供應鏈在安全方面需要關注哪些趨勢?
在未來幾年,供應鏈有什么樣的安全趨勢?
行業專家指出,缺乏透明度和錯誤正在產生巨大的問題,但新的規則和解決方案正在朝著正確的方向發展,并分享了在供應鏈安全方面需要注意的趨勢。
在過去,很容易知道誰在什么時候做什么:關系主要是私人的,供應商通常是本地的,技術簡單到大多數人都能理解,至少能理解一點。一份簡單的檢查清單就足以確保機器的安全。一個簡單的會晤就足以達成協議。但現在情況已經不一樣了。在當今這個供應鏈漫長、技術復雜的世界里,要讓產品和流程完全透明,以實現值得信賴的運營,這是一項挑戰。
可以想像軟件是如何工作的,以及缺乏軟件供應鏈的完整性、透明度和信任如何導致重大問題,例如如持續的Log4j威脅以及Kaseya和SolarWinds網絡攻擊。
人們需要擔心的不僅僅是直接的網絡攻擊或欺詐:出現的重大問題可能僅僅因為人們犯了錯誤但未能理解并從中吸取教訓。對于不想受到網絡攻擊的企業來說,披露錯誤是非常可怕的,但不披露意味著錯誤無法糾正。
正如行業專家所說:“每當隱私和問責制之間出現沖突時,人們就會要求保護自己的隱私,而要求其他人遵守相關法規。”
在相互關聯的運營和供應鏈中,這造成的問題的規模、速度和影響范圍太大了,人們無法繼續進行檢查清單、文書工作等。
未來的一年提供了一個新的機會,讓企業變得有戰略眼光,并在正確的道路上前進。以下是對2023年軟件供應鏈的預期。
1.新的軟件安全和完整性規則
美國管理和預算辦公室(OMB)最近發布了一份備忘錄,詳細說明了美國聯邦機構的供應商必須如何確保其解決方案和整個軟件供應鏈中軟件的安全性和完整性。該備忘錄是對第14028號行政命令的擴展,為各機構、美國網絡安全和基礎設施安全局(CISA)、美國行政管理和預算辦公室(OMB)和供應商設定了嚴格的最后期限,其中許多將于2023年生效。
這項行政命令和備忘錄表明,世界各地的公司和政府正在意識到這樣一個事實:他們用于運營的軟件以及使用和交付給客戶的硬件和軟件解決方案,都存在重大風險。
為了應對新規則和日益增長的軟件供應鏈威脅,預計在2023年,私營和公共部門的領先組織將圍繞其軟件的來源和構建過程創建和共享透明度記錄和證明,以便用戶能夠更準確地評估和解決自己的風險。期待一小群重要的客戶開始提出同樣的要求,并為其他人設定標準。
2.企業控制和期望更多的透明度
使運營商能夠控制自己的風險是至關重要的,因為真正的風險最終歸屬于鏈的另一端。企業需要了解他們在處理什么,并根據他們的獨特情況做出決定,以保護自己和客戶。
透明度之所以重要,有以下幾個原因。其中一個原因是責任。如果企業能夠證明軟件是問題的罪魁禍首,那么就可以讓解決方案提供者承擔責任。
透明度的另一個關鍵好處是它使社區成員能夠分享他們所知道的。這樣,企業就不必等待供應商通知他們在角落的盒子里有Log4j。可以自己檢查,他們會立刻知道這是否危險。這一點很關鍵,因為沒有人聰明到能解決所有問題,但知識就是力量,安全分享知識有益于整個群體。
3.更多的供應商將意識到隱藏軟件缺陷是有風險的
還有一段路要走,但現在肯定走在一條道路上,在這條道路上,數字供應鏈被認為和實體供應鏈一樣重要。這包括越來越多的人認識到,供應商必須提供高質量的產品,消費者必須控制自己的風險。
當然,供應商可能會提供不準確的信息。在極端情況下,他們仍然可以在質量或安全程序方面撒謊。但隨著供應鏈的完整性、透明度和信任系統的正規化。如果企業一直被發現對供應鏈記錄做出不可靠的貢獻,無論是由于錯誤還是其他原因,他們很快就會發現開展業務方面存在挑戰。
隨著對供應鏈的誠信、透明和信任采取新的方法,預計更多的企業將開始建立誠實和公開其解決方案中軟件來源的聲譽。
4.更多的企業將利用自動化
如今的企業花費大量的時間和資源使用人工流程和文書檢查,以確保沒有出錯。企業仍需解決網絡安全問題,降低風險。但現在,在經濟衰退的環境下,他們需要這樣做,運營預算的壓力越來越大。
當企業試圖用更少的錢做更多的事情時,他們將面臨一個巨大的問題。試圖維持傳統的流程,用最基本的人員來完成這樣的工作是行不通的。
這將使2023年成為人們真正利用數字化轉型的一年。預計會有更多的組織實現真正的自動化,從而更好、更清潔、更快地管理他們的供應鏈生態系統,而且成本僅為目前的一小部分。
企業在今年將更加認識到,當他們以標準、自動化的方式實現誠信、透明和信任時,可以加快運營速度,降低數字供應鏈風險。通過從人工流程和“信任但要驗證”的方法轉向基于可靠的數字文書和“先驗證,再信任”的原則,這些組織將在核材料處理等領域為物理世界帶來數字優勢。
最大的網絡災難可能是錯誤而不是攻擊
在未來一年里,由于供應鏈可見性的改善而產生的大部分發現將突出表明,大多數網絡威脅來自錯誤—。
偶爾犯錯誤是可以的。如果不犯錯誤,不分享錯誤,沒有人會承認錯誤,因為他們會在媒體和保險費率上受到打擊。
供應鏈完整性、透明度和信任的流程記錄了企業所做的一切重要事情。注意誰在什么時候做了什么可以暴露錯誤。因此,生態系統合作伙伴可以避免在未來犯錯誤。