[vc_row][vc_column width=”1/4″][vc_column_text text_larger=”no”]
عنوان اصلی مقاله:
Managing Cyber Risks In Global Supply Chains
[/vc_column_text][vc_column_text text_larger=”no”]
نویسندگان:
Dan Pellathy
Mike Burnette
[/vc_column_text][vc_column_text text_larger=”no”]
برگردان: ملیکا موسوی
پژوهشگر موسسه مدیریت زنجیره تأمین آمادگران
[/vc_column_text][vc_column_text text_larger=”no”]
به سفارش: موسسه مدیریت زنجیره تأمین آمادگران
[/vc_column_text][vc_column_text text_larger=”no”]
تاریخ انتشار:
سال ۲۰۲۰ میلادی
[/vc_column_text][/vc_column][vc_column width=”3/4″][vc_column_text text_larger=”no”]در طول ۱۰ سال گذشته، زنجیرههای تأمین در تلاش برای کاهش هزینهها برای پاسخ به بازارهای متغیر مشتری، بهطور فزایندهای به دیجیتالیسازی، اتوماسیون و تلفیق فناوری روی آوردهاند. ضرورت رقابتی اتخاذ این فناوریها غیرقابلانکار است اما خطراتی نیز وجود دارد. پیشرفتهای فنی، زنجیرههای تأمین را در معرض خطرات سایبری قرار میدهند که میتواند تأثیر عمدهای بر همهچیز، از عملیات گرفته تا درک برند و اعتماد مشتری داشته باشد. در تلاش برای پاسخگویی به چالش حمایت از اهداف سود، هنگام انتقال به بازارهای جدید، بیشتر رهبران تجارت و زنجیره تأمین این خطرات را نادیده گرفتهاند.
اکنون امنیت سایبری یکی از مهمترین چالشهای پیش روی رهبران زنجیره تأمین و تجارت است. اغلب اوقات، رهبران این نگرش را دارند که فناوری اطلاعات، سایبری را مدیریت میکند و تا زمانی که سیستمهای تجاری و زنجیره تأمین در حال اجرا هستند، به نظر همهچیز بهخوبی پیش میرود. اما با اینوجود رهبران باید آموزش را شروع کرده و امنیت سایبری را جدی بگیرند.
مبانی امنیت سایبری زنجیره تأمین
دادهها حاکی از آن است که بیش از ۶۰ درصد مسائل مربوط به امنیت سایبری در ارائهدهندگان لجستیک طرف سوم در زنجیرههای تأمین رخ میدهد. یک رویکرد شرکت محور در زمینه امنیت سایبری بهطور سیستماتیک عملیات مهم و دادههای ارزشمند را در معرض حمله قرار میدهد و در واقع میتواند آسیبپذیری یک سازمان را افزایش دهد.
به همین منظور، تحقیقات کاربردی جدید از دانشگاه تنسی، موسسه جهانی زنجیره تأمین ناکسویل (GSCI) چهار اصل اساسی را برای مقابله با امنیت سایبری در زنجیره تأمین ارائه میدهد:
- درک ماهیت خطرات اینترنتی در زنجیره تأمین
- توسعه فرهنگ مدیریت ریسک سایبری
- ادغام با شرکای اصلی برای مدیریت خطرات سایبری در زنجیره تأمین
- تصمیمگیری در مورد کجا (و چه مقدار) سرمایهگذاری برای محافظت از زنجیره تأمین
بهمنظور شناسایی اصول امنیت سایبری با ۳۰ نفر از رهبران شرکتها و کارشناسان امنیت سایبری مصاحبهای صورت گرفته است تا این اصول شناساییشده و نقطه شروع ساخت زنجیره تأمین سایبری امن در اختیار مدیران زنجیره تأمین قرار گیرد.
استراتژی معیار زنجیره تأمین سایبری
شرکتهایی که با آنها مصاحبه کردهایم، امنیت سایبری را نگرانی تجاری مداوم خود میدانند که مستلزم مشارکت در سراسر زنجیره تأمین آنها است. این شرکتها دارای سیستمهای استوار برای ارزیابی و بهبود تواناییهای امنیت سایبری تأمینکنندگان، تولیدکنندگان قراردادی و ارائهدهندگان لجستیک طرف سوم هستند. آنها بر اقدامات تنبیهی مبتنی بر انطباق با پروتکلهای سنگین تأکید نمیکنند. در عوض، آنها یک رویکرد توسعه را دنبال میکنند که بر افزایش بلوغ برنامههای مدیریت ریسک سایبری شرکا تأکید دارد.
