”到2025年全球45%的企業機構将遭遇軟體供應鍊攻擊,比2021年增加3倍。”3月21日,全球著名供應鍊智庫美國Gartner如此預警,并把”數字供應鍊風險“列入2022年七大安全和風險管理趨勢第2位。
就在Gartner發出預警當日,美國總統拜登也在公開喊話美國企業,”俄羅斯正在籌劃對美國發動新的網絡攻擊,美國私營公司要加強防禦工作。”耐人尋味的是,此時美國作為全球頭号“黑客帝國”,仍史無前例地忙着發動網絡攻擊。
據中國國家網際網路應急中心檢測發現,“今年2月下旬以來,美國黑客通過攻擊大陸境内計算機,進而對俄羅斯、烏克蘭、白俄羅斯發起攻擊。72小時内就攻擊關閉了1500多個與俄羅斯和白俄羅斯政府、主要銀行和企業有關的網絡。“
注意!在美歐正将俄羅斯踢出全球供應鍊體系時,美國通過攻擊中國境内計算機轉攻俄羅斯、白俄羅斯的政府、主要銀行和企業網絡。這是什麼操作?不過,明眼人看出來,美國更迫切攻擊的恐怕是全球第二大數字經濟國家中國——已經是全球最具競争活力的數字供應鍊市場。
一、中國數字供應鍊危險信号:來自360和Gartner的警告
1,360的警告:美國國安局量子攻擊平台幹什麼
3月22日,中國360政企安全集團首次對外界完全披露美國國家安全局(NSA)針對中國境内目标所使用的代表性網絡武器——Quantum(量子)攻擊平台的技術特點。
(360集團創始人、董事長周鴻祎)
量子攻擊是美國國家安全局針對國家級網際網路專門設計的一種先進的網絡流量劫持攻擊技術,針對世界各國通路臉書、推特等美國網站的所有網際網路使用者發起網絡攻擊,另外像QQ等中國社交軟體也同樣是他們的攻擊目标。
全球數億公民隐私和敏感資訊無處藏身猶如“裸奔”,中國作為美國國安局重點供給目标之一,受害機關感染量或達百萬量級,這當然包括中國一些全球領先的數字化供應鍊平台。
2,Gartner預警:數字供應鍊風險是2022年第二大風險
3月21日,Gartner表示提出了安全和風險管理者必須應對的七大趨勢,才能保護現代企業機構不斷擴張和數字足迹免受2022年即以後新威脅的影響。
“數字供應鍊風險“被Gartner列為2022年七大安全和風險管理趨勢第二位。”由于網絡犯罪分子發現攻擊數字供應鍊可以産生高額的回報,是以,企業預計會面臨更多數字供應鍊威脅。據Gartner預測到2025年全球45%的企業機構将遭遇軟體供應鍊攻擊,相比2021年增加了3倍。“
此風險此前也被提起,供應鍊攻擊被視為2020年六大新興威脅之一。據全球知名的saas安全公司Crowstrike釋出的2019年供應鍊安全報告顯示,16%的公司購買了被做過手腳的IT裝置。90%的公司“沒有做好準備”應對供應鍊網絡攻擊。
二、數字化物流,中國走了很遠後發現忘戴安全帽
中國數字經濟發展萬餘歐美,但已經連續位居全球第二大數字經濟市場,全球數字物流與供應鍊發展最活躍的市場,靠什麼?
1.數字化,中國政策支援很大,但沒把安全放在重要位置
2015年,國務院出台《“網際網路+”行動指導意見》,首次部署推進“網際網路+”行動,而“網際網路+”高效物流被列入11個重點領域。《意見》明确要求發改委、商務部、交通運輸部、網信辦等聯合推進“建構物流資訊共享互通體系”等。
2017年,國務院推出首個部署現代供應鍊創新發展政策《關于積極推進供應鍊創新與應用的指導意見》。全文第二句話是,“随着資訊技術的發展,供應鍊已發展到與網際網路、物聯網深度融合的智慧供應鍊新階段。”這也是國務院首次旗幟鮮明地提出“智慧供應鍊”的發展方向。
2020年,國家發改委推出《關于推進“上雲用數賦智”行動 培育新經濟發展實施方案》,可以說把中國數字經濟發展推向新高度。其發展目标第一句化就是”在已有工作基礎上,大力培育數字經濟新業态,深入推進企業數字化轉型,打造資料供應鍊,以資料流引領物資流、人才流、技術流、資金流,形成産業鍊上下遊和跨行業融合的數字化生态體系……”
2022年1月,國務院推初大陸首部《“十四五”數字經濟發展規劃》,多出提到供應鍊,并把“大力發展智慧物流”作為列入七個重點行業數字化轉型工程之一。
截至2021年底,全國已有28地出台了數字經濟發展規劃,浙江、北京、天津、福建等省市在“十四五”規劃中均要求到2025年數字經濟占地區生産總值的比重要超過50%,各地均在積極布局數字經濟發展。
但綜合上述政策,掌鍊網·第一物流網在梳理相關政策,無不發現:數字供應鍊和數字物流政策,隻重發展意識,鮮有安全意識,很少把數字安全放在突出位置考慮。這是一個不幸的認知,但也是一個客觀的存在!常年以來,中國經濟發展生在一個和平環境,以緻我們往往隻會談發展,很少注意安全。
如今,俄羅斯給我們提前試了幾乎所有的雷,該覺悟了!
