Part.1 供应链数据泄露 ● 自身供应链泄露:自身供应链是指企业自身产品生产和流通过程中的采购部门、生产部门、仓储部门、销售部门门等组成的供需网络。如电商体系中的物流系统、仓储管理系统、支付系统等,往往包含企业大量敏感信息,该类系统被恶意攻击者入侵,可造成数据泄露。 ● 第三方供应商泄露:企业由于业务需要,使用或者购买了第三方服务,如供应商代码仓库、供应商外包人员服务、供应商提供的SaaS服务等。恶意攻击者通过入侵相关系统,造成数据泄露,或是第三方供应商为了牟取利益泄露数据。 Part.2 供应链上的泄密风险 供应商管理风险:供应链中的供应商众多,且往往分布在不同的国家和地区,这给企业的供应商管理带来了巨大挑战。一旦供应商的数据安全措施不到位,就可能导致整个供应链的数据泄露。 数据传输风险:在供应链中,企业之间需要频繁地传输和共享数据,如库存信息、订单信息、客户信息等。这些数据在传输过程中可能经过多个网络设备,增加了被截获和泄露的风险。 内部人员风险:供应链中的内部人员,如员工、合作伙伴或承包商,可能因疏忽、利益诱惑或恶意行为导致数据泄露。这种内部威胁往往难以防范,且一旦发生,后果严重。 Part.3 供应链泄密相关案例 此前,有汽车博主发布了关于小米汽车首款车型小米MS11车型的设计图片,展示了小米汽车保险杠、小米MS11的装饰件,以及小米与北汽模塑相关合作细节等,引发网络关注。 后来根据通报显示,事件的起因是合作方北京某模塑科技有限公司因对其下游供应商管理不善,泄露了小米汽车前后保险杠某个版本的过程稿。小米集团公关部总经理王化随即回应称,的确是二级供应商保密的设计文件泄密。 现如今,大部分企业与第三方供应商合作时会签署相关保密协议并制定赔偿条例,但是在巨大利益下,还是会有部分人员铤而走险,使用合作方的技术机密获利。 Part.4 企业如何防范供应链泄密 保密协议等“君子之约”并不能在复杂的商业环境里保护企业核心数据安全,采取必要的数据防护手段仍然是企业的首要选择。在与供应链上下游第三方企业对接时,对重要文件数据进行加密保护,实时管控数据全生命周期流转动向,确保数据在企业的外部环境下还能得到防护与监管。 ✔数据加密、防止外泄 对每一份技术资料、图纸、合同都进行加密保护,合作方只有在安装了加密客户端的终端才可以打开相关加密文档,确保数据在外部也可控安全。 ✔外发审批、多层多级 对外发数据进行严格管控,经过相关领导审批后内部文件才能摆脱密文状态,进行查看和编辑。防止内部员工进行有意或无意的机密文件发送,避免数据外泄。 ✔水印标签、震慑追溯 文件及屏幕水印可有效震慑拍照或截屏泄密行为,对外提供的文件打上水印,记录操作人员信息,在安全事故发生后第一时间锁定泄密源头,启动应急措施。 ✔权限控制、下载加密 合作过程中,若是需要给合作方开放服务器数据访问权限,安全网关可以帮助规范项目人员访问系统服务器的权限。如担心数据文档被下载泄密,落地加密功能可以对从服务器中下载到本地的文档进行自动加密,使得系统中被下载的数据始终处于加密状态。