サプライチェーンのサイバーセキュリティが怖いですか？あなたが十分に怖がらない5つの理由-パート2

キャサリンバリオス、XenetaのCMO

昨日のパート1で、サプライチェーンのサイバーセキュリティの最初の理由を見ました。今日、残りの理由がわかります。今日の世界では、「一般的な犯罪者、組織犯罪リング、および国民国家は、高度な技術を活用して、標的を絞った非常に検出が難しい攻撃を仕掛けています」と、サイバー犯罪の現在の状況に関するレポートに警告しています（ PricewaterhouseCoopers 、米国のサイバー犯罪：リスクの高まり、準備の低下）。

サプライチェーンにおけるサイバーセキュリティリスクの評価

Xeneta の最高マーケティング責任者であるKatherineBarriosは、サイバー攻撃の特に有害な側面は、脅威が常に「移動中」である方法ですと述べています。 。

攻撃者はその性質上、障害や対策を回避しようとします。

WannaCryやWannaCryptランサムウェア攻撃や、急速に変化する「Petya」などの脅威に先んじることは困難です。 「WannaCry」は、150か国以上で23万台以上のコンピューターに影響を与えており、英国国民保健サービスに最も大きな被害を与えています。 スペインの電話会社Telefónica とドイツ国営鉄道。 「ペティア」はマースクだけでなく影響を与えました Lineだけでなく、製薬多国籍企業の Merck など、他の多くの企業のITインフラストラクチャも 、広告主 WPP 、食品会社モンデリーズ 、および法律事務所 DLAPiper。

商品（艦隊、コンテナ）の流れを担当するマースクラインのような海運会社にウイルスが影響を与えると、サプライチェーンへの波及効果は迅速かつ巨大になります（OliviaSolonとAlexHern、「 'Petya' Ransomware Attack：Whatそれはあり、どのように止めることができますか？保護者 。）

動きの速い敵対的なグループや個人は、不吉なことにロジスティクスチェーン（PWC、米国のサイバー犯罪）を含む主要なSCMシステムに損害を与え、破壊するための「永続性、戦術的スキル、および技術力」を備えています。

マルウェア（「悪意のあるソフトウェア」）、「地下」インターネットで利用可能になった侵害された資格情報、分散型サービス拒否（DDoS）（悪意のある攻撃者によるシステムの混乱）、SQLインジェクション（Structuredへの悪意のあるコードの挿入）を利用するかどうかクエリ言語）、他の戦術の中でも、ハッカーは独創的です（Drew Smith、「サプライチェーンはサイバー攻撃から安全ですか？」サプライチェーン四半期ごと）。

また、従業員のトレーニングによっていくらか軽減されますが、従業員の脆弱性に起因するインサイダーイベントを回避できるとは限りません。インサイダーイベントには、ソーシャルエンジニアリングの現象が含まれる場合があります（犯罪者が従業員の人間の心理を悪用して建物、システム、または情報にアクセスする場合）。また、従業員によるデバイスのカジュアルな使用や、ベストプラクティス（PWC、米国のサイバー犯罪）に準拠していない労働者による情報の誤った取り扱いもあります。

サプライチェーンのサイバー脅威の潜在的な規模

中核となるサプライチェーン管理は、「人間の生活を維持するのに役立ちます。人間は、食料や水などの基本的な必需品を提供するためにサプライチェーンに依存しています」（CSCMP、サプライチェーン管理専門家評議会、「サプライチェーン管理の重要性」）。

混乱は社会崩壊を引き起こす可能性があります。 Petyaによるコンピューターの故障のため、労働者はチェルノブイリ原子力発電所の放射線レベルを手動で監視する必要があり、キエフの市民はATM機にアクセスできませんでした。 （ニコール・ペアロート、マーク・スコット、シーラ・フレンケル、「サイバー攻撃はウクライナを襲い、その後国際的に広がる」ニューヨークタイムズ 。

