（本文將收錄在五月底在SSCL供應鏈創新峰會上首發的《供應鏈未來：科技和創新趨勢》一書中，敬請期待）。

世界上最大的四家航運公司都曾遭受網絡攻擊

隨著法國航運巨頭CMA CGM遭到勒索軟件攻擊，意味著自2017年以來，全球四大海運公司在過去四年中都遭到了網絡攻擊。

Maersk在2017年被NotPetya勒索軟件劫持了數周。地中海航運公司（Mediterranean Shipping Company）在2020年4月，一種未命名的惡意軟件毒株襲擊了該公司，導致其數據中心癱瘓數天。中遠海運2018年7月被勒索軟件，網絡被擊倒數周。CMA CGM，該公司在上海、深圳和廣州的中國分公司被Ragnar Locker勒索軟件襲擊后，關閉了其全球海運集裝箱預訂系統。

這意味著，物流供應鏈中非常重要的一環--航運行業中，四大巨頭沒有一個免于重大網絡攻擊。

針對CMA的勒索郵件

物流供應鏈公司網絡風險依然很大

物流供應鏈公司依靠現代技術開展業務和簡化運營。然而，管理物流供應鏈風險是一項艱巨、耗時且昂貴的工作。未能管理其風險的組織更容易受到網絡攻擊，從而造成嚴重中斷。

福布斯報告稱，53% 的大型公司至少經歷過一次由第三方引起的網絡攻擊，包括數據泄露。據 CyberGRX 稱，由第三方造成的網絡攻擊平均每次造成 750 萬美元的損失。

除了數據攻擊之外，物流供應鏈公司還可能面臨因誤解客戶需求、不適當的產品流動（包括原材料、零件或成品）以及自然災害（包括龍卷風、颶風、洪水和地震）引起的風險。

物流供應鏈中的網絡攻擊類型

對于物流供應鏈公司，網絡安全風險令人生畏和沮喪，大多數組織都遭受數據中斷、財務問題和網絡攻擊的困擾。這些中斷會影響他們的效率、準確性和精細管理。

然而，企業正在迅速采用數字技術，如物聯網 (IoT)、機器學習和人工智能算法/軟件應用程序，以及尖端的預測建模技術，以簡化其物流供應鏈管理和相關運營。

問題是企業即使采用了現代技術，如果未能關注網絡安全威脅，例如勒索軟件、惡意軟件、病毒、網絡釣魚、黑客攻擊和在線攻擊，那么，企業仍可能遭遇以下常見風險：

? 數據

? 惡意軟件攻擊

? 勒索軟件攻擊

? 網絡安全

? 數據竊取

? 竊取供應商的數據

? 軟件中斷

? 數據傳輸延遲

惡意軟件攻擊

惡意軟件攻擊近年來變得普遍，黑客竊取機密信息，更改公司的內部數據，或破壞數據庫以阻止企業使用歷史數據。惡意軟件是侵入公司計算機系統、竊取機密數據并破壞硬件和軟件應用程序的侵入性軟件。病毒、蠕蟲、勒索軟件和特洛伊木馬是常見的惡意軟件攻擊。

據 Business Insider 稱，2020 年的 SolarWinds 惡意軟件攻擊是最嚴重的基于惡意軟件的攻擊之一。黑客和犯罪分子制定了攻擊德克薩斯州 SolarWinds 系統的策略，黑客在公司系統中添加了惡意軟件并竊取了機密數據。相關的物流供應鏈企業，33,000 多家公司使用該軟件來管理其與 IT 相關的運營。

最嚴重的是 SolarWinds 向其客戶端發送軟件更新和補丁，其中包含網絡犯罪分子安裝的惡意代碼。因此，這使網絡犯罪分子可以訪問其他系統并安裝惡意軟件來監視企業的數據操作。

勒索軟件攻擊

勒索軟件是另一種犯罪分子加密數據文件和文檔的網絡攻擊，它使罪犯或黑客能夠索要金錢以換取解密密鑰。在大多數情況下，網絡罪犯要求公司通過比特幣和其他加密貨幣向他們付款。因為這可以防止黑客泄露他們的個人信息。

