Bảo mật mạng trước nguy cơ rủi ro chuỗi cung ứng

Với sự số hóa của doanh nghiệp, các cuộc tấn công mạng đã trở thành một rủi ro hàng đầu. Những cuộc tấn công này xảy ra thường xuyên hơn và gây ra tổn thất đáng kể về giá trị kinh doanh. Nhận thức được mức độ nghiêm trọng của rủi ro mà họ đang phải đối mặt, các công ty hàng đầu đã tăng cường các biện pháp bảo mật mạng của mình. Tuy nhiên, việc xây dựng một "pháo đài bảo mật" không ngăn chặn hoàn toàn các cuộc tấn công mạng. Thay vì tấn công trực tiếp vào các công ty được bảo vệ tốt, những kẻ tấn công mạng thường khai thác các nhà cung cấp có biện pháp bảo vệ yếu hơn để xâm nhập và gây hại cho các mục tiêu chính của họ.

Một ví dụ nổi bật về cuộc tấn công mạng vào chuỗi cung ứng là sự cố SolarWinds năm 2020. SolarWinds cung cấp phần mềm Orion, một công cụ hạ tầng IT dùng để giám sát, phân tích và quản lý các hệ thống IT doanh nghiệp. Tin tặc được nhà nước tài trợ đã xâm nhập vào phần mềm này, chèn mã độc vào một bản cập nhật theo lịch trình. Các khách hàng, bao gồm các cơ quan liên bang Mỹ, chính quyền bang và địa phương, cùng các tập đoàn lớn, đã bị xâm phạm khi thực hiện bản cập nhật này. Vụ vi phạm này đã ảnh hưởng đến khoảng 18.000 khách hàng của SolarWinds.

Trong hơn một thập kỷ qua, các học giả như tôi đã ghi nhận xu hướng gia tăng của các cuộc tấn công mạng thông qua cơ sở chuỗi cung ứng. Những gì chúng tôi bắt đầu quan sát từ đầu những năm 2010 đã tăng tốc với đại dịch COVID-19. Khi thế giới chuyển sang trực tuyến, việc áp dụng nhanh chóng và cần thiết các công cụ số, sử dụng tích cực các dịch vụ số và cải thiện kết nối số với các nhà cung cấp đã tăng cường năng suất kinh doanh, nhưng cũng làm gia tăng số lượng các cuộc tấn công mạng thông qua chuỗi cung ứng.

Tầm quan trọng của tích hợp bảo mật mạng vào quản lý chuỗi cung ứng

Một lý do chính khiến chuỗi cung ứng bị lợi dụng trong các cuộc tấn công mạng là do mức độ bảo mật mạng yếu kém của các nhà cung cấp. Mặc dù rủi ro ngày càng tăng, các nhà cung cấp - thường là các công ty nhỏ hơn - không có đủ biện pháp để tự bảo vệ trước các cuộc tấn công. Với nguồn lực vận hành ít ỏi và khả năng hạn chế, họ dễ bị tổn thương.

Ngay cả khi đã được nhận thức về tầm quan trọng của bảo mật mạng, các nhà cung cấp vẫn chú trọng nhiều hơn vào các chỉ số hiệu suất hoạt động quan trọng như tốc độ và chi phí hơn là các biện pháp liên quan đến bảo mật mạng. Xu hướng này trong quản lý chuỗi cung ứng tương tự như các vấn đề mới nổi khác trong lĩnh vực này (ví dụ: tính bền vững trong cơ sở chuỗi cung ứng).

Do đó, quản lý chuỗi cung ứng đóng vai trò thiết yếu trong việc bảo vệ chống lại các cuộc tấn công mạng. Bảo mật mạng phải được tích hợp vào quá trình lựa chọn nhà cung cấp, và việc phát triển liên tục về bảo mật mạng cho nhà cung cấp là cần thiết. Rốt cuộc, trong môi trường kết nối số hóa ngày nay, các công ty có thể vẫn dễ bị tổn thương trước các cuộc tấn công mạng có nguồn gốc từ chuỗi cung ứng của họ bất kể mức độ phòng thủ của họ ra sao. Do đó, các nhà quản lý chuỗi cung ứng phải đóng vai trò lãnh đạo trong bảo mật mạng, điều phối chuỗi cung ứng của họ tương tự như cách họ đối phó với các vấn đề kinh doanh quan trọng khác.

