“安全在供应链上可视性相当低,大家可能还没意识到,或是不知道如何评断”,资诚智能风险管理咨询风险与控制服务执行董事张晋瑞在今年台湾安全大会活动上说。

在企业运营管理上,供应链管理相当重要,相关的风险管理也受到重视,但是除了运营、商誉等供应链的风险之外,对供应链衍生的安全风险管理也开始受到重视,但仍有不少企业不知道如何系统化、逻辑化的加强供应链安全风险管理,甚至不知道如何采取行动。

根据PwC全球调查结果,只有约4成的企业掌握第三方或供应链带来的风险,换言之,过半数的企业无法掌握供应商、云计算等第三方企业的相关风险,受访者无法回答公司针对第三方或是供应链的风险采取何种行动。甚至有的企业仅仅因为和第三方企业合作,信任第三方企业,没有采取行动,“这样是对的吗?”,张晋瑞反问。

因此为了降低第三方或供应链的安全风险,他归纳出如今的趋势是,尽量降低供应商数量,同时强化监控能力,“因为风险如同水库理论,水会从最弱的那一点流进来,不应该让供应商成为最弱的那一点”。因此和供应商创建安全生态系相当重要,面对安全威胁下,合作是安全生态系的关键,例如分享情报信息、提升员工教育训练、制定共同责任条款等等。

企业应该如何去管理供应链的安全风险?

张晋瑞以去年美国发布的NIST 800-161r1 C-SCRM(Cybersecurity Supply Chain Risk Management)网络安全供应链风险管理指南为例,企业对于供应链的风险透视度及掌握是低的,SP800-161r1是从企业自身拥有供应链的甲方思维来看,而SP800-171/172则是从第三方企业,想要打进供应链的乙方角度,例如要打进美国军工产业供应链的CMMC Model 2.0,分为Level 1、2、3三级,Level 1属于自评,Level 2需符合NIST SP800-171,Level 3则需达到NIST SP800-172。

张晋瑞表示,当企业开始要求供应商达到其要求,想要成为别人的供应商,也要重视达到别人的安全水准,因此如果企业是乙方,提供产品及服务,就要符合SP800-171、172。总而言之,不论是甲方或乙方,对供应链安全的要求越来越重要。

进一步查看NIST 800-161r1提出的供应链风险管理,以逻辑的方式提出各层级的风险管理面向,张晋瑞指出,对于各个角色、面向提出定义,包括网络安全专家、风险管理者、系统工程师、采购人员、使用单位,各个不同角色应该重视的重点是什么。此外,还分为3个层级,例如全公司对于供应链管理层级应注意的事项,个别流程或项目应注意的事项,以及运营行业上应做到的事项,分门别类定出20个风险管控的大项目、共293个子项目,企业可以据此查看哪里已做的很好,继续保持,哪里则需要加强改进。

这20个风险管控的大项目,例如访问控制、认知及训练、审核与问责、安全评估授权与监控、识别与认证、维护、事件回应等等,每个大项目底下包含数个子项目。

至于一般的风险评估和供应链风险评估有何不同?张晋瑞认为,两者方法、逻辑相似,但最大的不同在于供应链的风险评估需要专家、工具,例如红军、蓝军、紫军、Code Review等工具,将看不到的安全具象化表现出来,让企业进一步评估风险。

使用开源软件常见的挑战

以供应链中可能使用到的开源软件为例,企业对开源软件的掌握度有多少?他分享曾经在一项委托对OSS进行C-SCRM的项目中,经过盘点后,企业内使用10种以上的框架,近百种组件。“企业如果不了解供应链使用什么组件,很难掌握它带来的漏洞风险”。

开源软件在供应链安全风险常见的挑战,如果以20个供应链风险管控的大项目来看,例如在访问控件目上,由于每个组件访问管控方式不同,有的组件只有简易的访问管控,有的组件则有相当细致的访问管控,难以创建一体适用访问管控机制,套用在所有的组件上。在审核与问责的大项目中,日志记录的格式、细致度不一样,也不容易符合企业的商业需求。在安全评估授权与监控大项目中,需要考虑到软件检测工具能不能支持开源软件等等。

另外,在计划管理的大项目中,企业使用开源软件大多非用于核心的资讯系统,因此较少针对开源软件拟定资讯系统安全计划,以及落实检查。至于维护方面,由于专门提供开源软件维护的厂商较少,依赖企业内部人才或是论坛资源,都需要考量相关的风险。

张晋瑞指出,企业如果为乙方角色,必需对使用开源软件的挑战或潜在风险有更深的了解及应对,才能符合甲方大客户的要求,否则可能危及企业的经营根本。

台湾也有供应链风险管理规范

供应链安全风险管理已受到重视,加拿大、美国、英国、瑞士、欧盟、澳洲、新加坡都提出相关规范,对风险评估、责任归属厘清相当重视,如果企业的产品或服务提供给海外市场,就会面临当地法规的要求。

台湾也有相似的供应链风险管理规范,金管会在2023年3月底公告“金融机构资通系统与服务供应链风险管理规范”,该规范即是参考NIST 800-161r1 C-SCRM制定,规范内容共有9条,涵盖委外前、选商前、委托契约中应约定事项、契约存续期间应注意事项,还有服务变更或契约终止应符合事项。

张晋瑞指出,虽然金融机构风险管理规范的条文仅仅9条,但因为参考NIST 800-161r1,企业委外如果需要更完整的风险管理细节也可以参考NIST 800-161r1。不只是金融机构,半导体产业也有SEMI E187/188规范,对供应链安全也有相关的规范。未来,愈是强势、愈大规模的企业或客户,愈有他们对应的要求,供应商难以针对不同客户制定个别的风险管理,因此要有一套根本的风险管理框架,足以管理所有供应链的组件及安全,并应对绝大部分客户的要求,例如SP800-161r1或SP800-171/172的CMMC管理框架,“这样才能穿一套衣服,足以应对各种派对,而不需要经常换装”。

他也分享PwC对于第三方及供应链的风险管理框架,其中对供应商就区分8类角色(如下图所示),包括产品厂商、服务供应商、合资企业、商业渠道、经纪人或经销商等等,对不同类型的企业而言,每种供应商的角色重要性不同,企业可自己评估风险管理的优先性。对于衍生的风险则分为12类,包括信誉、运营、财务、业务连续性、国家、网络安全、隐私、技术、过度集中、分包等等,安全为其中的风险之一。此外,框架也将签约前到签约之后分为5个阶段循环,包含风险规划、评估、议约、持续监督、终止。

张晋瑞指出,不论使用哪种管理框架、方法,重点是对第三方或供应链安全风险有没有一套方式管理。你(企业)不能保护你(企业)看不到的,因此对企业及供应商来说,建议应识别企业、第三方或供应商之间的系统数据流向,利用信息技术找出供应链的弱安全连接。企业也可尝试要求供应商伙伴提高防护机制强度,以和企业自身的管理要求切齐,虽然这和企业的规模大小、在供应链关系的强势与否有关,但为了加强管理供应链安全,仍可以尝试要求供应商和企业的标准切齐。

另外,如同刚开始所说的供应链管理趋势,企业可以从风险评估,尝试整合或简化,降低供应链的复杂度,因为供应链愈多愈复杂,会增加管理上的难度。

从首席安全官角度来看,是否有即时监控应用系统、弱点的能力;可以创建第三方或供应链的管理部门,为第三方或供应链管理当责。查看数据流过程,确保每个过程有相对应的保护。最后,将风险管理的结果,依规定每年汇报给董事会。