從Intel與AMD的競爭來探討供應鏈風險管理

戈耳狄俄斯之結

          根據傳說,亞歷山大大帝在西元前333年帶領著他的軍隊來到戈耳狄俄斯,他在此地看到了一輛特別的馬車;他發現這輛馬車的車架上綁著”許多糾纏緊密的結,以至於無法分清源頭,也無法得知是如何繫緊的”。亞歷山大著迷於眼前所見所聞,並試圖去解開這個世人都無法解開的結;但一如往常的,沒有人可以解開這個結。他沒有繼續嘗試,而是退後一步,一劍將結劈成兩半。

眾觀來說,今天全球供應鏈就如同戈耳狄俄斯之結一樣複雜,但是現今的我們和亞歷山大大帝不同,我們沒有一劍將其斬半的能力,我們並沒有一個有效的方法可以解決和審視複雜的供應鏈問題,全球化的加速底下,供應鏈的複雜程度已不再是三言兩語能夠解決的了。

多年來,企業一直致力於使它們的供應鏈盡可能照著SOP流程與自動化以降低成本;以此形式,大多數的企業建立了高效的供應鏈系統,不論是上下游廠商間的貨品與資訊流通,及最後到終端客戶,之間的細節與細節已是環環相扣密不可分。

AMD無法有效掌握供應鏈,重重摔落神壇

2021年原本應該是AMD的大年,AMD藉著台積電的先進製程,效能足足領先了Intel一個世代,藉著製程的優勢,AMD持續對死對頭Intel步步緊逼,證券商更樂觀預估,今年AMD在CPU的市占率可望從2020年的10%進一步激增到13%,可望因此躍居台積電的前三大客戶,前途一片光明。

然而事情卻在此時急轉直下,Intel透過商業佈局,早已鎖定CPU製造的其中一個零件的大部分產能,Intel深知其製程落後,為避免PC和伺服器領域的市佔流失到AMD,早已鎖定今年ABF載板的產能。

「AMD拿不到載板,AMD執行長Lisa Su(蘇姿丰)在公司內震怒,」一名資深科技分析師透露。一片小小不起眼的載板,著實讓AMD重重摔了一跤。

企業除了檢視供應鏈的產能危機,也需注意供應鏈廠商的資安風險

透過上述的事件,我們可以了解到如今企業與其供應鏈的關係已密不可分,企業眾多關鍵命脈已交付於供應鏈手上,若是無法有效且透明的掌握複雜供應鏈其中的資訊,我們如何能放心的與眾多上下游廠商來往並互相信賴,如同AMD無法掌握供應鏈的供貨情形,這所帶來的風險是我們無法想像的;因此,我們可以藉由與供應鏈之間的緊密合作,打造高效的市場供貨流程,同時間,若不重視供應鏈帶來的風險,在緊密合作的同時,也會有很大機會遭到供應鏈廠商的反噬。

而供應鏈風險管理並非僅是關注在供應鏈供貨層面,另一層常被企業所忽略的是供應鏈廠商所帶來的供應鏈資安風險管理(Third-Party Risk Management),像是去年非常嚴重的SolarWinds Orion 供應鏈資安事件,影響層面不僅是企業本身,攻擊事件甚至影響到美國政府機構,因為包含國防部在內,都是微軟產品、Office 365用戶;在去年開始,駭客組織的活躍,資訊安全帶來的危機眾所皆知,被滲透和入侵的企業比比皆是;我們以往信賴且密切合作的供應鏈廠商,在不透明和資訊不流通的情況底下,無法掌握的供應鏈安全,儼然無限擴大企業的被攻擊面。

數位資安建議企業可以這麼做

一、 瞭解您的第三方/第四方合作廠商

很多時候企業連第三方合作廠商是誰都不見得清楚,更別說是合作廠商的合作廠商(第四方)了。企業必須要能夠快速掌握與所有夥伴之間的合作模式與關係,以控制損害的範圍。

二、 充分掌握聯絡窗口

非常重要但常常被忽視的一件小事:確保您知道如何聯繫合作夥伴,知道誰才是對的聯絡窗口。對於企業及其合作廠商而言,隨時更新的聯絡資訊對於事件發生時能否快速溝通至為重要。聯絡資訊的檢核與更新是第三方風險管理(Third Party Risk Management, TPRM)過程中的一部分,除了直接接觸的承辦窗口外,也需更全面的了解合作部門及其相關的業務關係。

三、 緊急開關(Kill-Switch)的設置

企業該為每一家合作廠商設立類似的緊急開關(Kill-Switch)策略,該策略應基於與各廠商間的業務關係與合作模式而訂定,包括相關文件與執行步驟並能有效的快速移交作業,避免單一供應鏈阻斷其他業務往來。

四、 通報系統的自動化

當企業需要告知成千上百家合作廠商一件可能發生的資安風險時,成敗的關鍵因素在於通報的速度。只有使用自動化系統的企業才能將事件訊息,補強措施與建議迅速傳遞予所有第三方甚至第四方的合作夥伴。簡單說:如果 貴公司的第三方風險方案全得靠人工來執行,那麼,You have a problem

五、 持續性不中斷的監控

隨著網路威脅的不斷變化、以及企業與合作廠商數位資產的快速成長,駭客透過第三方發動間接攻擊的事件層出不窮。因此,任何第三方風險的管控都不是做過一次就可高枕無憂的,必須持續性的監控與評估才能發揮效用。

上述策略皆為企業第三方資安風險管控 (Third Party Risk Management, TPRM) 計劃的重點,所有組織與企業皆能夠透過對第三方資安風險計畫的重新審視,進而強化企業的資安體質以及對於類似事件的抵抗力。

深入了解關於供應鏈風險管理:Panorays

如有任何資安相關需求,歡迎隨時與我們聯絡!

www.iSecurity.com.tw   |   (02) 7702-1088  | 數位資安系統股份有限公司

Posted in 新聞 and tagged , , , , , , , , , , .