全球化程度提升及數位化的轉型,對於上、下游企業之間,形成更多交互影響的情況,以資訊安全來說,也不再是自己做得好,就沒有問題,而是和企業相關聯的公司有沒有做好資訊安全,有連帶的關係。
- 公司產品的零件供應商,因為資安問題洩露機密,影響公司產品的競爭
- 公司交付給外包公司的產品,發生資安問題,導致產品規格洩密
- 顧主因為資安問題,要加強稽查公司是否有做好資訊安全
這些在跨企業間的資安問題,組成了更加複雜的供應鏈的資安問題,進而造成更多可能的資安攻擊漏洞,可以說在供應鏈中的任何一個環節,因為缺乏資金、認知或監督,因而未能遵守資安協定,都可能使得整個供應鏈的資安防線癱瘓。
供應鏈的資安防護
供應鏈的資安防護和大部份的內部資安防護差不多,主要分為:防護外部攻擊及內部洩密。
- 外部攻擊
像是勒索軟體攻擊、網路釣魚、病毒程式、惡意軟體、韌體攻擊、DDoS、駭客注入攻擊…等。一般來說可以用防火牆、防毒軟體和資安軟體來做防護,或是公司的資安宣導,經常性的備份重要資料…等,來統合成一個針對外攻擊的防護。
- 內部洩密
內部洩密則比較難防,像是敵對公司的重金挖角,離職員工自行創業,或者是對公司不滿的員工惡意竊盜機密資料,這些內部洩密的機密資訊,可能會經由內部的網路管道往外傳出,或是經由手機的WiFi、藍牙管道,或是USB…等的洩密管道將資料外流。
一般來說不大容易用公司的管理手段來阻絕內部洩密,只能夠使用如 X-FORT 等端點防護軟體,來進行各式使用者活動的監控防護,才能有效的防止資料外洩。
供應鏈中的資訊安全,誰來監督?
- 自我監督
假設A公司發包部份零件給B公司代為生產,如果A公司認為這個零件應該要加強保密,就會要求B公司把資訊安全做好,以免發生洩密的事件。
這樣的情況下,B公司可能會部署獨立的資訊安全系統,並且成立資安小組進行監督,避免公司發生洩密的意外事件,而A公司需要確保B公司,有確實落實資訊安全防護就可以了。
在同一條供應鏈中的企業,可能都是互相獨立的公司,所以在企業內部署資訊安全系統,並且企業自己來監督自己,是很常見的方法。
只是你的資訊安全保護的等級,會被上、下游廠商要求到可以接受的程度。在這樣的生態下,供應鏈中間的每一個企業,都會對資訊安全問題進行適當的防護,並且同心協力,共同維護整個供應鏈的資訊安全。
- 協同監督
如果供應鏈中有強勢的企業,可能會進一步要求稽核供應鏈中其他的廠家,資訊安全做得如何。因此,有些重點被保護的資訊安全管道,就會開放共同監督重點設備的資訊安全。
在這樣協同監督的模式下,B公司不僅自己要把資訊安全管理好,外部協同的A公司資安小組,也會協助B公司補查缺漏,使上下供應鏈之間更加緊密,並且不容易出現人為的錯誤。
對於B公司來說,由於開放了A公司的協同監督,可能會產生出延伸的問題,最好把重點設備的監督區域進行實體的隔離,以免產生更大的漏洞。
供應鏈資安注意事項
受供應鏈資安議題影響較大的產業,應及早建置供應鏈資安管理機制。
- 建立單獨企業內的資安小組
首先應該得到管理層的支持,組建負責資訊安全的小組,符合企業的特性,採購相關資訊安全軟體,並針對內部人員洩密及外部駭客攻擊,進行有效的防禦。
- 建立供應鏈各廠商間橫向的溝通管道
由於供應鏈資安本身,不是只有包含一家企業,必須要上、下游廠商共同進行資安風險評估及管理,最好由各企業間的資安小組,共同組成供應鏈的聯合資安小組,可以有共同討論管道、並且可以進一步規範供應鏈中共同的資訊安全標準以及評估方法,也可以觀摩友廠使用的資安設備及內控方案,平時可以互相通報資訊安全新知及問題。
- 循環的執行及監控
最重要的是:定期的交流供應鏈各廠商間的問題以及互補性的相互監督,所以聯合的資安小組應僅量互相溝通,並且以符合各自公司現況方式管理資安政策。
有效的執行資安政策,並且持續的監控,當有問題時,可以透過聯合的資安小組進行通報,以免事態擴大。