”到2025年全球45%的企業(yè)機構(gòu)將遭遇軟件供應鏈攻擊,比2021年增加3倍�?��!?月21日,全球著名供應鏈智庫美國Gartner如此預警�,并把”數(shù)字供應鏈風險“列入2022年七大安全和風險管理趨勢第2位���。
就在Gartner發(fā)出預警當日�,美國總統(tǒng)拜登也在公開喊話美國企業(yè)�,”俄羅斯正在籌劃對美國發(fā)動新的網(wǎng)絡攻擊,美國私營公司要加強防御工作��?���!蹦腿藢の兜氖牵藭r美國作為全球頭號“黑客帝國”�,仍史無前例地忙著發(fā)動網(wǎng)絡攻擊。
據(jù)中國國家互聯(lián)網(wǎng)應急中心檢測發(fā)現(xiàn)����,“今年2月下旬以來,美國黑客通過攻擊我國境內(nèi)計算機,進而對俄羅斯��、烏克蘭��、白俄羅斯發(fā)起攻擊���。72小時內(nèi)就攻擊關閉了1500多個與俄羅斯和白俄羅斯政府�、主要銀行和企業(yè)有關的網(wǎng)絡�����?�!?/p>
注意�!在美歐正將俄羅斯踢出全球供應鏈體系時,美國通過攻擊中國境內(nèi)計算機轉(zhuǎn)攻俄羅斯��、白俄羅斯的政府���、主要銀行和企業(yè)網(wǎng)絡�。這是什么操作�?不過,明眼人看出來���,美國更迫切攻擊的恐怕是全球第二大數(shù)字經(jīng)濟國家中國——已經(jīng)是全球最具競爭活力的數(shù)字供應鏈市場��。
一����、中國數(shù)字供應鏈危險信號:來自360和Gartner的警告
1,360的警告:美國國安局量子攻擊平臺干什么
3月22日����,中國360政企安全集團首次對外界完全披露美國國家安全局(NSA)針對中國境內(nèi)目標所使用的代表性網(wǎng)絡武器——Quantum(量子)攻擊平臺的技術(shù)特點。
(360集團創(chuàng)始人���、董事長周鴻祎)
量子攻擊是美國國家安全局針對國家級互聯(lián)網(wǎng)專門設計的一種先進的網(wǎng)絡流量劫持攻擊技術(shù),針對世界各國訪問臉書����、推特等美國網(wǎng)站的所有互聯(lián)網(wǎng)用戶發(fā)起網(wǎng)絡攻擊,另外像QQ等中國社交軟件也同樣是他們的攻擊目標��。
全球數(shù)億公民隱私和敏感信息無處藏身猶如“裸奔”�����,中國作為美國國安局重點供給目標之一�����,受害單位感染量或達百萬量級,這當然包括中國一些全球領先的數(shù)字化供應鏈平臺����。
2,Gartner預警:數(shù)字供應鏈風險是2022年第二大風險
3月21日����,Gartner表示提出了安全和風險管理者必須應對的七大趨勢,才能保護現(xiàn)代企業(yè)機構(gòu)不斷擴張和數(shù)字足跡免受2022年即以后新威脅的影響�����。
“數(shù)字供應鏈風險“被Gartner列為2022年七大安全和風險管理趨勢第二位����。”由于網(wǎng)絡犯罪分子發(fā)現(xiàn)攻擊數(shù)字供應鏈可以產(chǎn)生高額的回報����,因此,企業(yè)預計會面臨更多數(shù)字供應鏈威脅�����。據(jù)Gartner預測到2025年全球45%的企業(yè)機構(gòu)將遭遇軟件供應鏈攻擊,相比2021年增加了3倍�。“
此風險此前也被提起�,供應鏈攻擊被視為2020年六大新興威脅之一。據(jù)全球知名的saas安全公司Crowstrike發(fā)布的2019年供應鏈安全報告顯示���,16%的公司購買了被做過手腳的IT設備�����。90%的公司“沒有做好準備”應對供應鏈網(wǎng)絡攻擊��。
二�����、數(shù)字化物流,中國走了很遠后發(fā)現(xiàn)忘戴安全帽
中國數(shù)字經(jīng)濟發(fā)展萬余歐美����,但已經(jīng)連續(xù)位居全球第二大數(shù)字經(jīng)濟市場,全球數(shù)字物流與供應鏈發(fā)展最活躍的市場�,靠什么?
