想象一下,全国范围的食物中毒事件持续爆发,您的企业也深陷其中。
您反复检查加工记录;所有批次的熟鸡肉看起来都没问题,那么到底是哪里出了问题?
某个你不知道的黑客,可能是一名心怀不满的前雇员,通过不安全的物联网设备入侵,更改远程访问的关键操作流程,最终导致一批鸡肉未煮熟而引发危害。但是您不知道到底是哪些批次出了问题,所以可能要在全国范围内召回产品。
您失去了产品优势,因为竞争对手利用黑客窃取的知识产权,刚刚推出了一款效仿的产品。一名黑客窃取了您一个主要零售客户的敏感商业和供应链信息,并且索要巨额的赎金。您该怎么做?
这是不太可能?先别这么早下结论。。
从历史上看,金融行业和零售行业最受网络犯罪分子关注,频频出现数据泄露问题。最近,医疗保健和政府系统也成为网络攻击对象,随着这些行业部门防御能力的提升,网络犯罪分子将会转向更软弱、更容易的目标,而食品行业就是非常醒目的目标。
导致这个结果的部分原因是:这个行业认为自身不会受到影响。为什么会有人攻击食品企业?国家和国际的犯罪组织经常以食品供应链为目标,实施大规模的掺假、伪造、诈骗、盗窃和走私活动;甚至会侵入仓储和分销公司的系统提升假冒产品的资质,然后将其安插到合法的供应链中。这种危险真实存在,各种规模的食品企业必须采取措施加强信息韧性。原因如下:
- 信息技术 (IT) 和网络安全不是一回事。在大多数企业,IT 也要负责网络安全。这是一个根本性的错误。这两门学科有明显的区别,需要采用不同的方法、思维和技能。
- “我们是中小企业 (SME),为何要担心这个问题?”报告显示,中小企业 (SME) 和大公司受到攻击的几率相当,通常都是电子邮件攻击。
- “我们将所有 IT 和网络安全业务外包,这是他们考虑的问题。”IT 服务提供商让黑客有了更多的选择,是黑客特别关注的攻击对象。他们的问题很快就会变成你们的问题。
- 网络犯罪变得更加容易和普遍。虽然以往的网络犯罪分子大多是 “代码大师”,但如今这个领域本身已经演变成了一项业务。恶意软件的作者发现,他们来提供服务和出售自己的产品,由他人发起攻击,这样更加有利可图,显然也更安全。
- 遗留系统。如今的食品加工系统通常使用的都是过时的软件平台,如 Linux 或 windows 98,都是20 多年前安装的系统。此外,过时的代码也难以进行更新或打补丁。
- 强大的连接。通过互联网在将内部的生产流程与外部数据系统和网络连接起来,连接的性能意味着可能提高生产率和流程效率。这样做的缺点是,为了让现代系统与过时的设备一起运作,往往会牺牲安全性。这也意味着安全漏洞在某一时刻会迅速扩散。
-
没有损坏就无需修理。如果旧的系统运作良好,并且认为风险根本不可能出现,管理层就不愿意投资更先进、更安全的系统,这可以理解,但这却是一种错误的思考方式。
- 缺乏认识。操作人员虽然受过维护现有系统正常运作的培训,但并不是“网络行家”。
- “智能”热潮。像饵料盒这样所谓的“哑设备”,正在被支持物联网的设备所取代。这些设备通常包含“现货供应”的传感器,通过设计和支持性能很差的软件运作,隐藏着许多不安全的因素。在采购过程中,这些基本问题往往会被忽视。
食品企业可能会遭受不同类型的网络攻击。您的产品优势可能会被抵消,因为竞争对手利用黑客窃取的知识产权,恰好推出了一款效仿的产品;或者一名黑客窃取了您一个主要零售客户的敏感商业和供应链信息,并且索要巨额的赎金。无论如何,实行最高级别的风险管理至关重要。
我们能够采取什么措施?
- 加入 CHACCP;网络危害分析与关键控制点。在过去的 30 年中,危害分析与关键控制点 (HACCP) 一直都在食品行业发挥作用,负责质量保证和技术方面的角色。我们可以这样看待 CHACCP :将同样基于风险的方法,扩展到考虑生产环境中的网络漏洞和联系中,作为嵌入式食品安全管理系统的扩展投入应用。
- 实行网络安全标准。大多数公司不会考虑通过渗透测试了解自身的安全性,也不会考虑部署 BitSight 确定供应商对其构成的网络风险,也就不会将这个因素融入到他们的供应商选择、监控和评估中。合理的改进方案是考虑实行 ISO 27001 信息管理系统,并且授权供主要供应商使用,特别是那些整合了您组织平台的 IT 集成平台。
- 注重文化方面的工作。所有员工都应该在入职培训中通过网络意识培训成为“网络精通者”。如果他们认为任何不寻常的情况可能与网络有关,就鼓励他们在问题失控前将情况标记出来。
好消息是,实行这些常识措施的公司不仅降低了自身的业务风险,还会随着时间的推移,意识到这也可以帮助他们实现尽职调查义务,甚至可能带来竞争优势,成为先行者。
作者:Richard Werran
欧洲、中东和非洲地区 (EMEA) 食品总监