据industrialcyber.co报道,随着网络主权(cyber sovereignty)概念在关键基础设施领域日益清晰,供应链风险已跃升为网络安全治理的核心议题,隐藏依赖关系与长尾供应商正成为监管与运营关注焦点。
网络主权重塑供应链安全逻辑
原文数据显示,当前数字交往规则正在被重写:每个第三方供应商关系都可能成为潜在入侵入口,而攻击者已被证实可在供应链中潜伏数月后才发动攻击。监管机构正加大审查力度,董事会提高评估标准,各国政府则明确划定“可信供应商”边界,并强制要求提供更透明的软件物料清单(SBOM)。工业网络安全专家指出,供应链安全在关键基础设施场景中已不再是事后补救或合规附庸,而是韧性规划的前置要件——它正被重新定义为关乎控制力、系统韧性与战略自主性的根本问题。
数据印证投入升级与能力缺口并存
- 德勤(Deloitte)数据显示,企业正加大对IT/OT融合环境的安全投入,以应对供应链暴露直接导致运营中断的风险;
- IDC指出,供应链风险管理技术支出持续攀升,企业亟需穿透式掌握曾被忽视的供应商生态;
- 世界经济论坛(WEF)研究 flagged 显示,超过半数大型组织将供应链复杂性视为网络韧性的核心障碍。
专家观点:从采购合规转向主权级信任验证
“网络主权在工业语境下,是指组织能在不依赖受他国政府管辖技术的前提下,自主运行、控制和防御其系统。这首先是运营关切,而非单纯政治议题。”——Marco Ayala,ABS Consulting全球能源网络安全技术总监
Ayala进一步指出,能源、海事及化工等行业的采购决策过去长期由成本、兼容性与厂商关系驱动;如今,领先工业组织已将地缘政治暴露度评估嵌入供应商资质审核与技术采购标准,与功能安全、网络安全成熟度及互操作性并列。
“组织必须清楚所用软件的来源、运行位置,以及在压力下是否可信。随着地缘紧张加剧,应推动从‘成本驱动采购’转向‘信任驱动采购’。若无法验证软件供应链,就无法掌控风险。”——Joseph M. Saunders,RunSafe Security创始人兼CEO
“对产品安全团队而言,本质问题是:当供应链跨越司法管辖区时,你能否对产品中每个组件实施打补丁、建立信任并持续维护?在轨道交通领域,一次采购决策即锁定25–40年的依赖周期。若供应商所在国政府可强制访问、 withholding 更新或限制出口,这种暴露将贯穿产品全生命周期。量化该暴露,正是‘风险价值’(VaR)方法论的价值所在——它源自金融业,用于以美元表达预期损失;FAIR模型已将其确立为国际网络安全标准。”——Susan Peterson Sturm,Wabtec Corp.安全产品与合作伙伴战略高级总监
她补充道,SolarWinds事件后,美国证监会(SEC)通过8-K与10-K披露规则明确:网络安全失实陈述可能构成证券欺诈,且“重大性”判定须基于财务量化。但原文指出,“多数产品安全团队尚无工具以美元单位表达司法管辖区暴露,而这正是必须抵达的方向。”
“过去几年,数据主权(data sovereignty)主导治理讨论——谁拥有数据、存于何处、谁能访问。但在关键基础设施领域,问题已更根本:谁拥有你的固件?你的设备?甚至设备内部的NAND芯片?你真的知道它们源自何处?”——Joshua Marpet,Finite State高级产品安全顾问
Marpet强调,数十年来全球化供应链支撑了跨地缘政治对手的技术流通;而今,这些边界正日益固化。
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。
