谈论供应链安全，你首先想到的是什么？是供应不足，还是物流迟滞？或许，网络安全也值得关注。

  2023年8月末，世界顶级汽车制造商丰田汽车公司遭遇技术故障，导致其在日本的全部14家工厂暂停生产。丰田汽车表示，这次故障根本原因是“生产订单系统发生故障”，但并无证据说明这次故障是由网络攻击引起的。由于系统故障导致零部件订单无法处理，到8月29日下午，共计28条生产线受到影响。

  这些工厂的停工将对丰田的生产和销售造成显著影响，尤其是当停工时间延长至一整天时，将延误约1.3万辆汽车的生产，这相当于丰田日本工厂月产能的4%到5%。实际上在2022年3月，丰田旗下工厂曾因日本供应商遭受网络攻击而关闭。

  一个礼拜后，丰田汽车向外界发布了系统故障的原因，是数据整理作业过程中磁盘容量不够而报错导致的。据丰田汽车表示，故障随着8月27日实施的定期系统维护作业的发生。在对数据库内存储的数据来进行删除和整理时，作业用磁盘容量出现不足，报错后系统瘫痪。备份设备上也出现同样的故障，因此无法切换，最后导致29日工厂停工。

  相比于丰田汽车这次事故，“7.19”微软蓝屏事件的影响更广泛和严重，当地时间2024年7月19日美国网络安全企业“群集打击”（CrowdStrike）软件出现问题引发了操作系统蓝屏、全球宕机事件。此次微软蓝屏波及不少国家和地区，影响全球近千万台使用Windows的设备，导致航空公司、银行、电信公司和媒体、健康医疗等各个行业陷入混乱。

  在美国，有超过1,500架次美国境内、飞往以及飞离美国的航班被取消，此外，还有超过7,400架次美国航班遭遇延误。同时特斯拉位于奥斯汀、德克萨斯和内华达的超级工厂受到“Windows主机中断”的影响，导致服务器、笔记本电脑和制造设备出现问题，让部分工人提前下班。

  另外，澳大利亚航空公司、银行、政府网络、企业、超市自动收银机等也受一定的影响。英国爱丁堡机场的自动登机扫描仪处于离线状态，多家火车公司称或导致列车延误。西日本旅客铁道公司（JR西日本）列车行驶位置信息因Windows系统故障导致没办法获取。

  在中国，虽然大部分企业包括内地的航空公司由于未购买和部署CrowdStrike因而没有受一定的影响，但国际连锁酒店都受到了不同程度的影响，入住旅客称现场瞬间到退回“原始”状态。

  事后来看，虽然上面两次事件的主因并非来自网络攻击，但这样的“失误”却足以引起企业管理者的警醒。如今，数字化与供应链高度绑定，从门店到物流中心再到制造工厂，所有流程以一个个不同系统在网络的联通下融为一体，但也在无形中放大了总系统瘫痪的风险，一旦供应链网络中某个节点出现一些明显的异常问题，可能会引起整条供应链无法顺畅运行，在“时间就是金钱”的今天，供应链每个环节的任何迟滞可能都将带来不小的损失。

  由此，供应链网络安全在如今比以往任何时刻都重要。正是注意到了这样的情况，日本经济产业省先后制定《网络安全经营指南》及各产业领域专项指南，积极推动企业加强网络安全建设。内阁官房、总务省、金融厅等机构也针对所辖行业出台了相应的网络安全指导文件。

  在民间领域，日本信息经济社会推进协会（JIPDEC）大力推广信息安全管理体系（ISMS）认证制度。截至2024年12月27日，获得ISMS认证的企业已突破8,000家。

  汽车行业方面，日本汽车工业会（JAMA）与日本汽车零部件工业会（JAPIA）联合开发了针对汽车产业特有网络安全风险的防护框架，现在已经成为整车制造商及供应链企业的通用标准。

  一套“跨行业、可量化、可视化”的安全防护评估体系，不仅有助于维持统一的安全基准，降低全社会的安全防护成本，还能减少企业在安全合规沟通上的负担。

  为了制定和推动这套体系下的制度，日本经济产业省的“产业网络安全研究会”于2024年7月12日成立了“供应链安全防护评估制度”子工作组，并展开讨论。这套创新性的“星级评估体系”通过直观的可视化呈现，让企业能快速识别供应链各环节的安全防护水平。

  供应链安全防护评估制度计划将企业的安全防护水平划分为“1星～5星”等级，星级越高代表安全水平越先进。其中1星、2星分别对应日本信息处理推进机构（IPA）现有的“SECURITY ACTION”自评制度中的“1星”和“2星”级别。1星共有5项要求采用IPA制定的“信息安全五原则”：

  2星共有25项要求，在1星的5项基础上，分别新增了员工层面（13项）和组织层面（7项）措施。但1星、2星仅只是自评，而想要具备基本的应对外部威胁的能力，需要从3星（基础级）开始，具体3星～5星的能力如下表。

  但仍有不少企业抱着“我们没值得攻击的信息”的想法，这种想法在专业黑客入侵成功率超九成的时代如同待宰的羔羊，不少企业绝对没意识到当勒索软件攻击导致生产线停摆，或是客户数据泄露令多年积累的信誉毁于一旦——这些噩梦般的场景正在我们身边真实上演。

  另一方面，“我们有备份所以安全”的想法可能过于乐观——若备份数据与生产环境处于同一网络，往往会被同步加密。更常见的情况是，企业备份了部分数据却没办法恢复完整系统功能。

  一旦发生信息泄露或勒索软件感染等严重事件，企业将面临因停业而造成的机会损失、对客户和合作伙伴的赔偿、系统恢复费用，以及失去的品牌形象和信任的恢复等，所产生的有形和无形损害将远超对策费用，甚至达到数十倍、数百倍。安全是“为保护未来的销售和企业信任的投资”，而不是看不见的成本。

  而且，从供应链全视角来看，外部入侵可能无孔不入。以IoT设备为例，目前慢慢的变多的时尚品也正在应用IoT设备提升物流运营效率，但是否考虑过IoT作为一种可联网的装置，就不难想象黑客能够最终靠IoT装置当作跳板，对企业内部网络系统发动攻击，甚至最简单的，修改IoT内的数据，导致企业没办法以精准的数据作出准确决策。

  在中国台湾有句老少皆知的广告台词：“先求不伤身体，再讲究疗效！”这句话套用在IoT系统的网络安全议题上再恰当不过，如果未妥善规划，IoT系统可能会引起木马屠城。类似情况在汽车制造业十分常见，例如特斯拉曾经就因为黑客入侵Verkada（特斯拉监控供应商）的联网产品而导致了特斯拉在中国的供应商生产现场被曝光，此次虽然并没有造成特别大的损失，但也给特斯拉乃至所有企业再次提醒了网络安全的重要性！

  当然，网络安全十分重要，但也不能无限拔高它的重要性导致企业因噎废食。仅以数据加密为例，如果针对每条数据都采用加密处理，其资料长度会变长，储存空间也会变大许多，而且因为每条都得先解密才能看到实际数据，会增加后续资料调阅时间。公司能够做的是，始终将网络安全作为重点，不断审视自己供应链网络的“健康状态”，假如发现不安和弱点，可优先考虑专业的“健康检查”，即脆弱性诊断或渗透测试。在为时已晚后悔之前，立即采取行动，便是保障供应链安全的最佳方式。

  声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。