Các doanh nghiệp ngày nay có nhiều điểm kết nối với môi trường bên ngoài hơn trước đây, và dữ liệu truyền qua các kết nối đó nhiều hơn. Điều đó cung cấp sự nhanh nhẹn và tốc độ kinh doanh cần thiết cho các doanh nghiệp. Nhưng cũng chính điều này làm tăng nhanh chóng nguy cơ rủi ro, cả về quy mô của bề mặt tấn công an ninh mạng tiềm ẩn và trong dòng chảy của các sản phẩm và thành phần thông qua chuỗi cung ứng. Vì thế, an ninh an toàn của chuỗi cung ứng đang trở thành vấn đề cấp bách đối với các doanh nghiệp.
Trong thế giới phức hợp, liên kết với nhau, việc cố gắng đặt một con hào xung quanh riêng từng tổ chức không còn là giải pháp bảo mật hiệu quả, mà cần phải xem xét toàn bộ mạng lưới các mối quan hệ bao gồm các chuỗi cung ứng hiện đại. Vậy để an toàn trong chuỗi cung ứng, các doanh nghiệp sẽ cần giải bài toán bảo mật như thế nào trong kỷ nguyên chuyển đổi số?
An ninh chuỗi cung ứng - vấn đề “cũ” với môi trường vật lý...
An ninh chuỗi cung ứng là một phần của quản lý chuỗi cung ứng, tập trung vào việc quản lý rủi ro của các nhà cung cấp bên ngoài, nhà phân phối, hậu cần và vận chuyển. Mục tiêu của an ninh chuỗi cung ứng là xác định, phân tích và giảm thiểu rủi ro khi làm việc với các tổ chức khác như một phần của chuỗi cung ứng. An ninh chuỗi cung ứng bao gồm cả an ninh vật lý liên quan đến sản phẩm và an ninh mạng cho phần mềm và dịch vụ.
Một vụ vi phạm an ninh nổi tiếng trong lịch sử là vụ việc xảy ra năm 1959, CIA của Mỹ đã chặn một tàu thăm dò Mặt Trăng của Liên Xô khi đang được vận chuyển từ nơi này sang nơi khác. Câu chuyện cụ thể là khi một tàu vũ trụ Lunic của Liên Xô tham gia một chuyến công du toàn cầu nhằm quảng bá thành công trước thế giới, CIA đã có cơ hội để lấy cắp các bí mật về kỹ thuật và công nghệ. CIA đã xác định được một số lỗ hổng trong cách vận chuyển từng hiện vật từ địa điểm triển lãm đến ga xe lửa. Hiện vật chỉ được đặt trong những chiếc thùng nhỏ gọn và chất lên xe tải chở chúng đến ga xe lửa để bốc xếp.
Quá trình vận chuyển này không được giám sát chặt chẽ bởi an ninh Liên Xô, với các vật phẩm đến tàu trong những khoảng thời gian ngẫu nhiên và ít có sự phối hợp giữa các lực lượng vận chuyển; những người bảo vệ tại các kho đường sắt thậm chí còn không được cung cấp danh sách hàng. Chính thiếu sót này của Liên Xô đã trao cho CIA cơ hội mà họ cần. Công việc của họ là tiếp cận con tàu vũ trụ Lunic, tháo rời nó và chụp ảnh những gì họ có thể, sau đó, lắp ráp lại, nhét nó trở lại bên trong thùng như cũ và chuyển nó đến ga xe lửa trong vòng chưa đầy 24 giờ mà không để lại bất kỳ bằng chứng nào.
Ví dụ này cho thấy, trước đây, an ninh chuỗi cung ứng chủ yếu tập trung vào an ninh vật lý và tính toàn vẹn. Các mối đe dọa vật lý bao gồm các rủi ro từ các nguồn bên trong và bên ngoài, chẳng hạn như trộm cắp, phá hoại và khủng bố. Ví dụ, một con tàu chở hàng có thể bị cướp biển, đây là một mối đe dọa từ bên ngoài hay các mối de dọa từ nội bộ do nhóm nhân viên bất mãn ăn cắp hoặc phá hoại hàng tồn kho...
