网络供应链风险管理案例研究 行业观察 匿名消费电子公司 2020年2月4日 该出版物可从以下网址免费获得： https://doi.org/10.6028/NIST .CSWP .02042020 -2 乔恩 ·伯恩斯 西莉亚 ·保尔森（ Celia Paulsen ） 计算机安全司信息技术实验室 纳迪亚 ·巴托（ Nadya Bartol ） 克里斯 ·温克勒 詹姆士 ·金比 波士顿咨询集团 翻译 樊山 鹰眼翻译社区 公司简介 消费电子公司是美国高端音频设备的主要制造商， 这些高端音频设备包括放 大器，低音炮，扬声器，处理器和信号源 。该公司的研发支持先进的原始设备制 造商（OEM）以及汽车，越野车和船用车辆的汽配系统的生产 。 风险简介 性能和可靠性是高端消费电子市场中的关键竞争因素 。成功的产品需要源源 不断的组件和严格的质量保证 。客户对其品牌性能和可靠性的信心是消费电子公 司的一项重要资产 。公司网络安全和供应链风险管理实践的主要驱动力是防止可 能对信心造成负面影响的供应链事件，例如质量控制失败，零售可用 性问题和假 冒产品。 网络供应链风险管理重点实 践 ⚫ 公私伙伴关系。消费电子公司参加了美国海关与边境保护局的反恐海关 与贸易伙伴关系。该计划为公司及其供应商提供降低成本的激励措施， 以发展稳健的供应链和网络安全实践。 ⚫ 合作供应商关系。成功的供应链风险管理（ SCRM）和网络供应链风险管 理（C-SCRM）越来越需要供应商和 采购方之间进行周到的协调。消费电 子公司通过定期的现场拜访和非正式的接触 来有意与供应商建立个人 关系，以建立对每个业务的相互信任和理解，从而随着时间的流逝实现 强大的风险管理。 ⚫ 用于供应商管理的专用平台。消费电子公司强烈建议实施专用平台，以 安全，一致地管理供应商活动。这些平台可帮助公司避免不一致和临时 的供应商管理流程，这些流程可能容易受到企业电子邮件泄露，复杂的 鱼叉式网络钓鱼和其他网络攻击的攻击。 供应链风险和网络安全的组织方 法 全球采购团队负责传统的 SCRM。尽管SCRM正式致力于该团队，但消费电子 公司鼓励就产品完整性和风险方面的担忧进行公开交流。 公司认为，广泛的管理 人员关注是处理具有 SCRM正式职责的供应链风险和领导角色的重要组成部分， 包括CEO，CFO，全球采购 副总裁和信息技术总监。内部信息技术团队尤其直接与 全球采购 合作，以减轻供应商和上游组件所带来的潜在网络安全威胁。 消费电子公司建立了强大的安全文化。 对员工进行基本的网络安全 健康方面 的培训，定期进行受控的网络钓鱼活动， 鼓励员工积极参与管理网络安全风险。 员工利用公司 一些开放门户策略向领导层报告潜在风险。 信息安全团队执行最低 特权原则，并 使用户对新的安全工具和流程 充满信心。 供应商管 理 管理供应商关系的关键方 面 牢固的供应商关系是消费电子公司供应链管理的核心要素。 公司刻意促进与 所有合作伙伴和供应商的正式和个人关系， 并且已经与一些供应商合作了十多年。 这种个性化的方法有助于建立对每个业务的更好的相互了解， 并随着时间的推移 获得强烈的信任。为了维持这些关系，公司的员工执行非正式的接触 ，并与每个 供应商一起参加定期的现场会议。 这些会议每季度针对一些关键供应商举行一次。 关系由负责最终产品的开发团队直接管理。 消费电子公司将尽可能从现有供 应商处采购新组件，以最大程度地减少复杂性并加强现有关系。当需要新的供应 商时，全球采购团队将对新供应商的安全实践进行评估。这些评估很大程度上取 决于公司在供应链事件，网络 健康最佳实践以及美国海关与边境保护局（ CBP） 的反恐海关贸易伙伴关系i（CTPAT）计划的安全要求方面的经验。 CTPAT是国土安全部最大的公私合作伙伴关系，用于供应链风险管理。 为消 费电子公司授予低风险的海关名称，以表明其符合各种供应链安全保证，包括安 全运输和存储，人员控制以及 IT安全的志愿性计划。这种特殊的海关 机构大大减少了公司及其供应商的开销和延误。 为了保持此认证，消费电子公司的物流合 作伙伴和供应商必须证明他们符合该计划的所有安全要求。 除了内部团队进行的 评估之外， 所有合同都要求这些合作伙伴和供应商完成有关其安全实践的年度调 查。 衡量供应商风 险 消费电子公司管理供应链风险的主要动力是将产品推向客户。因此，供应中 断的潜在交付影响以及确保替代采购的成本决定了每个供应商的重要性。 