2022年2月28日,丰田汽车公司宣布
因供应商小岛工业发生系统故障,该公司将暂停日本境内14家制造工厂全部28条生产线的运营一天。 日野汽车和大发汽车等丰田合作伙伴也受到此次停产影响。小岛工业系统故障的根源
似乎是网络攻击,导致其与丰田的通信及生产监控系统中断。3月1日,丰田宣布仅恢复3月2日起的首个生产班次。
此次事件清楚地说明了关键供应商无法供货所带来的风险,并展示了负面影响在整个供应链中产生的多米诺骨牌效应。仅停产一天(并减少后续数日的班次)就可能导致丰田错失生产目标、损失收入、未能达到盈利预期——更不用说客户信任的丧失。
强化供应链安全的六大步骤
供应链安全的现实情况是,尽管贵组织无需对供应商安全负责,但仍需承担部分风险。那么,制造商及其他组织如何才能降低网络相关供应链故障的风险?请考虑以下六个步骤。
1. 在采购和签约前尽职调查期间加强网络安全评估
在签订合同前进行尽职调查,有助于确保新供应商不会给您的环境引入不可接受的风险。该流程包括对供应商的信息安全、运营安全及业务韧性实践进行评估。尽管本次事件与网络安全相关,但企业应将合同前尽职调查范围扩展至供应商的财务状况和声誉评估。 例如,若供应商产品存在负面新闻,或财务表现不稳定,则可能无法快速适应生产需求变化,或存在安全投入不足的情况。这些洞察可用于计算固有风险,从而确定需要进一步评估的领域。
为提升签约前尽职调查的质量,众多企业选择利用已完成的供应商网络风险评估库。直接下载现成的评估报告,能比从头开始自行评估更快地获取潜在供应商风险的关键信息。
2. 在合同中建立可执行的服务等级
有效降低供应商风险需要了解其表现是否符合预期,而这始于在签约阶段建立可执行的服务水平。可衡量的服务水平可包括系统正常运行时间、故障原因的平均检测时间(MTTD)以及故障后平均恢复时间(MTTR)。 合同签订阶段也是纳入关键条款以确保系统故障转移和备份的最佳时机,尤其考虑到供应商无法轻易"关闭"并替换。最后,通过集中管理关键绩效指标(KPI)和关键风险指标(KRI),可实现企业级供应商绩效可视化管理。
由于涉及众多内部和外部方参与合同谈判,整个流程极易失控。为解决这一问题,许多企业采用标准化合同生命周期管理产品,该产品提供基于角色的视图以追踪关键绩效指标,支持版本控制和嵌入式讨论功能,并通过工作流机制使合同更高效地完成审核与审批阶段。
3. 依据行业标准的供应链网络安全控制措施评估供应商
签约前的尽职调查将揭示新供应商为您的环境带来的固有风险,但风险评估并非止步于供应商入驻阶段。值得庆幸的是,现有多个行业框架使详细的控制评估流程远比使用电子表格更为标准化。例如,NIST 800-61 和ISO 27036标准均包含专门设计用于评估供应商安全控制措施的特定问题集。
第三方风险管理平台可自动化收集供应商问卷答复,并自动分配及追踪风险。平台还内置风险整改建议,将风险降至可接受水平。当供应商属于"大到不能倒"的类型时,您可委托专业管理服务提供商代为执行评估尽职调查的收集与分析工作,让您的团队专注于风险整改。
4. 持续监控供应商以捕捉早期预警信号
风险评估能提供供应商安全控制措施的特定时间点视图,虽然这对理解其安全态势至关重要,但您还需持续关注可能影响供应商交付能力的各类风险——无论是网络安全风险还是其他风险。
监控
通过监测互联网和暗网中的网络威胁与漏洞——以及公共和私有来源的声誉、制裁和财务信息——可提前预警潜在安全事件。建议重点监控:
- 网络空间:犯罪论坛、洋葱页面、暗网特权访问论坛、威胁情报源、泄露凭证粘贴网站、安全社区、代码仓库以及漏洞与黑客攻击/数据泄露数据库,均可提供历史与当前的入侵指标。
- 商业动态:并购活动、商业新闻、负面消息、监管与法律信息以及运营更新,都可能表明企业对网络安全的关注度有所下降。
- 财务:财务表现不佳可能预示预算削减,进而影响安全运营。
将这些洞察融入全面的供应商评估流程,能为事件提供背景信息,并有助于验证上文第三步中评估的控制措施。
5. 了解您的扩展供应链
有时,您扩展供应商生态系统(例如供应商的供应商)中的网络安全事件可能影响供应商的交付能力,进而影响您的交付能力。作为合同前尽职调查环节的一部分,应向供应商收集其供应商信息以构建关系图谱。 这将帮助您发现供应链中的依赖关系并可视化薄弱环节。最基础的做法是掌握供应商生态系统中部署的第四方技术,从而判断哪些环节可能面临定向攻击风险。与其依赖多个非集成工具收集信息,不如选择能自动构建数据库的单一监控解决方案。
6. 启动您的第三方事件响应计划
若您的供应链发生网络安全事件,贵组织能否迅速理解其对业务的影响并启动自身事件响应计划?事件响应中时间至关重要,因此通过制定明确的事件响应计划采取更主动的措施,将缩短发现并缓解潜在供应链问题所需的时间。更系统化的第三方事件响应计划可包含:
- 集中管理的供应商及其所依赖技术的数据库
- 预先构建的业务韧性、连续性和安全评估,用于衡量事件发生的概率及其影响程度
- 评分和权重有助于关注最重要的风险
- 修复潜在漏洞的内置建议
- 针对特定利益相关方的报告,以回应董事会必然提出的请求
供应链风险管理的下一步行动
丰田供应链中断事件提醒我们,所有组织——无论其系统多么复杂多样——都可能受到供应商故障或网络安全事件的影响。请通过以下六个步骤评估贵组织的供应链安全状况,或联系Prevalent公司,就现有供应链风险管理流程的战略规划或成熟度评估进行咨询。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
