【国际视野】欧盟发布《供应链⽹络安全最佳实践》 天极智库2023-08-23 16:25发表于北京 原创 天极智库 主要研究成果 86 % 的受访组织实施信息和通信技术 / 操作技术（ ICT/OT ）供应链⽹络安全政策； 47 % 为 ICT/OT 供应链⽹络安全分配预算； 76 % 的组织没有为 ICT/OT 供应链⽹络安全设⽴专⻔的⻆⾊和职责； 61 % 要求供应商提供安全认证， 43 % 使⽤安全评级服务， 37 % 进⾏尽职调查或⻛险评 估。只有 9% 的受访组织表示没有以任何⽅式评估供应链安全⻛险； 52% 的企业制定了严格的补丁政策，其中只有 0% 到 20% 的资产未被覆盖。另⼀⽅⾯， 13.5% 的受访机构对其 50% 或更多的信息资产的补丁情况不了解； 46% 的企业在不到 1 个⽉的时间内对关键漏洞进⾏修补，另有 46% 的企业在 6 个⽉或更 短的时间内对关键漏洞进⾏修补。 五⼤领域 企业战略⽅针； 供应链⻛险管理； 供应商关系管理； 漏洞处理； 供应商和服务提供商的产品质量和做法。 结论 围绕 ICT/OT 供应链的术语存在混乱状况； 各组织应建⽴以第三⽅⻛险管理（ TRM ）为基础的全公司供应链管理系统，涵盖⻛险评估、 供应商关系管理、脆弱性管理和产品质量领域； 最佳做法应涵盖在从⽣产到消费的 ICT/OT 产品和服务供应链中发挥作⽤的所有实体； 并⾮所有部⻔都具备同样的 ICT/OT 供应链管理能⼒； 应进⼀步审查 NIS2 指令与⽹络复原⼒法案提案或其他⽴法间的相互影响，这些⽴法对产品 和服务提出了⽹络安全要求。 世界经济论坛（ WEF ）和 Anchore 的调查报告显示， 39% 到 62% 的组织受到第三⽅⽹络事件 的影响。曼迪安特公司（ Mandiant ）的数据表明，供应链破坏是 2021 年发现的第⼆⼤最普遍的初始感染载体。2021 年，供应链⼊侵占⼊侵总数的 17% ，⽽ 2020 年这⼀⽐例不⾜ 1% 。 2021 年， ENISA 的《供应链攻击威胁状况》显示，在分析的 66% 的供应链攻击中，供应商并 不清楚攻击发⽣的⽅式。相⽐之下，在因供应链攻击⽽受损的客户中，仅有不到 9% 的客户不 清楚攻击的发⽣⽅式。这凸显了供应商和⾯向最终⽤户的公司在⽹络安全事件报告成熟度⽅⾯ 的差距。约62% 的客户攻击利⽤了对供应商的信任，使⽤的攻击技术是恶意软件。考虑到⽬ 标资产，在66% 的事件中，攻击者集中攻击供应商代码，以进⼀步危害⽬标客户。 《ENISA 最新的威胁状况报告（ 2022 年）》也指出，威胁组织对供应链攻击和针对托管服务 提供商(MSP) 的攻击越来越感兴趣。此外，报告还认为，在不久的将来，可能会看到对这些供 应链的漏洞研究投⼊更多的资源。这也是威胁组织直接瞄准安全研究⼈员的原因之⼀。另⼀个 ⽬标是NPM 、 Python 和 RubyGems 等常⻅和流⾏的开源软件源，这些软件源要么被克隆，要 么被恶意软件感染，⽬的是感染任何将这些软件源作为⼯具或软件包在其项⽬中实施的⼈。由 于任何⼈都可以在开源平台上发布软件包，因此恶意软件注⼊⼗分隐蔽。 因此，合作伙伴、供应商和销售商带来的⽹络⻛险显然会产⽣系统性影响。最近对⽹络领导者 和⾸席执⾏官的调查结果也证实了这⼀点，近 40% 的受访者表示，受到了与第三⽅供应商 / 供 应链有关的⽹络安全事件的负⾯影响。事件的增加令⼤多数受访⾸席执⾏官（ 58% ）感到担 忧，认为合作伙伴和供应商的应变能⼒不如⾃身组织。 NIS2 指令中的供应链 NIS2 指令1 通过以下⽅式加强供应链⽹络安全： 消除基本服务运营商和数字服务提供商之间的区别； 通过增加更多部⻔，将覆盖范围扩⼤到更⼤的经济和社会领域，并对基本实体和重要实体加 以区分基本实体和重要实体； 解决供应链⽹络安全和供应商关系问题，要求各实体应对各⾃的⽹络安全⻛险； 引⼊重点措施，包括事件响应和危机管理、漏洞处理和披露、⽹络安全测试和加密的有效使 ⽤； 引⼊各实体管理层遵守⽹络安全⻛险管理措施的问责制； 建议新独⽴国家合作组对具体的关键信息和通信技术服务、系统或产品进⾏协调的安全⻛险 评估。