从“2018全球供应链25强”看供应链安全

在今年5月Gartner发布的“2018全球供应链25强”中，联合利华以综合6.36的成绩远超排名第二的企业，成为2018年的供应链最强的企业。Gartner研究副总裁Stan Aronow介绍称，联合利华拥有强大的供应链，这家荷兰消费品行业领导者正大力投资促进其供应链实现数字化转型。

当下，企业的数字化转型步伐越来越快，也有更多的供应商可以接触到企业的敏感数据，因此企业也面临着供应链攻击（也称第三方供应商攻击，指通过外部合作伙伴或供应商入侵系统或数据库）带来的风险，这种新型的攻击方式具备很强的破坏力。

隐藏在硬件和软件供应链中的风险

几乎每个企业都会购买、使用外部软件和硬件。出于安全考虑，每一个采购的设备，每个下载使用软件都需要审查，需要监控其潜在的安全风险。

如果将有风险的软件或硬件组件嵌入到产品中，可能会导致更多的安全问题。例如Heartbleed漏洞，影响了数百万个网站和移动设备以及许多主要供应商的软件，包括Oracle，VMware和思科。若硬件或软件产品被故意篡改，或被假冒产品取代，将会给供应链带来更大的危害。

思科非常担心由于第三方供应商违约而丢失机密或敏感的知识产权信息，因此建立了一套标准来量化供应商的安全级别，一旦供应商的安全级别低于基线，便会同供应商一同探讨如何整改，改变现状。

使用云服务的同时，不应忽略其中的风险

单一的、精简型的企业已被数字生态系统所取代，从独立的应用程序到整个数据中心的所有内容都已经转移到了云服务商。

国内云服务市场规模（单位：亿元）

目前，我国云服务市场规模保持持续的增长，且市场增速已超过国际市场。意味着越来越多的企业在使用云服务，企业在使用云服务的同时，其实也把安全外包给了云服务提供商。

专业服务公司并不意味着安全

选择规模较大的供应商也并非选择了安全。2017年7月，涉及600万客户记录的Verizon泄密事件是由客户服务分析提供商Nice Systems引起的。Nice在公共Amazon S3存储服务器上放置了六个月的客户服务电话日志，其中包括帐户和个人信息。Nice报告说，它拥有3500名员工，并为超过85％的财富100强客户提供服务，无论规模及专业性在行业内均是首屈一指。而德勤，一家拥有超过25万雇员的会计师事务所，曾承认黑客能够访问一些重要客户的电子邮件和保密计划，是由于管理员帐户上的访问控制能力较弱，攻击者获得了访问权限。

业务风险与合规要求

根据Ponemon Institute（美国研究中心 成立于2002年 致力于隐私、数据保护和信息安全研究 ）在2017年的调查报告显示，56％的组织发生过因供应商造成的违规。与每个组织有敏感信息交互的平均供应商数量由378个增加到471个，并且仅有35%的组织有这些供应商的详细清单。另一方面，对供应商之间流转、共享组织数据这一情况，只有18%的组织表示知情。更可怕的是，当组织终止与某供应商的合作关系时，风险亦然存在。

国内外政府及监管机构也越来越重视个人隐私数据的保护：

• 2017年6月1日施行的《中华人民共和国网络安全法》，强调了对基础设施及个人信息的保护。

• 2018年5月1日实施的《信息安全技术个人信息安全规范》，从国家标准层面，明确了企业收集、使用、分享个人信息的合规要求，为企业制定隐私政策及个人信息管理规范指明了方向。

• 2018年5月25日正式生效的GDPR，被称为欧盟“史上最严”条例，若被处罚，企业将面临全球总收入的4%或2000万欧元取其高的最高处罚。

• 2018年9月10日，中国人大网公布《十三届全国人大常委会立法规划》，69件法律草案列入第一类项目。其中，个人信息保护法是第61个项目。个人信息保护即将立法。

如何管理第三方风险

适当监督第三方的风险不仅可以实现合规，还能带来更多的收益。据统计，如果一家公司评估所有供应商的安全和隐私政策，违规的可能性从66％下降到46％。

2018年6月，“安全值”联合“供应链安全联盟”发布了《第三方安全风险管理能力框架》，提到：第三方风险管理能力将应用于从合同签订之前到合同执行过程中一直到合同完成之后整个生命周期，并且在数字化环境下，风险控制需要得到领导充分的重视和支持，经多个业务和职能部门的协同来完成。

可见，第三方供应商的管理不能一蹴而就，是一个持续、需要多部门协同的工作，尤其是许多企业拥有大量的供应商，往往不知如何开展工作。

因此，我们建议从以下几个角度入手对第三方供应商的进行管理：

1. 了解供应商是谁，有哪些供应商接触敏感数据。供应商分级，找出高风险供应商。

2. 调查与评估：对不同风险级别的供应商，采用不同调查与评估策略，了解供应商的真实安全情况。

3. 对发现的问题提出整改建议并跟踪整改效果。

4. 持续的监控供应商的安全状况。

资料来源：Gartner、Ponemon Institute、2018年中国云计算行业发展现状分析及未来发展趋势预测、供应链安全联盟、安全值

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。