Az elmúlt években oly mértékben fordult fel a nemzetközi szállítmányozás és fuvarozás üzleti környezete, hogy a józan életű szakmabeli az ellenségének se kívánná azt. Már a látszólag békés beszállítói láncok is magukra vonják a kémelhárítással foglalkozó szervezetek figyelmét a paranoiássá vált Kína–USA viszony miatt.
A fast fashion legújabb bajnoka, a Shein elektronikus piactér beindította a riadócsengőt a piacát féltő Amazonnál, ám ez nem nagyon rázta meg a kínai vállalatot. Legújabb ajánlata azonban olyan amerikai szervezetek figyelmét keltette fel, amelyek alkalmazottaival senki sem szeretne találkozni a sötét utcán – derül ki a CNBC elemzéséből.
Az ügyhöz közel álló források kiszivárogtatásából kiderült, hogy a vállalat több cégénél teszteli beszállítóilánc-támogató szoftverének béta változatát. Amerikai biztonsági cégek és nemzetbiztonsági szakértők azonnal szagot fogtak, hogy itt valami olyasmi történik, ami számot tarthat az érdeklődésükre.
Egy ilyen szoftver ugyanis betekintést nyújthat azoknak a cégeknek az adataiba, illetve ügyféladatbázisába, amelyek telepítik. Ez a mai világban egyet jelent azzal, hogy a Shein technológiáján keresztül közvetve a kínai állam próbálhat információkat kibányászni a vállalatok tudásából.
Nem kellően biztonságosak a beszállítói láncok
Az Egyesült Államok vállalatainak beszállítói hálózata óriási kiterjedésű, számtalan érintkezési ponttal a legkülönbözőbb méretű vállalatok között. Ezeket a kapcsolatokat manapság application programming interfaces (API) szoftverek hozzák össze, amelyek lehetővé teszik, hogy a cégek alkalmazásai valós időben kommunikáljanak egymással.
A logisztikai vállalatok és a szállítási ágazat más cégei, fuvarozók, szállítmányozók ezek segítségével folytatják az információcserét, ami működésben tartja a beszállítói láncokat. Az API-k részei a logisztikai infrastruktúrának, miközben gyakran nincsenek kellően felkészítve a kiberbiztonsági kockázatok kezelésére – mondta Lee Kair, a szállítás technológiai biztonságával foglalkozó szakember.
A szakértők úgy látják, hogy a folyton változó szereplőkkel működő ellátási láncok tele vannak olyan pontokkal, amelyeken keresztül a “kíváncsiskodók” beférkőzhetnek a cégek informatikai rendszerébe. Csak azt kell kitapogatniuk, hogy hol van egy-egy vállalat adatvédelmének gyenge pontja. Jellemzően a kisebb cégek azok, amelyek réseket kínálnak az egész hálózat biztonságán.
Végeláthatatlanul nagy a Shein mögötti cégháló
A beszállítói láncokkal kapcsolatos hírszerzéssel foglalkozó, időnként az amerikai kormánynak is dolgozó Exiger vállalat szerint a Shein 44 közvetlen összeköttetéssel kapcsolódik a hátterében lévő cégpókhálóhoz. Ezek között az olyan alapvető viszonyokat kell érteni, mint az anyavállalatával, a Zoetoppal működő összeköttetés.
Ez a kapcsolatrendszer első látásra kiegészül egy ötezer cégre kiterjedő beszállítói háttérrel. Jobban szemügyre véve már majdnem 11 ezer vállalatot látunk az első szinten, majd mélyebbre ásva több mint 50 ezer beszállítót fűz össze a cégháló. Ebben aztán már jelentős egyesült államokbeli vállalatok is megtalálhatók.
“Ha a Sheinnek megengedik, hogy beszállítóilánc-kezelő rendszere megjelenjen az amerikai vállalatoknál is, azzal utat nyitnának az ipari kémkedés előtt, ami teljesen alááshatja a vállalatok közötti nyilvános piaci versenyt” – véli Dewardic McNeal, a Longview Global biztonsági cég igazgatója. Ez alatt azt érti, hogy óriási lehetőség nyílik a céges és az ügyféladatok eltulajdonítására jogos tulajdonosaiktól.
Mi igaz a független biztonsági auditokból?
A Shein igyekezett bebiztosítani magát az ilyen vádakkal szemben. Első lépéskén 2022-ben áttelepítette központját Kínából Szingapúrba. Ez azonban kevés. A kínai törvények megkövetelik az ország vállalataitól, hogy osszák meg ügyféladataikat a belbiztonsági szervezetekkel, amire a költözés orvosságot kínál. A kínai anyaföldön maradt beszállítókra azonban továbbra is vonatkozik.
A szakértők ezért a pénzmosásra utalva úgy nevezik ezt a húzást, hogy “Singapure washing”. Van azonban más megoldás is, amit igénybe vehetnek a cégek. Nevezetesen auditáltathatják ügyféladatbázisaik biztonságát megszerezve az ISO 27001 és az ISO 27701 információbiztonsági tanúsítványt.
A Shein azt állította, amikor a CNBC sajtómunkásai ezzel kapcsolatban megkeresték, hogy igyekeznek a minimálisra korlátozni az ügyfelekről és az azok tranzakcióiról gyűjtött információkat. Emellett informatikai rendszerüket az említett két ISO-standad követelményeinek megfelelően építették ki.
Ezzel azonban van egy kis bibi – derítették ki a hírportál munkatársai.
Ezzel indul cikkünk második része.