”到2025年全球45%的企業(yè)機(jī)構(gòu)將遭遇軟件供應(yīng)鏈攻擊��,比2021年增加3倍?����!?月21日,全球著名供應(yīng)鏈智庫(kù)美國(guó)Gartner如此預(yù)警�����,并把”數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)“列入2022年七大安全和風(fēng)險(xiǎn)管理趨勢(shì)第2位�����。
就在Gartner發(fā)出預(yù)警當(dāng)日��,美國(guó)總統(tǒng)拜登也在公開(kāi)喊話美國(guó)企業(yè)����,”俄羅斯正在籌劃對(duì)美國(guó)發(fā)動(dòng)新的網(wǎng)絡(luò)攻擊,美國(guó)私營(yíng)公司要加強(qiáng)防御工作�����?����!蹦腿藢の兜氖?���,此時(shí)美國(guó)作為全球頭號(hào)“黑客帝國(guó)”���,仍史無(wú)前例地忙著發(fā)動(dòng)網(wǎng)絡(luò)攻擊。
據(jù)中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心檢測(cè)發(fā)現(xiàn)���,“今年2月下旬以來(lái)��,美國(guó)黑客通過(guò)攻擊我國(guó)境內(nèi)計(jì)算機(jī)�����,進(jìn)而對(duì)俄羅斯�、烏克蘭�����、白俄羅斯發(fā)起攻擊��。72小時(shí)內(nèi)就攻擊關(guān)閉了1500多個(gè)與俄羅斯和白俄羅斯政府�、主要銀行和企業(yè)有關(guān)的網(wǎng)絡(luò)����。“
注意��!在美歐正將俄羅斯踢出全球供應(yīng)鏈體系時(shí),美國(guó)通過(guò)攻擊中國(guó)境內(nèi)計(jì)算機(jī)轉(zhuǎn)攻俄羅斯�、白俄羅斯的政府、主要銀行和企業(yè)網(wǎng)絡(luò)�����。這是什么操作�?不過(guò),明眼人看出來(lái)���,美國(guó)更迫切攻擊的恐怕是全球第二大數(shù)字經(jīng)濟(jì)國(guó)家中國(guó)——已經(jīng)是全球最具競(jìng)爭(zhēng)活力的數(shù)字供應(yīng)鏈?zhǔn)袌?chǎng)��。
一�����、中國(guó)數(shù)字供應(yīng)鏈危險(xiǎn)信號(hào):來(lái)自360和Gartner的警告
1�����,360的警告:美國(guó)國(guó)安局量子攻擊平臺(tái)干什么
3月22日���,中國(guó)360政企安全集團(tuán)首次對(duì)外界完全披露美國(guó)國(guó)家安全局(NSA)針對(duì)中國(guó)境內(nèi)目標(biāo)所使用的代表性網(wǎng)絡(luò)武器——Quantum(量子)攻擊平臺(tái)的技術(shù)特點(diǎn)。
(360集團(tuán)創(chuàng)始人、董事長(zhǎng)周鴻祎)
量子攻擊是美國(guó)國(guó)家安全局針對(duì)國(guó)家級(jí)互聯(lián)網(wǎng)專門設(shè)計(jì)的一種先進(jìn)的網(wǎng)絡(luò)流量劫持攻擊技術(shù)���,針對(duì)世界各國(guó)訪問(wèn)臉書(shū)�、推特等美國(guó)網(wǎng)站的所有互聯(lián)網(wǎng)用戶發(fā)起網(wǎng)絡(luò)攻擊����,另外像QQ等中國(guó)社交軟件也同樣是他們的攻擊目標(biāo)。
全球數(shù)億公民隱私和敏感信息無(wú)處藏身猶如“裸奔”�����,中國(guó)作為美國(guó)國(guó)安局重點(diǎn)供給目標(biāo)之一����,受害單位感染量或達(dá)百萬(wàn)量級(jí),這當(dāng)然包括中國(guó)一些全球領(lǐng)先的數(shù)字化供應(yīng)鏈平臺(tái)�。