1�����, 數(shù)字化,中國政策支持很大�,但沒把安全放在重要位置
2015年,國務院出臺《“互聯(lián)網(wǎng)+”行動指導意見》���,首次部署推進“互聯(lián)網(wǎng)+”行動��,而“互聯(lián)網(wǎng)+”高效物流被列入11個重點領域���。《意見》明確要求發(fā)改委���、商務部���、交通運輸部、網(wǎng)信辦等聯(lián)合推進“構(gòu)建物流信息共享互通體系”等�。
2017年,國務院推出首個部署現(xiàn)代供應鏈創(chuàng)新發(fā)展政策《關于積極推進供應鏈創(chuàng)新與應用的指導意見》����。全文第二句話是,“隨著信息技術(shù)的發(fā)展����,供應鏈已發(fā)展到與互聯(lián)網(wǎng)���、物聯(lián)網(wǎng)深度融合的智慧供應鏈新階段?���!边@也是國務院首次旗幟鮮明地提出“智慧供應鏈”的發(fā)展方向。
2020年����,國家發(fā)改委推出《關于推進“上云用數(shù)賦智”行動 培育新經(jīng)濟發(fā)展實施方案》,可以說把中國數(shù)字經(jīng)濟發(fā)展推向新高度���。其發(fā)展目標第一句化就是”在已有工作基礎上���,大力培育數(shù)字經(jīng)濟新業(yè)態(tài),深入推進企業(yè)數(shù)字化轉(zhuǎn)型�,打造數(shù)據(jù)供應鏈�����,以數(shù)據(jù)流引領物資流�、人才流����、技術(shù)流����、資金流,形成產(chǎn)業(yè)鏈上下游和跨行業(yè)融合的數(shù)字化生態(tài)體系……”
2022年1月�����,國務院推初我國首部《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》�����,多出提到供應鏈�,并把“大力發(fā)展智慧物流”作為列入七個重點行業(yè)數(shù)字化轉(zhuǎn)型工程之一。
截至2021年底����,全國已有28地出臺了數(shù)字經(jīng)濟發(fā)展規(guī)劃,浙江����、北京、天津、福建等省市在“十四五”規(guī)劃中均要求到2025年數(shù)字經(jīng)濟占地區(qū)生產(chǎn)總值的比重要超過50%���,各地均在積極布局數(shù)字經(jīng)濟發(fā)展���。
但綜合上述政策,掌鏈網(wǎng)·第一物流網(wǎng)在梳理相關政策����,無不發(fā)現(xiàn):數(shù)字供應鏈和數(shù)字物流政策,只重發(fā)展意識��,鮮有安全意識�����,很少把數(shù)字安全放在突出位置考慮�。這是一個不幸的認知,但也是一個客觀的存在!常年以來���,中國經(jīng)濟發(fā)展生在一個和平環(huán)境��,以致我們往往只會談發(fā)展����,很少注意安全���。
如今���,俄羅斯給我們提前試了幾乎所有的雷,該覺悟了���!
2����, 數(shù)字化�����,中國企業(yè)跑得很快����,但普遍沒有安全意識
在一些列數(shù)字政策推動下,中國數(shù)字經(jīng)濟市場呈現(xiàn)了前所未有的活力��。短短幾年中國培育初全球最大的公路貨運信息平臺滿幫集團�、全球最大的即時物流平臺美團配送,全球最大的同城貨運信息平臺之一的貨拉拉���。以及2013年成立但2015年高速發(fā)展的全球最大的數(shù)字快遞服務平臺菜鳥網(wǎng)絡�。
而產(chǎn)業(yè)互聯(lián)網(wǎng)的到來,讓數(shù)字化產(chǎn)業(yè)供應鏈空間巨大��。2020年�����,中國產(chǎn)業(yè)數(shù)字化占數(shù)字經(jīng)濟比重高達80.9%����,數(shù)字化正在對各行各業(yè)進行深度賦能。
3��,數(shù)字化����,中國底層安全很遭,安全管理遠遠不夠
據(jù)Gartner研究院副總裁Peter Firstbrook表示“全球企業(yè)機構(gòu)整面臨著復雜的勒索軟件攻擊���、針對數(shù)字供應鏈的攻擊和深層漏洞�。此次疫情加快了混合工作模式的發(fā)展和上云速度�����,這給首席信息安全觀提出了一個難題:如何保護日益分散化的企業(yè),同時解決資深安全人員的短缺問題����?����!?/p>
中國問題或許更嚴重��,360創(chuàng)始人���、董事長周鴻祎2021年出席世界互聯(lián)網(wǎng)大會提出��,當前中國企業(yè)數(shù)字化面臨六大基礎安全問題:云安全��、大數(shù)據(jù)安全���、物聯(lián)網(wǎng)安全、終端安全�����、供應鏈安全�、通信安全�����,傳統(tǒng)網(wǎng)絡安全無法應對��。截至2021年9月�,360累計捕獲境外46個APT組織���,發(fā)現(xiàn)攻擊活動3600余起�,涉及目標2萬余個�。
三,數(shù)字物流反思:站在最大風口或也是站在最大風險口