公司牢 固的供应商关系使他们对每个供应商的运作方式有了广泛的了解。 通过这些关系 的观察可以深入了解每 个供应商的风险状况。 消费电子公司从这些风险概况以及 供应商对公司的重要性中得出每个供应商的相对风险。 具有消费电子公司敏感知识产权的供应商被认为是至关重要的。 许多供应商 需要受保护的材料 （例如专有的工程图） 来生产其组件。 一旦供应商收到该材料， 消费电子公司便无法直接控制，并依赖该供应商保护其知识产权，以防其被盗或 未经许可使用。尽管此类事件很少归因于正规供应商，但假冒产品的潜力被认为 是重大的竞争风险，因此受到严密监控。 消费电子公司更喜欢与小型企业合作。 供应商收入 多少的重要性使公司能够 更有效地影响供应商的网络安全 状况和供应链风险管理实践。 公司已经观察到， 这种杠杆作用降低了违反合同合规性，组件质量问题和市场上伪造设备的风险 。 质量管理与持续改 进 随着消费电子公司作为汽车 OEM供应商的业务不断增长， 下游客户的需求正 在推动该公司成熟其供应链计划。 2015年， 菲亚特 ·克莱斯勒 （ Fiat Chrysler ） 召回了140万辆ii汽车，因为《连线杂志》 iii透露，网络安全漏洞使 受影响的车 辆受到远程控制，从而使攻击者能够操纵转向，制动和音频系统。公众的关注导 致整个汽车行业对 C-SCRM的更多投资。业界对消费电子公司和其他供应商的要 求不断提高，其中包括对上游供应合作伙伴的更严格的控制，突显了该公司参与 CTPAT的价值。 一般而言，所有供应商组件都经过生产前和生产后测试。尽管大多数测试是在内部执行的，但供应商合同授予消费电子公司聘请第三方评估人员的权利。在 设备通过全部测试 前不能为产品分配序列号。 事件响应和恢 复 消费电子公司会正 式审查事件详细信息， 以完善其安全状态和事件应变能力。 有一次，供应商的电子邮件系统被远程攻击者破坏了。攻击者利用现有业务关系 在伪造付款请求之前， 查阅了供应商与消费电子公司员工之间的电子邮件 长达数 月之久。虽然最终没有成功，但攻击凸显了确保与业务合作伙伴的交互 安全性和 形式化的必要性。此后， 公司强制使用受控制的供应商 Web门户，对可能具有影 响力的业务流程进行 正式批准， 并将对产品数据管理平台的有限访问权限扩展到 选定的供应商子集。 这些控制措施旨在限制成功的网络安全攻击对关键供应商的 潜在影响。 替代采购是 消费电子公司的供应链事件管理的关键。 由于他们的产品基于成 熟的技术，因此他们的一些现有供应商能够制造其他供应商生产的组件。这使得 公司可以在任何一个供应商受到干扰或损害的情况下迅速切换供应商。 为了在供 应中断后促进向备用供应商的迁移， 制造中涉及的每个组件应保留两到三个月的 储备金。 经验教训和改进机 会 消费电子公司建议有兴趣 开发建立成熟的C-SCRM程序的公司投资 一个统一 的安全平台，以与供应商进行所有正式的信息交换 。这些平台提供的增加的机密 性和身份验证可以保护供应商通信中固有的敏感材料，从而限制了欺诈，盗窃和 网络安全漏洞的可能性 。这些平台还简化了 除风险管理之外 采购功能 的供应商管 理。 消费电子公司正在评估缓解地缘政治动荡风险的方法 。尽管供应商关系可靠， 但当前的事件正在引起人们对贸易紧张局势潜在升级的关注 。因此，公司正在与 他们的供应商合作，以将业务分散到多个国家 /地区。 参考文献 i CTPAT：反恐海关贸易伙伴关系，美国海关与边境保护局 , https://www.cbp.gov/border -security/ports -entry/cargo -security/ctpat, (retrieved September 16, 2019) ii 菲亚特·克莱斯勒（ Fiat Chrysler ）在英国广播公司吉普车被盗后召回了 140万辆汽车 , https://www.bbc.com/news/technology -33650491, (retrieved September 16, 2019) iii 黑客远程 使一辆高速公路上的吉普车 熄火-与我同在，有线 , https://www.wired.c om/2015/07/hackersremotely -kill-jeep-highway/, (retrieved September 16, 2019)