供應鏈網絡資安威脅因應之道

日漸增加的數位化與連接能力以及大量數據交換，正使供應鏈面臨前所未有的資安威脅。我們應如何建構一個強大的現代化供應鏈，確保營運安全並提升韌性？

概要

• 供應鏈網絡攻擊可能導致企業在財務及信任層面付出高昂代價，常見的供應鏈網絡攻擊動機包括勒索、資產竊取、服務或流程中斷、內部威脅，甚至出於政治或競爭目的。
• 供應鏈各階段的科技、流程複雜度與第三方參與程度各有不同，所面臨的資安威脅及對業務連續性的可能影響程度也不盡相同。採購、製造和配送及物流最容易受到資安攻擊。
• 面對資安攻擊，應建立有效的應變生態系統。

供應鏈網絡中日漸增加的數位化與連接能力以及大量數據交換，正使供應鏈面臨前所未有的資安威脅。

這些攻擊不僅會導致組織的重大財務損失，更可能使組織與其合作夥伴及客戶間的長期信賴關係受到傷害。

我們應如何建構一個強大的現代化供應鏈，確保營運安全並提升韌性? 技術驅動的新常態是能安全營運的環境? 轉型成數位化供應鏈安全嗎? 這些是後疫情時代供應鏈主管與最高管理階層所抱持的部分疑問。

從企業觀點看來，儘管供應鏈是相當關鍵的功能之一，但在防禦潛在網路威脅方面，並未獲得應有的關注。根據安永2021年全球資安調查（EY Global Information Security Survey 2021），僅有33%的資安長（CISO）有信心供應鏈在出現網路威脅發動者時，具備滴水不漏的防禦及復原能力。供應鏈網絡攻擊可能以如下圖所列之各種型態出現。常見的供應鏈網絡攻擊動機包括勒索、資產竊取、服務或流程中斷、內部威脅，甚至出於政治或競爭目的。

供應鏈網絡攻擊生態系統

供應鏈為什麼容易受到資安攻擊？

隨著供應鏈全球化程度提升與快速數位化轉型，供應鏈網絡中互聯利害關係人數量也隨之增加，對企業形成更複雜的情況，進而造成更多的資安攻擊漏洞。供應鏈中任何一環因缺乏培訓、認知或監督而未遵守資安協定，都可能使整個系統的資安防線癱瘓。

此外，生態系統中的許多當事方仍欠缺整合資訊科技（IT）系統與營運科技（OT）系統的企業層級整體資安策略，使得供應鏈中的各連接節點易受資安攻擊。

為什麼資安防禦如此重要？

供應鏈網絡攻擊可能導致在財務及信任層面的高昂代價，例如美國一家醫療管理企業於2021年遭到供應鏈勒索軟體攻擊，超過100萬人1 受到影響，成為美國當年最大規模的健康資料外洩事件之一。

網路防禦卓越度作為影響企業參與及策略聯盟KPI的概念也正在崛起。目前絕大多數的利害關係人將供應鏈網絡資安防禦視為業務連續性的重要因素之一，擁有健全資安防禦系統的企業較易在供應商夥伴關係、經銷合約及其他策略聯盟等各參與階段成為優先合作夥伴。

未遵守監理機關所制定的資安防禦要求不僅為企業帶來外洩風險，也可能使監管審查頻率增加並導致商譽受損罰款。2021年美國紐約州金融服務署所通報的網路資安與其他相關不合規活動，罰款共計超過600萬美元。

哪些供應鏈的環節最容易受到資安攻擊？

供應鏈各階段相關的科技、流程複雜度與第三方參與程度各有不同，因此所面臨的資安威脅及對業務連續性的可能影響程度也不盡相同。這進一步突顯出必須謹慎規劃可滿足各階段差異的資安策略並建立健全靈活的解決方案，將其與供應鏈的不同活動部分整合。

• 採購：
  現代化供應鏈日益擴展的特性，包含進行大量資料交換的眾多參與者及功能性，讓採購成為最易遭受攻擊的環節。企業透過數位化轉型，將軟體即服務（ SaaS ）運用在採購與供應商管理流程，然而在協助降低成本、節省時間的同時，也增加了資料及網路資料外洩漏洞，使得供應商及企業業務面臨風險。企業資源規劃（ ERP ）軟體資料外洩是採購階段最常見的資安攻擊類型，惡意發動者將目標鎖定在客戶及供應商的敏感資料，包括財務、客戶及合作夥伴網路詳細資料、發票與訂單管理資料、帳戶詳細資料，以及其他監管與稅務證明。
  
