(xí)和人工智能算法/軟件應(yīng)用程序，以及尖端的預(yù)測建模技術(shù)，以簡化其物流供應(yīng)鏈管理和相關(guān)運(yùn)營。

問題是企業(yè)即使采用了現(xiàn)代技術(shù)，如果未能關(guān)注網(wǎng)絡(luò)安全威脅，例如勒索軟件、惡意軟件、病毒、網(wǎng)絡(luò)釣魚、黑客攻擊和在線攻擊，那么，企業(yè)仍可能遭遇以下常見風(fēng)險(xiǎn)：

? 數(shù)據(jù)

? 惡意軟件攻擊

? 勒索軟件攻擊

? 網(wǎng)絡(luò)安全

? 數(shù)據(jù)竊取

? 竊取供應(yīng)商的數(shù)據(jù)

? 軟件中斷

? 數(shù)據(jù)傳輸延遲

惡意軟件攻擊

惡意軟件攻擊近年來變得普遍，黑客竊取機(jī)密信息，更改公司的內(nèi)部數(shù)據(jù)，或破壞數(shù)據(jù)庫以阻止企業(yè)使用歷史數(shù)據(jù)。惡意軟件是侵入公司計(jì)算機(jī)系統(tǒng)、竊取機(jī)密數(shù)據(jù)并破壞硬件和軟件應(yīng)用程序的侵入性軟件。病毒、蠕蟲、勒索軟件和特洛伊木馬是常見的惡意軟件攻擊。

據(jù) Business Insider 稱，2020 年的 SolarWinds 惡意軟件攻擊是最嚴(yán)重的基于惡意軟件的攻擊之一。黑客和犯罪分子制定了攻擊德克薩斯州 SolarWinds 系統(tǒng)的策略，黑客在公司系統(tǒng)中添加了惡意軟件并竊取了機(jī)密數(shù)據(jù)。相關(guān)的物流供應(yīng)鏈企業(yè)，33,000 多家公司使用該軟件來管理其與 IT 相關(guān)的運(yùn)營。

最嚴(yán)重的是 SolarWinds 向其客戶端發(fā)送軟件更新和補(bǔ)丁，其中包含網(wǎng)絡(luò)犯罪分子安裝的惡意代碼。因此，這使網(wǎng)絡(luò)犯罪分子可以訪問其他系統(tǒng)并安裝惡意軟件來監(jiān)視企業(yè)的數(shù)據(jù)操作。

勒索軟件攻擊

勒索軟件是另一種犯罪分子加密數(shù)據(jù)文件和文檔的網(wǎng)絡(luò)攻擊，它使罪犯或黑客能夠索要金錢以換取解密密鑰。在大多數(shù)情況下，網(wǎng)絡(luò)罪犯要求公司通過比特幣和其他加密貨幣向他們付款。因?yàn)檫@可以防止黑客泄露他們的個(gè)人信息。

據(jù)彭博社報(bào)道，對(duì) Colonial Pipeline 的勒索軟件攻擊使黑客能夠威脅該公司。黑客/罪犯對(duì)數(shù)據(jù)操作進(jìn)行加密并造成嚴(yán)重破壞，導(dǎo)致美國南部多地出現(xiàn)汽油短缺。

研究強(qiáng)調(diào)，網(wǎng)絡(luò)罪犯使用 VPN 技術(shù)進(jìn)入 Colonial 的網(wǎng)絡(luò)。由于該公司沒有在其網(wǎng)絡(luò)系統(tǒng)中安裝多重身份驗(yàn)證功能，網(wǎng)絡(luò)犯罪分子很容易攻破它并盜用不同的用戶名和密碼。

結(jié)果，黑客竊取了機(jī)密數(shù)據(jù)，包括登錄憑據(jù)， 遭受攻擊的公司 Colonial 為解密密鑰和數(shù)據(jù)恢復(fù)支付了超過 440 萬美元。然而，解密密鑰工作緩慢，給恢復(fù)公司運(yùn)營帶來了嚴(yán)重的麻煩。

