从历史上看,金融行业和零售行业最受网络犯罪分子关注,频频出现数据泄露问题。最近,医疗保健和政府系统也成为网络攻击对象,随着这些行业部门防御能力的提升,网络犯罪分子将会转向更软弱、更容易的目标,而食品行业就是非常醒目的目标。
与大多数行业比较,食品业更为复杂。对于食品业,它是第三方供应商(通常是农民),产品交付,食品加工(制造商),然后是进一步复杂的分销给杂货/超市和/或消费者。随着食品供应链越来越高的自动化和网络化,这个链条的每个阶段都可能受到威胁。
导致这个结果的部分原因是:这个行业认为自身不会受到影响。为什么会有人攻击食品企业?国家和国际的犯罪组织经常以食品供应链为目标,实施大规模的掺假、伪造、诈骗、盗窃和走私活动;甚至会侵入仓储和分销公司的系统提升假冒产品的资质,然后将其安插到合法的供应链中。这种危险真实存在,各种规模的食品企业必须采取措施加强信息韧性。原因如下:
1、信息技术 (IT) 和网络安全不是一回事。在大多数企业,IT也要负责网络安全。这是一个根本性的错误。这两门学科有明显的区别,需要采用不同的方法、思维和技能。
2、“我们是中小企业 (SME),为何要担心这个问题?”报告显示,中小企业 (SME) 和大公司受到攻击的几率相当,通常都是电子邮件攻击。
3、“我们将所有IT和网络安全业务外包,这是他们考虑的问题。”IT服务提供商让黑客有了更多的选择,是黑客特别关注的攻击对象。他们的问题很快就会变成你们的问题。
4、网络犯罪变得更加容易和普遍。虽然以往的网络犯罪分子大多是 “代码大师”,但如今这个领域本身已经演变成了一项业务。恶意软件的作者发现,他们来提供服务和出售自己的产品,由他人发起攻击,这样更加有利可图,显然也更安全。
5、遗留系统。如今的食品加工系统通常使用的都是过时的软件平台,如Linux或 windows 98,都是20多年前安装的系统。此外,过时的代码也难以进行更新或打补丁。
6、强大的连接。通过互联网在将内部的生产流程与外部数据系统和网络连接起来,连接的性能意味着可能提高生产率和流程效率。这样做的缺点是,为了让现代系统与过时的设备一起运作,往往会牺牲安全性。这也意味着安全漏洞在某一时刻会迅速扩散。
7、没有损坏就无需修理。如果旧的系统运作良好,并且认为风险根本不可能出现,管理层就不愿意投资更先进、更安全的系统,这可以理解,但这却是一种错误的思考方式。
8、缺乏认识。操作人员虽然受过维护现有系统正常运作的培训,但并不是“网络行家”。
9、“智能”热潮。像饵料盒这样所谓的“哑设备”,正在被支持物联网的设备所取代。这些设备通常包含“现货供应”的传感器,通过设计和支持性能很差的软件运作,隐藏着许多不安全的因素。在采购过程中,这些基本问题往往会被忽视。
食品企业可能会遭受不同类型的网络攻击。您的产品优势可能会被抵消,因为竞争对手利用黑客窃取的知识产权,恰好推出了一款效仿的产品;或者一名黑客窃取了您一个主要零售客户的敏感商业和供应链信息,并且索要巨额的赎金。无论如何,实行最高级别的风险管理至关重要。
食品组织能够采取什么措施?
1、加入 CHACCP(网络危害分析与关键控制点)
在过去的30年中,危害分析与关键控制点 (HACCP) 一直都在食品行业发挥作用,负责质量保证和技术方面的角色。我们可以这样看待CHACCP:将同样基于风险的方法,扩展到考虑生产环境中的网络漏洞和联系中,作为嵌入式食品安全管理系统的扩展投入应用。
2、实行网络安全标准
大多数公司不会考虑通过渗透测试了解自身的安全性,也不会考虑部署BitSight确定供应商对其构成的网络风险,也就不会将这个因素融入到他们的供应商选择、监控和评估中。合理的改进方案是考虑实行ISO 27001 信息管理系统,并且授权供主要供应商使用,特别是那些整合了您组织平台的IT集成平台。
信息来源:BSI 益处调查 —— 向 BSI 客户询问他们从 ISO/IEC 27001: 2013 获得了哪些益处
正如有保护您的食品安全管理体系的质量、完整性和安全的标准,同样也有旨在管理信息和网络安全的标准。ISO 27001是管理整个供应链网络风险的全球广泛采用和高度认可的标准。
通过专注于组织面临的主要风险,您能够降低网络风险、威胁和漏洞的传播和影响。第三方认证能够向主要的利益相关方提供更进一步的保证,证明风险被有效管理。
3、注重文化方面的工作
所有员工都应该在入职培训中通过网络意识培训成为“网络精通者”。如果他们认为任何不寻常的情况可能与网络有关,就鼓励他们在问题失控前将情况标记出来。
好消息是,实行这些常识措施的公司不仅降低了自身的业务风险,还会随着时间的推移,意识到这也可以帮助他们实现尽职调查义务,甚至可能带来竞争优势,成为先行者。
声明:本文来自BSI英标,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。