Đã có thời, các mối đe dọa từ chuỗi cung ứng vật lý là tất cả những gì mà một doanh nghiệp phải lo lắng. Tuy nhiên bằng việc áp dụng một loạt các biện pháp, những nguy cơ này có thể được giảm thiểu tối đa. Một số biện pháp được áp dụng như theo dõi các lô hàng và kiểm tra các thủ tục giấy tờ theo quy định.
Ngoài ra, các nhà cung cấp có thể được yêu cầu đảm bảo các lô hàng tuân theo các nguyên tắc chất lượng cụ thể và một doanh nghiệp có thể thuê một số nhà cung cấp để đảm bảo nguồn cung cấp sản phẩm hàng hóa ổn định; Sử dụng thông tin xác thực và nhận dạng tiêu chuẩn cho những người tham gia chuỗi cung ứng; Sử dụng công nghệ theo dõi, cập nhật thời gian thực về tình trạng của các lô hàng khác nhau; Các lô hàng được kiểm tra trước và sau khi vận chuyển để ngăn chặn hành vi giả mạo hoặc trộm cắp; Niêm phong chống giả mạo; Sử dụng các quy trình kiểm tra chuẩn hóa cũng như các ứng dụng công nghệ di động đối với hàng hóa tại từng nút trong chuỗi cung ứng…
...nhưng là mối lo “mới” trong môi trường số hóa
Với sự gia tăng của Internet và các hệ thống ngày càng phụ thuộc vào phần mềm, có những mối đe dọa mới và khó đoán trước được. Internet mang đến những lợi ích to lớn đối với các chuỗi cung ứng ở cả quy mô nhỏ và toàn cầu. Tuy nhiên, sự gia tăng của các chuỗi cung ứng phụ thuộc vào Internet đã tạo ra những xu hướng mới về các mối đe dọa tiềm ẩn. Tấn công chuỗi cung ứng (supply chain attack) là một cuộc tấn công mạng nhằm gây thiệt hại cho một công ty bằng cách khai thác các lỗ hổng trong mạng lưới chuỗi cung ứng của họ.
Một cuộc tấn công chuỗi cung ứng đòi hỏi các quá trình tấn công hoặc xâm nhập mạng liên tục để giành quyền truy cập vào mạng của một công ty nhằm gây ra gián đoạn hoặc ngừng hoạt động, điều này cuối cùng gây hại cho công ty mục tiêu. Một vài tin tặc chuyên ngành và có kỹ năng có thể đánh sập chuỗi cung ứng lớn nhất. Điển hình gần đây là cuộc tấn công mạng ransomware Petya đã làm tê liệt các công ty trên khắp châu Âu và Hoa Kỳ.
Ngày nay, sự cộng tác chặt chẽ giữa các doanh nghiệp, nhà cung cấp và nhà phân phối, các mạng máy tính ngày càng liên kết, dữ liệu được chia sẻ, dẫn đến nếu một tổ chức bị tấn công mạng sẽ ảnh hưởng đến nhiều tổ chức. Thay vì tấn công trực tiếp mục tiêu, tội phạm mạng có thể tấn công một tổ chức yếu hơn trong chuỗi cung ứng và sử dụng quyền truy cập đó để thực hiện mục tiêu của chúng.
