Cảnh giác với những rủi ro mạng ngày càng tăng trong chuỗi cung ứng được hỗ trợ bởi Blockchain

Trong nhiều năm, blockchain đã được ca ngợi như là thuốc giải cho gian lận, sự không minh bạch và sự kém hiệu quả trong chuỗi cung ứng toàn cầu. Sổ cái không thể thay đổi, xác minh tự động, niềm tin phân cấp — lời hứa thật hấp dẫn, đặc biệt trong các ngành công nghiệp bị ảnh hưởng bởi hàng giả, mạng lưới logistics phân mảnh và các hệ thống giấy tờ chậm chạp.

Nhưng dưới sự lạc quan công nghệ này là một mối đe dọa ngày càng gia tăng: rủi ro mạng đang gia tăng nhanh hơn so với đường cong áp dụng, và các chuỗi cung ứng tích hợp blockchain giờ đây thấy mình bị lộ ra trước một thế hệ lỗ hổng mới - một số có thể dự đoán, những cái khác thì mang tính cấu trúc sâu sắc. Khi blockchain tiếp tục trưởng thành vượt ra ngoài tài chính và vào sản xuất, dược phẩm, nông nghiệp, năng lượng và bán lẻ, một câu hỏi quan trọng nảy sinh: Liệu các biện pháp phòng thủ mạng của những mạng lưới số-vật lý lai này có theo kịp với tốc độ đổi mới không?

Câu trả lời ngắn gọn: chưa.

Một Bề Mặt Tấn Công Mới: Nơi Blockchain Gặp Gỡ Thế Giới Thực

Khác với các hệ thống CNTT truyền thống, chuỗi cung ứng được hỗ trợ bởi blockchain kết hợp nhiều môi trường phức tạp: công nghệ sổ cái phân tán (DLT), cảm biến IoT, nền tảng đám mây, hợp đồng thông minh, phân tích dựa trên AI, và hàng chục - đôi khi hàng trăm - sự tích hợp của nhà cung cấp.

Sự hội tụ này tạo ra một bề mặt tấn công lớn hơn so với hầu hết các nhà điều hành chuỗi cung ứng quen thuộc với việc xử lý. Trong số những rủi ro cấp bách nhất:

1. Hợp đồng thông minh bị xâm phạm

Hợp đồng thông minh tự động hóa giao dịch và thực thi các quy tắc chuỗi cung ứng. Nhưng một lỗi lập trình duy nhất có thể cho phép kẻ thù thao túng dữ liệu tồn kho, chuyển hướng lô hàng, hoặc gây thiệt hại tài chính mà không bao giờ chạm vào sổ cái cơ bản. Các cuộc kiểm toán gần đây cho thấy hơn một nửa số hợp đồng thông minh chuỗi cung ứng được xem xét trong năm 2023 có chứa các lỗ hổng từ trung bình đến cao.

2. IoT là mắt xích yếu nhất

Cảm biến theo dõi nhiệt độ, độ ẩm, vị trí hoặc tính xác thực của sản phẩm thường chạy trên firmware không an toàn. Kẻ tấn công có thể giả mạo dữ liệu, chèn các lệnh độc hại, hoặc làm quá tải các nút với lưu lượng — làm hỏng các mục blockchain từ nguồn.

3. Quản lý quyền truy cập kém và mối đe dọa từ bên trong

Nhiều blockchain doanh nghiệp là có quyền truy cập hạn chế. Khi các kiểm soát truy cập không được quản lý tốt hoặc không được kiểm toán định kỳ, các hành động nội bộ trái phép có thể không được phát hiện trong nhiều tháng.

4. Cầu nối chuỗi chéo và Cổng API

Khi chuỗi cung ứng mở rộng, các công ty ngày càng phụ thuộc vào cầu nối giữa các chuỗi và API của bên thứ ba. Đây đã trở thành một trong những điểm dễ bị tổn thương nhất của blockchain.

Câu chuyện là rõ ràng: trong khi các blockchain tự nó bền vững, thì cơ sở hạ tầng xung quanh chúng lại không.

Các nhà quản lý đang theo dõi — và các quy định đang trở nên nghiêm ngặt hơn

Khi các rủi ro mạng tích tụ, các nhà quản lý toàn cầu đang thắt chặt sự giám sát của họ đối với cơ sở hạ tầng kỹ thuật số, bao gồm cả hệ sinh thái blockchain.

Tại EU, hai khuôn khổ quy định nổi bật:

DORA: Nghị định về khả năng hoạt động cho tất cả các hệ thống CNTT quan trọng

Mặc dù thường được liên kết với các ngân hàng và công ty fintech, Đạo luật Độ bền hoạt động số (DORA) ngày càng trở nên có liên quan đối với các chuỗi cung ứng — đặc biệt là những chuỗi có liên kết với dịch vụ tài chính, tài chính thương mại hoặc tài sản đã được mã hóa.

Một trong những yêu cầu cốt lõi của DORA là việc tạo ra các danh mục ICT toàn diện. Các doanh nghiệp tích hợp blockchain vào hệ thống vận hành của họ sẽ cần duy trì một sổ đăng ký DORA được cập nhật về thông tin bao gồm các nút, hợp đồng thông minh, các xác minh bên ngoài, nhà cung cấp bên thứ ba và các phụ thuộc ICT liên quan.

