19世纪末,马车是英国许多城市的主要交通工具。然而,随处可见的马粪不仅恶化了空气,还污染了水源,加速了疾病的传播。虽然用了一些铲子、推车等方法进行清理,但当时的技术和方法还不能彻底解决马粪满街的问题。直到机动车的出现,这些城市才能够完全摆脱这种困境,所以当时的困境充其量是可控的。这或许就是当今供应链安全状态所面临的困境。但供应链安全不是问题,因为没有简单的解决方案或方法。供应链安全是一个复杂而混乱的困境,可能需要很长时间才能解决。这不仅仅是语义上的差异。这种区别使人们能够更好地对他们面临的安全挑战进行分类,做出更好的决策,并避免因对给定挑战采取错误方法而感到沮丧。如果供应链安全是一个问题,那么应该有解决方案。然而,无论安全厂商如何关注,都缺乏能够全面应对供应链安全挑战的解决方案。无法改变的事情反映了人们可能难以区分问题和困境。在解决无法实质性改变的困境时,无法知道差异会导致挫败感,这是对时间和资源的浪费。不同的工具应对不同的挑战不知道这些差异也会导致错误的工具选择,或对正确工具的错误期望。用于解决问题的实施工具与用于管理困境的决策支持工具截然不同。著名导演约翰·兰伯特有句名言:“防御者用列表思考,攻击者用图表思考。只要这是真的,攻击者就赢了。”这个格言之间的区别可以很好地概括。不同之处。当人们谈论解决基本的合规问题时,这些问题通常已经解决,并且可以将这些解决方案编纂成法典。解决问题的工具应该能够轻松检查这些列表并确认要解决的常见缺陷。但当涉及到供应链安全等困境时,简单的建议或依靠回答冗长的问卷调查等措施是不够的。一旦收到完整的调查问卷,供应链风险就不会消失。它的困境往往源于相互依赖的组成部分之间复杂的相互作用,这种相互作用几乎是棘手的。困境没有单一的原因,因此也没有单一的解决方案。同样,供应链也紧密交织在一起。在市场上,对外部供应商的依赖并不容易解决。这种依赖性造成了一个持续的风险因素或困境,只有在全新的技术或流程取代当今供应链的运作方式之前才能对其进行管理。映射供应商和关键资产之间的相互依赖关系有助于降低风险和减轻潜在影响。该图不会解决供应链问题,但用图来思考可以让人们理解和管理这种风险。例如,软件物料清单(SBOM)不会消除软件供应链安全问题。但是,它们对于理解依赖关系和管理与您所处困境相关的风险非常有用。在网络安全中,通常很难知道或说清楚它何时“完成”。将问题与困境分开会有所帮助。归根结底,当涉及到符合最新的最佳实践和标准(一个困难但可实现的移动目标)时,它就完成了。但当涉及供应链安全这样的困境时,人们需要知道这种困境可能是长期的。