2.數字化,中國企業跑得很快,但普遍沒有安全意識
在一些列數字政策推動下,中國數字經濟市場呈現了前所未有的活力。短短幾年中國培育初全球最大的公路貨運資訊平台滿幫集團、全球最大的即時物流平台美團配送,全球最大的同城貨運資訊平台之一的貨拉拉。以及2013年成立但2015年高速發展的全球最大的數字快遞服務平台菜鳥網絡。
而産業網際網路的到來,讓數字化産業供應鍊空間巨大。2020年,中國産業數字化占數字經濟比重高達80.9%,數字化正在對各行各業進行深度賦能。
3.數字化,中國底層安全很遭,安全管理遠遠不夠
據Gartner研究院副總裁Peter Firstbrook表示“全球企業機構整面臨着複雜的勒索軟體攻擊、針對數字供應鍊的攻擊和深層漏洞。此次疫情加快了混合工作模式的發展和上雲速度,這給首席資訊安全觀提出了一個難題:如何保護日益分散化的企業,同時解決資深安全人員的短缺問題。”
中國問題或許更嚴重,360創始人、董事長周鴻祎2021年出席世界網際網路大會提出,目前中國企業數字化面臨六大基礎安全問題:雲安全、大資料安全、物聯網安全、終端安全、供應鍊安全、通信安全,傳統網絡安全無法應對。截至2021年9月,360累計捕獲境外46個APT組織,發現攻擊活動3600餘起,涉及目标2萬餘個。
三、數字物流反思:站在最大風口或也是站在最大風險口
物流與供應鍊服務企業作為數字化供應鍊的先行者,也身處在網絡安全的風口。
1.菜鳥網絡:中國最大的數字物流與供應鍊基礎設施
(菜鳥網絡釋出物流IoT開放平台)
2019年,菜鳥網絡釋出了物流IoT開放平台和極簡PDA,将助力實作倉儲、運輸、配送和驿站代收等的物流全鍊路數字化、智能化更新。該平台面向物流行業全面開放,歡迎所有物流場景及裝置接入,有效推動物流行業的數字化和智能化。菜鳥在自建倉庫方面,菜鳥目前已在物流作業集中、交通便利的地區自建物流園區22座以承接電子商務及傳統商業對物流的需求,約三分之一的園區設在物流服務需求旺盛的華東地區,總占地面積達315萬平方米。園區建設基于IoT、邊緣計算和人工智能等高科技,是菜鳥嘗試最新科技改善物流服務的主要試驗區。
2.京東物流:中國智能供應鍊基礎設施
(京東集團首席戰略官廖建文)
2020京東全球科技探索者大會上,京東集團首席戰略官廖建文首次對京東的數智化社會供應鍊進行了系統闡釋。廖建文提到,基于這條供應鍊,京東能夠利用數智化技術連接配接和優化社會生産、流通、服務的各個環節,實作降本增效。圍繞“商品供應鍊+物流供應鍊”,京東不斷融合與創新自身在零售和物流領域的核心競争技術,逐漸形成供應鍊基礎設施背後的三大技術能力,分别為基于大資料的智能供應(Smart Supplies)、基于倉配送的智能營運(SmartLogistics)、基于人貨場的精準比對(Smart Consumptions)。
3.順豐集團:與深圳八家供應鍊公司成立的數字供應鍊公司
2018年4月,順豐與東方嘉盛供應鍊有限公司,飛馬國際供應鍊股份有限公司、華南城投資有限公司、怡亞通供應鍊股份有限公司等八家深圳本地公司,出資成立了大資料營運平台。合資公司将緻力于建構國内最具影響力的供應鍊大資料平台,通過大資料和人工智能等科技創新,推動建立高效協同的現代供應鍊體系,打造創新的智慧供應鍊。
(順豐創始人王衛與騰訊創始人馬化騰)
1、制度:加快建構國家數字供應鍊風險應急機制
強化國家網信辦、國家發改委、工信部、公安部、商務部、交通運輸部、外交部、國防部等多部門協同,建構數字供應鍊安全協同治理機制,捍衛數字疆土安全。《“十四五”數字經濟發展規劃》提到,健全完善網絡安全應急事件預警通報機制,提升網絡安全态勢感覺、威脅發現、應急指揮、協同處置和攻擊溯源能力。
提升網絡安全應急處置能力,加強金融、交通運輸等重要行業領域關鍵資訊基礎設施網絡安全防護能力,支援開展常态化安全風險評估,加強網絡安全等級保護和密碼應用安全性評估。
2、法律:完善《資料安全法》制定《供應鍊安全法》
進一步完善《資料安全法》,同時基于數字供應倆發展,加快制定《供應鍊安全法》,應充分借鑒國内外已在供應鍊安全領域開展的研究,如美國頒布的《ICT供應鍊風險管理标準》、《商用資訊技術軟體及固件審查項目》(VET)等管理要求,制定出完善關鍵資訊基礎設施供應鍊安全的相關标準。
3、技術:加建構安全自主的數字軟硬體服務系統
從數字硬體上,強化自主技術裝置的推廣應用,在政府、國有企業等領域需要替換并限制IBM、亞馬遜、戴爾、微軟、思科、谷歌、蘋果等底層裝置,強化數字供應鍊企業安全堤壩。
從數字軟體商,加快突破核心關鍵技術突破,盡快形成一大批核心通用基礎和行業軟體儲備,不斷完善重點行業軟體供應鍊安全生态體系,積極有效應對關鍵資訊基礎設施軟體供應鍊安全風險。
(作者:陸宇 胡雪芹)
排版:曉岚