從Intel與AMD的競爭來探討供應鏈風險管理

戈耳狄俄斯之結

根據傳說，亞歷山大大帝在西元前333年帶領著他的軍隊行經戈耳狄俄斯，他在此地看到了一輛馬車的車架上綁著”許多糾纏緊密的結，以至於無法分清源頭，也無法得知是如何繫緊的”。亞歷山大著迷於眼前所見，並試圖去解開這個世人都無法解開的結；但一如往常的，沒有人可以解開這個結。他沒有繼續嘗試，而是退後一步，一劍將結劈成兩半。

綜觀來說，今天全球供應鏈的複雜度絕對不下於戈耳狄俄斯之結，但是沒有任何人，任何企業甚至任何國家具備亞歷山大大帝一劍將其斬斷的能力與決心。

這些年來，企業打著”Just-In-Time”與”Building-On-Demand”的大纛，不遺餘力底建立起高度互動，緊密結合的零庫存供應鏈以提升效率，降低成本。不論是上下游廠商間的貨品與資訊流通，及最後到終端客戶，其間的細節與細節已是環環相扣密不可分。

不幸的是：這種高度共生體系的高效率也正是它最大的弱點，因為任何一個環節的問題都可能變成整條供應鏈的問題。最近某封測廠的產線由於惡意程式入侵停擺而導致的供應鏈失序現象，相信國內所有半體體相關業者應該都是點滴在心頭。

不知不覺間，現代企業的競爭力已從企業自身的能力(技術/價格/產能)擴大到企業對供應鏈的掌控度了，以下就是一個例子。

AMD因無法有效掌握供應鏈而摔落神壇

2021年原本應該是AMD的大年，AMD藉著台積電的先進製程，處理器效能領先了Intel一個世代，藉著製程的優勢，AMD持續對死對頭Intel步步進逼，業界分析師在年初更樂觀預估，今年AMD在CPU的市占率可望從2020年的10%進一步激增30%到13%，前途一片光明。

然而事情卻在此時急轉直下，Intel為避免PC和伺服器領域的市佔流失到AMD，透過商業佈局，悄悄鎖定CPU製作中一個不起眼元件(ABF載板)的大部分產能。

「AMD拿不到載板，AMD執行長Lisa Su在公司內震怒，」一名資深科技分析師透露。一片小小的載板，著實讓AMD重重摔了一跤。

企業除了檢視供應鏈的產能危機，也需注意供應鏈廠商的資安風險

透過上述的事件，我們可以了解到如今企業與其供應鏈的關係已密不可分，企業眾多關鍵命脈已交付於供應鏈手上，若是無法有效且透明的掌握複雜供應鏈其中的資訊，我們如何能放心的與眾多上下游廠商來往並互相信賴，如同AMD無法掌握供應鏈的供貨情形，供應鏈能帶來的風險是我們無法想像的；我們可以藉由與供應鏈之間的緊密合作，打造高效的市場供貨流程，同時間，若不重視供應鏈的風險，在緊密合作的同時，也會有很大機會遭其反噬。

而供應鏈風險管理並非僅是關注在供應鏈供貨層面，另一層常被企業所忽略的是供應鏈廠商的資安風險管理(3rd-Party Risk Management)，像是去年非常嚴重的SolarWinds Orion供應鏈資安事件，影響層面不僅是企業本身，甚至影響到美國政府機構。過去兩年內駭客組織的活躍，資訊安全的危機眾所皆知，被滲透和入侵的企業比比皆是(除上述封測廠外，還包括了國內多家高科技大廠)；我們以往信賴且密切合作的供應鏈廠商，在不透明和資訊不流通的情況底下，已經無限度底擴大了企業的被攻擊面(Attack Surface)。

在供應連安全管理上，數位資安公司建議企業可以這麼做：

一、 瞭解您的第三方/第四方合作廠商

很多時候企業連第三方合作廠商是誰都不見得清楚，更別說是合作廠商的合作廠商(第四方)了。企業必須要能夠快速掌握與所有夥伴之間的合作模式與關係，以控制損害的範圍。

二、 充分掌握聯絡窗口

非常重要但常常被忽視的一件小事: 確保您知道如何聯繫合作夥伴，知道誰才是對的聯絡窗口。對於企業及其合作廠商而言，隨時更新的聯絡資訊對於事件發生時能否快速溝通至為重要。聯絡資訊的檢核與更新是第三方風險管理(Third Party Risk Management, TPRM)過程中的一部分，除了直接接觸的承辦窗口外，也需更全面的了解合作部門及其相關的業務關係。

三、 緊急開關(Kill-Switch)的設置

企業該為每一家合作廠商設立類似的緊急開關(Kill-Switch)策略，該策略應基於與各廠商間的業務關係與合作模式而訂定，包括相關文件與執行步驟並能有效的快速移交作業，避免單一供應鏈阻斷其他業務往來。

四、 通報系統的自動化

當企業需要告知成千上百家合作廠商一件可能發生的資安風險時，成敗的關鍵因素在於通報的速度。只有使用自動化系統的企業才能將事件訊息，補強措施與建議迅速傳遞予所有第三方甚至第四方的合作夥伴。簡單說：如果 貴公司的第三方風險方案全得靠人工來執行，那麼；You have a problem。

五、 持續性不中斷的監控

隨著網路威脅的不斷變化、以及企業與合作廠商數位資產的快速成長，駭客透過第三方發動間接攻擊的事件層出不窮。因此，任何第三方風險的管控都不是做過一次就可高枕無憂的，必須持續性的監控與評估才能發揮效用。

上述策略皆為企業第三方資安風險管控(3rd Party Risk Management, TPRM)計劃的重點，所有組織與企業皆能夠透過對第三方資安風險計畫的重新審視，進而強化企業的資安體質以及對於類似事件的抵抗力。

深入了解關於供應鏈風險管理：Panorays

如有任何資安相關需求，歡迎隨時與我們聯絡！

www.iSecurity.com.tw   |   (02) 7702-1088  | 數位資安系統股份有限公司