如何对制药供应链进行网络安全审计
制药公司、批发分销商和药店在COVID-19疫情期间加强了努力,以维护供应链的完整性。他们非常重视质量,因为风险非常高。虽然在如此艰难的时期付出如此多的努力值得称赞,但他们还不能放松。
随着世界试图恢复正常,现场审计再次成为标准。大多数公司并没有放松其质量和保密标准。然而,这种诱惑依然存在。由于网络攻击日益增多,尽职调查比以往任何时候都更加重要。制药专业人士应该如何审计他们的供应链?
制药供应链中的常见网络威胁
制药行业容易受到供应链网络攻击,因为它包含大量数据。受保护的健康信息(PHI)每条记录可卖到185美元,而普通个人身份信息平均售价为164美元。即使是看似有价值的信用卡号码和联系信息,也很少达到两位数的价值。
此外,由于供应链的高度互联性,意外停机的风险更为严重,这有利于恶意软件的传播。例如,在2020年著名的SolarWinds攻击中,一个单一的威胁组织通过攻击一个共享软件供应商,成功入侵了多达18,000家企业。
供应链有许多活动部件,缺乏全面的可见性。威胁行为者可以轻松地不被发现地渗透进来。如果他们选择的战略目标得当,可以造成广泛的损害。在冷链中的药品如果不满足攻击者的要求,可能会过期或变质。
这种短缺已经是一个问题,因此专业人士可能几乎没有讨价还价的余地。据助理部长办公室规划和评估办公室报告,2023年秋季,药物短缺影响了约18%的人口,即3880万人。近50%受影响的人停止或延迟使用处方药或非处方药。
即使药店为网络威胁做好了准备,他们的供应商、服务提供商、业务伙伴和分包商可能没有。此外,许多仍然使用已知漏洞或不兼容的旧系统,使得最新的安全措施无效。
针对制药行业的网络攻击通常导致意外停机、数据丢失和法律后果。不仅企业受到影响,据一项调查显示,57%的医疗机构经历了较差的患者结果。更高的再入院率、治疗延迟和死亡率增加是常见的问题。
供应链网络安全审计的主要阶段
制药专业人士应遵循主要的网络安全审计阶段,以确保其供应链保持韧性。
1. 确定审计范围对制药供应链中的每个员工和托盘进行全面审计是理想的选择,但在物流上是不切实际的。决策者应通过列出相关的硬件、网络基础设施和信息资产来缩小范围。
2. 分配分类风险级别网络犯罪分子会首先攻击哪些资产?哪个第三方最易受到外部网络威胁?为了理解和优先处理事件响应流程,领导者必须为所有供应商和每个技术组件分配风险级别。
3. 指派信誉良好的审计员内部威胁往往是管理层最意想不到的人。无论公司是从内部还是从第三方服务提供商那里寻找审计员,都必须核实该人的资质以保持诚信。
4. 评估防御有效性制药专业人士可以通过多种方式确定其供应链安全措施的有效性。渗透测试模拟网络攻击或漏洞,以识别网络、硬件和软件防御中的漏洞。
紫色团队演习与此类似,但涉及将模拟网络攻击者与内部信息技术专业人员对立起来。这种方法揭示了员工培训和事件响应程序的有效性。
5. 审查并采取行动测试的意义何在,如果负责人不给出评分?采取行动与进行审计同样重要。决策者必须确定如何改变或升级系统和团队以解决安全漏洞。
进行供应链网络安全审计的建议
领导者不应假设网络攻击和漏洞的可能性较低,因为他们信任供应商。即使是被认为低风险的供应商,也容易受到内部威胁和漏洞利用的影响,因为网络犯罪分子不断进化。适当延长审计间隔是可以的,但调查和测试不应减少。
现场测试很重要,因为物理防御与网络和数据安全紧密相关。不幸的是,现场审计往往不切实际。白宫报告称,2021年87%的通用高级制药原料设施位于海外。尽管自2010年以来离岸外包为医疗保健行业节省了数万亿美元,但它对可见性产生了不利影响。
如果决策者无法派遣审计员亲自访问关键供应链点,他们必须适应。他们应该借鉴COVID-19疫情期间的最佳实践,当时大多数制药公司和药店被迫远程审计。
这些评估的频率通常是定期的,但某些事件需要额外审查。例如,合并和收购结合了资源、团队和供应商,双方应验证对方的完整性。地缘政治事件和数据泄露也可能需要突然的审计。
制药专业人士必须考虑的最后一项是避免供应商锁定。尽管管理多个第三方可能很复杂,但替代方案更具有挑战性。不得不继续与不符合要求的供应商合作并补偿其不足,既耗时又昂贵。
制药专业人士必须保持警惕
药物短缺和医疗保健网络攻击使制药供应链成为威胁行为者的宝贵目标。尽管专业人士在疫情期间为维护完整性和安全性做出了巨大努力,但他们必须保持警惕,以保护其业务声誉和患者安全。
(全文结束)
相关知识
如何优化供应链中的健康与安全管理
第三方餐饮供应链「博菜网络科技(上海)供应」
武汉食品供应链「博菜网络科技(上海)供应」
erp供应链指哪些行业类别 ERP供应链管理涵盖哪些核心行业
餐饮供应链食品安全教育.docx
医疗保健中的供应链安全:在不可避免的威胁中生存
保健品行业的供应链管理
智能供应链如何成为医药健康企业的“护城河”!
餐饮供应链服务「博菜网络科技(上海)供应」
一文全面搞懂供应链管理(SCM)系统
网址: 如何对制药供应链进行网络安全审计 https://m.trfsz.com/newsview1130925.html
