Реклама на сайте Вход
in Фраза дня

Фраза дня: безопасность цепочки поставок

апреля 22, 2026

Безопасность цепочки поставок - это часть управления цепочкой поставок, которая фокусируется на управлении рисками внешних поставщиков, продавцов, логистики и транспортировки. Её цель - выявить, проанализировать и снизить риски, связанные с работой с другими организациями в рамках цепочки поставок. Безопасность цепочки поставок включает как физическую безопасность продуктов, так и кибербезопасность программного обеспечения и услуг.

Поскольку цепочки поставок могут сильно различаться от группы к группе и может быть задействовано много разных организаций, не существует единого набора установленных руководств по безопасности цепочки поставок или передовых методов. Полная стратегия безопасности цепочки поставок требует соблюдения принципов управления рисками и глубокой киберзащиты. Он также принимает во внимание протоколы, установленные государственными учреждениями, такими как Министерство внутренней безопасности, или таможенные правила для международных цепочек поставок.

Физическая безопасность и целостность цепочки поставок
В прошлом безопасность цепочки поставок в первую очередь была сосредоточена на физической безопасности и целостности. К физическим угрозам относятся риски с внутренними и внешними источниками, такие как кража, саботаж и терроризм. Организации часто смягчают физические атаки, отслеживая поставки и проверяя нормативные документы. Кроме того, от поставщиков может потребоваться обеспечить поставки в соответствии с конкретными рекомендациями по качеству, а бизнес может нанять нескольких поставщиков для обеспечения стабильных поставок товарной продукции. Внешние аудиторы или инспекторы могут выезжать на фабрику, а предприятия могут также проверять анкетные данные персонала. Отправления также могут регистрироваться, охраняться и проверяться до и после отправки, чтобы предотвратить вмешательство или кражу.

Киберугрозы и безопасность цепочки поставок
В последнее время киберугрозы стали на передний план проблем безопасности цепочки поставок. Киберугрозы относятся к уязвимостям в ИТ и программных системах, таким как атаки вредоносных программ, пиратство, несанкционированный доступ к ERP и непреднамеренно или злонамеренно внедренные бэкдоры в приобретенное программное обеспечение с открытым исходным кодом или проприетарное программное обеспечение, используемое организациями.

Безопасность цепочки поставок здесь в первую очередь включает в себя минимизацию рисков от использования программного обеспечения, разработанного другой организацией, и защиту данных организации, к которым имеет доступ другая организация в вашей цепочке поставок. Организации не могут считать само собой разумеющимся, что программное обеспечение, которое они используют или приобретают, является безопасным.

Поскольку между предприятиями, поставщиками и торговыми посредниками часто требуется тесное сотрудничество, компьютерные сети могут стать взаимосвязанными, а конфиденциальные данные могут совместно использоваться. Это может привести к нарушению работы одной организации и затронуть многие. Вместо того, чтобы атаковать цель напрямую, киберпреступник может атаковать более слабую организацию в цепочке поставок цели и использовать этот доступ для достижения своих целей.

Многие реагируют на недавние атаки на цепочки поставок, такие как атаки SolarWinds, например, уменьшением зависимости от иностранных поставщиков и построением преимущественно внутренних цепочек поставок. Некоторые компании переводят производство с зарубежных заводов и на отечественные.

Hewlett Packard Enterprise выпустила линейку серверных продуктов, в которой, например, для всех компонентов используется надежная цепочка поставок. Кроме того, правительство Китая распорядилось, чтобы его министерства прекратили использование оборудования и программного обеспечения иностранного производства к 2022 году.

Лучшие практики безопасности цепочки поставок
Безопасность цепочки поставок затрагивает многие области и сильно варьируется от организации к организации. Принципы управления рисками могут направлять стратегию для выявления угроз или потенциальных проблем и реализации соответствующих мер по их снижению. Ни один набор передовых практик не может охватить все ситуации.

Стратегия глубокой защиты может значительно повысить общую безопасность цепочки поставок. Передовые методы обеспечения безопасности цепочки поставок включают:

  • Регистрируйте и отслеживайте отгрузки. Используйте автоматические уведомления для отправителя и получателя.
  • Во время транспортировки используйте замки и пломбы с защитой от вскрытия.
  • Осмотрите фабрики и склады.
  • Требуйте проверки биографических данных сотрудников.
  • Используйте аккредитованных или сертифицированных поставщиков.
  • Выполняйте оценку стратегии безопасности с учетом местных законов и политик управления.
  • Выполняйте тестирование на проникновение и уязвимость партнеров, с которыми вы делитесь данными.
  • Аутентифицируйте всю передачу данных и определите запрашивающих.
  • Используйте разрешения или доступ к данным на основе ролей.
  • Используйте лицензированных сторонних аудиторов для сертификации потенциальных партнеров.
  • Обучайте сотрудников быть внимательными к изменениям и несоответствиям.
  • Регулярно проверяйте исходный код с открытым исходным кодом и исходный код поставщиков.
  • Ограничьте доступ и разрешения сторонним программам.
  • Используйте сканирование на уровне сети, поведенческий анализ и обнаружение вторжений для выявления потенциальных нарушений.
  • Разработайте план реагирования для быстрого реагирования на обнаруженные угрозы.
  • Ознакомьтесь с государственными директивами и постановлениями, соответствующими вашему региону.

Применяя меры по снижению рисков, наиболее подходящие для ее бизнес-сектора, организация может значительно улучшить состояние безопасности своей цепочки поставок.

Заметные нарушения цепочки поставок
В этом списке описаны некоторые заметные нарушения безопасности цепочки поставок:

1959: ЦРУ перехватило лунный зонд СССР во время его отправки. ЦРУ удалось полностью разобрать, задокументировать и собрать его обратно в транспортировочный ящик менее чем за 24 часа, не оставив никаких следов взлома.

2014: Хакеры получили учетные данные сторонних поставщиков для терминалов кредитных карт Home Depot. Это позволило им украсть около 56 миллионов номеров кредитных и дебетовых карт.

2020: Подозреваемое российское агентство внедрило вредоносный бэкдор-код как серьезную постоянную угрозу в программное обеспечение для управления системами Orion, созданное SolarWinds. Эти эксплойты, получившие название Sunburst и Supernova, привели к взлому тысяч компаний и государственных учреждений, раскрытию конфиденциальных данных и многому другому.

2021: неизвестная сторона установила бэкдор на сервере PHP Git с открытым исходным кодом, но он был обнаружен до того, как был опубликован и распространен. Это нарушение могло открыть для хакеров миллионы веб-серверов.

 

Фраза дня
Популярные посты
1
Фраза дня: CIA triad
2
Фраза дня: матрица Эйзенхауэра
3
Фраза дня: supply chain
4
Фраза дня: procure to pay (P2P)
5
Фраза дня: видеоконференции
Sign In Register