圖片來源: 

周峻佑攝

由於將產品供應鏈完全外包給合作廠商,一旦這些業者遭受資安攻擊,思科也同樣會面臨資安風險,為此,思科資安架構師Jon Kenney於1月22日於臺北國際會議中心(TICC)舉行的Cisco Connect TPE大會上,特別以此為題,指出該公司建立了一套方法,評估合作夥伴的資安狀態,並加以扶植,使得這些廠商的資安防護能力更加成熟。

思科將公司的硬體產品供應鏈悉數外包,涵蓋了零件供應、設備承作,乃至於產品運送與後勤維修等層面,都交由合作夥伴執行。然而,這些業務外包之後,若是合作的廠商出現異狀,便可能衍生許多風險,例如,業務中斷、產品遭到汙染、公司的IP位址遭駭,以及客戶的資料外洩等情況。Jon Kenney舉出全球最大貨櫃運輸業者Maersk受到攻擊的事件為例,該公司於2017年受到NotPetya攻擊,使得業務中斷,網路10天之後復原,歷時2個月才完全修復,這其中企業原本交由Maersk運送的產品,交付時效勢必為此受到影響。因此Jon Kenney認為,他們也希望合作業者能擁有妥善的資訊安全。

Jon Kenney表示,合作夥伴的資訊安全越是成熟,連帶讓思科得到更多防護,為了讓思科合作廠商具備相當成熟的資安防護,該公司透過2大方向進行--首先是為合作夥伴評分(Measure),再者則是與這些廠商協同合作(Collaborate),強化這些業者所不足之處。

依據50個問題的回應,為合作夥伴評分

思科會對於合作夥伴提出50個問題,並依據得到的答案,評估這些公司的資安成熟度(最高分為5分),並後續定期追蹤。

這是思科為合作廠商所建立的評分報告範例,不只以長條圖列出得分,並指出建議事項與需要改進之處,而且,這裡也特別強調該合作業者的強項。

建立合作廠商之間的協同合作機制

與合作夥伴協同的方式,首先包含了思科會定期與他們開會,主要目的是確立資安執行的方向,邀集思科自己的資安首長、外部講師,與超過20個供應鏈廠商進行探討。

另一個協同合作的部分,則是由思科與最大的7個合作廠商帶頭,計畫性改善供應鏈整體生態的資訊安全,這項計畫稱為供應鏈資安聯盟(Supply Chain Cybersecurity Consortium,簡稱SC3)。


Advertisement

更多 iThome相關內容