Η άνοδος του κινεζικού λιανοπωλητή ταχείας μόδας Shein έχει θέσει την ανταγωνίστρια Amazon επί ποδός, αλλά τα σχέδιά της για πώληση αποκλειστικής τεχνολογίας και υπηρεσιών εφοδιαστικής αλυσίδας σε εταιρείες παγκοσμίως έχουν προσελκύσει την προσοχή από αλλού.
Εταιρείες κυβερνοασφάλειας στις ΗΠΑ και ειδικοί εθνικής ασφάλειας προειδοποιούν για το ενδεχόμενο η εταιρεία να κατασκοπεύει την εφοδιαστική αλυσίδα επιδιώκοντας να αυξήσει το παγκόσμιο αποτύπωμά της στον τομέα της εφοδιαστικής.
Το λογισμικό logistics Shein βρίσκεται σε δοκιμή beta με επιλεγμένους πελάτες της εφοδιαστικής αλυσίδας, σύμφωνα με άτομο που γνωρίζει τα σχέδιά του που μίλησε στο CNBC.
Οι κρίσιμες διεπαφές προγραμματισμού εφαρμογών
Η αλυσίδα εφοδιασμού των ΗΠΑ έχει εκατομμύρια κόμβους που συνδέουν εταιρείες όλων των μεγεθών. Οι συνδέσεις καθίστανται λειτουργικές μέσω των διεπαφών προγραμματισμού εφαρμογών ή API.
Το λογισμικό API επιτρέπει στις εφαρμογές να επικοινωνούν μεταξύ τους σε πραγματικό χρόνο και είναι ζωτικής σημασίας για τις εταιρείες logistics να επικοινωνούν με παρόχους εμπορευμάτων.
«Αλλά στις διασυνδέσεις, συχνά δεν εξετάζεται η κυβερνοασφάλεια», δήλωσε στο CNBC ο πρώην ανώτατος αξιωματούχος στη Διοίκηση Ασφάλειας Μεταφορών Λι Κερ, νυν διευθυντής και επικεφαλής πρακτικής μεταφορών και καινοτομίας στο The Chertoff Group.
Κίνδυνοι κατάχρησης δεδομένων
Εμπειρογνώμονες και αναλυτές κυβερνοχώρου λένε ότι η πρόσβαση στα δεδομένα είναι απλούστατη. Συνήθως, οι μικρές εταιρείες έχουν πιο ευάλωτα συστήματα, με πιο αδύναμα πρωτόκολλα. «Υπάρχει τεράστια ενσωμάτωση logistics στον κόσμο της γρήγορης μόδας. Αυτές οι ενσωματώσεις μπορούν να τεθούν σε κίνδυνο για κακόβουλους σκοπούς για να εκτεθούν τα δεδομένα των πελατών ή να διακυβευθούν άλλα συνδεδεμένα συστήματα», είπε ο Κερ.
Σύμφωνα με στοιχεία από την εταιρεία πληροφοριών Logistics Exiger, που παρέχει υπηρεσίες διαχείρισης κινδύνου στην κυβέρνηση των ΗΠΑ και τις βιομηχανίες κρίσιμων υποδομών, υπάρχει ένας πολύπλοκος ιστός οντοτήτων που συνδέονται με τη Shein, υποδηλώνοντας ότι η αλυσίδα εφοδιασμού της είναι πιο εκτεταμένη και πολύπλοκη από ό,τι πιστεύεται.
Τα δεδομένα της Exiger δείχνουν ότι ενώ η Shein έχει 44 άμεσες σχέσεις, όπως με τη μητρική της εταιρεία Zoetop, και αποκαλύπτει πάνω από 5.000 προμηθευτές, μια ανάλυση όλων των προμηθετών της δείχνει ότι συνολικά, 10.821 εταιρείες σε πρώτο επίπεδο, που επεκτείνεται περαιτέρω σε 50.000 και πλέον οντότητες, παγκοσμίως.
Επιτρέποντας στη Shein να ενσωματώσει την τεχνολογία της στις αλυσίδες εφοδιασμού των ΗΠΑ θα μπορούσε να υπονομεύσει το ανταγωνιστικό τοπίο, να παραβιάσει τα ρυθμιστικά πρότυπα και να εισαγάγει μια σειρά από κινδύνους, συμπεριλαμβανομένης της ασφάλειας στον κυβερνοχώρο, δήλωσε στο CNBC ο Ντιούρκτρικ Μακνίλ, διευθύνων σύμβουλος και ανώτερος αναλυτής πολιτικής στη Longview Global, πρώην ειδικός πολιτικής για την Ασία για το Υπουργείο Άμυνας επί Ομπάμα.
