制藥公司、批發(fā)分銷商和藥店在COVID-19疫情期間加強(qiáng)了努力，以維護(hù)供應(yīng)鏈的完整性。他們非常重視質(zhì)量，因?yàn)轱L(fēng)險(xiǎn)非常高。雖然在如此艱難的時(shí)期付出如此多的努力值得稱贊，但他們還不能放松。

隨著世界試圖恢復(fù)正常，現(xiàn)場(chǎng)審計(jì)再次成為標(biāo)準(zhǔn)。大多數(shù)公司并沒有放松其質(zhì)量和保密標(biāo)準(zhǔn)。然而，這種誘惑依然存在。由于網(wǎng)絡(luò)攻擊日益增多，盡職調(diào)查比以往任何時(shí)候都更加重要。制藥專業(yè)人士應(yīng)該如何審計(jì)他們的供應(yīng)鏈？

制藥供應(yīng)鏈中的常見網(wǎng)絡(luò)威脅

制藥行業(yè)容易受到供應(yīng)鏈網(wǎng)絡(luò)攻擊，因?yàn)樗罅繑?shù)據(jù)。受保護(hù)的健康信息（PHI）每條記錄可賣到185美元，而普通個(gè)人身份信息平均售價(jià)為164美元。即使是看似有價(jià)值的信用卡號(hào)碼和聯(lián)系信息，也很少達(dá)到兩位數(shù)的價(jià)值。

此外，由于供應(yīng)鏈的高度互聯(lián)性，意外停機(jī)的風(fēng)險(xiǎn)更為嚴(yán)重，這有利于惡意軟件的傳播。例如，在2020年著名的SolarWinds攻擊中，一個(gè)單一的威脅組織通過攻擊一個(gè)共享軟件供應(yīng)商，成功入侵了多達(dá)18,000家企業(yè)。

供應(yīng)鏈有許多活動(dòng)部件，缺乏全面的可見性。威脅行為者可以輕松地不被發(fā)現(xiàn)地滲透進(jìn)來。如果他們選擇的戰(zhàn)略目標(biāo)得當(dāng)，可以造成廣泛的損害。在冷鏈中的藥品如果不滿足攻擊者的要求，可能會(huì)過期或變質(zhì)。

這種短缺已經(jīng)是一個(gè)問題，因此專業(yè)人士可能幾乎沒有討價(jià)還價(jià)的余地。據(jù)助理部長(zhǎng)辦公室規(guī)劃和評(píng)估辦公室報(bào)告，2023年秋季，藥物短缺影響了約18%的人口，即3880萬人。近50%受影響的人停止或延遲使用處方藥或非處方藥。

即使藥店為網(wǎng)絡(luò)威脅做好了準(zhǔn)備，他們的供應(yīng)商、服務(wù)提供商、業(yè)務(wù)伙伴和分包商可能沒有。此外，許多仍然使用已知漏洞或不兼容的舊系統(tǒng)，使得最新的安全措施無效。

針對(duì)制藥行業(yè)的網(wǎng)絡(luò)攻擊通常導(dǎo)致意外停機(jī)、數(shù)據(jù)丟失和法律后果。不僅企業(yè)受到影響，據(jù)一項(xiàng)調(diào)查顯示，57%的醫(yī)療機(jī)構(gòu)經(jīng)歷了較差的患者結(jié)果。更高的再入院率、治療延遲和死亡率增加是常見的問題。

供應(yīng)鏈網(wǎng)絡(luò)安全審計(jì)的主要階段

制藥專業(yè)人士應(yīng)遵循主要的網(wǎng)絡(luò)安全審計(jì)階段，以確保其供應(yīng)鏈保持韌性。

對(duì)制藥供應(yīng)鏈中的每個(gè)員工和托盤進(jìn)行全面審計(jì)是理想的選擇，但在物流上是不切實(shí)際的。決策者應(yīng)通過列出相關(guān)的硬件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息資產(chǎn)來縮小范圍。

網(wǎng)絡(luò)犯罪分子會(huì)首先攻擊哪些資產(chǎn)？哪個(gè)第三方最易受到外部網(wǎng)絡(luò)威脅？為了理解和優(yōu)先處理事件響應(yīng)流程，領(lǐng)導(dǎo)者必須為所有供應(yīng)商和每個(gè)技術(shù)組件分配風(fēng)險(xiǎn)級(jí)別。

內(nèi)部威脅往往是管理層最意想不到的人。無論公司是從內(nèi)部還是從第三方服務(wù)提供商那里尋找審計(jì)員，都必須核實(shí)該人的資質(zhì)以保持誠(chéng)信。

制藥專業(yè)人士可以通過多種方式確定其供應(yīng)鏈安全措施的有效性。滲透測(cè)試模擬網(wǎng)絡(luò)攻擊或漏洞，以識(shí)別網(wǎng)絡(luò)、硬件和軟件防御中的漏洞。