數(shù)據(jù)攻擊和破壞

數(shù)據(jù)攻擊是物流供應(yīng)鏈公司遭受的最嚴(yán)重的網(wǎng)絡(luò)攻擊或威脅之一。因此，公司必須實(shí)施復(fù)雜的數(shù)據(jù)安全程序和協(xié)議，以防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)破壞。

據(jù) Data Endure 稱，網(wǎng)絡(luò)攻擊會(huì)給物流供應(yīng)鏈公司帶來嚴(yán)重問題，導(dǎo)致聲譽(yù)受損、財(cái)務(wù)損失和數(shù)據(jù)被盜。

VARONIS 報(bào)告稱，物流供應(yīng)鏈公司發(fā)現(xiàn)在數(shù)據(jù)泄露發(fā)生后很難識(shí)別，即使他們擁有可靠的監(jiān)管、合規(guī)性和安全標(biāo)準(zhǔn)。對(duì)于大型物流供應(yīng)鏈公司來說，這個(gè)問題更加嚴(yán)重。

例如，根據(jù) IBM 的說法，從數(shù)據(jù)中恢復(fù)需要幾個(gè)月的時(shí)間，因?yàn)槲锪鞴?yīng)鏈公司平均需要 280 天的時(shí)間來識(shí)別、檢測和從第三方支持中恢復(fù)。

在一家制造公司中，運(yùn)營需要您與第三方共享機(jī)密數(shù)據(jù)，您更有可能遇到數(shù)據(jù)泄露的情況。因此，您必須保護(hù)敏感信息并安裝最先進(jìn)的安全和隱私協(xié)議來保護(hù)您公司的數(shù)據(jù)。

需要關(guān)注未經(jīng)授權(quán)的數(shù)據(jù)訪問，并實(shí)施復(fù)雜的解決方案來防止此問題，否則，供應(yīng)商因未經(jīng)授權(quán)訪問您公司的電子郵件帳戶可能會(huì)導(dǎo)致嚴(yán)重問題。

此外，網(wǎng)絡(luò)犯罪分子還可以入侵您公司的電子郵件帳戶、攻擊較弱的加密方法并利用不安全的數(shù)字平臺(tái)竊取登錄憑據(jù)。

同樣，第三方可以使用惡意方法將您客戶的信息泄露給犯罪分子以獲取金錢。想象一下如果您公司的信息/數(shù)據(jù)落入犯罪分子和黑客手中，他們將有多少種方式破壞您的供應(yīng)鏈管理運(yùn)營并使您的業(yè)務(wù)崩潰。

基于物聯(lián)網(wǎng)的攻擊

基于物聯(lián)網(wǎng)的攻擊已變得普遍，有時(shí)公司使用這些技術(shù)但未能實(shí)施可靠的安全策略。任何連接到互聯(lián)網(wǎng)的設(shè)備都可能帶來物流供應(yīng)鏈風(fēng)險(xiǎn)。例如，物聯(lián)網(wǎng)是消費(fèi)類設(shè)備，如智能恒溫器、個(gè)人健身追蹤器、智能手表、智能安全系統(tǒng)、醫(yī)療傳感器、冰箱等。據(jù) Statista 稱，全球有超過 100 億個(gè)活躍的物聯(lián)網(wǎng)設(shè)備。

物聯(lián)網(wǎng)設(shè)備在包括物流供應(yīng)鏈公司在內(nèi)的組織中很常見，可以大規(guī)模地為它們賦能，簡化生產(chǎn)，并優(yōu)化供應(yīng)商和供應(yīng)商之間的內(nèi)部和外部通信。此外，物聯(lián)網(wǎng)技術(shù)幫助企業(yè)實(shí)現(xiàn)效率提升，例如：