خطرات سایبری در رابطهای زنجیره تأمین افزایش مییابد. شرکتهای معیار با شرکای خارجی همکاری میکنند تا نقشها و مسئولیتهای مشخصی را در کل سیستمهایی که تأمینکنندگان، مشتریان، عملکردهای داخلی زنجیره تأمین و سایر رابطهای تجاری را به هم پیوند میدهند، تعیین کنند. وضوح مالکیت، مسئولیتپذیری در حفظ امنیت سایبری را موجب میشود و مشخص میکند که به چه کسی و چرا و چگونه دسترسی به سیستم داده شده است. این اقدامات در رأس فرهنگ مدیریت ریسک سایبری است که از بالا پشتیبانی میشود.
بهطور خلاصه، شرکتهای معیار دریافتهاند که امنیت سایبری باید کار کل سازمان با همکاری شرکای زنجیره تأمین باشد. این نوع استراتژی سراسری سایبری اطمینان میدهد که گروههای مختلف داخلی و خارجی برای حل مشکلات و تحقق اهداف مشترک با یکدیگر همکاری میکنند. علاوه بر این بهطورکلی، با اطمینان از قرار دادن منابع برای محافظت از آسیبپذیرترین نقاط زنجیره تأمین، از سرمایهگذاری در امنیت سایبری محافظت میکند.
امنیت سایبری فقط بهاندازه ضعیفترین حلقه در زنجیره تأمین قوی است. خوشبختانه، متخصصان زنجیره تأمین بسیاری از تواناییهای لازم برای رویکرد سراسری امنیت سایبری، ازجمله تعیین هدف، برنامهریزی اقدام، حل مسئله و تصمیمگیری مشترک را دارند. آنها اکنون باید این تواناییها را با توسعه و اجرای استراتژی امنیت سایبری که از اهداف ایجادشده زنجیره تأمین آنها پشتیبانی میکند، عملی سازند.
خطر سایبری چیست؟
خطر سایبری به فعالیتی گفته میشود که در یک فضای مجازی رخ میدهد و احتمال از بین رفتن یا آسیب رساندن به اطلاعات، فناوری و یا عملیات را دارد. لازم به ذکر است که هر محیط فضای مجازی هم فناوری و هم افراد استفادهکننده از آن را شامل میشود. خطرات سایبری در صورت نقص عملکرد هر یک از اجزای سازنده به وجود میآیند. مهاجمان سایبری غالباً منبع هستند اما شامل سوء مدیریت اطلاعات و فناوریها نیز میشود.
منابع ریسک سایبری زنجیره تأمین
اکثر مدیران خطرات سایبری ناشی از حملات خارجی مانند بدافزار، کلاهبرداری، انکار سرویس، باج افزار و فیشینگ را درک میکنند. منابع مختلف خطرات سایبری ناشی از سوء مدیریت شدیدتر هستند. گفتگوهای ما با ۳۰ شرکت و کارشناس امنیت سایبری نشان میدهد که سازمانها میتوانند با طرح سه سؤال ساده، منابع ریسک سایبری زنجیره تأمین خود را شناسایی کنند: چه؟ چه کسی؟ چگونه؟
چه کسی ریسک را معرفی میکند؟ افراد در سراسر زنجیره تأمین معمولاً ریسک را بدون سوءقصد ایجاد میکنند، مانند افرادی که بهطور تصادفی دادههای حساس را به اشتراک میگذارند. همچنین رایانش ابری خطرات جدیدی را در رابطه با دسترسی کاربر، انطباق با مقررات، مکان و در دسترس بودن دادهها ایجاد میکند. درواقع هیچیک از این خطرات از بازیگران بد ناشی نمیشود.
بااینحال مهاجمان سایبری در آنجا حضور دارند و شرکتها باید بدانند که با چه نوع مهاجمانی روبرو هستند. مهاجمان هدف و مهاجمان فرصتطلب انگیزههای متمایزی دارند که آنها را به استفاده از تاکتیکهای مختلف برای رسیدن به اهدافشان سوق میدهد. تفاوت بین این مهاجمان و میزان قرار گرفتن در معرض هر یک، پیامدهای قابلتوجهی برای سرمایهگذاری در امنیت سایبری زنجیره تأمین دارد.
