6 分鐘 2023年2月23日
供應鏈網絡資安威脅因應之道

供應鏈網絡資安威脅因應之道

作者
Ashutosh Dekhne

EY Americas Supply Chain & Operations Practice Leader

Supports clients in transforming their businesses through capability building. College football fan. Professional table tennis player. Proud father of a daughter aspiring to be a medical doctor.

Sameer Anand

EY-Parthenon Americas Supply Chain Leader

Helping clients bring innovation to supply chains to build resiliency for future disruption. Proud husband, indulgent father, Indian food chef and sommelier.

6 分鐘 2023年2月23日
相關主題 諮詢服務 供應鏈 風險 數位科技 網路安全
喜歡

顯示相關資源

  • 供應鏈網絡資安威脅因應之道

    下載 1 MB

日漸增加的數位化與連接能力以及大量數據交換,正使供應鏈面臨前所未有的資安威脅。我們應如何建構一個強大的現代化供應鏈,確保營運安全並提升韌性?

概要
  • 供應鏈網絡攻擊可能導致企業在財務及信任層面付出高昂代價,常見的供應鏈網絡攻擊動機包括勒索、資產竊取、服務或流程中斷、內部威脅,甚至出於政治或競爭目的。
  • 供應鏈各階段的科技、流程複雜度與第三方參與程度各有不同,所面臨的資安威脅及對業務連續性的可能影響程度也不盡相同。採購、製造和配送及物流最容易受到資安攻擊。
  • 面對資安攻擊,應建立有效的應變生態系統。

供應鏈網絡中日漸增加的數位化與連接能力以及大量數據交換,正使供應鏈面臨前所未有的資安威脅。

這些攻擊不僅會導致組織的重大財務損失,更可能使組織與其合作夥伴及客戶間的長期信賴關係受到傷害。

我們應如何建構一個強大的現代化供應鏈,確保營運安全並提升韌性? 技術驅動的新常態是能安全營運的環境? 轉型成數位化供應鏈安全嗎? 這些是後疫情時代供應鏈主管與最高管理階層所抱持的部分疑問。

從企業觀點看來,儘管供應鏈是相當關鍵的功能之一,但在防禦潛在網路威脅方面,並未獲得應有的關注。根據安永2021年全球資安調查(EY Global Information Security Survey 2021),僅有33%的資安長(CISO)有信心供應鏈在出現網路威脅發動者時,具備滴水不漏的防禦及復原能力。供應鏈網絡攻擊可能以如下圖所列之各種型態出現。常見的供應鏈網絡攻擊動機包括勒索、資產竊取、服務或流程中斷、內部威脅,甚至出於政治或競爭目的。

供應鏈網絡攻擊生態系統

供應鏈為什麼容易受到資安攻擊?

隨著供應鏈全球化程度提升與快速數位化轉型,供應鏈網絡中互聯利害關係人數量也隨之增加,對企業形成更複雜的情況,進而造成更多的資安攻擊漏洞。供應鏈中任何一環因缺乏培訓、認知或監督而未遵守資安協定,都可能使整個系統的資安防線癱瘓。

此外,生態系統中的許多當事方仍欠缺整合資訊科技(IT)系統與營運科技(OT)系統的企業層級整體資安策略,使得供應鏈中的各連接節點易受資安攻擊。

 

為什麼資安防禦如此重要?

供應鏈網絡攻擊可能導致在財務及信任層面的高昂代價,例如美國一家醫療管理企業於2021年遭到供應鏈勒索軟體攻擊,超過100萬人受到影響,成為美國當年最大規模的健康資料外洩事件之一。

網路防禦卓越度作為影響企業參與及策略聯盟KPI的概念也正在崛起。目前絕大多數的利害關係人將供應鏈網絡資安防禦視為業務連續性的重要因素之一,擁有健全資安防禦系統的企業較易在供應商夥伴關係、經銷合約及其他策略聯盟等各參與階段成為優先合作夥伴。

未遵守監理機關所制定的資安防禦要求不僅為企業帶來外洩風險,也可能使監管審查頻率增加並導致商譽受損罰款。2021年美國紐約州金融服務署所通報的網路資安與其他相關不合規活動,罰款共計超過600萬美元。

 

哪些供應鏈的環節最容易受到資安攻擊?

