ما المقصود بأمن سلسلة التوريد؟

يتذكر الكثير من العاملين في مجال سلسلة التوريد حوادث اختراق أمن البيانات التي تعرضت لها Target وHome Depot بفارق أشهر قريبة نتيجة علاقات مع أطراف خارجية. وبعد مرور ست سنوات، لا تزال حوادث اختراق أمن سلسلة التوريد تتصدر عناوين الأخبار – وأبرزها حادث اختراق SolarWinds الذي يتردد صداه حاليًا في المجال. يقدّر أحدث تحليل متوسط تكلفة حادث اختراق أمن البيانات بمبلغ 3.86 ملايين دولار أمريكي، بينما تصل تكلفة حوادث الاختراق الضخمة (سرقة 50 مليون سجل أو أكثر) إلى 392 مليون دولار أمريكي. وبالنظر إلى الزيادة الكبيرة في هجمات سلاسل التوريد في عام 2020، يمكننا أن نتخيل التأثير عند تحديث هذا التحليل.

لكن، ما الذي يتطلبه الأمر لمعالجة أمن سلسلة التوريد؟

يتمثل جزء من التحدي في أنه لا يوجد تعريف وظيفي واحد لأمن سلسلة التوريد. وهو مجال واسع للغاية يتضمن كل شيء بدءًا من التهديدات المادية وحتى التهديدات الإلكترونية، ومن حماية المعاملات إلى حماية الأنظمة، ومن الحد من مخاطر التعاون مع الأطراف في شبكة الأعمال المباشرة إلى الحد من المخاطر الناتجة عن العلاقات مع الأطراف الثالثة والرابعة وما إلى ذلك. إلا أن هناك إجماعًا متزايدًا على أن أمن سلسلة التوريد يتطلب نهجًا متعدد الأوجه ومنسقًا وظيفيًا.

صرح المسؤولون في مجال سلسلة التوريد أنهم يشعرون بالقلق بشأن التهديدات الإلكترونية، لذا في هذه المدونة، سنركز على جوانب الأمن الإلكتروني التي تهدف إلى حماية جودة المنتجات والخدمات وتقديمها، بالإضافة إلى حماية البيانات والعمليات والأنظمة المرتبطة بها.

"أمن سلسلة التوريد يُعد مشكلة متعددة الفروع، وتتطلب تعاونًا وثيقًا وتنفيذًا مشتركًا بين قسم الأعمال وقسم دعم العملاء وقسم تكنولوجيا المعلومات، وهذا له تحدياته الخاصة. والشركات التي تنجح في هذا الأمر تبدأ بتكنولوجيا المعلومات وبناء شبكة أعمال آمنة متعددة المؤسسات، ثم تبني على ذلك من خلال توفير وصول منظم ومؤمن بعناية إلى إمكانات التحليلات والرؤية، ومن ثَم، تعمل على مراقبة كل طبقة باستمرار بحثًا عن أي سلوك غير طبيعي.

Marshall Lamb، الرئيس التنفيذي للتكنولوجيا، IBM Sterling

ما أهمية أمن سلسلة التوريد؟

يتمثل دور سلسلة التوريد كله في إتاحة ما يحتاجه العملاء بالسعر المناسب وفي المكان والزمان المناسبين. وقد يترتب على أي أعطال أو مخاطر تهدد سلامة المنتجات أو الخدمات المقدمة، وخصوصية البيانات المتبادلة، واكتمال المعاملات المرتبطة بها عواقب وخيمة تشغيلية ومالية وعلى العلامة التجارية. يمكن أن تحدث حوادث اختراق أمن البيانات، وهجمات الفدية، والأنشطة الخبيثة من الداخليين أو المهاجمين في أي مستوى من مستويات سلسلة التوريد. حتى لو كان الحادث الأمني لدى بائع واحد أو مورد خارجي واحد، إلا أنه يمكن أن يعرقل بشكل كبير عملية "التخطيط والإنتاج والتسليم".

"تعتمد صلابة سلسلة التوريد على قوة الكيان الأكثر عرضة للمخاطر فيها. سيساعد مركز المرونة الإلكترونية التابع لميناء لوس أنجلوس كل عضو مشارك في سلسلة التوريد على حماية نفسه بشكل أفضل، ومن ثَم حماية غيره."

