數位供應鏈的網路安全挑戰

吳幸芳/東海大學資訊管理學系

何謂數位供應鏈

供應鏈[1]是一個全球供應網路,該網路包含產品從原材料採購到生產和交付給最終客戶的過程。傳統的供應鏈和供應鏈管理只關注生產和供應,而不是客戶需求,缺乏快速發現價值鏈上的問題,進而損害客戶滿意度和企業利潤。因此從傳統供應鏈中發展出的數位供應鏈(digital supply chain)[2]是動態的,利用先進的IT技術來快速適應不斷變化的環境,讓公司可以更快地交付產品,為客戶提供客製化服務。根據McKinsey研究[3]發現,大部分已將供應鏈數位化的公司可以將其收入提高3.2%,年收入平均增長2.3%。

數位供應鏈所使用的IT技術包含以下十項[4]:

  1. 雲計算和軟體即服務(Cloud Computing and Software-as-a-Service, SaaS)
  2. 人工智慧(Artificial Intelligence,AI)
  3. 機器學習(Machine Learning,ML)
  4. 自然語言處理(Natural Language Processing,NLP)
  5. 大數據(Big data)
  6. 商業智慧(Business Intelligence,BI)
  7. 虛擬實境和擴增實境(Virtual reality and Augmented reality,VR/AR)
  8. 機器人技術和機器人過程自動化(Robotics and Robotic Process Automation,RPA)
  9. 物聯網(Internet of things,IoT)

這些技術提供自動化和提升預測分析能力,使公司能夠縮短產品上市時間、快速預測和解決問題、縮短規劃週期、改進決策制定並為所有利益相關者創造價值。

供應鏈網路安全問題

然而根據McKinsey研究[5],只有43%的公司使用數位供應鏈。借助數位供應鏈,雖然可以幫助公司提高收入、擁有更好的決策和更敏捷的流程,但數位供應鏈也伴隨著一些挑戰[6],包含不連貫的系統、不良的用戶體驗、無法管理版權、過時的產品資訊等問題。其中,影響最大的問題是使用IT技術來支持整個系統運作時,所伴隨而來的網路安全風險問題。Gartner為一家在美國從事資訊科技研究和顧問的公司,已將數位供應鏈風險定為一種新的安全威脅,並認列為2022年七大安全和風險管理的趨勢之一[7]

以下為造成供應商網路安全問題的原因[8]:

1. 人為因素

人為因素常常是網路安全的漏洞,加上數位供應鏈上的組成成員可互相連線,因此無論是有意還是無意的疏忽皆會對整個供應鏈構成重大風險。例如: 網路犯罪者通過手段侵入,獲得電子郵件系統的存取權限,了解工作原則和流程後,假裝是供應鏈的供應商,並誘使企業匯入大筆資金。美國證券交易委員會已發出警告,強調供應鏈中的商務電子郵件入侵(Business Email Compromise,BEC)攻擊加劇。

2. 缺乏供應商風險管理(Vendor Risk Management,VRM)

企業在選擇供應商時除了需事先對公司進行調查,了解供應商和第三方對環境帶來的風險,還必須嚴格的監控供應商流程,定期評估供應商的風險情形是否有所變化。

3. 第三方應用程式漏洞

數位供應鏈上企業也會採用第三方工具來構建產品和服務,例如:支付、分析、廣告等等行為會外包給其他企業進行,此舉動會為企業帶來風險,使保護數據隱私變得具有挑戰性。然而大多數的網站不會監督整合的第三方JavaScript指令,並且缺乏針對Magecart、表單劫持和信用卡資料劫持等攻擊的網路安全控制作法。

網路犯罪者發現可藉由攻擊數位供應鏈帶來高投資回報,因此越來越多的網路犯罪者利用小型公司的供應鏈漏洞作為訪問大型公司的手段。Gartner預測[9],到2025年,全球有45%組織的數位供應鏈將遭受攻擊。

