2023 供應鏈資安應有的新思維

2022年12月，KPMG出版「撼動2023年的供應鏈趨勢」報告中，提到的影響供應鏈關鍵趨勢，除了各國開始對跨境貿易合作持懷疑態度、關鍵材料取得出現動盪，製造業碳足跡將改變等碳排放議題，更揭露了以供應鏈為標的的網路犯罪增加的事實。

對於台灣企業而言，過去幾年網路犯罪的溫床是金融業，駭客利用網路入侵ATM、跨境交易系統等等來變現，而近期駭客的主力提款機，已經悄悄從ATM，變成了供應鏈。主要是因為通常企業網路安全防守的範圍，都是自家的邊界，而利用供應鏈產業內供應商既多且廣、網路網網相連，資安能力卻又參差不齊的弱點，駭客集團只要找到一家相對較弱的企業下手，往往就能影響到巨大的供應鏈產業，不論要進行勒索、竊取機密或進一步的攻擊，入侵效益都可以發揮到最大。

以常見的供應鏈機密外洩為例，依據Verizon於2022年發布的資料外洩調查報告，由內部人員引起的資料外洩事件雖僅佔總數的20%，約為外部攻擊(約80%)的四分之一，但外洩資料的量卻是10倍之多，真可謂「內賊出手、讓人發抖」。但是，各企業積極投入建構的資安邊界防禦機制，無論是防火牆、入侵偵測系統(IDS)、入侵防禦系統(IPS)、網路應用程式防火牆(WAF)等等，多半難以防範從組織內部以合法授權掩護非法活動的內部威脅(Insider Threats)。

美國特斯拉曾有員工蓄意竄改特斯拉製造運作系統的程式，並將大量敏感數據傳送給不知名的第三方機構。特斯拉(Tesla)執行長Elon Musk曾說：在公司內部4萬名員工當中，即便1千人當中只有1個壞人，那就表示公司內部還有40個壞人，內部威脅儼然已成為企業內部的重大威脅。

資訊科技推陳出新，疫後的遠距工作，又讓全球供應鏈資安的戰場，從企業的機房和廠房，擴大到了員工家中的書房和廚房。其中對有權限接觸敏感資料的員工資安管理及防止資料盜失外漏的危機，更是重中之重。

針對資料防漏的要求，一般企業立刻聯想到的解決方案，就是利用資料外洩防護工具(Date Leakage Prevention，DLP)來止漏。但一旦方法不當，企業網路不但止不了漏，反而會讓正常的資料傳輸受到干擾。

常有組織導入DLP工具，在建立規則時，為了攔阻客戶手機號碼外洩，所以在DLP規則設定只要資料內含09開頭的10位數字，就立即阻擋不得外傳。結果手機號碼是擋下來了，但系統也把含訂單編號、貨運編號甚至產品序號的資料全部攔截，如此「寧可錯殺，不可錯放」的政策，無怪乎業務單位會對DLP抱怨連連。想當然爾這項止漏工程，最後就以擾民、浪費公帑的污名告終。

會造成這樣的結果，主要是因為傳統DLP 常利用內容過濾技術判斷，但通常不分析使用者行為意圖，或該資訊內容的前後文關係。這樣的方式無法辨別正常行為與惡意行為，如果沒有執行進一步的行為分析，往往會造成誤判。

許多供應鏈遭受資料外洩的打擊，更歷經了DLP導入失敗的雙重折磨，究竟止漏工程的「撇步」和「眉角」是什麼？

過去廣為國際供應鏈及各大企業使用的國際資安標準ISO/IEC 27001/27002，也洞察了這個阻斷內部威脅的趨勢，並在2022年陸續公告的最新版資安標準中，提供了資料外洩防護的最佳實務參考做法與新增要求。在海量資料時代，想從源頭解決資料外洩問題，還是得從「資料盤點與標示」開始。

依據最新資安國際標準的指引，要求組織應先執行資訊識別與分類(如：結合資產盤點作業)，再透過監督機制，採取適當行動，以防止資料外洩的可能。也就是無論導入任何機制的止漏技術，都需要先建立資料或使用者行為的規則與特徵，再透過格式比對、關鍵字過濾、特徵辨識等方式，檢查檔案有否含有應受保護的機密資料。並且除了資料特徵的分析外，還要包含使用者的行為，如登入登出日誌、資料傳輸時間、傳輸目的地、系統操作軌跡紀錄、印表機使用紀錄、網路IP等等。透過分析大量資料以5W1H解讀Who、When、Where、Why、What、How等使用者行為，逐步探勘潛在威脅，進而透過機器學習修正此模型，提升阻擋內部資料外洩的成功率。

和房屋修補漏水工程一樣，企業抓資料外漏，不但要有先進的DLP等技術工具，也要有合宜的工法，也就是政策、流程、盤點等基礎工程，缺一不可。最重要的，讓供應鏈的每一家企業，依據防護需求訂定的資料保護政策，做好資料分類，從業務單位及各部門開始建立各種不同機密等級資料的流程，並將其內化到組織的各項作業中，保護儲存中(Data at rest)、使用中(Data in use)、及傳輸中(Data in transit)的資料。同時透過資料治理的教育訓練過程，讓供應鏈所有企業的每一位員工清楚知道，不同的資料對於業務營運的機敏性與重要程度，同時也透過管理、合約手段讓員工了解相關的資料保護責任，建立起全方位的員工資料保護意識及素養，才是落實組織資料外洩防護的長久之計。