紫色團(tuán)隊(duì)演習(xí)與此類似，但涉及將模擬網(wǎng)絡(luò)攻擊者與內(nèi)部信息技術(shù)專業(yè)人員對(duì)立起來。這種方法揭示了員工培訓(xùn)和事件響應(yīng)程序的有效性。

測(cè)試的意義何在，如果負(fù)責(zé)人不給出評(píng)分？采取行動(dòng)與進(jìn)行審計(jì)同樣重要。決策者必須確定如何改變或升級(jí)系統(tǒng)和團(tuán)隊(duì)以解決安全漏洞。

進(jìn)行供應(yīng)鏈網(wǎng)絡(luò)安全審計(jì)的建議

領(lǐng)導(dǎo)者不應(yīng)假設(shè)網(wǎng)絡(luò)攻擊和漏洞的可能性較低，因?yàn)樗麄冃湃喂?yīng)商。即使是被認(rèn)為低風(fēng)險(xiǎn)的供應(yīng)商，也容易受到內(nèi)部威脅和漏洞利用的影響，因?yàn)榫W(wǎng)絡(luò)犯罪分子不斷進(jìn)化。適當(dāng)延長(zhǎng)審計(jì)間隔是可以的，但調(diào)查和測(cè)試不應(yīng)減少。

現(xiàn)場(chǎng)測(cè)試很重要，因?yàn)槲锢矸烙c網(wǎng)絡(luò)和數(shù)據(jù)安全緊密相關(guān)。不幸的是，現(xiàn)場(chǎng)審計(jì)往往不切實(shí)際。白宮報(bào)告稱，2021年87%的通用高級(jí)制藥原料設(shè)施位于海外。盡管自2010年以來離岸外包為醫(yī)療保健行業(yè)節(jié)省了數(shù)萬億美元，但它對(duì)可見性產(chǎn)生了不利影響。

如果決策者無法派遣審計(jì)員親自訪問關(guān)鍵供應(yīng)鏈點(diǎn)，他們必須適應(yīng)。他們應(yīng)該借鑒COVID-19疫情期間的最佳實(shí)踐，當(dāng)時(shí)大多數(shù)制藥公司和藥店被迫遠(yuǎn)程審計(jì)。

這些評(píng)估的頻率通常是定期的，但某些事件需要額外審查。例如，合并和收購(gòu)結(jié)合了資源、團(tuán)隊(duì)和供應(yīng)商，雙方應(yīng)驗(yàn)證對(duì)方的完整性。地緣政治事件和數(shù)據(jù)泄露也可能需要突然的審計(jì)。

制藥專業(yè)人士必須考慮的最后一項(xiàng)是避免供應(yīng)商鎖定。盡管管理多個(gè)第三方可能很復(fù)雜，但替代方案更具有挑戰(zhàn)性。不得不繼續(xù)與不符合要求的供應(yīng)商合作并補(bǔ)償其不足，既耗時(shí)又昂貴。

制藥專業(yè)人士必須保持警惕

藥物短缺和醫(yī)療保健網(wǎng)絡(luò)攻擊使制藥供應(yīng)鏈成為威脅行為者的寶貴目標(biāo)。盡管專業(yè)人士在疫情期間為維護(hù)完整性和安全性做出了巨大努力，但他們必須保持警惕，以保護(hù)其業(yè)務(wù)聲譽(yù)和患者安全。

(全文結(jié)束)

相關(guān)知識(shí)

如何優(yōu)化供應(yīng)鏈中的健康與安全管理
第三方餐飲供應(yīng)鏈「博菜網(wǎng)絡(luò)科技（上海）供應(yīng)」
武漢食品供應(yīng)鏈「博菜網(wǎng)絡(luò)科技（上海）供應(yīng)」
erp供應(yīng)鏈指哪些行業(yè)類別 ERP供應(yīng)鏈管理涵蓋哪些核心行業(yè)
餐飲供應(yīng)鏈?zhǔn)称钒踩逃?docx
醫(yī)療保健中的供應(yīng)鏈安全：在不可避免的威脅中生存
保健品行業(yè)的供應(yīng)鏈管理
智能供應(yīng)鏈如何成為醫(yī)藥健康企業(yè)的“護(hù)城河”！
餐飲供應(yīng)鏈服務(wù)「博菜網(wǎng)絡(luò)科技（上海）供應(yīng)」
一文全面搞懂供應(yīng)鏈管理（SCM）系統(tǒng)

網(wǎng)址: 如何對(duì)制藥供應(yīng)鏈進(jìn)行網(wǎng)絡(luò)安全審計(jì) http://www.u1s5d6.cn/newsview1130925.html