? 上市時(shí)間更短

? 簡化物流供應(yīng)鏈中的資產(chǎn)跟蹤

? 降低成本和更安全的工作場所

黑客和犯罪分子明白，安全系統(tǒng)受損的物聯(lián)網(wǎng)設(shè)備使他們更容易發(fā)起攻擊。根據(jù) Net Scout 的說法，普通的物聯(lián)網(wǎng)設(shè)備在連接到互聯(lián)網(wǎng)后的五分鐘內(nèi)就可能遭受網(wǎng)絡(luò)攻擊，這背后最常見的原因是設(shè)備中缺少網(wǎng)絡(luò)安全協(xié)議。因此，通過物聯(lián)網(wǎng)設(shè)備實(shí)現(xiàn)的網(wǎng)絡(luò)安全可能會(huì)導(dǎo)致嚴(yán)重的問題和并發(fā)癥，包括：

? 生產(chǎn)損失

? 收入損失

? 數(shù)據(jù)竊取

? 設(shè)備損壞

? 工業(yè)間諜

供應(yīng)鏈公司使用設(shè)備和傳感器并將它們連接到互聯(lián)網(wǎng)，聯(lián)機(jī)的設(shè)備越多，它們就會(huì)創(chuàng)建更多的數(shù)據(jù)存儲(chǔ)、端口、通道和端點(diǎn)，黑客更容易找到系統(tǒng)中的漏洞并發(fā)動(dòng)的攻擊。

物流供應(yīng)鏈公司的網(wǎng)絡(luò)安全策略

我們已經(jīng)討論了網(wǎng)絡(luò)攻擊的類型。現(xiàn)在讓我們介紹防止網(wǎng)絡(luò)攻擊的最佳做法或策略。

制定完善的政策

專家建議制定有關(guān)數(shù)據(jù)安全、信息共享、訪問和授權(quán)協(xié)議的明確政策。您必須定義您的公司如何監(jiān)控?cái)?shù)據(jù)以及需要在企業(yè)級(jí)安裝哪些安全協(xié)議。與您的合作伙伴討論您的要求，確定他們采取什么措施來防范網(wǎng)絡(luò)安全威脅。聘請(qǐng)具有物流供應(yīng)鏈經(jīng)驗(yàn)的專業(yè)網(wǎng)絡(luò)安全專家來獲取經(jīng)驗(yàn)，并請(qǐng)求他們?yōu)槟慕M織開發(fā)量身定制的安全方法。

培訓(xùn)您的員工

教育和培訓(xùn)您的員工是管理在線操作、安全使用用戶名和密碼以及防止網(wǎng)絡(luò)安全隱患的完美方式。研究表明，95% 的安全攻擊都涉及人為錯(cuò)誤，包括：

? 鏈接到網(wǎng)絡(luò)的釣魚詐騙

? 訪問不安全的網(wǎng)站

? 點(diǎn)擊電子郵件中的可疑鏈接

? 安裝包含惡意軟件的程序

我們建議討論網(wǎng)絡(luò)釣魚場景和潛在攻擊，并概述您的員工和管理團(tuán)隊(duì)可以實(shí)施的最合適做法，以保護(hù)公司的在線運(yùn)營，包括客戶數(shù)據(jù)和其他敏感信息。

定義數(shù)據(jù)訪問協(xié)議

誰有權(quán)訪問您的物流供應(yīng)鏈管理系統(tǒng)？回答這個(gè)問題對(duì)于定義數(shù)據(jù)訪問協(xié)議至關(guān)重要。除非您有明確定義的機(jī)制告訴您誰有權(quán)訪問這些，否則您無法保護(hù)您的系統(tǒng)、應(yīng)用程序和數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)。

此外，評(píng)估和第三方的關(guān)系并確定它們是否可靠。評(píng)估和第三方和公司共享的數(shù)據(jù)和系統(tǒng)。據(jù) CSO Online 稱，大約 35% 的公司擁有一份第三方列表，其中包含他們通過在線渠道共享信息的第三方。

更新技術(shù)

網(wǎng)絡(luò)安全需要持續(xù)維護(hù)，實(shí)施復(fù)雜的方法并非一蹴而就。原因是惡意軟件、勒索軟件、威脅和漏洞會(huì)不時(shí)演變。