2,Gartner預(yù)警:數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)是2022年第二大風(fēng)險(xiǎn)
3月21日�����,Gartner表示提出了安全和風(fēng)險(xiǎn)管理者必須應(yīng)對(duì)的七大趨勢(shì)�����,才能保護(hù)現(xiàn)代企業(yè)機(jī)構(gòu)不斷擴(kuò)張和數(shù)字足跡免受2022年即以后新威脅的影響���。
“數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)“被Gartner列為2022年七大安全和風(fēng)險(xiǎn)管理趨勢(shì)第二位�����?!庇捎诰W(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)攻擊數(shù)字供應(yīng)鏈可以產(chǎn)生高額的回報(bào)�,因此,企業(yè)預(yù)計(jì)會(huì)面臨更多數(shù)字供應(yīng)鏈威脅�����。據(jù)Gartner預(yù)測(cè)到2025年全球45%的企業(yè)機(jī)構(gòu)將遭遇軟件供應(yīng)鏈攻擊��,相比2021年增加了3倍����。“
此風(fēng)險(xiǎn)此前也被提起�,供應(yīng)鏈攻擊被視為2020年六大新興威脅之一。據(jù)全球知名的saas安全公司Crowstrike發(fā)布的2019年供應(yīng)鏈安全報(bào)告顯示����,16%的公司購(gòu)買了被做過(guò)手腳的IT設(shè)備�。90%的公司“沒(méi)有做好準(zhǔn)備”應(yīng)對(duì)供應(yīng)鏈網(wǎng)絡(luò)攻擊����。
二、數(shù)字化物流����,中國(guó)走了很遠(yuǎn)后發(fā)現(xiàn)忘戴安全帽
中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展萬(wàn)余歐美,但已經(jīng)連續(xù)位居全球第二大數(shù)字經(jīng)濟(jì)市場(chǎng)��,全球數(shù)字物流與供應(yīng)鏈發(fā)展最活躍的市場(chǎng)����,靠什么?
1���, 數(shù)字化�����,中國(guó)政策支持很大���,但沒(méi)把安全放在重要位置
2015年,國(guó)務(wù)院出臺(tái)《“互聯(lián)網(wǎng)+”行動(dòng)指導(dǎo)意見(jiàn)》��,首次部署推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)����,而“互聯(lián)網(wǎng)+”高效物流被列入11個(gè)重點(diǎn)領(lǐng)域?!兑庖?jiàn)》明確要求發(fā)改委、商務(wù)部����、交通運(yùn)輸部、網(wǎng)信辦等聯(lián)合推進(jìn)“構(gòu)建物流信息共享互通體系”等�。
2017年,國(guó)務(wù)院推出首個(gè)部署現(xiàn)代供應(yīng)鏈創(chuàng)新發(fā)展政策《關(guān)于積極推進(jìn)供應(yīng)鏈創(chuàng)新與應(yīng)用的指導(dǎo)意見(jiàn)》�����。全文第二句話是��,“隨著信息技術(shù)的發(fā)展���,供應(yīng)鏈已發(fā)展到與互聯(lián)網(wǎng)�����、物聯(lián)網(wǎng)深度融合的智慧供應(yīng)鏈新階段���?��!边@也是國(guó)務(wù)院首次旗幟鮮明地提出“智慧供應(yīng)鏈”的發(fā)展方向。