近年的供應鏈攻擊事件

SolarWinds供應鏈攻擊事件是21世紀最大的網路安全漏洞[10],SolarWinds為一間幫助企業管理網路、系統和資訊技術基礎設施,提供網路設備監控系統管理以及其他技術服務的公司。2020年12月被揭露SolarWinds所推出的Orion網路管理系統(Network Management System, NMS)遭到大規模駭客攻擊,攻擊方法是將惡意後門插入到Orion的更新程式中,再傳播給全球客戶。此攻擊事件引發重大影響,包括美國多個政府組織、資安業者與大型科技公司。

SITA攻擊事件[11]影響全球主要航空公司,國際航空電訊協會(Société Internationale de Télécommunications Aéronautiques, SITA)專門向航空業約400名成員提供IT和電信服務,聲稱服務於全球約90%的航空業務。SITA於2021年3月坦承,旗下專門經營航空公司乘客處理系統的子公司Passenger Service System(PSS)遭到駭客入侵,多家航空公司透過SITA的伺服器共享飛行常客的會員數據,造成大量的會員資料外洩。由航空公司組成的星空聯盟(Star Alliance)和寰宇一家(oneworld)當中皆有航空公司使用SITA服務,因此聯盟內的所有航空公司的常客數據皆遭洩漏,影響甚遠。

結語

供應鏈也因應資訊化趨勢逐漸發展成數位供應鏈,數位供應鏈可以幫助公司提高收入、擁有更好的決策和更敏捷的流程,但使用的IT技術同時擴大供應鏈的脆弱面,其中影響最大的為伴隨而來的網路安全風險問題。加上數位供應鏈上的組成成員可互相連線、存取可從近幾年的SolarWinds供應鏈攻擊事件與SITA攻擊事件得知,若資料外洩則會造成重大影響。因此,若企業想轉型使用數位供應鏈,需多加注意供應鏈網路攻擊問題。

[1] Investopedia (2021). Supply Chain. 檢自:https://www.investopedia.com/terms/s/supplychain.asp (Apr. 30, 2022)

[2] Oracle Netsuite (2020). Digital Supply Chain Explained. 檢自:https://www.netsuite.com/portal/resource/articles/erp/digital-supply-chain.shtml (Apr. 30, 2022)

[3] McKinsey & company (2017). Digital transformation: Raising supply-chain performance to new levels. 檢自:https://www.mckinsey.com/business-functions/operations/our-insights/digital-transformation-raising-supply-chain-performance-to-new-levels (May 9, 2022)

[4] Reciprocity (2021). Traditional Supply Chain vs. Digital Supply Chain. 檢自:https://reciprocity.com/blog/traditional-supply-chain-vs-digital-supply-chain/ (Apr. 30, 2022)

[5] 同3。

[6] SoftwareONE (2021). Digital Supply Chain 5 Common Challenges. 檢自:https://www.softwareone.com/en/blog/all-articles/2020/04/27/5-common-challenges-along-the-digital-supply-chain(May. 11, 2022)

[7] Gartner (2022). Gartner Identifies Top Security and Risk Management Trends for 2022. 檢自:https://www.gartner.com/en/newsroom/press-releases/2022-03-07-gartner-identifies-top-security-and-risk-management-trends-for-2022 (May. 13, 2022)

[8] Supply & Demand Chain Executive (2021). 5 Major Security Threats to the Digital Supply Chain in 2021. 檢自:https://www.sdcexec.com/safety-security/risk-compliance/article/21259409/knowbe4-5-major-security-threats-to-the-digital-supply-chain-in-2021 (May. 14, 2022)

[9] 同7

[10] TechTarget (2021). SolarWinds hack explained: Everything you need to know. 檢自:https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know (May. 14, 2022)

[11] Infosecurity(2021). SITA Supply Chain Breach Hits Multiple Airlines. 檢自:https://www.infosecurity-magazine.com/news/sita-supply-chain-breach-hits/ (May. 16 2022)

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

回到頂端