供應鏈為什麼容易受到資安攻擊?
隨著供應鏈全球化程度提升與快速數位化轉型,供應鏈網絡中互聯利害關係人數量也隨之增加,對企業形成更複雜的情況,進而造成更多的資安攻擊漏洞。供應鏈中任何一環因缺乏培訓、認知或監督而未遵守資安協定,都可能使整個系統的資安防線癱瘓。
此外,生態系統中的許多當事方仍欠缺整合資訊科技(IT)系統與營運科技(OT)系統的企業層級整體資安策略,使得供應鏈中的各連接節點易受資安攻擊。
為什麼資安防禦如此重要?
供應鏈網絡攻擊可能導致在財務及信任層面的高昂代價,例如美國一家醫療管理企業於2021年遭到供應鏈勒索軟體攻擊,超過100萬人1 受到影響,成為美國當年最大規模的健康資料外洩事件之一。
網路防禦卓越度作為影響企業參與及策略聯盟KPI的概念也正在崛起。目前絕大多數的利害關係人將供應鏈網絡資安防禦視為業務連續性的重要因素之一,擁有健全資安防禦系統的企業較易在供應商夥伴關係、經銷合約及其他策略聯盟等各參與階段成為優先合作夥伴。
未遵守監理機關所制定的資安防禦要求不僅為企業帶來外洩風險,也可能使監管審查頻率增加並導致商譽受損罰款。2021年美國紐約州金融服務署所通報的網路資安與其他相關不合規活動,罰款共計超過600萬美元。
哪些供應鏈的環節最容易受到資安攻擊?
供應鏈各階段相關的科技、流程複雜度與第三方參與程度各有不同,因此所面臨的資安威脅及對業務連續性的可能影響程度也不盡相同。這進一步突顯出必須謹慎規劃可滿足各階段差異的資安策略並建立健全靈活的解決方案,將其與供應鏈的不同活動部分整合。
- 採購:
現代化供應鏈日益擴展的特性,包含進行大量資料交換的眾多參與者及功能性,讓採購成為最易遭受攻擊的環節。企業透過數位化轉型,將軟體即服務( SaaS )運用在採購與供應商管理流程,然而在協助降低成本、節省時間的同時,也增加了資料及網路資料外洩漏洞,使得供應商及企業業務面臨風險。企業資源規劃( ERP )軟體資料外洩是採購階段最常見的資安攻擊類型,惡意發動者將目標鎖定在客戶及供應商的敏感資料,包括財務、客戶及合作夥伴網路詳細資料、發票與訂單管理資料、帳戶詳細資料,以及其他監管與稅務證明。
- 製造:
製造是影響企業運作最敏感環節之一,短暫的網路中斷可能對企業營運帶來長久負面影響,因停機、失去資料傳輸功能或庫存持有成本上升而導致鉅額損失。
對單一供應商的資安攻擊可能造成客戶與其相關連供應商的多間工廠長時間中止製造活動,進一步導致負面連鎖反應,如生產及配送延遲、產品缺貨、供需失衡、價格上漲與消費者的不信任。因勒索軟體攻擊而導致的停機、遠端存取盜竊、未修補軟體、ICS漏洞與第三方網路相關攻擊等,都是製造階段中常見的攻擊手法。
- 配送及物流:
對第三方的高度依賴,使得配送及物流成為面臨高資安風險的環節之一。物流業者處理大量客戶資料也使其成為攻擊者熱點,供應鏈在此階段,資料外洩比例相當高。越來越多物流業者採用自主解決方案,使其功能變得更加仰賴數位化,進而加劇資安攻擊風險。疫情期間物流服務業者數量呈指數型成長,使其成為勒索軟體攻擊眼中更主要的目標。