Рубрика «supply chain»

Пришло время рассказать всю правду о взломе компании RSA - 1

У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году. Эти события навсегда изменили ландшафт мировой индустрии информационной безопасности. А именно, это было первая в истории атака на «цепочку поставок» (supply chain attack), которая вызвала серьёзную обеспокоенность у американских спецслужб, мягко говоря.

Что такое атака на цепочку поставок? Если вы не можете напрямую атаковать сильного противника типа АНБ или ЦРУ, то вы находите их партнёра — и внедряетесь в его продукт. Один такой взлом даёт доступ сразу в сотни серьёзно защищённых организаций. Так произошло недавно с SolarWinds. Но бывшие сотрудники компании RSA смотрят на SolarWinds и испытывают чувство дежавю. Ведь в 2011 году неизвестные хакеры получили доступ к самому ценному, что было в компании RSA — хранилищу сидов (векторов генерации). Они используются для генерации кодов двухфакторной аутентификации в аппаратных токенах SecurID, а это десятки миллионов пользователей в правительственных и военных агентствах, оборонных подрядчиках, банках и бесчисленных корпорациях по всему миру.

Впрочем, обо всё по порядку.
Читать полностью »

Security Week 17: атаки по цепи поставок - 1В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют доверенные каналы связи. Покупка компьютера, который каким-то образом уже заражен, взлом субподрядчика, имеющего доступ к корпоративным ресурсам клиента, распространение зараженной версии ПО с сайта официального разработчика — это типичные примеры атаки на цепочку поставщиков.

Еще серьезнее может быть проблема, когда жертвой оказывается компания, предоставляющая вам услуги удаленного обслуживания инфраструктуры IT или оказывающая услуги по разработке ПО и внедрению IT-систем. Аутсорсинг подобных задач сторонним организациям является распространенной практикой. На прошлой неделе стало известно об атаке на индийскую компанию Wipro, крупного поставщика IT-услуг. Сначала о компрометации корпоративной сети Wipro написал независимый журналист Брайан Кребс, а потом информацию подтвердили в самой компании (новость, статья Брайана).
Читать полностью »

Так как я почти всю «предпринимательскую» карьеру работаю с B2B, то давайте расскажу вам — как работают оптовики, с какими проблемами сталкиваются и как их решают. Почему они должны жить и почему они должны умереть.

Я регулярно вижу непонимание интернет-магазинов и розничных магазинов своих поставщиков. Считаю что это от того, что они сами небыли в шкуре оптовиков, и потому не понимают их проблемы, а они существенно отличаются от проблем B2C.

Читать полностью »

Планирование продаж сезонных товаров с учетом меняющихся экономических условий - 1

Выработка плана продаж, и обеспечение этого плана, — острый вопрос в текущей экономической ситуации. Неверно составленный план приводит убыткам прямым — как в случае избыточного хранения товара на складе, так и косвенным – в случае недостачи товара на складе, что приводит к упущенной выгоде, ухудшению сервиса, и, даже, лишним выплатам бонусов менеджерам по продажам.

Одна из проблем, сильно влияющих на составление плана – сезонность продаж некоторых товаров. Одни товары, например — кроссовки для бега, летом — более популярны, чем зимой. А вот обогреватели продаются лучше в холодное время года. Эти товары — сезонные.

Разброд вносит так же нестабильная макроэкономическая ситуация, когда инфляция толкает цены вверх, а снижающийся покупательский спрос вынуждает снижать продажи в количественном выражении. Кроме негативных факторов, могут так же влиять и факторы позитивные – как по компании в целом — если компания активно растет, так и по конкретным товарным позициям – если вы много вкладываетесь в маркетинг товара, то спрос на них может расти быстрее роста компании. Все это вносит корректирующий элемент в прогнозы, потому что уже не так однозначно стоит ориентироваться на информацию об истории продаж, не принимая во внимание реальную ситуацию.

Читать полностью »

Mycroft Assistant: При построении цепи поставок, важным является не только автоматизация работы и абстрактные количественные значения как таковые, но и решение организационных вопросов и решение проблем со взаимодействием в компании. Руководство должно принимать во внимание и осознавать сложности, связанные с построением эффективной цепочки снабжения, и организовать на должном уровне взаимодействие между различными отделами. Если это будет сделано, то синергетический эффект, полученный в результате решения организационных вопросов и применения методов автоматизации даст намного больший эффект для построения эффективного снабжения, чем применение только какого-то одного составляющего. Мы со своей стороны можем решить вопрос автоматизации (предлагая экспертную систему по управлению запасами Mycroft Assistant), но организационные вопросы должны решаться внутри компании волей руководителя.

Основные проблемы, связанные с коммуникацией внутри компании в контексте построения эффективного снабжения, были неплохо описаны в англоязычной статье известной консалтинговой фирмой McKinsey (основана в 1926 году; профилируется на консалтинге в области управления; 17 000 сотрудников), которую мы предлагаем вашему вниманию в русскоязычном переводе.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js