Đây không chỉ đơn thuần là tài liệu. DORA yêu cầu bằng chứng về quản trị, khả năng phản ứng sự cố, kiểm tra liên tục và giám sát đầy đủ tất cả các đối tác ICT quan trọng — một thách thức nghiêm trọng đối với các tổ chức hoạt động trong chuỗi cung ứng nhiều lớp.

MiCA: Khung pháp lý về tiền điện tử của Châu Âu, với các tác động đến chuỗi cung ứng

Đối với các chuỗi cung ứng sử dụng tài sản được mã hóa, thanh toán dựa trên blockchain, thanh toán bằng stablecoin hoặc chứng nhận hàng hóa kỹ thuật số, khung MiCA EU giới thiệu thêm các nghĩa vụ tuân thủ.

MiCA ảnh hưởng đến:

các công ty phát hành token được bảo đảm bởi tài sản liên kết với sản phẩm vật lý,

các công ty logistics thực hiện giao dịch bằng stablecoin được quy định,

các nền tảng cho phép tài chính thương mại mã hóa hoặc thanh toán xuyên biên giới.

Tóm lại: các chuỗi cung ứng blockchain liên quan đến các hoạt động tài chính giờ đây phải điều hướng những khu vực quy định nghiêm ngặt.

Tại sao chuỗi cung ứng hiện đang đặc biệt dễ bị tổn thương

Việc áp dụng blockchain trong chuỗi cung ứng đã gia tăng nhanh hơn so với các khoản đầu tư vào an ninh mạng. Nhiều công ty đã chấp nhận DLT như một công cụ tăng cường lòng tin mà không hoàn toàn nhận thức được các yêu cầu về bảo mật của kiến trúc phân tán.

Ba xu hướng thị trường cấu trúc giải thích khoảng cách rủi ro đang mở rộng:

1. Triển khai nhanh, quản trị chậm

Chuỗi cung ứng doanh nghiệp thường nhanh chóng áp dụng các công nghệ mới — nhưng các khuôn khổ quản trị, kiểm toán và tuân thủ lại chậm trễ hàng năm.

2. Sự phân tán nhà cung cấp

Hệ sinh thái blockchain thường liên quan đến hàng chục nhà cung cấp ICT, làm tăng rủi ro phụ thuộc. Nếu ngay cả một nhà cung cấp bị vi phạm, toàn bộ chuỗi sẽ gặp rủi ro.

3. Thiếu hụt kỹ năng

Các chuyên gia hiểu biết cả về kỹ thuật blockchain và an ninh mạng vẫn còn khan hiếm. Khoảng cách tài năng này ảnh hưởng trực tiếp đến khả năng của các tổ chức trong việc ngăn chặn các cuộc tấn công tinh vi.

Một Con Đường Tiến Lên: Những Gì Các Công Ty Cần Làm Ngay Bây Giờ

Các tổ chức tích hợp blockchain vào chuỗi cung ứng nên ưu tiên:

kiểm toán hợp đồng thông minh nghiêm ngặt,

hoàn thành bản đồ ICT và nhà cung cấp phù hợp với yêu cầu DORA,

các tiêu chuẩn an ninh IoT mạnh mẽ hơn,

kiểm tra thâm nhập định kỳ, bao gồm các bài tập đội đỏ,

giám sát chuyên dụng cho các bất thường liên quan đến cầu và API,

giám sát cấp hội đồng về khả năng phục hồi hoạt động kỹ thuật số.

Các tổ chức kiên cường nhất đang tiến tới các khung quản lý rủi ro kỹ thuật số thống nhất, kết hợp bảo mật blockchain, khả năng phục hồi hoạt động và tuân thủ quy định vào một kiến trúc duy nhất.

Suy Nghĩ Cuối Cùng: Blockchain Cung Cấp Hiệu Quả — Kẻ Tấn Công Nhìn Thấy Cơ Hội

Các chuỗi cung ứng được hỗ trợ bởi blockchain hứa hẹn mang lại sự minh bạch và tự động hóa, nhưng các kẻ tấn công cũng đang thích nghi nhanh chóng. Khi Châu Âu chuyển sang các quy định về khả năng phục hồi kỹ thuật số nghiêm ngặt hơn dưới các khuôn khổ như DORA và MiCA, gánh nặng về an ninh mạng ngày càng gia tăng — đặc biệt là đối với các công ty phụ thuộc vào các hệ sinh thái kỹ thuật số ngày càng phức tạp và liên kết với nhau.

Làn sóng sự cố mạng tiếp theo trong chuỗi cung ứng toàn cầu sẽ không nhắm vào sổ cái blockchain. Thay vào đó, chúng sẽ khai thác các điểm yếu: cảm biến, API, cầu nối, khoảng trống trong quản trị và lỗi của con người.

Đối với các doanh nghiệp áp dụng blockchain, thông điệp rất rõ ràng: đổi mới mà không có khả năng phục hồi là một rủi ro mà không chuỗi cung ứng nào có thể chấp nhận.