亞洲組織要求供應商滿足資安標準 方能建立業務合作關係

亞洲企業正強化對供應商的資安審查，主要因為第三方廠商資安防護不足導致資安事件頻繁發生。

8 月初，日本記憶體製造商鎧俠株式會社（Kioxia Holdings）通知其 3,000 家供應商，將對其資安狀況進行自動化掃描評估，評分最低者必須改善，否則面臨合作終止。今年 6 月，新加坡金融與網路安全機構則提議要求供應商必須取得國家級資安認證，才能參與政府標案。

資安評級服務提供商 SecurityScorecard 的資訊安全長 Steve Cobb 表示，由於供應鏈資安漏洞導致亞洲地區遭受大量的網路攻擊，持續性資安監控已成必要。他指出，駭客能輕易入侵全球市場，主要原因是供應鏈安全長期未受到足夠重視。不過，Cobb 認為轉捩點已經到來，並表示已開始看到一些正面變化生效。

亞太地區網路攻擊事件持續增加，供應商已成為主要目標。IBM「X-Force 2025威脅情報指數」報告顯示，去年亞太地區遭受了全球 34% 的網路攻擊，其中製造業最為嚴重，佔所有攻擊的40%。「2025 SecurityScorecard全球第三方資安事件報告」進一步指出，這類攻擊多利用供應商弱點，日本有 60% 的攻擊涉及第三方廠商，新加坡的比例更高達 71%。

亞太安全合作理事會（CCAPAC）執行總監Lim May-Ann表示，第三方風險管理（TPRM）已成為亞洲企業的必要措施。她強調，定期評估企業資安狀況是維持防禦韌性的關鍵，並建議企業全面盤點供應鏈，同時根據當前網路威脅情勢，採取靈活的風險管理策略。

亞洲中小型供應商生態蓬勃發展

亞洲國家的經濟環境有利於中小型供應商發展，這使第三方風險管理（TPRM）變得更具挑戰性。專家表示，亞洲長期重視全球化與即時製造（just-in-time manufacturing），導致製造、組裝和運送環節之間的互連性和無縫銜接至關重要。

在亞洲國家，供應商資安檢測尤為重要，主要因為這些地區的供應商大多為中小企業。功能和服務的細分化不僅提高了客製化和專業化水準，也促進了中小企業在亞洲蓬勃發展。然而，這也意味著企業必須審核數千家供應商，而每一家都可能成為供應鏈中的潛在安全弱點。

除了鎧俠株式會社將評估 3,000 家供應商和合作夥伴的資安狀況外，日經亞洲報導指出凸版印刷控股也將採取類似方法，透過自動化稽核、現場訪談和檢核表來追蹤 500 家合作夥伴的資安狀況。同時，新加坡政府正考慮要求供應商必須通過該國的「網路安全基礎標章」或「網路安全信任標章」其中一項認證，才能參與政府合約投標。

關鍵供應商必須達標

SecurityScorecard 的資安長 Cobb 指出，資安稽核應從定期評估轉為持續性監控。為達此目標，企業與組織需與供應商建立能強化雙方韌性的合作關係。具體作法包括實地訪查，以及根據供應商的評分等級，針對關鍵供應商收集特定證據。資安評分不僅是評估的良好起點，還能促進與供應商進一步討論如何改善安全防護措施。

人工智慧（AI）實際上已開始應用於第三方風險監控領域。顧問公司安永（EY）的未來藍圖中，自動化代理程式持續追蹤供應商資訊。當網路攻擊、地緣政治變化或極端氣候等事件影響供應鏈時，系統能自動制定風險緩解計畫。

安永指出，疫情、地緣政治緊張及氣候變遷等頻繁的供應鏈中斷事件，凸顯自動化系統的必要性。報告舉例說明，當東南亞供應商出現化學品洩漏或資安漏洞時，系統可即時追蹤相關新聞、評估對企業供應的可能影響，並提供適當的替代來源建議。這正代表第三方風險管理的未來發展方向：以全天候即時監控取代傳統的年度或雙年度風險評估，透過廣泛數據分析建立精準的市場感知能力。

本文轉載自 DarkReading。