Năm 2014 đã chứng kiến vụ tin tặc lấy cắp các thông tin đăng nhập từ một nhà cung cấp đối tác của Home Depot (hệ thống của chuỗi bán lẻ đồ gia dụng, vật liệu xây dựng nổi tiếng của Mỹ) từ đó tìm cách truy cập vào mạng nội bộ của tập đoàn này. Hậu quả là tin tặc đã lấy cắp được 56 triệu số thẻ tín dụng và 53 triệu địa chỉ email của khách hàng. Một ví dụ khác là vụ tấn công mạng thông qua phần mềm quản trị mạng và giám sát mạng có tên Orion Platform của hãng SolarWinds năm 2020 khiến cho ít nhất 18.000 tổ chức và 8 quốc gia trên thế giới trở thành nạn nhân. Cụ thể, trojan này có thể mở backdoor (cửa hậu) có tên là Sunburst (hoặc Solorigate) khiến cho các máy chủ cài Orion bị xâm nhập để thực hiện các hành vi đánh cắp dữ liệu hoặc thực hiện các tấn công khác.
Còn rất nhiều các vụ tấn công liên quan đến mạng như phần cứng máy tính được cài đặt sẵn phần mềm độc hại, phần mềm độc hại được chèn vào phần mềm một cách cố ý hoặc vô tình; hay phần cứng máy tính giả mạo… Tính liên kết giữa các chuỗi cung ứng đang làm tăng rủi ro. Nghiên cứu năm 2020 của Accenture chỉ ra rằng 40% các cuộc tấn công mạng bắt nguồn từ chuỗi cung ứng mở rộng [1].
Giải pháp an ninh chuỗi cung ứng toàn diện
Hệ thống quản lý bảo mật có thể giúp bảo vệ chuỗi cung ứng tránh khỏi các mối đe dọa vật lý và mạng. Mặc dù không thể xóa bỏ hoàn toàn các mối đe dọa, nhưng an ninh chuỗi cung ứng có thể hướng tới việc vận chuyển hàng hóa an toàn, hiệu quả hơn, có thể phục hồi nhanh chóng sau sự cố gián đoạn. Vì vậy, các tổ chức nên xếp bảo mật chuỗi cung ứng là ưu tiên cao nhất, vì một vi phạm bảo mật trong hệ thống có thể làm hỏng hoặc gián đoạn hoạt động. Các lỗ hổng trong chuỗi cung ứng có thể dẫn đến chi phí không cần thiết, lịch trình giao hàng không hiệu quả và mất quyền sở hữu trí tuệ. Ngoài ra, việc phân phối các sản phẩm bị giả mạo hoặc trái phép có thể gây hại cho khách hàng và dẫn đến các vụ kiện không mong muốn. Có nhiều phương pháp có thể được sử dụng để chống lại các mối đe dọa mạng, bao gồm:
- Đảm bảo tất cả các bên liên quan đến chuỗi cung ứng được chứng nhận theo một tiêu chuẩn tuân thủ nhất định đã được đặt ra. Điều này giúp giảm thiểu rủi ro bị kẻ tấn công truy cập vào chuỗi cung ứng thông qua bên thứ 3.
- Tiến hành đánh giá rủi ro của các nhà cung cấp và đối tác tiềm năng. Điều này giúp giảm nguy cơ bị tấn công nội bộ.
- Chỉ định trực tiếp ai có quyền sở hữu đối với một số dữ liệu nhất định đang được sử dụng hoặc thu thập trong chuỗi cung ứng. Điều này tạo ra tinh thần trách nhiệm và quyền sở hữu trong mỗi tổ chức về việc bảo mật dữ liệu và việc sử dụng dữ liệu có trách nhiệm.
- Cải thiện các luồng chia sẻ thông tin và giao tiếp trong toàn bộ chuỗi cung ứng. Điều này giúp truyền đạt các tiêu chuẩn cần thiết để sử dụng dữ liệu thích hợp cũng như cải thiện khả năng phát hiện bất kỳ sự cố hoặc cuộc tấn công nào có thể xảy ra.
