企业与第三方供应商合作时，会存在哪些安全风险？

随着现代社会的发展，企业供应链、产业供应链已日渐成熟。其中，供应商与企业的关系也由最初的纯粹买卖关系发展成了合作伙伴关系。在整个供应链体系中，供应商与其受众承担着供应链中环环相扣的责任，可以说，企业安全的薄弱环节可能在于合作伙伴和供应商。

下面，我们就来聊聊，看下企业与第三方供应商合作时，会存在哪些安全风险？

供应链攻击

在科技成本的降低和实用性的提高的背景下，互联网技术高速发展的同时，也增加了供应链中断的风险。

因为数字化供应链高度依赖互联网技术，企业也在数字化转型，不断接入各种网络设备，以及物联网等数字技术，例如，一些制造业工厂的机器目前更多地依赖于互联网连接，人们也习惯在Web界面上进行操作，从而产生了更多的漏洞。

除了ERP系统崩溃、通信机房故障等造成供应链断裂的常见的IT问题，这些漏洞才是更为严重的问题，黑客利用这些漏洞攻击、窃取数据库中客户资料、投放勒索软件控制机器，以及竞争对手也可能利用漏洞恶意攻击系统等。

而供应链上的某一供应商被攻击，可能就会导致整个供应链瘫痪，影响企业的生产经营，甚至攻击者通过第三方供应商或外部合作伙伴访问企业系统，加密或窃取企业业务数据或其他数据资产。

在过去几年里，供应链攻击这一网络攻击方式极大地改变了典型的企业攻击方式，因为能够接触到敏感数据的供应商和服务提供商的数量，要比以往任何时候都要多。供应链攻击带来了前所未有的高风险。

供应商泄密

最近的“小米汽车供应商泄露设计图”一事，就是一个很典型的案例。此次事件中，小米官方表示：因对其下游供应商管理不善，泄露了汽车前后保险杠的早期设计稿。事后，小米汽车依照《保密协议》对该供应商处以100万元的经济赔偿，责成其对下游供应商加强信息安全管理，并对泄密肇事人进行严肃处理。

虽然小米汽车在其官方通报中透露设计稿是如何泄露的，大概离不开“人”这一环节。人是数据安全保护链条中，最为薄弱的一环节。例如，工作人员将设计稿不小心外发或下载电脑本地，造成数据信息泄密；也有可能，工作人员出于自身利益考虑，将文件恶意透露给竟对，等等。

硬件或软件供应链背后的风险

现在，几乎每家公司都在使用来自外部的软件和硬件，供应商也不例外。但由于开源经济的繁荣，没有人会再从零开始构建他们的技术了。而这种习惯背后，存在着巨大的风险。每个购入的设备，下载的应用，都需要进行审查并监控其潜在的安全威胁，并且所有的补丁都必须是最新的。

否则，极易被攻击者利用，对企业造成安全威胁。例如，犯罪分子通过对流行的开源平台的攻击，以暴力等方式破解密码来窃取用户信息、植入恶意软件，造成企业数据泄密，或勒索企业交付高额赎金。

如果有漏洞的软件或者硬件组件被用于一个产品当中，不仅一家公司自身的数据面临风险，还可能会导致更多根本的安全问题。一个感染安全后门的电脑芯片，一个没有强认证的相机或者是一个不良的软件组件都能造成大规模破坏。例如Heartbleed漏洞，感染了数百万网站和移动设备以及很多大型供应商生产的软件，包括Oracle（甲骨文），VMware和Cisco（思科）。

云供应商安全风险

单一，精简的组织机构已经被数字生态系统所取代，在这个系统中里，从单个应用程序到整个数据中心都转移到了云供应商手中。你想要保护的东西已经远在你的环境外。而且黑客很聪明。他们会走捷径。

现今，甚至硬件也开始走向云计算。汽车生产线中基于物联网的焊接工具默认设置是向制造商发送诊断信息，以便他们进行预测性维护。这听起来很棒，但是这也可能成为潜入你所有环境的一个通道。

上述的这些安全风险，是企业与第三方供应商合作时，一些常见的安全风险，如有补充，也可在下方“发消息”留言。