”到2025年全球45%的企業機構將遭遇軟件供應鏈攻擊,比2021年增加3倍。”3月21日,全球著名供應鏈智庫美國Gartner如此預警,並把”數字供應鏈風險“列入2022年七大安全和風險管理趨勢第2位。
就在Gartner發出預警當日,美國總統拜登也在公開喊話美國企業,”俄羅斯正在籌劃對美國發動新的網絡攻擊,美國私營公司要加強防禦工作。”耐人尋味的是,此時美國作為全球頭號“黑客帝國”,仍史無前例地忙著發動網絡攻擊。
據中國國傢互聯網應急中心檢測發現,“今年2月下旬以來,美國黑客通過攻擊我國境內計算機,進而對俄羅斯、烏克蘭、白俄羅斯發起攻擊。72小時內就攻擊關閉瞭1500多個與俄羅斯和白俄羅斯政府、主要銀行和企業有關的網絡。“
註意!在美歐正將俄羅斯踢出全球供應鏈體系時,美國通過攻擊中國境內計算機轉攻俄羅斯、白俄羅斯的政府、主要銀行和企業網絡。這是什麼操作?不過,明眼人看出來,美國更迫切攻擊的恐怕是全球第二大數字經濟國傢中國——已經是全球最具競爭活力的數字供應鏈市場。
一、中國數字供應鏈危險信號:來自360和Gartner的警告
1,360的警告:美國國安局量子攻擊平臺幹什麼
3月22日,中國360政企安全集團首次對外界完全披露美國國傢安全局(NSA)針對中國境內目標所使用的代表性網絡武器——Quantum(量子)攻擊平臺的技術特點。
(360集團創始人、董事長周鴻禕)
量子攻擊是美國國傢安全局針對國傢級互聯網專門設計的一種先進的網絡流量劫持攻擊技術,針對世界各國訪問臉書、推特等美國網站的所有互聯網用戶發起網絡攻擊,另外像QQ等中國社交軟件也同樣是他們的攻擊目標。
全球數億公民隱私和敏感信息無處藏身猶如“裸奔”,中國作為美國國安局重點供給目標之一,受害單位感染量或達百萬量級,這當然包括中國一些全球領先的數字化供應鏈平臺。
2,Gartner預警:數字供應鏈風險是2022年第二大風險
3月21日,Gartner表示提出瞭安全和風險管理者必須應對的七大趨勢,才能保護現代企業機構不斷擴張和數字足跡免受2022年即以後新威脅的影響。
“數字供應鏈風險“被Gartner列為2022年七大安全和風險管理趨勢第二位。”由於網絡犯罪分子發現攻擊數字供應鏈可以產生高額的回報,因此,企業預計會面臨更多數字供應鏈威脅。據Gartner預測到2025年全球45%的企業機構將遭遇軟件供應鏈攻擊,相比2021年增加瞭3倍。“
此風險此前也被提起,供應鏈攻擊被視為2020年六大新興威脅之一。據全球知名的saas安全公司Crowstrike發佈的2019年供應鏈安全報告顯示,16%的公司購買瞭被做過手腳的IT設備。90%的公司“沒有做好準備”應對供應鏈網絡攻擊。
二、數字化物流,中國走瞭很遠後發現忘戴安全帽
中國數字經濟發展萬餘歐美,但已經連續位居全球第二大數字經濟市場,全球數字物流與供應鏈發展最活躍的市場,靠什麼?
1.數字化,中國政策支持很大,但沒把安全放在重要位置
2015年,國務院出臺《“互聯網+”行動指導意見》,首次部署推進“互聯網+”行動,而“互聯網+”高效物流被列入11個重點領域。《意見》明確要求發改委、商務部、交通運輸部、網信辦等聯合推進“構建物流信息共享互通體系”等。
2017年,國務院推出首個部署現代供應鏈創新發展政策《關於積極推進供應鏈創新與應用的指導意見》。全文第二句話是,“隨著信息技術的發展,供應鏈已發展到與互聯網、物聯網深度融合的智慧供應鏈新階段。”這也是國務院首次旗幟鮮明地提出“智慧供應鏈”的發展方向。
2020年,國傢發改委推出《關於推進“上雲用數賦智”行動 培育新經濟發展實施方案》,可以說把中國數字經濟發展推向新高度。其發展目標第一句化就是”在已有工作基礎上,大力培育數字經濟新業態,深入推進企業數字化轉型,打造數據供應鏈,以數據流引領物資流、人才流、技術流、資金流,形成產業鏈上下遊和跨行業融合的數字化生態體系……”
2022年1月,國務院推初我國首部《“十四五”數字經濟發展規劃》,多出提到供應鏈,並把“大力發展智慧物流”作為列入七個重點行業數字化轉型工程之一。
截至2021年底,全國已有28地出臺瞭數字經濟發展規劃,浙江、北京、天津、福建等省市在“十四五”規劃中均要求到2025年數字經濟占地區生產總值的比重要超過50%,各地均在積極佈局數字經濟發展。
但綜合上述政策,掌鏈網·第一物流網在梳理相關政策,無不發現:數字供應鏈和數字物流政策,隻重發展意識,鮮有安全意識,很少把數字安全放在突出位置考慮。這是一個不幸的認知,但也是一個客觀的存在!常年以來,中國經濟發展生在一個和平環境,以致我們往往隻會談發展,很少註意安全。
如今,俄羅斯給我們提前試瞭幾乎所有的雷,該覺悟瞭!