NIS2 指令要求基本和重要实体应对供应链和供应商关系中的⽹络安全⻛险。为此，该指令第 21条要求基本和重要实体采取适当和相称的技术、操作和组织⽹络安全⻛险管理措施，并采 ⽤全危险⽅法。除其他领域外，这些措施应涉及供应链安全，包括每个实体与其直接供应商或 服务提供商间关系的安全相关⽅⾯。此外，各实体应考虑到每个直接供应商和服务提供商特有 的脆弱性，以及其供应商和服务提供商的整体产品质量和⽹络安全做法，包括其安全开发程 序。成员国还应确保，在确定适当措施时，实体必须考虑到根据第 22(1) 条进⾏的协调⻛险评 估的结果。 报告旨在概述欧盟运营商⽬前遵循的信息和通信技术 / 操作技术（ ICT/OT ）供应链⽹络安全做 法，并确定信息和通信技术 / 操作技术供应链⽹络安全的最佳实践。报告主要关注基本实体和 重要实体与不同类型的直接供应商和服务提供商的关系。 表 1简要介绍了各类供应商和提供商在信通技术 / 技术供应链中的作⽤。 表 1：供应商和提供商 本报告将为属于 SaaS 类别的数字服务提供商推荐供应链⽹络安全措施。此类服务的例⼦包括 数字税务会计服务、多租户资产监控服务、安全运营中⼼服务、甚⾄供应链服务。应对供应链 ⽹络⻛险需要供应链中的组织采取基于⻛险的⽅法。本报告将讨论供应链的⽹络安全⻛险，但 不涉及其他供应链⻛险，如地缘政治⻛险，如对⾮欧盟国家货物的依赖，如⼏乎完全在亚洲采 购的光伏(PV) 逆变器或电⼦设备芯⽚组。 最佳实践 为了提供有关 ICT/OT 供应链⽹络安全的研究结果和最佳实践， ENISA 于 2022 年 4 ⽉⾄ 6 ⽉对 来⾃各成员国的受调查组织进⾏了调查。由于调查是在 NIS2 指令通过之前进⾏的，因此接受 调查的组织都是基本服务（银⾏、数字基础设施、饮⽤⽔供应和分配、能源、⾦融市场基础设 施、医疗保健、运输部⻔）的运营商或数字服务提供商（云计算、在线市场、在线搜索引 擎）。 调查结果 在接受调查的组织中， 86% 已经实施了 ICT/OT 供应链⽹络安全政策。只有 14% 的受访组织没 有与第三⽅相关的经批准的安全政策。 调查发现，组织规模越⼤，制定此类政策的可能性就越⼤。 图 1：按组织规模划分的已批准的ICT/OT 供应链网络安全风险管理政策这⼀点按部⻔进⼀步细分，结果表明，在信息和通信技术 / 技术供应链⽹络安全政策⽅⾯，银 ⾏部⻔可被视为最成熟的部⻔。 图 2：各部门ICT/OT 供应链网络安全风险管理政策 尽管有相关政策，但各组织似乎并没有投资于 ICT/OT 供应链⽹络安全。欧盟只有 47% 的受访 组织为ICT/OT 供应链⽹络安全分配了预算，⽽⼤多数受访组织（ 53% ）没有为此类问题批准 预算。银⾏业再次领先，拥有最⾼⽐例的专⽤ ICT/OT 供应链⽹络安全预算。 图 3：各部门专门的ICT/OT 供应链网络安全预算在整个供应链的⽹络安全⻛险与实施 ICT/OT 供应链⽹络安全实践和控制的成本和效益之间取 得平衡，应成为运营商实施 ICT/OT 供应链⽹络安全总体⽅法的关键组成部分。企业应认识 到，实施ICT/OT 供应链⽹络安全实践和控制需要额外的财⼒和⼈⼒。实施 ICT/OT 供应链⽹络 安全流程和控制需要运营商及其供应商在⼈⼒、⼯具和基础设施⽅⾯进⾏投资。然⽽，企业的 资源有限，因此，企业在作出 ICT/OT 供应链⽹络安全资源承诺决策时，应仔细权衡潜在的成 本和效益，并在清楚了解因未向 ICT/OT 供应链⽹络安全投⼊必要资源⽽可能产⽣的任何⻛险 影响的基础上作出决策。 图 4：各部门专门的ICT/OT 供应链网络安全角色 在为 ICT/OT 供应链⽹络安全配备专职员⼯的 274 家组织中，银⾏业的 ICT/OT 供应链⽹络安全 专职员⼯数量最多，2021 年的中值为 5 名专职员⼯，其次是运输和数字基础设施⾏业，分别 为4 名和 3.5 名专职员⼯。有明显迹象表明，尽管存在政策，但运营商或数字服务提供商缺乏 必要的公司治理结构来管理 ICT/OT 供应链⽹络安全⻛险。