【警示教育】警惕!供应链窃密漏洞不可不防

政务   2024-12-19 19:09   黑龙江  


供应链是现代经济的重要形态,当前全球产业竞争已经进入“链时代”。但随着大国博弈的升级,近年来,国内外针对我国供应链的窃密活动层出不穷,这种通过外围逐步渗透的窃密案件的数量和复杂度都在增加,给机关单位带来的安全保密风险也越来越大,亟须防微杜渐,堵塞漏洞。

典型案例

供应链窃密是一种通过入侵软件或硬件供应链中的弱点,将恶意软件或硬件植入业务系统,或利用单位供应商公司职员通过社会工程学收集情报,进而窃取单位机密的窃密手段。供应链窃密主要通过以下三种方式。

针对软件供应链的窃密。软件供应链窃密是利用软件开发、部署过程中的弱点,采取钓鱼攻击、恶意广告、社会工程学等方式,向软件中注入恶意代码或者控制代码,窃取党政机关、研究机构、国有企业的机密。被攻击者一般极难发现恶意代码或远程控制代码,因为它们往往隐藏在正常的软件之中,窃密行为较难发现。

震网病毒作为供应链攻击的经典案例,在2003年至2011年期间,严重拖慢伊朗核武器进程,导致伊朗在七八年时间内一直被离心机故障困扰,数千台提纯浓缩铀离心机被破坏,大量核原料被浪费。由于伊朗无法制造离心机,大量宝贵的外汇资金被消耗在进口离心机零部件上,核计划完全脱离预定轨道。早在攻击伊朗铀离心设施之前,北约网络情报部门就网络入侵了多家伊朗主要国防工业厂商,包括伊朗工业设施自动化系统生产商和水电、石化工业自动化企业等供应商、软件开发商,在其内网投放了火焰、毒曲病毒。美国情报部门通过火焰蠕虫的漏洞攻击、加密压缩、信息盗取等模块,窃取了大量伊朗核设施设计图、开发文件,窃取到的情报信息多到甚至能完整仿真搭建一套伊朗核设施工厂的数据采集和监视控制系统。




针对硬件供应链的窃密。硬件供应链窃密是指攻击者在硬件制造或分发的过程中对硬件设备进行恶意植入或修改,来实现未经授权的远程访问或控制,从而窃取机密信息,其手段包括在生产线上添加恶意硬件模块、窃取设备并植入恶意模块、在设备运输或存储过程中恶意植入等方式。硬件供应链窃密由于成本较高,通常由具有国家或国际犯罪组织背景的机构实施,且极难发现。


例如,2016年维基解密泄露的美国中央情报局文件显示,在其开发的一款名为“NightSkies1.2”软件的使用说明手册中,明确提到“载入程序/植入工具”模块的用法是:需结合对目标供应链的渗透来完成对新出厂特定设备的改造,使用时需派遣特工阻断邮寄和其他发货途径或通过招投标方式,将正常设备拦截下来,再通过开箱、植入恶意代码、重新发货等流程,将正常硬件设备修改为窃密设备。



针对人员的供应链窃密。针对人员的供应链窃密是指利用旧有人际关系或通过与其合作的第三方公司外包人员,拉拢策反内部人员,以工作配合或私人交往的方式来获取秘密的手段。
例如,三星公司曾向韩国国家情报院举报,三星电子半导体事业部门下属事业部一名计划离职的员工,在家办公时疑似访问公司与半导体相关的机密电子文件,并对文件内容进行拍摄,涉嫌窃取公司数百份商业机密文件,随后该员工被逮捕。

工作建议

当前,全球开放自由的商贸体系,让供应链你中有我、我中有你,供应链窃密作为一种新型的风险隐患,亟须引起相关单位的高度重视,并采取积极有效的防范措施,及时消除隐患,堵塞漏洞。


制定严明制度。供应链企事业单位(指为机关单位提供各种服务的企业,包括各类外包人员、产品的提供公司,以及相关的事业单位)应切实担负保密管理主体责任,健全完善保密管理制度,制定严格的操作规范,定期审查和更新供应商,选择具备资质的单位参与工作,确保合作方和第三方严格遵规守矩。同时,加强对外来数据、设备、人员的管理,按照最小化原则,严格控制外来人员接触信息的范围,采取零信任验证技术和多层防御策略,对人员和行为操作进行多维度的综合分析和详细审计,及时处置异常或违规行为。



强化人员管理。供应链企事业单位应严格选配工作人员,对其政治立场、个人品行、日常表现等情况进行背景调查,及时上报从事涉密业务人员的身份信息、保密审查等材料,全面落实签订保密承诺书等规定要求,确保保密义务和管理责任落实到位。

加强教育培训。很多泄密案件的发生都与当事人及其所在单位甚至整个行业系统的保密教育缺失、保密意识不强有关。因此,供应链企事业单位应经常性开展保密案例警示教育和知识常识培训,加强全员的保密意识,及时发现潜在的风险隐患,守护好供应链安全。



END


来源丨保密观
策划编审与资料搜集丨局新媒体团队
声明本平台所引用或转载文章仅供交流学习,如您对相关内容的版权问题存有异议,请您与我方联系删除,谢谢! 





黑龙江测绘地理信息局
洞知自然资源和龙江大事,黑龙江测绘地理信息政务信息发布
 最新文章