Wendi Whitmore، نائب الرئيس، IBM Security X-Force

يُعد الحد من هذه المخاطر بمثابة هدف متحرك وتحدٍ متزايد. سلاسل التوريد هي شبكات عالمية متزايدة التعقيد تتألف من أعداد كبيرة ومتزايدة من الشركاء الخارجيين الذين يحتاجون إلى الوصول إلى البيانات وضمانات تُمكّنهم من التحكم في مَن يطلع على تلك البيانات. واليوم، تضيف الضغوط والقيود الجديدة على الموظفين والميزانية والتغيرات السريعة غير المتوقعة المتعلقة بالإستراتيجية والشركاء وكل من العرض والطلب المزيدَ من التحديات والإلحاح. وفي الوقت نفسه، يطالب العملاء والموظفون الأكثر معرفةً ووعيًا اجتماعيًا بالشفافية والرؤية فيما يتعلق بالمنتجات والخدمات التي يشترونها أو يدعمونها. تضيف كل نقطة اتصال عنصرًا من عناصر المخاطر التي يجب تقييمها وإدارتها والحد منها.

أبرز 5 مخاوف تتعلق بأمن سلسلة التوريد

أفاد مسؤولو سلاسل التوريد حول العالم وعبر المجالات بأن هذه المخاوف الخمس المتعلقة بأمن سلسلة التوريد تقلق منامهم:

1. حماية البيانات. تقع البيانات في صميم معاملات الأعمال ويجب تأمينها ومراقبتها في أثناء التخزين أو النقل لمنع اختراقها والتلاعب بها. يتطلب التبادل الآمن للبيانات أيضًا الوثوق بالمصدر الآخر، سواء أكان طرفًا خارجيًا أو موقعًا للتجارة الإلكترونية. ويُعد الحصول على تأكيدات بأن الطرف الذي تتفاعل معه هو حقًا الشخص المقصود أمرًا حيويًا.
2. موقع البيانات. البيانات الحساسة موجودة في جميع مستويات سلسلة التوريد، ويجب تحديد موقعها وتصنيفها وحمايتها بغض النظر عن مكانها. في المجالات الخاضعة للوائح صارمة مثل الخدمات المالية والرعاية الصحية، يجب جمع البيانات وتخزينها وإدارتها واستخدامها وتبادلها وفقًا لمعايير المجال والمتطلبات الحكومية التي تختلف حسب المناطق التي تعمل فيها.
3. رؤية البيانات وحوكمتها. لا يقتصر دور شبكات الأعمال متعددة المؤسسات على تسهيل عملية تبادل البيانات بين الشركات فحسب، بل تتيح أيضًا للمؤسسات المتعددة إمكانية الوصول إلى البيانات حتى تتمكن من عرضها ومشاركتها والتعاون فيما بينها. وتطالب المؤسسات المشاركة بالتحكم في البيانات وإمكانية تحديد الجهة التي ستشاركها معها وما يمكن لكل طرف مصرح له بالاطلاع عليه.
4. منع الاحتيال. في دورة تحويل الطلب إلى نقدية، تنتقل البيانات من جهة إلى أخرى عدة مرات، أحيانًا في شكل ورقي وأحيانًا في شكل إلكتروني. وتمثل كل نقطة يُجرى فيها تبادل البيانات بين الأطراف أو نقلها بين الأنظمة فرصة للتلاعب بها – بشكل خبيث أو عن غير قصد.
5. مخاطر الجهات الخارجية. المنتجات والخدمات اليومية – بدءًا من الهواتف المحمولة إلى السيارات – آخذة في التطور. ونتيجة لذلك، غالبًا ما تعتمد سلاسل التوريد على أربعة مستويات أو أكثر من الموردين لتسليم السلع النهائية. يمكن لكل من هذه الأطراف الخارجية تعريض المؤسسات لمخاطر جديدة بناءً على قدرتها على إدارة الثغرات الأمنية لديها بشكل صحيح.

أفضل ممارسات أمن سلسلة التوريد

يتطلب أمن سلسلة التوريد نهجًا متعدد الأوجه. فلا يوجد حل سحري واحد، لكن المؤسسات يمكنها حماية سلاسل التوريد لديها من خلال مجموعة من تدابير الحماية متعددة الطبقات. عندما تصعب الفرق المتخصصة في أمن سلسلة التوريد على عناصر التهديد اجتياز الضوابط الأمنية، فإنها تتيح لنفسها وقتًا أطول لاكتشاف الأنشطة الخبيثة واتخاذ الإجراءات اللازمة. فيما يلي بعض من أهم الإستراتيجيات التي تسعى المؤسسات لتطبيقها بهدف إدارة أمن سلسلة التوريد والحد من مخاطرها.

