去年11月,香港生產力促進局一連兩日舉辦題為「與未來的全球供應鏈連接」的「工業4.0」網絡安全國際會議,由海外及本港專家分享供應鏈網絡保安的最新技術、國際經驗和最佳造法。獲二百多家本地企業踴躍參與,會後部份參加者更表示,會重新審視機構與合作伙伴的資訊保安。

「工業4.0」智能營運的特點,是透過互聯網把供應鏈中無數的工業系統串連起來,讓眾多機構高速並無間斷地互相傳輸大量數據。互連和數碼化可提升整個供應鏈的效率,然而相較傳統的個別系統,更多網絡威脅亦隨之而來,企業必須正視。

美國國家標準技術研究所指出,針對供應鏈的網絡威脅來自四面八方,例如可以實體或虛擬方式存取資訊系統、軟件編碼或IP地址的第三方服務供應商;二、三線供應商的資訊保安劣習及劣質軟硬件產品;供應鏈管理或供應商系統的軟件保安漏洞;使用冒牌或附有惡意軟件的硬件、第三方數據儲存設備及聚合器等。

要萬無一失,企業須全面評估供應鏈上各單位的網絡保安水平,從軟硬件設計過程、處理新型網絡攻擊的能力、生產過程管理及監測、配置管理實施及質量保證、網絡及實體存取管理、員工背景審查機制、對上游供應商的資訊保安期望,以至分銷過程的保安及存檔等。