周二严语

启迪创新思想,推动行业发展

【周二严语】信息安全与企业采购

时间:2021-07-06 13:57:03  来源:博维  作者:博维  点击:111 
滴滴出行、运满满、货车帮等一个月内在美上市的平台型企业相继被国家网络安全部门实施网络安全审查,消息一出,业界为之一震,企业信息安全被提升到如此重要的地位,为相当多的人始料不及。
 
这两年,在新冠病毒爆发的大背景下,全球供应链业界的主要热点主要集中在如何构建更加柔性的供应链,使之具备面对不确定性的冲击时具有缓冲、快速应对以及适应的能力。
 
Gartner在分析2020供应链技术发展时也将供应链管控与安全列为几大趋势之一,认为随着全球风险事件不断增加,安全漏洞同时影响到企业数字和物理层面。
 
2021年5月发生的美国输油管网遭遇黑客劫持事件为此提供了一个最新的例证。
 
5月7日,美国大型成品油管道系统运营商科洛尼尔管道运输公司因黑客通过非法软件控制其电脑系统或数据,不得不临时让系统离线,使得所有的管道运输临时暂停运营。
 
科洛尼尔运营的是美国最大的成品油管道系统,这条管道系统全长8851公里,将墨西哥湾沿岸地区的炼油厂与美国东部和南部相连。管道每天运送超过250万桶燃料,是亚特兰大、华盛顿、纽约等地的汽油、柴油和航空燃料主要来源,同时也为这些地区的几家大型国际机场服务,更承担着美国东海岸45%的燃油供应。
 
鉴于法规规定油品只能通过管道运输,在此情况下,美国联邦汽车运输安全管理局临时给予了18个州相关油品的公路临时运输豁免,以维持燃料供应。12日,科洛尼尔公司宣布燃油管道运输管理系统逐步恢复运行。
 
该攻击并非史上针对关键基础设施的首次网络攻击,但却是第一次导致主干能源管道暂时完全停止运营,对于美国乃至全球关键的能源供应链的网络安全将产生不可忽视的影响。
 
FBI的调查确认,基地设在俄罗斯的“黑暗面”黑客组织对科洛尼尔公司的网络劫持负有责任。经过一个月的追踪,美国联邦司法部宣布成功追回科洛尼尔公司案件中的大部分赎金—63.7个比特币(当时市值约230万美元)。
 
本案是典型的利用软件漏洞植入勒索程序的作案手法,在现实中,除了软件外,很多人并没有意识到的是硬件系统的信息安全隐患,相信这次对于滴滴等的审查也会包括这方面的内容,诸如硬件采购的流程和决策方式、硬件供应商的安全合规等,特别是在突发事件中断、国际环境影响、不正当竞争以及持续服务中断的情况下安全持续运营的能力。
 
这也给企业从事采购的人士提了个醒,涉及供应链和信息安全的事情不仅是软件系统采购要考虑到的事情,硬件系统(理论上包括任何能联网运行的设备)同样存在信息安全的问题,在涉及到信息安全风险控制的这类物品的采购活动中,价格优先绝不是采购决策的唯一定律,采购人员需要加强采购活动中对于信息安全保障认知的训练。
 
在这方面,到目前为止,国家层面至少已经有两个标准文件--《供应链风险管理指南》(GB/T 24420)和《信息安全技术 ICT供应链安全风险管理指南》(GB/T 36637-2018)可供指导使用。