2020年�,國(guó)家發(fā)改委推出《關(guān)于推進(jìn)“上云用數(shù)賦智”行動(dòng) 培育新經(jīng)濟(jì)發(fā)展實(shí)施方案》,可以說(shuō)把中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展推向新高度�����。其發(fā)展目標(biāo)第一句化就是”在已有工作基礎(chǔ)上����,大力培育數(shù)字經(jīng)濟(jì)新業(yè)態(tài),深入推進(jìn)企業(yè)數(shù)字化轉(zhuǎn)型���,打造數(shù)據(jù)供應(yīng)鏈����,以數(shù)據(jù)流引領(lǐng)物資流�����、人才流�、技術(shù)流�����、資金流���,形成產(chǎn)業(yè)鏈上下游和跨行業(yè)融合的數(shù)字化生態(tài)體系……”
2022年1月�����,國(guó)務(wù)院推初我國(guó)首部《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》����,多出提到供應(yīng)鏈,并把“大力發(fā)展智慧物流”作為列入七個(gè)重點(diǎn)行業(yè)數(shù)字化轉(zhuǎn)型工程之一���。
截至2021年底����,全國(guó)已有28地出臺(tái)了數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃��,浙江�����、北京、天津�、福建等省市在“十四五”規(guī)劃中均要求到2025年數(shù)字經(jīng)濟(jì)占地區(qū)生產(chǎn)總值的比重要超過(guò)50%,各地均在積極布局?jǐn)?shù)字經(jīng)濟(jì)發(fā)展����。
但綜合上述政策,掌鏈網(wǎng)·第一物流網(wǎng)在梳理相關(guān)政策�,無(wú)不發(fā)現(xiàn):數(shù)字供應(yīng)鏈和數(shù)字物流政策,只重發(fā)展意識(shí)�,鮮有安全意識(shí),很少把數(shù)字安全放在突出位置考慮����。這是一個(gè)不幸的認(rèn)知,但也是一個(gè)客觀的存在!常年以來(lái)���,中國(guó)經(jīng)濟(jì)發(fā)展生在一個(gè)和平環(huán)境���,以致我們往往只會(huì)談發(fā)展,很少注意安全�。
如今,俄羅斯給我們提前試了幾乎所有的雷�,該覺(jué)悟了!
2, 數(shù)字化����,中國(guó)企業(yè)跑得很快,但普遍沒(méi)有安全意識(shí)
在一些列數(shù)字政策推動(dòng)下�����,中國(guó)數(shù)字經(jīng)濟(jì)市場(chǎng)呈現(xiàn)了前所未有的活力��。短短幾年中國(guó)培育初全球最大的公路貨運(yùn)信息平臺(tái)滿幫集團(tuán)�、全球最大的即時(shí)物流平臺(tái)美團(tuán)配送�����,全球最大的同城貨運(yùn)信息平臺(tái)之一的貨拉拉�����。以及2013年成立但2015年高速發(fā)展的全球最大的數(shù)字快遞服務(wù)平臺(tái)菜鳥(niǎo)網(wǎng)絡(luò)�。
而產(chǎn)業(yè)互聯(lián)網(wǎng)的到來(lái),讓數(shù)字化產(chǎn)業(yè)供應(yīng)鏈空間巨大�。2020年,中國(guó)產(chǎn)業(yè)數(shù)字化占數(shù)字經(jīng)濟(jì)比重高達(dá)80.9%��,數(shù)字化正在對(duì)各行各業(yè)進(jìn)行深度賦能�����。
3,數(shù)字化�,中國(guó)底層安全很遭,安全管理遠(yuǎn)遠(yuǎn)不夠
據(jù)Gartner研究院副總裁Peter Firstbrook表示“全球企業(yè)機(jī)構(gòu)整面臨著復(fù)雜的勒索軟件攻擊���、針對(duì)數(shù)字供應(yīng)鏈的攻擊和深層漏洞�����。此次疫情加快了混合工作模式的發(fā)展和上云速度��,這給首席信息安全觀提出了一個(gè)難題:如何保護(hù)日益分散化的企業(yè)��,同時(shí)解決資深安全人員的短缺問(wèn)題���。”
