全球安全认证公司美国伊利诺伊州诺斯布鲁克UL表示,新型冠状病毒(COVID-19)增加了制造商的网络安全问题。
中小企业媒体采访了UL的Laurens van Oijen网络安全解决方案负责人,讨论所涉及的问题。
问题:有报道称,在 COVID-19 大流行期间,针对公司及其供应链的网络攻击有所增加。有因果关系吗?为什么会增加?
VAN OIJEN:供应链通常容易受到网络攻击。所有网络攻击中有一半是针对供应链合作伙伴的。攻击者想要访问您的整个系统,包括合作伙伴和供应商,和/或利用合作伙伴和供应商进入您的内部系统。
网络威胁是全球供应链面临的最大问题之一2020 年随着互联技术的采用以及随后的供应链扩张和多样化ns.
Laurens van Oijen – UL 网络安全解决方案负责人COVID-19 清楚地表明了供应链在合作伙伴和供应商组织可用性方面的依赖性和脆弱性。由于 COVID-19,供应链中断意味着组织不再能够接触某些供应商或无法接触某些供应商,必须寻找新的供应商并对其进行审查,或者将供应链运营转移到其他地区。
为了让供应链重新启动和运行,同时最大限度地减少收入的进一步损失,可能伴随着组织暂时低估其网络安全工作的风险,从而为攻击者留下可能的机会窗口。
第二个因素导致网络攻击发生的一个事实是,现在有很多人在家工作,或者至少没有远离传统办公室。
随着在家工作政策的实施,组织面临着更大的攻击面,因为基本上每个员工现在都连接到不同的网络,而不是组织自己的 IT 基础设施。同样,任何承包商或供应商都需要远程工作。此外,组织正在利用其他应用程序和服务来促进远程通信和协作。
问题:公司对其供应链上的此类网络攻击准备得如何?
VAN OIJEN:虽然有效所有组织都意识到他们可能会因第三方而面临风险,但其中大多数组织尚未认为审查供应商的安全状况是至关重要的。
这并不一定意味着今天的组织不会努力清点其供应链的安全状况,但内部决策可能只会最低限度地参考此类信息进行管理供应商和/或采购第三方服务。
此外,在咨询供应链安全信息时,供应商的覆盖范围可能低于预期,无法确保信息的价值及其可信度,和/或在排名或推导供应商决策方面缺乏一致性。
问题:公司应该怎样做才能更好地做好准备?
VAN OIJEN:组织在未来几个月评估内部状况至关重要和供应链安全,并开始与受影响的部门(例如采购部门)进行内部对话。
组织应将其供应商评估问卷标准化并使其与任何选定的风险管理框架保持一致,并使用它来建立共同的安全和风险理解
这应该有助于识别漏洞和供应链安全漏洞,并且组织应该同样有专门的政策来定义需求,并衡量其有效性,以下缓解措施。
问题:UL 如何参与网络安全问题?
VAN OIJEN:UL 是支付安全、身份管理和网络安全领域的全球领导者,拥有多年经验与制造商、金融机构、产品设计师、标准机构和行业利益相关者合作,帮助推动全球电气和电子产品的采用、安全、安全和数字化。
凭借二十多年的网络安全经验,UL 是网络安全监管市场中公认的领导者,包括支付和联邦采购。 UL 还拥有快速发展的 IoT 和 IIoT(工业物联网)安全实践,这些实践是在过去五年中基于其网络安全专业知识有机构建的。
UL 在创建安全框架方面拥有广泛的专业知识,与制定了超过 25 个网络安全标准和框架,并在全球拥有九个物联网安全实验室,位于美国、欧洲和亚太地区。
UL 构建网络安全计划,就技术和网络安全战略向设备制造商和生态系统利益相关者提供建议,开发安全测试工具和平台,执行功能安全测试、安全评估并提供合规性以及各种行业标准和框架的认证。这有助于公司加强和验证其网络安全状况,并提供更安全、更可靠的产品和生态系统。
UL 的物联网安全解决方案组合包括 UL 物联网安全评级、UL 供应商网络信任级别、IEC 62443 服务和 UL 2900 系列标准,以及安全设计培训、咨询和测试服务,解决安全产品开发、智能生态系统中的网络安全和供应链风险管理问题。
由于物联网产品尚未受到大规模监管, UL 还帮助公司了解和驾驭不断变化的物联网安全法规和框架,包括加利福尼亚州物联网安全法案、俄勒冈州物联网安全法案、美国多个未决的物联网安全法案、英国消费者物联网安全行为准则以及许多其他新兴的区域和行业安全框架。
今年早些时候,UL 推出了其供应商网络信任级别解决方案,旨在支持 OEM 和其他采购组织对其互联技术供应链进行战略供应商安全尽职调查。UL 开发了一个安全评估框架基于领先的行业标准,例如 ISO 27001、IEC 62443-4-1 和通用标准 (EAL-4),从而对供应商的组织安全成熟度进行分级评级。这使采购组织能够使其供应链的安全状况更加透明和更易于管理。
此外,UL 已获得 IECEE 的 IEC 62443-2-4、IEC 62443-3-3、IEC 62443 认可-4-1和IEC 62443-4-2认证,which 的结合可以为工业和楼宇自动化供应链提供有效的认证解决方案。
UL 提供相关的咨询和认证解决方案,以帮助制造和其他工业组织满足买方和/或监管要求,并帮助他们在外部展示他们的安全成熟度工作。
问题:公司需要多长时间来提高其供应链的安全性?
VAN OIJEN:提高安全性供应链的状态需要时间,如果执行得当,实际上是一项永无止境的努力。由于网络安全是一个动态变化的目标,因此需要一个维护良好的网络安全管理系统来确保对运营和业务的持续保护。
由于大型制造商拥有数千个第三方合作伙伴,第一步是建立供应链网络安全管理系统是对供应商类别进行分类,并确定那些需要 enha尽早进行安全尽职调查。
同时,建议组织为其供应商开展宣传活动,告知他们尽职调查工作的变化,并传达对供应商的期望作为采购组织的动机和相关的业务目标。无论采取何种额外的尽职调查措施,都必须谨慎管理对供应商的影响。
因此,UL 建议采用分阶段的方法,例如,供应商认为初始改进是可管理和合理的,并且首要任务是让尽可能多的供应商入职,以创建一个共同的供应链“安全基线”。之后,目标将是逐步提高“安全门槛”,让供应商每次都能以可控的方式赶上。
供应链安全是集体的努力;如果一个组织帮助供应商变得更安全,作为回报,组织也会变得更加安全。