Τα ευαίσθητα δεδομένα της εφοδιαστικής αλυσίδας, μπορεί να κατασχεθούν από την κινεζική κυβέρνηση σύμφωνα με τους νόμους της. Αυτή η έκθεση αποτελεί άμεση απειλή για την ακεραιότητα της αλυσίδας εφοδιασμού των ΗΠΑ, καθιστώντας την ευάλωτη σε εκμετάλλευση και χειραγώγηση, σύμφωνα με τον Μακνίλ.
Αποστάσεις από την Κίνα
Η Shein έχει κάνει κινήσεις για να αποστασιοποιηθεί από σχέσεις με το κινεζικό κράτος. Το 2022, η Shein μετέφερε την έδρα της στη Σιγκαπούρη. Ωστόσο, οι αλυσίδες εφοδιασμού και οι αποθήκες της εταιρείας εξακολουθούν να βρίσκονται στην Κίνα.
Η κινεζική νομοθεσία απαιτεί τη συνεργασία εταιρειών στην παροχή ευαίσθητων πληροφοριών που σχετίζονται με πολίτες των ΗΠΑ. Ακόμη και με την έδρα της στη Σιγκαπούρη, που κάποιοι θεωρούν προσχηματική, τα δεδομένα της αλυσίδας εφοδιασμού της εταιρείας θα μπορούσαν να υπόκεινται σε κατάσχεση από τους Κινέζους.
Υπάρχουν πιστοποιήσεις που παρέχονται από τρίτους ώστε εταιρείες να αποδεικνύουν ότι οι έλεγχοι ασφάλειας πληροφοριών τους πληρούν τα αποδεκτά εταιρικά πρότυπα, αλλά και πιστοποιήσεις ISO 27001 το ISO 27701, που είναι τα διεθνή βιομηχανικό πρότυπα για συστήματα διαχείρισης ασφάλειας πληροφοριών, για τα οποία η Shein λέει ότι είναι πιστοποιημένη.
«Προσπαθούμε να περιορίσουμε τη συλλογή δεδομένων μας στον ελάχιστο όγκο πληροφοριών που είναι απαραίτητος για την επεξεργασία εμπορικών συναλλαγών», δήλωσε ο Shein σε μήνυμα στο CNBC. «Έχουμε δημιουργήσει συστήματα σύμφωνα με κορυφαία πλαίσια προστασίας δεδομένων, όπως το πρότυπο 27001 και 27701», ανέφερε. Η Shein είπε στο CNBC ότι διαθέτει και σχετικές πιστοποιήσεις από ανεξάρτητους ελεγκτές.
Η έρευνα του CNBC δεν βρήκε καμία πιστοποίηση για την Shein ή την μητρική της.
Αποθήκευση ευαίσθητων δεδομένων τοπικά
Για να κατευνάσει τις ανησυχίες για την εθνική ασφάλεια, η Shein έχει δημιουργήσει αποθήκευση δεδομένων σε αντίστοιχες αγορές σε άλλες χώρες. Στις ΗΠΑ αποθηκεύει δεδομένα πελατών στο cloud Azure της Microsoft και στο cloud της AWS. Στην ΕΕ, τα δεδομένα πελατών αποθηκεύονται στη Φρανκφούρτη. Τα δεδομένα που αποθηκεύονται στην Κίνα καλύπτουν τη διαχείριση βιομηχανικών προμηθευτών και το ψηφιακό σύστημα εμπόρων.
Ο Ραμ Μπεν τζιόν, συνιδρυτής και Διευθύνων Σύμβουλος της ψηφιακής πλατφόρμας ελέγχου για το παγκόσμιο εμπόριο Publican, είπε στο CNBC ότι είναι πιθανό η Shein και η κινεζική κυβέρνηση να κάνουν κατάχρηση δεδομένων της αλυσίδας εφοδιασμού και καταναλωτών σε μια προσπάθεια να αναδειχθεί η Shein ως παγκόσμιος πάροχος logistics στην εντεινόμενη οικονομική μάχη μεταξύ των ΗΠΑ και της Κίνας.
Τα πρωτόκολλα κυβερνοασφάλειας της Shein έχουν δεχθεί στο παρελθόν πυρά και έχει υποστεί κυρώσεις στις ΗΠΑ για παραβίαση δεδομένων Αμερικανών πολιτών.
Πηγή: ot.gr