中國(guó)問(wèn)題或許更嚴(yán)重����,360創(chuàng)始人、董事長(zhǎng)周鴻祎2021年出席世界互聯(lián)網(wǎng)大會(huì)提出����,當(dāng)前中國(guó)企業(yè)數(shù)字化面臨六大基礎(chǔ)安全問(wèn)題:云安全���、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全���、終端安全�����、供應(yīng)鏈安全�、通信安全����,傳統(tǒng)網(wǎng)絡(luò)安全無(wú)法應(yīng)對(duì)�。截至2021年9月,360累計(jì)捕獲境外46個(gè)APT組織�����,發(fā)現(xiàn)攻擊活動(dòng)3600余起��,涉及目標(biāo)2萬(wàn)余個(gè)��。
三,數(shù)字物流反思:站在最大風(fēng)口或也是站在最大風(fēng)險(xiǎn)口
物流與供應(yīng)鏈服務(wù)企業(yè)作為數(shù)字化供應(yīng)鏈的先行者�����,也身處在網(wǎng)絡(luò)安全的風(fēng)口����。
1, 菜鳥(niǎo)網(wǎng)絡(luò):中國(guó)最大的數(shù)字物流與供應(yīng)鏈基礎(chǔ)設(shè)施
(菜鳥(niǎo)網(wǎng)絡(luò)發(fā)布物流IoT開(kāi)放平臺(tái))
2019年�����,菜鳥(niǎo)網(wǎng)絡(luò)發(fā)布了物流IoT開(kāi)放平臺(tái)和極簡(jiǎn)PDA��,將助力實(shí)現(xiàn)倉(cāng)儲(chǔ)��、運(yùn)輸�、配送和驛站代收等的物流全鏈路數(shù)字化、智能化升級(jí)��。該平臺(tái)面向物流行業(yè)全面開(kāi)放�����,歡迎所有物流場(chǎng)景及設(shè)備接入�,有效推動(dòng)物流行業(yè)的數(shù)字化和智能化����。菜鳥(niǎo)在自建倉(cāng)庫(kù)方面����,菜鳥(niǎo)目前已在物流作業(yè)集中、交通便利的地區(qū)自建物流園區(qū)22座以承接電子商務(wù)及傳統(tǒng)商業(yè)對(duì)物流的需求��,約三分之一的園區(qū)設(shè)在物流服務(wù)需求旺盛的華東地區(qū)���,總占地面積達(dá)315萬(wàn)平方米����。園區(qū)建設(shè)基于IoT��、邊緣計(jì)算和人工智能等高科技���,是菜鳥(niǎo)嘗試最新科技改善物流服務(wù)的主要試驗(yàn)區(qū)。
2�����, 京東物流:中國(guó)智能供應(yīng)鏈基礎(chǔ)設(shè)施
(京東集團(tuán)首席戰(zhàn)略官廖建文)
2020京東全球科技探索者大會(huì)上��,京東集團(tuán)首席戰(zhàn)略官廖建文首次對(duì)京東的數(shù)智化社會(huì)供應(yīng)鏈進(jìn)行了系統(tǒng)闡釋。廖建文提到�����,基于這條供應(yīng)鏈���,京東能夠利用數(shù)智化技術(shù)連接和優(yōu)化社會(huì)生產(chǎn)�����、流通�����、服務(wù)的各個(gè)環(huán)節(jié)�,實(shí)現(xiàn)降本增效���。圍繞“商品供應(yīng)鏈+物流供應(yīng)鏈”���,京東不斷融合與創(chuàng)新自身在零售和物流領(lǐng)域的核心競(jìng)爭(zhēng)技術(shù),逐漸形成供應(yīng)鏈基礎(chǔ)設(shè)施背后的三大技術(shù)能力��,分別為基于大數(shù)據(jù)的智能供應(yīng)(Smart Supplies)�����、基于倉(cāng)配送的智能運(yùn)營(yíng)(Smart Logistics)、基于人貨場(chǎng)的精準(zhǔn)匹配(Smart Consumptions)�。
3, 順豐集團(tuán):與深圳八家供應(yīng)鏈公司成立的數(shù)字供應(yīng)鏈公司