供應鏈各階段相關的科技、流程複雜度與第三方參與程度各有不同,因此所面臨的資安威脅及對業務連續性的可能影響程度也不盡相同。這進一步突顯出必須謹慎規劃可滿足各階段差異的資安策略並建立健全靈活的解決方案,將其與供應鏈的不同活動部分整合。

  • 採購:
    現代化供應鏈日益擴展的特性,包含進行大量資料交換的眾多參與者及功能性,讓採購成為最易遭受攻擊的環節。企業透過數位化轉型,將軟體即服務( SaaS )運用在採購與供應商管理流程,然而在協助降低成本、節省時間的同時,也增加了資料及網路資料外洩漏洞,使得供應商及企業業務面臨風險。企業資源規劃( ERP )軟體資料外洩是採購階段最常見的資安攻擊類型,惡意發動者將目標鎖定在客戶及供應商的敏感資料,包括財務、客戶及合作夥伴網路詳細資料、發票與訂單管理資料、帳戶詳細資料,以及其他監管與稅務證明。

  • 製造:
    製造是影響企業運作最敏感環節之一,短暫的網路中斷可能對企業營運帶來長久負面影響,因停機、失去資料傳輸功能或庫存持有成本上升而導致鉅額損失。

    對單一供應商的資安攻擊可能造成客戶與其相關連供應商的多間工廠長時間中止製造活動,進一步導致負面連鎖反應,如生產及配送延遲、產品缺貨、供需失衡、價格上漲與消費者的不信任。因勒索軟體攻擊而導致的停機、遠端存取盜竊、未修補軟體、ICS漏洞與第三方網路相關攻擊等,都是製造階段中常見的攻擊手法。

  • 配送及物流:
    對第三方的高度依賴,使得配送及物流成為面臨高資安風險的環節之一。物流業者處理大量客戶資料也使其成為攻擊者熱點,供應鏈在此階段,資料外洩比例相當高。越來越多物流業者採用自主解決方案,使其功能變得更加仰賴數位化,進而加劇資安攻擊風險。疫情期間物流服務業者數量呈指數型成長,使其成為勒索軟體攻擊眼中更主要的目標。

安永服務內容

供應鏈與營運

藉由瞭解您最重要的策略內容,我們將協助您重新定義能支援企業目標的端對端供應鏈與營運策略。

更多資訊

哪些產業最易受到資安攻擊?

  • 半導體
    傳統線性供應鏈已經進化為採用資料驅動型的智慧供應鏈架構,推動更為優化的資源管理與物流。但工廠自動化、遠距辦公、數位化供應商管理及採用動態定價系統都包含大量的資料共享,導致資料外洩風險增加。2020年至2022年間,業界經歷了相當大量的勒索軟體攻擊、服務與生產中斷攻擊、韌體攻擊與網路癱瘓。晶片智慧財產權盜竊也呈現增加情況,尤其是在2021年全球晶片短缺時期。

  • 汽車
    汽車產業面臨如隱私侵犯、內部威脅、透過釣魚攻擊或預裝惡意軟體等多種來源的網路癱瘓、軟體及韌體攻擊,與虛擬化惡意軟體等大量資安威脅。隨著電動車(EV)與自動駕駛汽車(AV)迅速發展,包括開源技術社區在內的上百萬節點間之虛擬或網路互動與資料交換,預期會使攻擊數量更為增加。

  • 消費及零售
    全通路策略、銷售點和配送管理創新的迅速拓展,越來越多企業採用如直接面對消費者或線上購買門市取貨(BOPIS)等新型商業模式,以及客戶與合作夥伴參與使用沉浸式技術的頻率增加,皆是消費及零售產業對數位化依賴及網路攻擊增加的一部分原因。 攻擊者的部分關鍵動機為取得未授權資料存取(交易及帳單資料、客戶個人資料、獎勵與酬賓方案細節),以及透過分散式阻斷服務(DDoS)製造流量不平衡。

  • 能源
    可靠的能源供應對所有產業的日常營運至關重要,包括如國防與健康照護等影響層面廣泛的產業,這使得能源產業極易受到資安攻擊。 能源產業發生大規模服務中斷時,可能導致供應短缺與價格上漲,甚至危及上百萬人性命。

 

面對資安攻擊,如何建立有效的應變生態系統?

  1. 組織
    • 整合資安防禦措施與企業韌性策略
    • 購買資安險以因應剩餘風險
    • 合理配置資安防禦預算
    • 使用進階分析評估常見漏洞
    • 實施智慧威脅偵測解決方案
    • 整合IT-OT生態系統
    • 建立目標人才庫,並讓最高管理階層參與制定資安防禦策略階段
  2. 合作夥伴網絡
    • 藉由供應商網路的多樣化來降低曝險
    • 使用不同平臺廠商的解決方案以建立「零信任」的安全架構
    • 使用「紅藍隊」來模擬資安攻防策略
    • 為合作伙伴導入全面性的資安漏洞管理計畫
    • 具備結構化的通報機制
    • 將資安韌性視為選擇合作夥伴的KPI
  3. 監管
    • 定期更新隱私管理系統以符合區域及全球隱私法規
    • 促進及支援更多公私部門合作夥伴關係
    • 改用更符合合規要求的基礎建設
    • 針對各項業務參與進行資安盡職調查
    • 評估業務情境及監控數位交易政策