據彭博社報道，對 Colonial Pipeline 的勒索軟件攻擊使黑客能夠威脅該公司。黑客/罪犯對數據操作進行加密并造成嚴重破壞，導致美國南部多地出現汽油短缺。

研究強調，網絡罪犯使用 VPN 技術進入 Colonial 的網絡。由于該公司沒有在其網絡系統中安裝多重身份驗證功能，網絡犯罪分子很容易攻破它并盜用不同的用戶名和密碼。

結果，黑客竊取了機密數據，包括登錄憑據， 遭受攻擊的公司 Colonial 為解密密鑰和數據恢復支付了超過 440 萬美元。然而，解密密鑰工作緩慢，給恢復公司運營帶來了嚴重的麻煩。

數據攻擊和破壞

數據攻擊是物流供應鏈公司遭受的最嚴重的網絡攻擊或威脅之一。因此，公司必須實施復雜的數據安全程序和協議，以防止網絡攻擊和數據破壞。

據 Data Endure 稱，網絡攻擊會給物流供應鏈公司帶來嚴重問題，導致聲譽受損、財務損失和數據被盜。

VARONIS 報告稱，物流供應鏈公司發現在數據泄露發生后很難識別，即使他們擁有可靠的監管、合規性和安全標準。對于大型物流供應鏈公司來說，這個問題更加嚴重。

例如，根據 IBM 的說法，從數據中恢復需要幾個月的時間，因為物流供應鏈公司平均需要 280 天的時間來識別、檢測和從第三方支持中恢復。

在一家制造公司中，運營需要您與第三方共享機密數據，您更有可能遇到數據泄露的情況。因此，您必須保護敏感信息并安裝最先進的安全和隱私協議來保護您公司的數據。

需要關注未經授權的數據訪問，并實施復雜的解決方案來防止此問題，否則，供應商因未經授權訪問您公司的電子郵件帳戶可能會導致嚴重問題。

此外，網絡犯罪分子還可以入侵您公司的電子郵件帳戶、攻擊較弱的加密方法并利用不安全的數字平臺竊取登錄憑據。

同樣，第三方可以使用惡意方法將您客戶的信息泄露給犯罪分子以獲取金錢。想象一下如果您公司的信息/數據落入犯罪分子和黑客手中，他們將有多少種方式破壞您的供應鏈管理運營并使您的業務崩潰。

基于物聯網的攻擊

基于物聯網的攻擊已變得普遍，有時公司使用這些技術但未能實施可靠的安全策略。任何連接到互聯網的設備都可能帶來物流供應鏈風險。例如，物聯網是消費類設備，如智能恒溫器、個人健身追蹤器、智能手表、智能安全系統、醫療傳感器、冰箱等。據 Statista 稱，全球有超過 100 億個活躍的物聯網設備。

物聯網設備在包括物流供應鏈公司在內的組織中很常見，可以大規模地為它們賦能，簡化生產，并優化供應商和供應商之間的內部和外部通信。此外，物聯網技術幫助企業實現效率提升，例如：

? 上市時間更短

? 簡化物流供應鏈中的資產跟蹤

? 降低成本和更安全的工作場所

黑客和犯罪分子明白，安全系統受損的物聯網設備使他們更容易發起攻擊。根據 Net Scout 的說法，普通的物聯網設備在連接到互聯網后的五分鐘內就可能遭受網絡攻擊，這背后最常見的原因是設備中缺少網絡安全協議。因此，通過物聯網設備實現的網絡安全可能會導致嚴重的問題和并發癥，包括：

? 生產損失

? 收入損失

? 數據竊取

? 設備損壞

? 工業間諜

供應鏈公司使用設備和傳感器并將它們連接到互聯網，聯機的設備越多，它們就會創建更多的數據存儲、端口、通道和端點，黑客更容易找到系統中的漏洞并發動的攻擊。

物流供應鏈公司的網絡安全策略

我們已經討論了網絡攻擊的類型。現在讓我們介紹防止網絡攻擊的最佳做法或策略。

制定完善的政策

專家建議制定有關數據安全、信息共享、訪問和授權協議的明確政策。您必須定義您的公司如何監控數據以及需要在企業級安裝哪些安全協議。與您的合作伙伴討論您的要求，確定他們采取什么措施來防范網絡安全威脅。聘請具有物流供應鏈經驗的專業網絡安全專家來獲取經驗，并請求他們為您的組織開發量身定制的安全方法。

