2019年近300起网络安全事件影响了供应链实体

供应链已经面临着潜在的灾难性的2020年，因为世界上所有的国家都在努力阻止COVID-19的传播。但随着越来越多的企业采用数字化管理系统，网络安全事件对全球供应链上的企业来说也是一个严重的问题。供应链公司复原360的一份新报告详细阐述了2020年供应链面临的网络威胁以及2019年全年发生的一系列事件。研究发现，去年有近300起网络安全事件影响了供应链实体，其中最常见的攻击形式是破坏公司利益的勒索软件。

“随着供应链越来越数字化，企业有时无法确保自己拥有必要的措施，以应对恶意行为者的攻击。”去年，我们已经看到制造商多次成为勒索软件攻击的受害者，这意味着网络被黑客渗透，他们封锁系统访问和加密数据，直到支付赎金以结束破坏，”风险监测功能产品总监Shehrina Kamal说。

“网络安全事件实际上继续对供应链运营构成严重威胁。9月是2019年报告的警报次数最多的月份，这些项目的成功只会鼓励更多的渗透尝试。”

参见:勒索软件:IT专业人士需要知道什么(免费PDF) (TechRepublic)

研究发现，去年，汽车、科技、制药和化工行业的主要公司都受到了勒索软件、数据泄露和高级持续威胁集团活动的影响。许多攻击的目的是专门摧毁技术基础设施，比如工业控制系统，以及它们在企业IT网络中更为传统的攻击目标。

该报告列出了2019年对生产供应链产生重大影响的两起勒索软件攻击。

3月19日针对铝生产商挪威海得勒公司(Norsk Hydro)的网络攻击涉及LockerGoga，这是一款此前被人看到的勒索软件工具，“导致该公司位于挪威的公司总部停止运营，并妨碍了其挤压解决方案部门在欧洲和北美的生产。”

报告补充称:“分析人士认为，此次攻击标志着一个令人担忧的趋势，因为它涉及国际范围，而且直接影响到生产和物流资产。”

6月7日，比利时航空航天供应商ASCO工业公司再次遭到勒索软件攻击，迫使该公司关闭了位于北美和欧洲的四家不同工厂的生产线。

这次攻击造成的损失是如此之大，以至于该公司暂时解雇了近1000名员工，并停产了一个多月。

“更强的互联性和数字化正使制造业和供应链运营更容易受到网络威胁。工厂和物流设施可能会受到罪分子或政府支持的组织的大规模网络攻击，但它们也会成为各种行为体的直接目标，”报告称。

除了被迫付费才能重新访问他们的系统外，这些攻击的受害者还面临生产损失或物流中断带来的额外损失。2019年，多家公司遭受了针对工业控制系统的勒索软件LockerGoga的攻击。受害者包括一家法国工程公司、一家瑞士汽车制造商、一家卢森堡制药公司，以及世界各地的一些金属和化学品生产商。”

供应链Now Radio的创始人兼首席执行官斯科特•卢顿(Scott Luton)指出，勒索软件攻击的影响往往比大多数公司意识到的更为深远。

卢顿说:“当你考虑到库存过期、声誉损失、品牌损失、股价下跌等因素时，勒索软件攻击的总成本实际上比实际赎金本身要高得多。”

在讨论报告的电话会议上，卡玛尔解释说，去年最复杂的攻击来自高级持续威胁(advanced persistent threats，简称APT)组织，她说，这些组织通常是国家支持的组织，拥有技能、资源和耐心，能够对企业的IT系统进行复杂、长期的入侵。

“我们看到了他们参与攻击跨国汽车制造商、化学制药公司甚至一家航空公司的证据。2020年，APT攻击的增长，加上供应链的日益数字化，似乎越来越有可能影响行业及其供应链，”她说。

报告建议，供应链内的公司需要开始努力，更好地了解、评估和降低网络安全风险，并指出需要全公司的努力来保护企业免受破坏性的、代价高昂的网络攻击。

企业现在别无选择，只能更好地协调和共享信息，因为对一家企业的攻击可能会将数十家企业置于危险之中。报告说，随着许多供应链在毁灭性的大流行后寻求重建，网络安全应该成为一个优先事项。

“最近的爆发表明，破坏性事件不仅会影响供应，也会影响需求。它还突显了能够动态可视化和监控供应链风险的公司与无法动态可视化和监控供应链风险的公司之间的差异。无法预测和应对供应链风险的财务和声誉成本比以往任何时候都更加明显，”复原360首席执行官托拜厄斯•拉尔森(Tobias Larsson)表示。

2019年再次证明，供应链风险环境是不断变化和演变的。去年，贸易紧张局势急剧升级，以及复杂而大规模的网络攻击，对企业构成了挑战。”