制藥公司、批發(fā)分銷商和藥店在COVID-19疫情期間加強了努力，以維護供應(yīng)鏈的完整性。他們非常重視質(zhì)量，因為風險非常高。雖然在如此艱難的時期付出如此多的努力值得稱贊，但他們還不能放松。

隨著世界試圖恢復(fù)正常，現(xiàn)場審計再次成為標準。大多數(shù)公司并沒有放松其質(zhì)量和保密標準。然而，這種誘惑依然存在。由于網(wǎng)絡(luò)攻擊日益增多，盡職調(diào)查比以往任何時候都更加重要。制藥專業(yè)人士應(yīng)該如何審計他們的供應(yīng)鏈？

制藥供應(yīng)鏈中的常見網(wǎng)絡(luò)威脅

制藥行業(yè)容易受到供應(yīng)鏈網(wǎng)絡(luò)攻擊，因為它包含大量數(shù)據(jù)。受保護的健康信息（PHI）每條記錄可賣到185美元，而普通個人身份信息平均售價為164美元。即使是看似有價值的信用卡號碼和聯(lián)系信息，也很少達到兩位數(shù)的價值。

此外，由于供應(yīng)鏈的高度互聯(lián)性，意外停機的風險更為嚴重，這有利于惡意軟件的傳播。例如，在2020年著名的SolarWinds攻擊中，一個單一的威脅組織通過攻擊一個共享軟件供應(yīng)商，成功入侵了多達18,000家企業(yè)。

供應(yīng)鏈有許多活動部件，缺乏全面的可見性。威脅行為者可以輕松地不被發(fā)現(xiàn)地滲透進來。如果他們選擇的戰(zhàn)略目標得當，可以造成廣泛的損害。在冷鏈中的藥品如果不滿足攻擊者的要求，可能會過期或變質(zhì)。

這種短缺已經(jīng)是一個問題，因此專業(yè)人士可能幾乎沒有討價還價的余地。據(jù)助理部長辦公室規(guī)劃和評估辦公室報告，2023年秋季，藥物短缺影響了約18%的人口，即3880萬人。近50%受影響的人停止或延遲使用處方藥或非處方藥。

即使藥店為網(wǎng)絡(luò)威脅做好了準備，他們的供應(yīng)商、服務(wù)提供商、業(yè)務(wù)伙伴和分包商可能沒有。此外，許多仍然使用已知漏洞或不兼容的舊系統(tǒng)，使得最新的安全措施無效。

針對制藥行業(yè)的網(wǎng)絡(luò)攻擊通常導(dǎo)致意外停機、數(shù)據(jù)丟失和法律后果。不僅企業(yè)受到影響，據(jù)一項調(diào)查顯示，57%的醫(yī)療機構(gòu)經(jīng)歷了較差的患者結(jié)果。更高的再入院率、治療延遲和死亡率增加是常見的問題。

供應(yīng)鏈網(wǎng)絡(luò)安全審計的主要階段

制藥專業(yè)人士應(yīng)遵循主要的網(wǎng)絡(luò)安全審計階段，以確保其供應(yīng)鏈保持韌性。

對制藥供應(yīng)鏈中的每個員工和托盤進行全面審計是理想的選擇，但在物流上是不切實際的。決策者應(yīng)通過列出相關(guān)的硬件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息資產(chǎn)來縮小范圍。

網(wǎng)絡(luò)犯罪分子會首先攻擊哪些資產(chǎn)？哪個第三方最易受到外部網(wǎng)絡(luò)威脅？為了理解和優(yōu)先處理事件響應(yīng)流程，領(lǐng)導(dǎo)者必須為所有供應(yīng)商和每個技術(shù)組件分配風險級別。

內(nèi)部威脅往往是管理層最意想不到的人。無論公司是從內(nèi)部還是從第三方服務(wù)提供商那里尋找審計員，都必須核實該人的資質(zhì)以保持誠信。

制藥專業(yè)人士可以通過多種方式確定其供應(yīng)鏈安全措施的有效性。滲透測試模擬網(wǎng)絡(luò)攻擊或漏洞，以識別網(wǎng)絡(luò)、硬件和軟件防御中的漏洞。