• تقييمات الإستراتيجية الأمنية. لتقييم المخاطر والامتثال، تحتاج إلى تقييم حوكمة الأمن الحالية – بما في ذلك متطلبات خصوصية البيانات وفجواتها، ومخاطر الجهات الخارجية، والامتثال التنظيمي لتكنولوجيا المعلومات – في مقابل تحديات ومتطلبات وأهداف الأعمال. يُعد تقدير المخاطر الأمنية، وتطوير برامج الأمن، والامتثال للوائح والمعايير، والتعليم والتدريب الأمني أمورًا أساسية.
• الحد من الثغرات الأمنية واختبار الاختراق. يمكنك تحديد المخاوف الأمنية الأساسية في البداية من خلال إجراء عمليات فحص للثغرات الأمنية. يمكن أن يسهم إصلاح تكوينات قواعد البيانات السيئة، وسياسات كلمات المرور الضعيفة، وإلغاء كلمات المرور الافتراضية، وتأمين نقاط النهاية والشبكات في تقليل المخاطر فورًا بأقل تأثير في الإنتاجية أو فترات التعطل. استعن بمتخصصي اختبار الاختراق لمحاولة اكتشاف الثغرات الأمنية في جميع جوانب التطبيقات الجديدة والقديمة، والبنية التحتية لتكنولوجيا المعلومات التي تقوم عليها سلسلة التوريد، وحتى الأشخاص، من خلال محاكاة هجمات التصيد الاحتيالي وفريق الهجوم الأحمر.
• الرقمنة والتحديث. من الصعب تأمين البيانات إذا كنت تعتمد على الورق والهاتف والفاكس والبريد الإلكتروني في معاملات الأعمال. تُعد رقمنة العمليات اليدوية الأساسية أمرًا أساسيًا. توفر الحلول التقنية التي تسهل التحول من العمليات اليدوية والورقية وتضفي الأمان والموثوقية والحوكمة على المعاملات الأساسية لحركة البيانات الآمنة داخل المؤسسة ومع العملاء والشركاء التجاريين. عند تحديث عمليات وبرمجيات الأعمال، يمكنك الاستفادة من التشفير، والترميز، ومنع فقدان البيانات، ومراقبة الوصول إلى الملفات واستقبال التنبيهات بشأنها، وتزويد الفرق والشركاء بالوعي والتدريب الأمني.
• تحديد البيانات وتشفيرها. يجب أن تتضمن برامج حماية البيانات وسياساتها استخدام أدوات الاكتشاف والتصنيف لتحديد قواعد البيانات والملفات التي تحتوي على معلومات العملاء المحمية وبيانات مالية وسجلات خاصة. بمجرد تحديد موقع البيانات، يسهم استخدام أحدث المعايير وسياسات التشفير في حماية جميع أنواع البيانات في أثناء التخزين والنقل – مثل بيانات العملاء، والبيانات المالية، وبيانات الطلبات، والمخزون، وإنترنت الأشياء (IoT)، والبيانات الصحية وغير ذلك الكثير. يُجرى التحقق من الاتصالات الواردة، وفحص محتوى الملفات في الوقت الفعلي. توفر التوقيعات الرقمية والمصادقة متعددة العوامل وإنهاء الجلسات ضوابط إضافية عند إجراء المعاملات عبر الإنترنت.
• الضوابط المصرح بها لتبادل البيانات ورؤيتها. تضمن شبكات الأعمال متعددة المؤسسات تبادل المعلومات بشكل آمن وموثوق بين الشركاء الإستراتيجيين باستخدام أدوات للتحكم في الوصول القائم على المستخدمين والأدوار. تُعد ممارسات أمن إدارة الهوية والوصول ضرورية لمشاركة البيانات الخاصة والحساسة بأمان عبر نظام بنائي واسع، بينما يؤدي اكتشاف الثغرات الأمنية والحد منها إلى تقليل خطر الوصول غير المصرح به وحوادث الاختراق. توفر مراقبة نشاط قواعد البيانات ومراقبة المستخدمين ذوي الامتيازات وإصدار التنبيهات الرؤية اللازمة لاكتشاف المشكلات بسرعة. توفر إضافة تقنية سلسلة الكتل إلى شبكة الأعمال متعددة المؤسسات رؤية متعددة الأطراف لسجل مشترك مصرح بالوصول إليه وغير قابل للتغيير، ما يعزز الثقة عبر سلسلة القيمة.
• الثقة والشفافية والمصدر. مع وجود منصة لسلسلة الكتل، بمجرد إضافة البيانات إلى السجل، لا يمكن التلاعب بها أو تغييرها أو حذفها، ما يساعد على منع الاحتيال وتوثيق المصدر ومراقبة جودة المنتجات. يمكن للمشاركين من مؤسسات متعددة تتبع المستندات والمنتجات من المصدر إلى العميل أو المستهلك النهائي. تُخزن جميع البيانات في سجلات سلسلة الكتل، وتكون محمية بأعلى مستوى من التشفير المتاح تجاريًا والمقاوم للتلاعب.
• إدارة مخاطر الجهات الخارجية. مع تزايد الروابط والارتباطات المتبادلة بين الشركات والجهات الخارجية عبر النظام البنائي لسلسلة التوريد، تحتاج المؤسسات إلى توسيع تعريفها لإدارة مخاطر الموردين بحيث تشمل الأمان الشامل. وذلك يسمح للشركات بتقييم المخاطر وتحسينها ومراقبتها وإدارتها طوال مدة العلاقة. ابدأ بجمع فرق الأعمال والتقنية لديك مع الشركاء والموردين لتحديد الأصول الحساسة والأضرار التي قد تلحق بعمليات الأعمال في حال حدوث انتهاك للامتثال، أو توقف النظام، أو اختراق أمن البيانات الذي لا يخفى عن العامة.
• تخطيط الاستجابة للحوادث وتنسيقها. يُعد الاستعداد الاستباقي للاختراق أو التوقف أو التعطل ووضع خطة فائقة للاستجابة للحوادث أمرًا حيويًا. تسهم خطط الاستجابة والمعالجة المجربة والمختبرة والتي تُنفذ بسهولة في منع خسارة الإيرادات والإضرار بالسمعة وفقدان الشركاء والعملاء. توفر المعلومات الاستخباراتية والخطط مقاييس ودروسًا يمكن لمؤسستك وشركائك استخدامها لاتخاذ قرارات تهدف إلى منع وقوع الهجمات أو الحوادث مرة أخرى.