چگونه اطلاعات میتوانند خارج شوند؟ بررسی چگونگی ورود مهاجمان یا چگونگی کسب اطلاعات میتواند منابع ریسک سایبری را نیز معلوم کند. بیشتر سازمانها بر امنیت سیستمهای اطلاعاتی مدیریت خود متمرکز هستند، اما از لینکهای ضعیف یا دسترسی آسان شرکای زنجیره تأمین خود چشمپوشی میکنند. شرکای زنجیره تأمین (تأمینکنندگان، توزیعکنندگان، خردهفروشان) این امکان را دارند که طیف گستردهای از اطلاعات مشتری و محصول را افشا کنند. به عنوان مثال، ما دریافتهایم که امنیت سایبری بهویژه امنیت تولیدکنندگانی که از فناوریهای نوظهور استفاده میکنند، جایی که هنوز نقاط ضعف طراحی کاملاً مشخص نشده و یا کنترل تولید اعمال نشده است، یک چالش است.
ایجاد نقشهای دقیق از سراسر زنجیره تأمین، به شرکتها این امکان را میدهد تا دید جامعی نسبت به آسیبپذیریهای مهم ایجاد کنند که هم مؤلفههای تکنولوژیکی و هم انسانی محیط سایبری را در نظر میگیرد. با افزایش خطرات سایبری در رابطهای زنجیره تأمین، شرکتها باید با شرکای خارجی کار کنند تا نقشها و مسئولیتهای مشخصی را در کل سیستمها تعیین کرده که تأمینکنندگان، مشتریان، عملکردهای داخلی زنجیره تأمین و سایر رابطهای تجاری را به هم پیوند میدهد.
چه چیزی در معرض خطر است؟ ما دریافتیم که مراکز امنیت سایبری زنجیره تأمین چهار نوع فرآیند مدیریتی اصلی را در برمیگیرد:
- اطلاعات در موردتقاضا
- جریان فیزیکی کالا
- جریانهای مالی
- مدیریت سفارش
در این فرایندهای اصلی، فرایندهای فرعی عملکردی خاص اغلب به سیستمهای آسیبپذیر در برابر خطرات اینترنتی متکی هستند. تحقیقات ما نشان میدهد که دستگاهها و شبکههایی که برای مدیریت این فرآیندها استفاده میشوند، بهطور ویژهای در معرض حملات سایبری مانند نرمافزار خرابکاری، شکستن رمز عبور، حملات جعل و هک مستقیم قرار دارند.
داراییهای فیزیکی در سراسر زنجیره تأمین نیز میتوانند در معرض خطر باشند. به عنوان مثال، مهاجمان ممکن است از طریق یک فناوری یا مؤلفهی نرمافزاری به محصولات دسترسی پیدا کنند. سامانه بازشناسی با امواج رادیویی (RFID) محافظت نشده نیز میتوانند در برابر استراق سمع، ردیابی غیرمجاز، درج برچسبها و خوانندههای تقلبی و سایر انواع دستکاری آسیبپذیر باشند. برونسپاری اجزای فیزیکی و دیجیتالی محیط سایبری نیز میتواند منبع قابلتوجهی از خطر باشد.
پس از شناسایی خطرات سایبری زنجیره تأمین خود، مرحله بعدی کمیسازی احتمالات و ضررهای احتمالی آنها است. تکنیکهای آماری مانند شبیهسازی مونتکارلو میتواند به ایجاد طیف وسیعی از ضررهای مورد انتظار در بازه زمانی مشخص کمک کند و به شما کمک کند تا با آگاهی از امنیت سایبری سرمایهگذاری کنید. این فرایند باید با مشارکت کامل شرکای زنجیره تأمین انجام شود و مدیران زنجیره تأمین باید به یاد داشته باشند که مدیریت ریسک سایبری هرگز ایستا نیست و یک روند مداوم و مبتنی بر ماهیت پویای محیط فضای مجازی است.
منابع:
- https://www.scmr.com/article/managing_cyber_risks_in_global_supply_chains_the_four_fundamentals
- https://www.scmr.com/article/managing_cyber_risks_in_global_supply_chains_the_four_fundamentals1
[/vc_column_text][/vc_column][/vc_row]
