思科披露強化供應鏈信息安全的機制

由於將產品供應鏈完全外包給合作廠商，一旦這些企業遭受網路安全攻擊，思科也同樣會面臨網路安全風險，為此，思科網路安全架構師Jon Kenney於1月22日於國際會議中心（TICC）舉行的Cisco Connect TPE大會上，特別以此為題，指出該公司創建了一套方法，評估合作夥伴的網路安全狀態，並加以輔助，使得這些廠商的網路安全防護能力更加成熟。

思科將公司的硬體產品供應鏈悉數外包，涵蓋了零件供應、設備承製，乃至於產品運送與後勤維修等層面，都交由合作夥伴執行。然而，這些業務外包之後，若是合作的廠商出現異狀，便可能衍生許多風險，例如，業務中斷、產品遭到污染、公司的IP地址遭黑，以及客戶的數據外泄等情況。 Jon Kenney舉出全球最大集裝箱運輸企業Maersk受到攻擊的事件為例，該公司於2017年受到NotPetya攻擊，使得業務中斷，網路10天之後復原，歷時2個月才完全修復，這其中企業原本交由Maersk運送的產品，交付時效勢必為此受到影響。因此Jon Kenney認為，他們也希望合作企業能擁有妥善的信息安全。

Jon Kenney表示，合作夥伴的信息安全越是成熟，連帶讓思科得到更多防護，為了讓思科合作廠商具備相當成熟的網路安全防護，該公司通過2大方向進行－－首先是為合作夥伴評分（Measure），再者則是與這些廠商協同合作（Collaborate），強化這些企業所不足之處。

思科會對於合作夥伴提出50個問題，並依據得到的答案，評估這些公司的網路安全成熟度（最高分為5分），並後續定期關注。

這是思科為合作廠商所創建的評分報告範例，不只以長條圖列出得分，並指出建議事項與需要改進之處，而且，這裡也特彆強調該合作企業的強項。

與合作夥伴協同的方式，首先包含了思科會定期與他們開會，主要目的是確立網路安全執行的方向，邀集思科自己的網路安全主管、外部講師，與超過20個供應鏈廠商進行探討。

另一個協同合作的部分，則是由思科與最大的7個合作廠商帶頭，計劃性改善供應鏈整體生態的信息安全，這項計劃稱為供應鏈網路安全聯盟（Supply Chain Cybersecurity Consortium，簡稱SC3）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！