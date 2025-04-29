标签
JP Morgan 直言：软件供应链始终是脆弱的

发布日期 2025年4月29日
本周，JP Morgan 首席信息安全官 Patrick Opet 向行业发出公开信，呼吁优先重视软件供应链安全，这一表态在美国企业界敲响了警钟，但几乎没人觉得这是新鲜事。这则新闻的惊人之处在于，表态者是美国最大（按资产计算）、全球最大（按市值计算）的银行，而金融机构通常并不以大胆直率、直言不讳的表态著称。

此外，Opet 在信中强调了金融等监管更严格、敏感度更高的行业面临的特殊风险，这些行业一旦出现失误，损失可能高达数万亿美元。IBM《2024 年数据泄露成本报告》显示，全球金融行业单次数据泄露的平均成本为 608 万美元，仅次于医疗保健行业的 977 万美元。

“便利性不应再凌驾于管控之上，”Opet 在其 LinkedIn 帖文中表示，并呼吁第三方软件供应商、安全领导者及更广泛的科技界，密切关注可能导致 “潜在灾难性全系统后果” 的 “单点故障”。

这种“便利性”通常体现为数据与流程无缝集成的系统，更新无延迟、无需人工干预——这无疑是企业追求的目标。然而，正如 IBM AI 安全与基础设施首席技术官 Nataraj Nagaratnam 所警告的：“例如，随着 AI 智能体推动 AI 自主应用的普及，确保企业的安全措施与这些创新带来的风险相匹配，比以往任何时候都更为重要。”

软件供应链安全：行动号召

Nagaratnam 在旧金山 RSA 活动现场接受了 IBM Think 的采访，与 40,000 名安全专业人士共同参与了本年度规模最大的网络安全活动之一。Opet 的这封信成为热门话题，引发了广泛争论，同时也让业界意识到，这是推动制定全行业标准、并建立合规衡量机制的行动号召。

目前，这些标准和具体措施究竟应如何制定，尚无定论。但风险之高前所未有。举个例子：为汽车行业提供软件服务的软件供应商 CDK Global 曾遭遇勒索软件攻击，据密歇根州东兰辛咨询公司 Anderson Economic Group 估计，这一事件累计给汽车经销商造成超过 10 亿美元损失。正如 Opet 所言：“以牺牲安全为代价追求市场份额，会让整个客户生态系统面临巨大风险，并将导致经济体系陷入不可持续的境地。”

我们能得出哪些即时启示？IBM 专家从 Opet 的信函及相关争论中提炼出三项行动倡议：

  1. 设计即安全：安全绝不能事后补救。Opet 写道：“供应商必须紧急调整安全优先级，使其与推出新产品同等重要，甚至更为优先。”IBM 网络安全服务全球管理合伙人 Mark Hughes 在近期一份网络安全报告中早已表达过类似观点：“企业需要摆脱临时防御的思维模式，专注于主动防护措施，例如实现身份验证管理现代化、堵塞多因素身份验证漏洞、开展实时威胁搜寻，在隐藏威胁泄露敏感数据前将其揪出。”在 LinkedIn 上回应 Opet 信函的帖文中，Hughes 敦促各公司 “在技术和数据治理的缺口演变为风险切入点之前”，及时加以解决。
  2. 标准化控制措施：IBM Consulting 数据与 AI、量子安全及应用程序安全服务合伙人 Dinesh Nagarajan 表示，SaaS 及其他第三方供应商应采用并遵循标准化控制措施。但他补充道，仅制定衡量软件供应商的标准方法还不够，关键要监测“他们是否遵守相关要求或控制措施”。IBM 已协助制定了全行业通用的云安全控制措施，并与 Cloud Security Alliance 等行业机构合作，专门为金融机构量身打造了云安全方案。在此基础上，IBM 与来自多个大洲的十家银行联合制定了这一方法，供金融机构应用于生成式 AI。
  3. 供应链全流程治理：Nagaratnam 表示，SaaS 提供商与企业应采取整体方法，主动治理和管理安全事宜，并持续监控合规状态。实现这一目标的方式之一，是组织制定并执行自己的网络安全手册，用于识别漏洞、评估风险并减轻事件影响。这些事件响应手册还需明确具体行动的责任归属，例如第三方提供的生成式 AI 解决方案，应由哪一方负责安全保障（并可能承担相应法律责任）。对第三方组件的依赖，要求企业实施严格的监督与控制，并建立“责任共担”意识：供应商需对整个软件堆栈的安全负责，而非仅承担自身部分的责任。

几乎每周都有新的行业工具问世，助力企业开展治理与合规工作。例如，就在昨日，AI 治理平台 Credo AI 与 IBM 合作推出了 watsonx.governance® Compliance Accelerator，可帮助 AI 用例负责人与合规官以更快捷、更自动化的方式遵守各类法规。

IBM 的 Nagarajan 表示，让企业各业务负责人对其使用的技术负责，将大幅提升安全性。“当您让业务负责人对所用技术、技术管理方式、使用目的及安全保障措施承担责任时，安全性自然会得到提升。”

