由于将产品供应链完全外包给合作厂商,一旦这些企业遭受网络安全攻击,思科也同样会面临网络安全风险,为此,思科网络安全架构师Jon Kenney于1月22日于国际会议中心(TICC)举行的Cisco Connect TPE大会上,特别以此为题,指出该公司创建了一套方法,评估合作伙伴的网络安全状态,并加以辅助,使得这些厂商的网络安全防护能力更加成熟。
思科将公司的硬件产品供应链悉数外包,涵盖了零件供应、设备承制,乃至于产品运送与后勤维修等层面,都交由合作伙伴执行。然而,这些业务外包之后,若是合作的厂商出现异状,便可能衍生许多风险,例如,业务中断、产品遭到污染、公司的IP地址遭黑,以及客户的数据外泄等情况。 Jon Kenney举出全球最大集装箱运输企业Maersk受到攻击的事件为例,该公司于2017年受到NotPetya攻击,使得业务中断,网络10天之后复原,历时2个月才完全修复,这其中企业原本交由Maersk运送的产品,交付时效势必为此受到影响。因此Jon Kenney认为,他们也希望合作企业能拥有妥善的信息安全。
Jon Kenney表示,合作伙伴的信息安全越是成熟,连带让思科得到更多防护,为了让思科合作厂商具备相当成熟的网络安全防护,该公司通过2大方向进行--首先是为合作伙伴评分(Measure),再者则是与这些厂商协同合作(Collaborate),强化这些企业所不足之处。
思科会对于合作伙伴提出50个问题,并依据得到的答案,评估这些公司的网络安全成熟度(最高分为5分),并后续定期关注。
这是思科为合作厂商所创建的评分报告范例,不只以长条图列出得分,并指出建议事项与需要改进之处,而且,这里也特别强调该合作企业的强项。
与合作伙伴协同的方式,首先包含了思科会定期与他们开会,主要目的是确立网络安全执行的方向,邀集思科自己的网络安全主管、外部讲师,与超过20个供应链厂商进行探讨。
另一个协同合作的部分,则是由思科与最大的7个合作厂商带头,计划性改善供应链整体生态的信息安全,这项计划称为供应链网络安全联盟(Supply Chain Cybersecurity Consortium,简称SC3)。