سيواصل أمن سلسلة التوريد التطور ليصبح أكثر ذكاءً. على سبيل المثال، بدأت الحلول في دمج الذكاء الاصطناعي لاكتشاف السلوكيات المشبوهة بشكل استباقي من خلال تحديد الحالات الشاذة والأنماط والاتجاهات التي تشير إلى وصول غير مصرح به. يمكن للحلول المدعومة بالذكاء الاصطناعي إرسال تنبيهات للاستجابة البشرية أو التصدي للمحاولات تلقائيًا.

كيف تعمل الشركات على ضمان أمن سلسلة التوريد في الوقت الحالي؟

سجلت IBM Sterling Supply Chain Business Network رقمًا قياسيًا جديدًا في معاملات الأعمال الآمنة في سبتمبر من هذا العام، بزيادة قدرها 29% عن سبتمبر 2019، وهي تساعد العملاء حول العالم على إعادة بناء أعمالهم بالأمان والثقة رغم الجائحة العالمية.

أكملت شركة تقديم خدمات تحويل الأموال الدولية Western Union أكثر من 800000 مليون معاملة في عام 2018 للعملاء من الأفراد والشركات بسرعة وموثوقية وأمان من خلال بنية تحتية موثوقة لتحويل الملفات.

استخدمت شركة بيع الأزياء Eileen Fisher منصة تنفيذ طلبات ذكية ومتعددة القنوات من أجل إنشاء مجموعة واحدة للمخزون عبر القنوات، ما أدى إلى تحسين الثقة في بيانات المخزون وتنفيذ الطلبات بشكل أكثر مرونة وتقليل تكاليف جذب العملاء.

توصل منظومة سلسلة الكتل Farmer Connect مزارعي القهوة بالمستهلكين الذين يخدمونهم بشفافية، من خلال منصة سلسلة كتل تدمج أمن الشبكة والبيانات لزيادة الثقة والأمان وضمان المصدر.

استبدلت شركة الخدمات المالية Rosenthal & Rosenthal مناهجها المتعددة المتبعة في خدمات تبادل البيانات الإلكترونية (EDI) بشبكة أعمال متعددة المؤسسات آمنة وقائمة على السحابة، ما قلل من تكاليفها التشغيلية مع تقديم خدمة سريعة الاستجابة وفائقة الجودة لكل عميل.

تلتزم شركة الخدمات اللوجستية المتكاملة VLI بالعديد من لوائح الامتثال والسلامة الحكومية، وتسمح لموظفيها البالغ عددهم 9000 موظف بالوصول إلى الأنظمة المناسبة في الوقت المناسب لأداء مهامهم، باستخدام مجموعة متكاملة من حلول الأمان التي تحمي أعمالها وأصولها وتتحكم في وصول المستخدمين.

يعمل ميناء لوس أنجلوس، أحد أكثر الموانئ البحرية ازدحامًا في العالم، على بناء مركز المرونة الإلكترونية الأول من نوعه المزود بمجموعة من العروض الأمنية التي تهدف إلى تعزيز الوعي وجاهزية نظامه البنائي لسلسلة التوريد من أجل الاستجابة للتهديدات الإلكترونية التي قد تعطل تدفق البضائع.

حلول للحفاظ على أمن سلسلة التوريد

حافظ على أمان بياناتك الأكثر حساسية، بحيث لا يطلع عليها سوى الأشخاص الذين تثق بهم، وتكون غير قابلة للتغيير لمنع الاحتيال ومحمية من مخاطر الجهات الخارجية. دع IBM تساعدك على حماية سلسلة التوريد لديك، مع أمان مجرب عمليًا بغض النظر عن طريقة تنفيذك – سواء في البيئة المحلية أو على السحابة أو على نظام هجين.