2.數字化,中國企業跑得很快,但普遍沒有安全意識
在一些列數字政策推動下,中國數字經濟市場呈現瞭前所未有的活力。短短幾年中國培育初全球最大的公路貨運信息平臺滿幫集團、全球最大的即時物流平臺美團配送,全球最大的同城貨運信息平臺之一的貨拉拉。以及2013年成立但2015年高速發展的全球最大的數字快遞服務平臺菜鳥網絡。
而產業互聯網的到來,讓數字化產業供應鏈空間巨大。2020年,中國產業數字化占數字經濟比重高達80.9%,數字化正在對各行各業進行深度賦能。
3.數字化,中國底層安全很遭,安全管理遠遠不夠
據Gartner研究院副總裁Peter Firstbrook表示“全球企業機構整面臨著復雜的勒索軟件攻擊、針對數字供應鏈的攻擊和深層漏洞。此次疫情加快瞭混合工作模式的發展和上雲速度,這給首席信息安全觀提出瞭一個難題:如何保護日益分散化的企業,同時解決資深安全人員的短缺問題。”
中國問題或許更嚴重,360創始人、董事長周鴻禕2021年出席世界互聯網大會提出,當前中國企業數字化面臨六大基礎安全問題:雲安全、大數據安全、物聯網安全、終端安全、供應鏈安全、通信安全,傳統網絡安全無法應對。截至2021年9月,360累計捕獲境外46個APT組織,發現攻擊活動3600餘起,涉及目標2萬餘個。
三、數字物流反思:站在最大風口或也是站在最大風險口
物流與供應鏈服務企業作為數字化供應鏈的先行者,也身處在網絡安全的風口。
1.菜鳥網絡:中國最大的數字物流與供應鏈基礎設施
(菜鳥網絡發佈物流IoT開放平臺)
2019年,菜鳥網絡發佈瞭物流IoT開放平臺和極簡PDA,將助力實現倉儲、運輸、配送和驛站代收等的物流全鏈路數字化、智能化升級。該平臺面向物流行業全面開放,歡迎所有物流場景及設備接入,有效推動物流行業的數字化和智能化。菜鳥在自建倉庫方面,菜鳥目前已在物流作業集中、交通便利的地區自建物流園區22座以承接電子商務及傳統商業對物流的需求,約三分之一的園區設在物流服務需求旺盛的華東地區,總占地面積達315萬平方米。園區建設基於IoT、邊緣計算和人工智能等高科技,是菜鳥嘗試最新科技改善物流服務的主要試驗區。
2.京東物流:中國智能供應鏈基礎設施
(京東集團首席戰略官廖建文)
2020京東全球科技探索者大會上,京東集團首席戰略官廖建文首次對京東的數智化社會供應鏈進行瞭系統闡釋。廖建文提到,基於這條供應鏈,京東能夠利用數智化技術連接和優化社會生產、流通、服務的各個環節,實現降本增效。圍繞“商品供應鏈+物流供應鏈”,京東不斷融合與創新自身在零售和物流領域的核心競爭技術,逐漸形成供應鏈基礎設施背後的三大技術能力,分別為基於大數據的智能供應(Smart Supplies)、基於倉配送的智能運營(SmartLogistics)、基於人貨場的精準匹配(Smart Consumptions)。
3.順豐集團:與深圳八傢供應鏈公司成立的數字供應鏈公司
2018年4月,順豐與東方嘉盛供應鏈有限公司,飛馬國際供應鏈股份有限公司、華南城投資有限公司、怡亞通供應鏈股份有限公司等八傢深圳本地公司,出資成立瞭大數據運營平臺。合資公司將致力於構建國內最具影響力的供應鏈大數據平臺,通過大數據和人工智能等科技創新,推動建立高效協同的現代供應鏈體系,打造創新的智慧供應鏈。
(順豐創始人王衛與騰訊創始人馬化騰)
1、制度:加快構建國傢數字供應鏈風險應急機制
強化國傢網信辦、國傢發改委、工信部、公安部、商務部、交通運輸部、外交部、國防部等多部門協同,構建數字供應鏈安全協同治理機制,捍衛數字疆土安全。《“十四五”數字經濟發展規劃》提到,健全完善網絡安全應急事件預警通報機制,提升網絡安全態勢感知、威脅發現、應急指揮、協同處置和攻擊溯源能力。
提升網絡安全應急處置能力,加強金融、交通運輸等重要行業領域關鍵信息基礎設施網絡安全防護能力,支持開展常態化安全風險評估,加強網絡安全等級保護和密碼應用安全性評估。
2、法律:完善《數據安全法》制定《供應鏈安全法》
進一步完善《數據安全法》,同時基於數字供應倆發展,加快制定《供應鏈安全法》,應充分借鑒國內外已在供應鏈安全領域開展的研究,如美國頒佈的《ICT供應鏈風險管理標準》、《商用信息技術軟件及固件審查項目》(VET)等管理要求,制定出完善關鍵信息基礎設施供應鏈安全的相關標準。
3、技術:加構建安全自主的數字軟硬件服務系統
從數字硬件上,強化自主技術設備的推廣應用,在政府、國有企業等領域需要替換並限制IBM、亞馬遜、戴爾、微軟、思科、谷歌、蘋果等底層設備,強化數字供應鏈企業安全堤壩。
從數字軟件商,加快突破核心關鍵技術突破,盡快形成一大批核心通用基礎和行業軟件儲備,不斷完善重點行業軟件供應鏈安全生態體系,積極有效應對關鍵信息基礎設施軟件供應鏈安全風險。
(作者:陸宇 胡雪芹)
排版:曉嵐