物流與供應鏈服務企業(yè)作為數(shù)字化供應鏈的先行者��,也身處在網(wǎng)絡安全的風口��。
1�����, 菜鳥網(wǎng)絡:中國最大的數(shù)字物流與供應鏈基礎設施
(菜鳥網(wǎng)絡發(fā)布物流IoT開放平臺)
2019年���,菜鳥網(wǎng)絡發(fā)布了物流IoT開放平臺和極簡PDA���,將助力實現(xiàn)倉儲���、運輸、配送和驛站代收等的物流全鏈路數(shù)字化����、智能化升級。該平臺面向物流行業(yè)全面開放��,歡迎所有物流場景及設備接入�����,有效推動物流行業(yè)的數(shù)字化和智能化���。菜鳥在自建倉庫方面,菜鳥目前已在物流作業(yè)集中�、交通便利的地區(qū)自建物流園區(qū)22座以承接電子商務及傳統(tǒng)商業(yè)對物流的需求,約三分之一的園區(qū)設在物流服務需求旺盛的華東地區(qū)���,總占地面積達315萬平方米����。園區(qū)建設基于IoT�����、邊緣計算和人工智能等高科技,是菜鳥嘗試最新科技改善物流服務的主要試驗區(qū)�����。
2����, 京東物流:中國智能供應鏈基礎設施
(京東集團首席戰(zhàn)略官廖建文)
2020京東全球科技探索者大會上,京東集團首席戰(zhàn)略官廖建文首次對京東的數(shù)智化社會供應鏈進行了系統(tǒng)闡釋�。廖建文提到,基于這條供應鏈�,京東能夠利用數(shù)智化技術(shù)連接和優(yōu)化社會生產(chǎn)、流通���、服務的各個環(huán)節(jié)��,實現(xiàn)降本增效��。圍繞“商品供應鏈+物流供應鏈”�,京東不斷融合與創(chuàng)新自身在零售和物流領域的核心競爭技術(shù)��,逐漸形成供應鏈基礎設施背后的三大技術(shù)能力���,分別為基于大數(shù)據(jù)的智能供應(Smart Supplies)��、基于倉配送的智能運營(Smart Logistics)��、基于人貨場的精準匹配(Smart Consumptions)�����。
3����, 順豐集團:與深圳八家供應鏈公司成立的數(shù)字供應鏈公司
2018年4月��,順豐與東方嘉盛供應鏈有限公司����,飛馬國際供應鏈股份有限公司、華南城投資有限公司��、怡亞通供應鏈股份有限公司等八家深圳本地公司�,出資成立了大數(shù)據(jù)運營平臺。合資公司將致力于構(gòu)建國內(nèi)最具影響力的供應鏈大數(shù)據(jù)平臺�����,通過大數(shù)據(jù)和人工智能等科技創(chuàng)新,推動建立高效協(xié)同的現(xiàn)代供應鏈體系��,打造創(chuàng)新的智慧供應鏈�。
(順豐創(chuàng)始人王衛(wèi)與騰訊創(chuàng)始人馬化騰)
四、對維護中國數(shù)字物流與供應鏈安全三點拙見
1�����、制度:加快構(gòu)建國家數(shù)字供應鏈風險應急機制
強化國家網(wǎng)信辦�、國家發(fā)改委、工信部�、公安部、商務部���、交通運輸部�、外交部���、國防部等多部門協(xié)同�,構(gòu)建數(shù)字供應鏈安全協(xié)同治理機制����,捍衛(wèi)數(shù)字疆土安全。《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》提到�����,健全完善網(wǎng)絡安全應急事件預警通報機制���,提升網(wǎng)絡安全態(tài)勢感知�、威脅發(fā)現(xiàn)�、應急指揮、協(xié)同處置和攻擊溯源能力�。
提升網(wǎng)絡安全應急處置能力,加強金融�����、交通運輸?shù)戎匾袠I(yè)領域關鍵信息基礎設施網(wǎng)絡安全防護能力�����,支持開展常態(tài)化安全風險評估�,加強網(wǎng)絡安全等級保護和密碼應用安全性評估�����。
2、法律:完善《數(shù)據(jù)安全法》制定《供應鏈安全法》
進一步完善《數(shù)據(jù)安全法》�,同時基于數(shù)字供應倆發(fā)展,加快制定《供應鏈安全法》���,應充分借鑒國內(nèi)外已在供應鏈安全領域開展的研究��,如美國頒布的《ICT供應鏈風險管理標準》��、《商用信息技術(shù)軟件及固件審查項目》(VET)等管理要求��,制定出完善關鍵信息基礎設施供應鏈安全的相關標準�。
3�、技術(shù):加構(gòu)建安全自主的數(shù)字軟硬件服務系統(tǒng)
從數(shù)字硬件上,強化自主技術(shù)設備的推廣應用����,在政府、國有企業(yè)等領域需要替換并限制IBM���、亞馬遜�、戴爾�����、微軟、思科�、谷歌、蘋果等底層設備��,強化數(shù)字供應鏈企業(yè)安全堤壩���。
從數(shù)字軟件商��,加快突破核心關鍵技術(shù)突破���,盡快形成一大批核心通用基礎和行業(yè)軟件儲備,不斷完善重點行業(yè)軟件供應鏈安全生態(tài)體系�,積極有效應對關鍵信息基礎設施軟件供應鏈安全風險。
(作者:陸宇 胡雪芹)