紫色團隊演習與此類似，但涉及將模擬網(wǎng)絡(luò)攻擊者與內(nèi)部信息技術(shù)專業(yè)人員對立起來。這種方法揭示了員工培訓(xùn)和事件響應(yīng)程序的有效性。

測試的意義何在，如果負責人不給出評分？采取行動與進行審計同樣重要。決策者必須確定如何改變或升級系統(tǒng)和團隊以解決安全漏洞。

進行供應(yīng)鏈網(wǎng)絡(luò)安全審計的建議

領(lǐng)導(dǎo)者不應(yīng)假設(shè)網(wǎng)絡(luò)攻擊和漏洞的可能性較低，因為他們信任供應(yīng)商。即使是被認為低風險的供應(yīng)商，也容易受到內(nèi)部威脅和漏洞利用的影響，因為網(wǎng)絡(luò)犯罪分子不斷進化。適當延長審計間隔是可以的，但調(diào)查和測試不應(yīng)減少。

現(xiàn)場測試很重要，因為物理防御與網(wǎng)絡(luò)和數(shù)據(jù)安全緊密相關(guān)。不幸的是，現(xiàn)場審計往往不切實際。白宮報告稱，2021年87%的通用高級制藥原料設(shè)施位于海外。盡管自2010年以來離岸外包為醫(yī)療保健行業(yè)節(jié)省了數(shù)萬億美元，但它對可見性產(chǎn)生了不利影響。

如果決策者無法派遣審計員親自訪問關(guān)鍵供應(yīng)鏈點，他們必須適應(yīng)。他們應(yīng)該借鑒COVID-19疫情期間的最佳實踐，當時大多數(shù)制藥公司和藥店被迫遠程審計。

這些評估的頻率通常是定期的，但某些事件需要額外審查。例如，合并和收購結(jié)合了資源、團隊和供應(yīng)商，雙方應(yīng)驗證對方的完整性。地緣政治事件和數(shù)據(jù)泄露也可能需要突然的審計。

制藥專業(yè)人士必須考慮的最后一項是避免供應(yīng)商鎖定。盡管管理多個第三方可能很復(fù)雜，但替代方案更具有挑戰(zhàn)性。不得不繼續(xù)與不符合要求的供應(yīng)商合作并補償其不足，既耗時又昂貴。

制藥專業(yè)人士必須保持警惕

藥物短缺和醫(yī)療保健網(wǎng)絡(luò)攻擊使制藥供應(yīng)鏈成為威脅行為者的寶貴目標。盡管專業(yè)人士在疫情期間為維護完整性和安全性做出了巨大努力，但他們必須保持警惕，以保護其業(yè)務(wù)聲譽和患者安全。

(全文結(jié)束)

相關(guān)知識

如何優(yōu)化供應(yīng)鏈中的健康與安全管理
第三方餐飲供應(yīng)鏈「博菜網(wǎng)絡(luò)科技（上海）供應(yīng)」
武漢食品供應(yīng)鏈「博菜網(wǎng)絡(luò)科技（上海）供應(yīng)」
erp供應(yīng)鏈指哪些行業(yè)類別 ERP供應(yīng)鏈管理涵蓋哪些核心行業(yè)
餐飲供應(yīng)鏈食品安全教育.docx
醫(yī)療保健中的供應(yīng)鏈安全：在不可避免的威脅中生存
保健品行業(yè)的供應(yīng)鏈管理
智能供應(yīng)鏈如何成為醫(yī)藥健康企業(yè)的“護城河”！
餐飲供應(yīng)鏈服務(wù)「博菜網(wǎng)絡(luò)科技（上海）供應(yīng)」
一文全面搞懂供應(yīng)鏈管理（SCM）系統(tǒng)

網(wǎng)址: 如何對制藥供應(yīng)鏈進行網(wǎng)絡(luò)安全審計 http://www.u1s5d6.cn/newsview1130925.html