Hiểu về chuỗi cung ứng số hóa để đảm bảo bảo mật mạng

Cũng giống như các sản phẩm vật lý, hầu hết các sản phẩm phần mềm không được xây dựng bởi một nhà cung cấp duy nhất. Chúng bao gồm nhiều module khác nhau, có thể bao gồm các module cấp dưới, tạo thành "chuỗi cung ứng phần mềm." Các công ty tham gia vào chuỗi cung ứng phần mềm đối mặt với những thách thức tương tự như trong chuỗi cung ứng thông thường. Mặc dù các nghiên cứu gần đây liên tục tiết lộ rằng một phần đáng kể các module phần mềm phụ thuộc vào các thành phần dễ bị tổn thương trong chuỗi cung ứng của chúng, nhưng rất khó để xác định rõ ràng cấu thành chuỗi cung ứng phần mềm dưới cấp nhà cung cấp/module đầu tiên và cách chuỗi cung ứng phần mềm phát triển theo thời gian. Thách thức này trở nên nghiêm trọng hơn khi tin tặc khai thác các lỗ hổng ở một nhà cung cấp/module cấp thấp trong chuỗi cung ứng phần mềm.

Ví dụ, vào năm 2021, Log4J, một phần mềm ít được biết đến nhưng được sử dụng rộng rãi để ghi lại các hoạt động của hệ thống máy tính, đã bị khai thác thông qua một lỗ hổng bảo mật cho phép kẻ tấn công xâm nhập vào hệ thống mà không cần sử dụng mật khẩu hợp lệ. Các sản phẩm số, theo bản chất, có thể được truy cập dễ dàng và ngay lập tức từ bên ngoài. Khi các lỗ hổng mới được tiết lộ, tin tặc có thể khai thác chúng trước khi chúng được khắc phục. Các sản phẩm phần mềm sử dụng các module dễ bị tổn thương trong chuỗi cung ứng của chúng sẽ vẫn có nguy cơ bị tấn công mạng trừ khi những vấn đề này được giải quyết.

Những tiến bộ gần đây và các thực hành tốt nhất

Để đối phó với rủi ro gia tăng từ các cuộc tấn công mạng, các cơ quan chính phủ và tổ chức công nghiệp đã phát triển các khung quy chuẩn mà các nhà quản lý chuỗi cung ứng nên áp dụng.

Tương tự như quy trình Bill of Materials truyền thống, Software Bill of Materials (SBOM) chi tiết các module phần mềm cần thiết cho một sản phẩm. Điều này giúp các tổ chức hiểu rõ các thành phần trong phần mềm của họ, cho phép theo dõi tốt hơn các lỗ hổng tiềm ẩn và xử lý nhanh chóng các vấn đề mới phát sinh trong chuỗi cung ứng phần mềm.

Ngoài ra, còn có một phong trào ở cấp chính phủ hướng tới việc tạo ra các khung tiêu chuẩn hóa cho việc quản lý an ninh mạng trong chuỗi cung ứng. Ví dụ, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã phát hành một khung quản lý rủi ro an ninh mạng trong chuỗi cung ứng, nhấn mạnh tầm quan trọng của vấn đề này và cung cấp một phương pháp có hệ thống để giúp các công ty xem xét các yếu tố liên quan đến an ninh mạng trong chuỗi cung ứng.

Ngoài các công cụ kỹ thuật, sự quan tâm của các nhà quản lý đối với các mối lo ngại về an ninh mạng là rất quan trọng. Chiến lược tấn công mạng tiến hóa khi tin tặc và người phòng thủ tương tác, điều này có nghĩa là không thể có những giải pháp vĩnh viễn. Các hành động tập thể và phản ứng nhanh chóng giữa các tổ chức có thể giảm thiểu tác động của các rủi ro an ninh mạng tiềm ẩn. Ví dụ, mặc dù lỗ hổng log4j rất nghiêm trọng, nhiều công ty và cộng đồng đã chủ động giải quyết vấn đề này tập thể, hiệu quả làm giảm thiểu những hậu quả tiêu cực.