6月下旬の潜在的な生命を脅かすリスクは非常に現実的でした。身代金攻撃は、ペンシルベニア州西部、オハイオ州東部、バージニア州西部のヘリテージバレーセウィクリー病院とヘリテージバレービーバー病院を運営するヘリテージバレーヘルスシステムに広がり、一時的に押収されました HVHS コンピュータシステム。

幸いなことに、サービスの実際の運用停止は、医療提供ネットワークのラボと画像診断コミュニティサイトでのみ発生し、これらのサービスは現在「完全に機能」しています。 （「HeritageValley Healthシステムでのサイバーセキュリティインシデントに関する最新情報」、最新ニュース投稿、HVHS）。

輸出業者と輸入業者は、マースクとAPMターミナルの施設でのシステムのシャットダウンによる遅延に依然として「悩まされて」おり、マースクラインはそれに応じて発生した滞船料と拘留料を免除しています。 （マイク・ワケット、「サイバー攻撃は、ボリュームを取り戻すのに苦労しているため、依然としてマースクを悩ませています」、ロードスター 。

将来の同様のトリガーイベントからのより大規模な影響を想像することしかできません。サプライチェーンにおける人と物の移動における次の混乱は、単なる企業業績を超えたより深刻な社会的影響につながる可能性があります。 （世界経済フォーラム 、サプラ​​イチェーンと輸送リスクに対処するための新しいモデル：アクセンチュアと協力したリスク対応ネットワークのイニシアチブ 。

サイバーの複雑さ

サプライチェーン/トランスポートネットワークの将来を「恐れるべき」理由のさらに悲惨な理由は、サイバー脅威の複雑さです。

Michael Danielは、彼の記事で、「サイバーセキュリティはなぜそれほど難しいのか」という非常に複雑なレベルについて詳しく説明しています。ハーバードビジネスレビュー：

「サイバースペースは、現実の世界とは異なるルールに従って動作します。私は社会的な「ルール」を意味するのではなく、サイバースペースの物理学と数学を意味します。光速ネットワークのノードの性質は、距離、境界、近接などの概念がすべて異なる動作をすることを意味し、セキュリティに重大な影響を及ぼします。」

典型的な近接性や典型的な境界線などがないため、「物理的な世界」の構成とソリューションはあまりうまく機能しません。

「たとえば、現実の世界では、連邦政府に国境警備の任務を割り当てています。しかし、サイバースペースの物理学を考えると、すべての人のネットワークは国境にあります。誰もが国境で生活し、働いているとしたら、どうすれば国境警備を連邦政府だけに割り当てることができるでしょうか。現実の世界では、犯罪は局所的です。オブジェクトを盗む場所にいる必要があるため、警察は物理的な境界に基づいて管轄権を持っています。」

サイバースペースではそうではありません。組織や機関は、保護する政府と民間企業の間の責任の適切な分担など、法的にそして政策的にトリッキーな新しいフロンティアに触れています。リスクに対する防御（組織の外部または内部を問わず）には、脅威に対応するために多額の投資が必要です。

サプライチェーンにおけるサイバーリスクとの闘い：行動する必要性の高まり

多くの企業は、サイバーセキュリティに必要な投資を行っていません。 Alex Bauは、行動経済学に帰着すると考えています（「経営幹部がサイバーセキュリティに過小投資する理由の行動経済学」、ハーバード ビジネスレビュー）。確かに困難なコストの考慮事項があります。サイバーセキュリティへの世界的な支出は、2017年から2021年の間に1兆ドルを超えると設定されており、多くの企業がペースを維持できていません。 （Steve Morgan、「サイバーセキュリティ支出の見通し：2017年から2021年までに1兆ドル」 CSO 。

希望もあります。ブロックチェーンソリューション、サイバーセキュリティの取り組みをプールするために連携するスマートセンサー（Marianne Mannschreck、「スマートセンサーとIoTがサプライチェーンを進化させる方法」 ITProPortal 、さらなる訓練…これらはすべて、より良い未来のための可能な道であり、（それが望まれる）恐れの理由が少なくなるでしょう。

このブログの作成者は、Xenetaの最高マーケティング責任者であるKatherineBarriosです