2018年4月����,順豐與東方嘉盛供應(yīng)鏈有限公司,飛馬國(guó)際供應(yīng)鏈股份有限公司��、華南城投資有限公司�、怡亞通供應(yīng)鏈股份有限公司等八家深圳本地公司,出資成立了大數(shù)據(jù)運(yùn)營(yíng)平臺(tái)�����。合資公司將致力于構(gòu)建國(guó)內(nèi)最具影響力的供應(yīng)鏈大數(shù)據(jù)平臺(tái)���,通過(guò)大數(shù)據(jù)和人工智能等科技創(chuàng)新���,推動(dòng)建立高效協(xié)同的現(xiàn)代供應(yīng)鏈體系,打造創(chuàng)新的智慧供應(yīng)鏈�����。
(順豐創(chuàng)始人王衛(wèi)與騰訊創(chuàng)始人馬化騰)
四�、對(duì)維護(hù)中國(guó)數(shù)字物流與供應(yīng)鏈安全三點(diǎn)拙見(jiàn)
1、制度:加快構(gòu)建國(guó)家數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)應(yīng)急機(jī)制
強(qiáng)化國(guó)家網(wǎng)信辦��、國(guó)家發(fā)改委���、工信部����、公安部��、商務(wù)部�����、交通運(yùn)輸部�、外交部、國(guó)防部等多部門協(xié)同���,構(gòu)建數(shù)字供應(yīng)鏈安全協(xié)同治理機(jī)制��,捍衛(wèi)數(shù)字疆土安全�����?����!丁笆奈濉睌?shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》提到�,健全完善網(wǎng)絡(luò)安全應(yīng)急事件預(yù)警通報(bào)機(jī)制,提升網(wǎng)絡(luò)安全態(tài)勢(shì)感知��、威脅發(fā)現(xiàn)����、應(yīng)急指揮、協(xié)同處置和攻擊溯源能力����。
提升網(wǎng)絡(luò)安全應(yīng)急處置能力,加強(qiáng)金融���、交通運(yùn)輸?shù)戎匾袠I(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力�����,支持開(kāi)展常態(tài)化安全風(fēng)險(xiǎn)評(píng)估����,加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)和密碼應(yīng)用安全性評(píng)估��。
2��、法律:完善《數(shù)據(jù)安全法》制定《供應(yīng)鏈安全法》
進(jìn)一步完善《數(shù)據(jù)安全法》���,同時(shí)基于數(shù)字供應(yīng)倆發(fā)展�,加快制定《供應(yīng)鏈安全法》�,應(yīng)充分借鑒國(guó)內(nèi)外已在供應(yīng)鏈安全領(lǐng)域開(kāi)展的研究,如美國(guó)頒布的《ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》�����、《商用信息技術(shù)軟件及固件審查項(xiàng)目》(VET)等管理要求��,制定出完善關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的相關(guān)標(biāo)準(zhǔn)����。
3、技術(shù):加構(gòu)建安全自主的數(shù)字軟硬件服務(wù)系統(tǒng)
從數(shù)字硬件上�,強(qiáng)化自主技術(shù)設(shè)備的推廣應(yīng)用,在政府���、國(guó)有企業(yè)等領(lǐng)域需要替換并限制IBM����、亞馬遜、戴爾��、微軟���、思科��、谷歌���、蘋果等底層設(shè)備,強(qiáng)化數(shù)字供應(yīng)鏈企業(yè)安全堤壩��。
從數(shù)字軟件商��,加快突破核心關(guān)鍵技術(shù)突破����,盡快形成一大批核心通用基礎(chǔ)和行業(yè)軟件儲(chǔ)備,不斷完善重點(diǎn)行業(yè)軟件供應(yīng)鏈安全生態(tài)體系�,積極有效應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。
(作者:陸宇 胡雪芹)