  
• 製造：
  製造是影響企業運作最敏感環節之一，短暫的網路中斷可能對企業營運帶來長久負面影響，因停機、失去資料傳輸功能或庫存持有成本上升而導致鉅額損失。

對單一供應商的資安攻擊可能造成客戶與其相關連供應商的多間工廠長時間中止製造活動，進一步導致負面連鎖反應，如生產及配送延遲、產品缺貨、供需失衡、價格上漲與消費者的不信任。因勒索軟體攻擊而導致的停機、遠端存取盜竊、未修補軟體、ICS漏洞與第三方網路相關攻擊等，都是製造階段中常見的攻擊手法。

• 配送及物流：
  對第三方的高度依賴，使得配送及物流成為面臨高資安風險的環節之一。物流業者處理大量客戶資料也使其成為攻擊者熱點，供應鏈在此階段，資料外洩比例相當高。越來越多物流業者採用自主解決方案，使其功能變得更加仰賴數位化，進而加劇資安攻擊風險。疫情期間物流服務業者數量呈指數型成長，使其成為勒索軟體攻擊眼中更主要的目標。
  

哪些產業最易受到資安攻擊？

• 半導體
  傳統線性供應鏈已經進化為採用資料驅動型的智慧供應鏈架構，推動更為優化的資源管理與物流。但工廠自動化、遠距辦公、數位化供應商管理及採用動態定價系統都包含大量的資料共享，導致資料外洩風險增加。2020年至2022年間，業界經歷了相當大量的勒索軟體攻擊、服務與生產中斷攻擊、韌體攻擊與網路癱瘓。晶片智慧財產權盜竊也呈現增加情況，尤其是在2021年全球晶片短缺時期。
  
  
• 汽車
  汽車產業面臨如隱私侵犯、內部威脅、透過釣魚攻擊或預裝惡意軟體等多種來源的網路癱瘓、軟體及韌體攻擊，與虛擬化惡意軟體等大量資安威脅。隨著電動車（EV）與自動駕駛汽車（AV）迅速發展，包括開源技術社區在內的上百萬節點間之虛擬或網路互動與資料交換，預期會使攻擊數量更為增加。
  
  
• 消費及零售
  全通路策略、銷售點和配送管理創新的迅速拓展，越來越多企業採用如直接面對消費者或線上購買門市取貨（BOPIS）等新型商業模式，以及客戶與合作夥伴參與使用沉浸式技術的頻率增加，皆是消費及零售產業對數位化依賴及網路攻擊增加的一部分原因。 攻擊者的部分關鍵動機為取得未授權資料存取（交易及帳單資料、客戶個人資料、獎勵與酬賓方案細節），以及透過分散式阻斷服務（DDoS）製造流量不平衡。
  
  
• 能源
  可靠的能源供應對所有產業的日常營運至關重要，包括如國防與健康照護等影響層面廣泛的產業，這使得能源產業極易受到資安攻擊。 能源產業發生大規模服務中斷時，可能導致供應短缺與價格上漲，甚至危及上百萬人性命。

面對資安攻擊，如何建立有效的應變生態系統？

1. 組織
   • 整合資安防禦措施與企業韌性策略
   • 購買資安險以因應剩餘風險
   • 合理配置資安防禦預算
   • 使用進階分析評估常見漏洞
   • 實施智慧威脅偵測解決方案
   • 整合IT-OT生態系統
   • 建立目標人才庫，並讓最高管理階層參與制定資安防禦策略階段
      
2. 合作夥伴網絡
   • 藉由供應商網路的多樣化來降低曝險
   • 使用不同平臺廠商的解決方案以建立「零信任」的安全架構
   • 使用「紅藍隊」來模擬資安攻防策略
   • 為合作伙伴導入全面性的資安漏洞管理計畫
   • 具備結構化的通報機制
   • 將資安韌性視為選擇合作夥伴的KPI
      
3. 監管
   • 定期更新隱私管理系統以符合區域及全球隱私法規
   • 促進及支援更多公私部門合作夥伴關係
   • 改用更符合合規要求的基礎建設
   • 針對各項業務參與進行資安盡職調查
   • 評估業務情境及監控數位交易政策