企業數位化程度日益加深，資安風險早已不再只是技術部門的專業議題，而是每一位平台經營者不可忽視的核心風險。平台成為攻擊首選目標的原因並非資料價值較高，而是因為這些平台往往缺乏制度、警覺性低、應變慢，成為攻擊者眼中防禦最薄弱的一環。

資安風險從來不是大公司才會遇到的事，而是所有有用戶資料、有金流、有營運價值的平台都必須面對的基本門檻。問題是，多數平台經營者還停留在一種等被駭再來補破網的心態，把資安當成本、當技術問題、當責任外包，直到資料外洩、品牌受損、合作中斷，才發現這一切從來都是經營者該面對的管理風險。

今年，第三方資料外洩事件的參與率翻了一番，從15%上升到近30%。為此，許多組織更加重視第三方風險管理，並仔細檢視其供應商的安全實務。然而，許多組織仍然忽略了一個關鍵的漏洞：第四方風險。

第四方供應商的無聲威脅

大多數組織僅專注於其直接相關的供應商，而忽略了深入了解這些供應商依靠誰來提供服務。

第四方風險尤其棘手，因為它們更難發現。除非您的供應商披露，否則您甚至可能不知道它們的存在。無論如何，如果第四方漏洞導致資料外洩或營運中斷，監管機構和客戶都會追究您的組織的責任。

現實情況是，您最關鍵的供應商往往構成最大的風險，因為他們深深植根於您的運營，並且通常依賴各種子處理者來提供服務。無論您的供應商以何種方式存取您的環境——無論是透過硬體、軟體、本地部署、傳統技術還是雲端——都可能帶來風險。要管理這些風險，首先要注意以下數據：

收集哪些數據以及為什麼？了解您的供應商及其子處理器代表您收集的特定資料、收集這些資料的目的以及這些資料是否對提供服務有必要。

數據流向何處？繪製資料流程圖，了解您的資料在第四方之間傳輸的位置，並識別隱私或安全法律較弱的司法管轄區。

誰將存取數據？識別所有直接或間接存取您資料的實體（包括子處理器），並評估其控制措施。

資料會保留多久？確定供應商供應鏈中的保留和刪除措施，防止資料殘留在未知或不安全的位置。

資料在其整個生命週期中如何受到保護？評估第三方和第四方用於保護資料的加密、存取控制和安全標準。

雖然許多組織已採取措施加強第三方風險管理，但僅僅關注直接供應商關係是不夠的。第四方風險通常隱藏在您現有的供應鏈安全實務中，形成盲點，可能損害您的整體安全態勢。

組織應執行傳遞義務

管理第四方風險最有效的策略之一是在供應商合約中強制執行轉嫁義務。這意味著要求您的供應商要求其供應商及其供應商的供應商遵守與您相同的安全和隱私合規標準。

假設您的組織要求直接供應商實施特定的加密標準，定期接受安全審計，將資料保留期限限制在指定期限內，並在規定的時間內報告安全事件。在這種情況下，這些要求應該適用於您的供應商所聘用的任何分包商。雖然對於任何資源有限的組織來說，維持第四方盡職調查似乎是一項艱鉅的任務，但應該在供應商合約中將這一負擔分配給第三方。

每個供應商合約應該包含什麼內容？

供應商存取管理始於基於以下原則的合約：遵循數據、落實問責、最大程度降低剩餘風險。建立您的供應商協議，以達到以下目標：

揭露子處理器：要求您的供應商揭露他們用來存取您的資料或系統的任何子處理器（因為他們在GDPR下有法律義務），確保您可以在資料流向的任何地方追蹤風險。

強制快速事件通知：如果涉及其分包商的任何安全事件可能影響您的系統或數據，供應商必須快速通知您。

保留審計權：保留審計供應商和分包商合規性的權利，包括確認指定身分而非共享帳戶的能力。

控制離職：確保所有存取權限隨著合約終止或不活動而過期，以防止揮之不去的風險。

強制傳遞義務：供應商必須要求分包商滿足相同的安全和合規標準。

將這些要求正式化，可以建立起一條責任鏈，顯著降低因分包商未能達到標準而導致安全事件被忽視的風險。如果無法強制執行，即使是口頭承諾或誇大的保險範圍也毫無意義。

確保整個供應鏈

為了維持領先地位，企業必須超越直接供應商的管理，並實施可執行的控制措施，並將這些控制措施層層遞進，涵蓋整個分包商鏈。透過嵌入傳遞義務、加強監督，並採取基於風險的分層方法，企業可以彌補盲點，建立一個設計上具有韌性的供應商生態系統，並隨時準備應對未來的任何威脅。

不要等事情發生才開始開會討論。災難處理從來不是「臨場發揮」，而是「事前演練」。資安不是靠技術救火，是靠管理防火。