安永服務內容

網路安全、策略、風險、合規和韌性

安永網路與數位安全、策略、風險、合規和韌性團隊可協助企業檢視其面臨之網路風險態勢與現有之網路與數位安全防禦能力,提供企業管理其網路風險所需之專業見解,以期協助客戶理解資安管理與治理之原因、時間點以及方法。

更多資訊
Local Perspective Icon在地觀點

安永建議

聚焦臺灣現況,受供應鏈資安議題影響較大之產業,皆已著手建置/強化供應鏈資安管理機制。舉例而言,位居全球資訊供應鏈重要環節的先進製造大廠,定期執行供應商資安風險評估及實行管理措施,以滿足客戶要求;金融業因應主管機關規範已著手強化資訊服務商資安風險管理機制。推行供應商資安風險管理機制實務上充滿許多挑戰,安永實地觀察,歸納如下:

  1. 決定範圍和聚焦點:無論有合約與否,有生意上的往來就有外部供應鏈存在。清點所有對資通安全有影響的外部供應商關係是專案的第一步。而且,並不是僅牽涉到客戶資料才是須納入範圍的供應鏈關係,這其中還有許多風險的考量。
  2. 管理階層的支持及主責單位:管理外部供應商資通安全需要企業由上而下全體配合執行。管理階層必須監督整體策略並確保全體員工正視第三方風險。管理框架的目標及執行方式必須讓所有參與成員充分的了解,這其中通常包含供應商使用者、採購與法務及資訊安全部門成員。
  3. 如何清點外部供應商並有策略性的管理:建立一個單一集中的外部供應商主檔並在此紀錄及追蹤其風險控制是管理供應商風險的重要一步。少了這個紀錄過程很可能引發來自未記錄供應商的風險,例如供應商的供應商。
  4. 訂定具體且有效的供應商資安要求:依據供應商風險評估結果,訂定其資安要求並以合約方式要求遵循。外部供應商的機密資料需求、企業網路存取以及系統及實體存取權限,應依照供應商的風險層級定期審核。
  5. 管理、執行並持續監控:隨著外部供應商的增加,企業需要投入的管理資源也應相對增加。供應商使用者(提出需求的各業務部門)應該要充分了解供應商提供的服務內容及任何改變。有需要時應該請求資安人員的協助以了解相對應的風險。
  6. 相關單位面對額外工作量的疲勞:外部供應商面對來自不同使用者重複的查核,可能會產生疲勞與行政上的困難。企業內部相關單位面對額外的供應商管理工作量可能感到吃不消。

此外,除了外部供應商所帶來的資安風險,企業自行開發軟體也面臨來自第三方元件(如:軟體套件)的資安威脅。這些第三方元件越受歡迎,越容易受駭客鎖定並利用其軟體中存在之弱點。軟體物料清單(Software Bill of Material)的分析與管理能有效緩解第三方元件所帶來的威脅。

臺灣聯繫人

曾韵的個人照片
曾 韵 Christina Tseng
 安永諮詢服務股份有限公司 執行副總經理

  • 參考資料

    1. “Cyberattacks in healthcare surged last year, and 2022 could be even worse,” Chief Healthcare Executive, www.chiefhealthcareexecutive.com/view/cyberattacks-in-healthcare-surged-last-year-and-2022-could-be-even-worse, January 24, 2022.

顯示相關資源

  • 下載完整報告:《供應鏈網絡資安威脅因應之道》

    pdf (1 MB)

結語

後疫情時代下的商業環境,僅仰賴對資安威脅的知識已不足以保障企業營運。供應鏈除了必須更靈活、更有效運用科技,也需要對抗資安威脅,避免危及營運持續性與損害長期合作夥伴關係及客戶信賴的可能性。

關於本文章

作者
Ashutosh Dekhne

EY Americas Supply Chain & Operations Practice Leader

Supports clients in transforming their businesses through capability building. College football fan. Professional table tennis player. Proud father of a daughter aspiring to be a medical doctor.

Sameer Anand

EY-Parthenon Americas Supply Chain Leader

Helping clients bring innovation to supply chains to build resiliency for future disruption. Proud husband, indulgent father, Indian food chef and sommelier.

相關主題 諮詢服務 供應鏈 風險 數位科技 網路安全
喜歡