培訓您的員工

教育和培訓您的員工是管理在線操作、安全使用用戶名和密碼以及防止網絡安全隱患的完美方式。研究表明，95% 的安全攻擊都涉及人為錯誤，包括：

? 鏈接到網絡的釣魚詐騙

? 訪問不安全的網站

? 點擊電子郵件中的可疑鏈接

? 安裝包含惡意軟件的程序

我們建議討論網絡釣魚場景和潛在攻擊，并概述您的員工和管理團隊可以實施的最合適做法，以保護公司的在線運營，包括客戶數據和其他敏感信息。

定義數據訪問協議

誰有權訪問您的物流供應鏈管理系統？回答這個問題對于定義數據訪問協議至關重要。除非您有明確定義的機制告訴您誰有權訪問這些，否則您無法保護您的系統、應用程序和數據網絡平臺。

此外，評估和第三方的關系并確定它們是否可靠。評估和第三方和公司共享的數據和系統。據 CSO Online 稱，大約 35% 的公司擁有一份第三方列表，其中包含他們通過在線渠道共享信息的第三方。

更新技術

網絡安全需要持續維護，實施復雜的方法并非一蹴而就。原因是惡意軟件、勒索軟件、威脅和漏洞會不時演變。

因此，更新和修補軟件系統對于防范網絡安全風險和威脅至關重要。它需要持續監控軟件功能和網絡安全、識別漏洞并采取相應措施。

建議物流供應鏈公司對其管理系統進行定期檢查，56% 的公司經歷過由其供應商造成的數據和網絡攻擊。

網絡安全最佳實踐

物流供應鏈公司采用了多種實踐來幫助他們管理網絡風險。這些做法包括：

? 每個 RFP 和合同中都包含安全要求。

? 一旦供應商被正式接受，安全團隊就會在現場與他們合作，以解決任何安全漏洞。

? 針對作假或不符合規格的供應商產品的“一票出局”政策。

? 組件采購受到嚴格控制；從核準的供應商處購買的組件是經過資格預審的。從其他供應商處購買的零件在被接受之前會進行拆包、檢查和 X 光檢查。

? 為所有工程師建立安全軟件生命周期開發計劃和培訓。

? 軟件和硬件有安全連接，安全啟動過程會查找身份驗證代碼，如果無法識別代碼，系統將不會啟動。

? 跟蹤和追溯程序確定所有零件、組件和系統的來源。

? 程序為每個組件捕獲組件標識數據，并自動將組件標識數據鏈接到采購信息。

? 負責網絡安全的人員與每個團隊合作，并確保網絡安全是開發人員員工體驗、流程和工具的一部分。

? 對服務供應商的訪問進行嚴格控制。對軟件的訪問僅限于極少數供應商，硬件供應商僅限于控制系統的機械系統。

? 所有供應商都需要獲得授權和監控。

最后的話

供應鏈管理是一種優化運營、帶來穩定性并提高公司整體底線的復雜方法。然而，物流供應鏈近年來變得容易受到網絡攻擊，因為越來越多的公司在沒有可靠安全協議的情況下對其系統進行了數字化。這給網絡罪犯帶來了機會，他們實施惡意軟件（例如勒索軟件和惡意軟件）并破壞它以竊取敏感數據和信息。因此，物流供應鏈行業的企業必須為第三方供應商建立合規標準，包括制造商，物流商，供應商和分銷商。

曾志宏Lucas，北科大畢業，新加坡國立大學MBA，上海趨研信息聯合創始人，曾服務于GE，Rolls-Royce，JCI，Whirlpool供應鏈部門，致力于貨代行業和國際供應鏈領域流程自動化，智能化和可視化，AI+軟件機器人RPA，以及數字供應鏈，智慧物流等的推廣和傳播 (微信: 1638881963)。