Trên thực tế, an ninh chuỗi cung ứng liên quan đến nhiều lĩnh vực và sẽ rất khác nhau giữa các tổ chức. Các nguyên tắc quản lý rủi ro có thể là hướng dẫn tốt để xây dựng chiến lược nhằm xác định các mối đe dọa hoặc các vấn đề tiềm ẩn và thực hiện các biện pháp giảm thiểu thích hợp. Một chiến lược phòng thủ theo chiều sâu có thể cải thiện đáng kể an ninh tổng thể của chuỗi cung ứng. Mặc dù không phải là hiệu quả cho tất cả các chuỗi cung ứng, nhưng một giải pháp an ninh cho chuỗi cung ứng cần bao gồm:
- Ghi nhật ký và theo dõi các lô hàng. Sử dụng thông báo tự động cho người gửi và người nhận.
- Sử dụng khóa và con dấu làm bằng chứng chống giả mạo trong quá trình vận chuyển.
- Kiểm tra nhà máy và nhà kho.
- Yêu cầu kiểm tra lý lịch đối với nhân viên.
- Sử dụng các nhà cung cấp được công nhận hoặc chứng nhận.
- Thực hiện đánh giá chiến lược bảo mật có lưu ý đến luật pháp địa phương và chính sách quản trị.
- Thực hiện kiểm tra khả năng thâm nhập và lỗ hổng trên các đối tác được chia sẻ dữ liệu.
- Xác thực tất cả việc truyền dữ liệu và xác định người yêu cầu.
- Sử dụng quyền hoặc vai trò được phép truy cập vào dữ liệu.
- Yêu cầu bảo mật mạng tối thiểu hoặc các nguyên tắc cơ bản về phương pháp tối ưu cụ thể của các nhà cung cấp và nhà phân phối.
- Sử dụng kiểm toán viên của bên thứ ba được cấp phép để chứng nhận các đối tác tiềm năng.
- Đào tạo nhân viên cảnh giác với những thay đổi và không nhất quán về dữ liệu.
- Thường xuyên kiểm tra mã nguồn mở và mã nguồn của nhà cung cấp.
- Hạn chế quyền và truy cập của bên thứ ba.
- Sử dụng tính năng quét cấp độ mạng, phân tích hành vi và phát hiện xâm nhập để xác định các vi phạm tiềm ẩn.
- Luôn sẵn sàng kế hoạch ứng phó để nhanh chóng hành động trước các mối đe dọa được phát hiện.
- Tham khảo các hướng dẫn và quy định của chính phủ phù hợp với khu vực hoạt động của doanh nghiệp.
Kết luận
Trong thế giới siêu kết nối ngày nay, và đặc biệt là với sự gia tăng tính linh hoạt cần thiết để quản lý đại dịch COVID-19, bảo mật chuỗi cung ứng cần được nâng cao hơn trong chương trình nghị sự của các giám đốc điều hành cấp cao (C-suite). Đã đến lúc các doanh nghiệp không thể lơ là trong việc đảm bảo an ninh chuỗi cung ứng phù hợp với mục đích. Điều đó có nghĩa là các doanh nghiệp nên phối hợp với các nhà cung cấp giải pháp bảo mật để tăng cường khả năng hiển thị, hiểu một cách tổng thể các mối đe dọa và lỗ hổng, đồng thời phát triển một loạt các công cụ linh hoạt và các phương pháp hay nhất để giảm thiểu rủi ro. Nói một cách khác, với việc áp dụng các biện pháp giảm thiểu phù hợp nhất với lĩnh vực kinh doanh của mình, một tổ chức có thể cải thiện đáng kể vị thế an ninh chuỗi cung ứng của mình và đảm bảo phát triển bền vững trong tương lai./.
Tài liệu tham khảo:
[1]. Accenture. “Securing the Supply Chain”, https://www.accenture.com/cr-en/insights/ consulting/securing-the-supply-chain, Accessed Feb. 11, 2021.
[2]. https://searcherp.techtarget.com/definition/supply-chain-security
[3]. https://www.redwoodlogistics.com/protecting-supply-chain-security-risk-management/
[4]. https://www.accenture.com/us-en/insights/consulting/securing-the-supply-chain
(Bài đăng ấn phẩm in Tạp chí TT&TT số 7 tháng 7/2021)