因此，更新和修補(bǔ)軟件系統(tǒng)對(duì)于防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅至關(guān)重要。它需要持續(xù)監(jiān)控軟件功能和網(wǎng)絡(luò)安全、識(shí)別漏洞并采取相應(yīng)措施。

建議物流供應(yīng)鏈公司對(duì)其管理系統(tǒng)進(jìn)行定期檢查，56% 的公司經(jīng)歷過由其供應(yīng)商造成的數(shù)據(jù)和網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)安全最佳實(shí)踐

物流供應(yīng)鏈公司采用了多種實(shí)踐來幫助他們管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。這些做法包括：

? 每個(gè) RFP 和合同中都包含安全要求。

? 一旦供應(yīng)商被正式接受，安全團(tuán)隊(duì)就會(huì)在現(xiàn)場與他們合作，以解決任何安全漏洞。

? 針對(duì)作假或不符合規(guī)格的供應(yīng)商產(chǎn)品的“一票出局”政策。

? 組件采購受到嚴(yán)格控制；從核準(zhǔn)的供應(yīng)商處購買的組件是經(jīng)過資格預(yù)審的。從其他供應(yīng)商處購買的零件在被接受之前會(huì)進(jìn)行拆包、檢查和 X 光檢查。

? 為所有工程師建立安全軟件生命周期開發(fā)計(jì)劃和培訓(xùn)。

? 軟件和硬件有安全連接，安全啟動(dòng)過程會(huì)查找身份驗(yàn)證代碼，如果無法識(shí)別代碼，系統(tǒng)將不會(huì)啟動(dòng)。

? 跟蹤和追溯程序確定所有零件、組件和系統(tǒng)的來源。

? 程序?yàn)槊總€(gè)組件捕獲組件標(biāo)識(shí)數(shù)據(jù)，并自動(dòng)將組件標(biāo)識(shí)數(shù)據(jù)鏈接到采購信息。

? 負(fù)責(zé)網(wǎng)絡(luò)安全的人員與每個(gè)團(tuán)隊(duì)合作，并確保網(wǎng)絡(luò)安全是開發(fā)人員員工體驗(yàn)、流程和工具的一部分。

? 對(duì)服務(wù)供應(yīng)商的訪問進(jìn)行嚴(yán)格控制。對(duì)軟件的訪問僅限于極少數(shù)供應(yīng)商，硬件供應(yīng)商僅限于控制系統(tǒng)的機(jī)械系統(tǒng)。

? 所有供應(yīng)商都需要獲得授權(quán)和監(jiān)控。

最后的話

供應(yīng)鏈管理是一種優(yōu)化運(yùn)營、帶來穩(wěn)定性并提高公司整體底線的復(fù)雜方法。然而，物流供應(yīng)鏈近年來變得容易受到網(wǎng)絡(luò)攻擊，因?yàn)樵絹碓蕉嗟墓驹跊]有可靠安全協(xié)議的情況下對(duì)其系統(tǒng)進(jìn)行了數(shù)字化。這給網(wǎng)絡(luò)罪犯帶來了機(jī)會(huì)，他們實(shí)施惡意軟件（例如勒索軟件和惡意軟件）并破壞它以竊取敏感數(shù)據(jù)和信息。因此，物流供應(yīng)鏈行業(yè)的企業(yè)必須為第三方供應(yīng)商建立合規(guī)標(biāo)準(zhǔn)，包括制造商，物流商，供應(yīng)商和分銷商。

曾志宏Lucas，北科大畢業(yè)，新加坡國立大學(xué)MBA，上海趨研信息聯(lián)合創(chuàng)始人，曾服務(wù)于GE，Rolls-Royce，JCI，Whirlpool供應(yīng)鏈部門，致力于貨代行業(yè)和國際供應(yīng)鏈領(lǐng)域流程自動(dòng)化，智能化和可視化，AI+軟件機(jī)器人RPA，以及數(shù)字供應(yīng)鏈，智慧物流等的推廣和傳播 (微信: 1638881963)。