为增强供应链安全，美国将设立“国家供应链完整性之月”

当地时间4月1日，美国国家反情报与安全中心 (NCSC) 及其政府和行业合作伙伴推出第4次“国家供应链安全完整性之月(National Supply Chain Integrity Month)”活动，呼吁国内组织机构采取措施，增强对抗国外竞争对手及其它潜在风险的能力。

据介绍，NCSC 是位于国家情报总监办公室内的中心，是美国反情报和安全专业知识的主要来源，也是保护美国免受外国和其它对抗性威胁的可信赖任务合作伙伴。

在整个4月，NCSC 携手美国国土安全部网络安全和基础设施安全局 (CISA)、联邦通信委员会 (FCC)、国防部卓越安全发展中心 (CDSE)、美国国家采购官员协会 (NASPO) 和国家县级协会 (NACo) 和其它合作伙伴提高美国供应链威胁意识并共享风险缓解信息。这些合作伙伴将联合政府、行业和学术界的利益相关者规划一系列公开和非公开活动，增强供应链风险管理。

NCSC 代理总监 Michael Orlando 指出，“如果新冠肺炎疫情和因此而导致的产品短缺还不足以唤醒我们，那么最近针对美国行业和政府的软件供应链攻击应当被视为行动号角。我们必须增强供应链的弹性、多样性和安全性。这关乎国家的生死存亡。”

为了帮助行业和政府利益相关者更好地应对这一风险，NCSC 在专门的供应链网站上发布了新的供应链风险管理资源。其中，该网页提供了大量关于供应链威胁和最佳实践的信息，以及相关合作伙伴机构提供的资源。另外，NCSC 还将在本月为信息和通信技术 (ICT) 行业、制造和生产行业、医疗行业和能源行业的供应链风险管理提供行业指南。

外国对手对美国供应链的利用

报道指出，虽然生产短缺、贸易摩擦、自然灾害和其它不可预知的活动都对美国的全球供应链带来压力，但外国对手利用美国供应链中漏洞的行为带来了不同的反情报和安全威胁。

报道指出，外国对手正在不断利用企业和受信任供应链当作攻击向量，实施间谍、信息盗取和勒索活动。为此，这些对手攻陷美国政府和行业赖以生存的产品和服务，导致知识财产、工作、经济优势和军队优势消失殆尽。

例如，在过去十年中，国家黑客攻陷软件和信息安全服务供应链窃取知识财产、实施间谍和勒索活动。虽然最近发生的 SolarWinds 事件让软件供应链攻击获得更高的公众关注度，但实际上它不过是最近几年新发生的此类攻击之一。比如，2月份，美国指责朝鲜军队黑客实施网络犯罪活动，经由软件供应链攻击窃取密币；去年10月份，六名俄罗斯军队情报人员被指发动多起网络犯罪活动如2017年发动的 NotPetya 软件供应链攻击，为全球银行、商业、公共事业和物流行业造成数十亿美元的损失。

NCSC 指出，软件供应链攻击尤为隐秘而危险，因为它破坏的是消费者和软件提供商之间的基本信任。消费者正确地适应了仅使用源自授权厂商受信任来源的软件，并立即安装开发人员发布的安全更新。但当下，消费者必须警惕甚至执行这些基本的网络清理任务，因为授权资源可能已失陷。

供应链风险管理基础

虽然不存在解决国家供应链风险的灵丹妙药，但NCSC 建议组织机构最少要考虑如下基本原则，以增强供应链弹性。