供应链是现代经济的重要形态,当前全球产业竞争已经进入“链时代”。但随着大国博弈的升级,近年来,国内外针对我国供应链的窃密活动层出不穷,这种通过外围逐步渗透的窃密案件的数量和复杂度都在增加,给机关单位带来的安全保密风险也越来越大,亟须防微杜渐,堵塞漏洞。
典型案例
震网病毒作为供应链攻击的经典案例,在2003年至2011年期间,严重拖慢伊朗核武器进程,导致伊朗在七八年时间内一直被离心机故障困扰,数千台提纯浓缩铀离心机被破坏,大量核原料被浪费。由于伊朗无法制造离心机,大量宝贵的外汇资金被消耗在进口离心机零部件上,核计划完全脱离预定轨道。早在攻击伊朗铀离心设施之前,北约网络情报部门就网络入侵了多家伊朗主要国防工业厂商,包括伊朗工业设施自动化系统生产商和水电、石化工业自动化企业等供应商、软件开发商,在其内网投放了火焰、毒曲病毒。美国情报部门通过火焰蠕虫的漏洞攻击、加密压缩、信息盗取等模块,窃取了大量伊朗核设施设计图、开发文件,窃取到的情报信息多到甚至能完整仿真搭建一套伊朗核设施工厂的数据采集和监视控制系统。
例如,2016年维基解密泄露的美国中央情报局文件显示,在其开发的一款名为“NightSkies1.2”软件的使用说明手册中,明确提到“载入程序/植入工具”模块的用法是:需结合对目标供应链的渗透来完成对新出厂特定设备的改造,使用时需派遣特工阻断邮寄和其他发货途径或通过招投标方式,将正常设备拦截下来,再通过开箱、植入恶意代码、重新发货等流程,将正常硬件设备修改为窃密设备。
针对人员的供应链窃密。针对人员的供应链窃密是指利用旧有人际关系或通过与其合作的第三方公司外包人员,拉拢策反内部人员,以工作配合或私人交往的方式来获取秘密的手段。
例如,三星公司曾向韩国国家情报院举报,三星电子半导体事业部门下属事业部一名计划离职的员工,在家办公时疑似访问公司与半导体相关的机密电子文件,并对文件内容进行拍摄,涉嫌窃取公司数百份商业机密文件,随后该员工被逮捕。
工作建议
制定严明制度。供应链企事业单位(指为机关单位提供各种服务的企业,包括各类外包人员、产品的提供公司,以及相关的事业单位)应切实担负保密管理主体责任,健全完善保密管理制度,制定严格的操作规范,定期审查和更新供应商,选择具备资质的单位参与工作,确保合作方和第三方严格遵规守矩。同时,加强对外来数据、设备、人员的管理,按照最小化原则,严格控制外来人员接触信息的范围,采取零信任验证技术和多层防御策略,对人员和行为操作进行多维度的综合分析和详细审计,及时处置异常或违规行为。
