Shein物流软件面临供应链安全担忧

鞭牛士Bianews
准确、快速、有深度的科技媒体  来自北京

鞭牛士报道,7月9日消息,据CNBC报道,亚洲快时尚零售商 Shein 的崛起已让亚马逊提高警惕,但其向全球公司出售专有供应链技术和服务的计划却引起了另一个方面的关注:美国网络安全公司和国家安全专家警告称,在寻求扩大全球物流足迹之际,一家与中国关系密切的公司可能会监视其供应链。

据知情人士透露,Shein 物流软件正在与选定的供应链客户进行 Beta 测试。

美国供应链有数百万个连接点,连接着各种规模的公司。应用程序编程接口 (API) 使连接变得顺畅,公司使用它们来提高效率并节省成本。

API 软件允许应用程序实时相互通信,对于物流公司与货运供应商整合、简化运营并为其供应链中的供应商以及最终的最终客户提高效率至关重要。

切尔托夫集团运输和创新业务负责人兼主管、曾任美国运输安全管理局高级官员的李凯尔 (Lee Kair) 表示:物流基础设施中的 API 高度互联,通常不考虑网络安全。

网络安全专家和政策分析师表示,供应商的供应链在不断变化,获取数据访问权的可能性很简单,只需识别公司数据网络中最薄弱的环节即可。通常,小公司的后台系统更脆弱,网络协议也更弱。

「快时尚界有大量的物流整合。这些整合可能会被恶意利用,泄露客户数据或危害其他连接系统。」凯尔说。

根据美国政府和关键基础设施行业用于风险管理的供应链情报公司 Exiger 的数据,与 Shein 相连的实体网络很复杂,这表明该 公司的供应链比大多数人意识到的更加广泛和复杂。

Exiger 数据显示,尽管 Shein 与其母公司 Zoetop 等 44 家公司建立了直接合作关系,并披露了 5,000 多家供应商,但对其所有材料生产商的分析显示,其供应链连通性图大幅扩展。总共有 10,821 家公司组成了与 Shein 相隔一层的供应链。深入研究 Shein 合作伙伴网络,它扩展到 50,000 多家实体,包括由 Authentic Holdings 和购物中心运营商Simon Property Group运营的Forever 21等美国大公司——这两家公司去年都宣布与 Shein 建立正式合作伙伴关系,专注于进入实体零售店。

Longview Global 董事总经理兼高级政策分析师、曾担任奥巴马政府国防部亚洲政策专家的 Dewardric McNeal 表示,允许 Shein 将其技术嵌入美国供应链可能会破坏竞争格局、违反监管标准并带来一系列风险,包括网络安全。

「鉴于美国和全球供应链的复杂性,间谍活动或数据收集的可能性是一个巨大的风险。」麦克尼尔说。「Shein 的软件可以提供前所未有的敏感供应链数据访问权限,这种暴露对美国供应链的完整性构成了直接威胁,使其容易受到利用和操纵。」

Shein 已采取行动与中国保持距离。2022 年,出于监管和财务原因,Shein 将总部从中国迁至新加坡。不过,该公司的供应链和仓库仍在中国。

「任何拥有大量中国股权和实体的公司都担心中国的法律框架。」凯尔说。「中国法律要求公司合作向中国政府提供与美国公民有关的敏感信息。即使总部位于新加坡,公司的供应链数据也可能被中国人扣押。这显然是美国客户数据的弱点。」

凯尔称,为了缓解监管审查,该公司将总部从中国迁至新加坡,这是所谓新加坡清洗做法的另一个例子。

一些认证可以帮助公司证明其信息安全控制措施符合公认的公司标准,其中包括由第三方审计公司创建的 SOC2 Type II 报告,该报告用于检查公司的内部控制措施及其保护客户数据的有效性——这项审计可能需要几个月甚至更长时间。

另一项主要认证是 ISO 27001 认证,这是信息安全管理系统的国际行业标准,以及其扩展 ISO 27701——Shein 表示,这两项认证都是其为保护客户数据而实施的行业标准控制措施之一。

Shein 在给 CNBC 的一份声明中表示:我们试图将数据收集限制在处理商业交易所需的最低限度。声明称:「我们根据国际标准组织的标准 27001 和 27701 等领先的数据保护框架建立了系统。」

负责维护 ISO 标准的国际标准组织通过电子邮件解释说,它不进行任何认证,这些认证是由世界各地的各种国家和国际认证机构独立于 ISO 颁发的。

它写道:因此,ISO 中央秘书处没有这些认证的数据库。

获得认证的公司有义务告知客户颁发证书的组织的名称,认证验证应发送给该认证组织。CNBC 搜索了 ISO 的 IAF CertSearch 数据库,以查找 Shein 或其母公司 Zoetop 的证书, 但未找到证书验证。

Shein 向 CNBC 表示,它已获得第三方审计师的相关认证。

在本地存储敏感数据

为了缓解国家安全担忧,Shein 在各个市场都设立了数据存储。它将美国客户数据存储在微软美国的 Azure 云和 AWS 美国的云中。在欧盟,客户数据存储在德国法兰克福。支付数据不是由该公司在美国收集的,而是由美国支付处理公司 Worldpay 收集的,后者由上市公司 GTCR 控股。

在中国存储的数据涵盖其工业供应商管理和数字商户系统,这有助于从服装原材料(纽扣、拉链等辅助材料)到中国境内产品的交易。

全球贸易数字审查平台 Publican 的联合创始人兼首席执行官 Ram Ben Tzion 告诉 CNBC,Shein有可能滥用供应链和消费者数据。他说,提升 Shein 作为全球物流供应商的形象的努力与中美之间日益加剧的经济战直接相关。

「你现在看到这项新的商业服务正在提供。」Ben Tzion 说。

「推动 Shein 成为一家物流公司是对美国收紧对中国外包业务的回应或报复。」他说。「这是中国重新掌控全球供应链的一种方式。」他补充道,指的是贸易流出中国,中国巨头发现很难在美国市场筹集资金。

Shein 计划在美国上市被认为已成泡影,该国首都的一些有权势的政治人物试图阻止其上市,理由包括其供应链问题和利用贸易漏洞(Shein 现在正寻求在伦敦上市)。

Shein还遭到了美国零售业最大的贸易集团的拒绝,该公司曾寻求加入该集团。

Shein 的网络安全协议此前曾受到抨击。2022 年 10 月,纽约总检察长对 Shein、其关联公司 Romwe 和母公司 Zoetop 处以 190 万美元的罚款,原因是其处理了 2018 年的数据泄露事件,当时有 3900 万个 Shein 账户和 700 万个 Romwe 账户被盗,其中包括 80 多万纽约居民的账户。

ITS Logistics 的 IT 基础设施副总裁兼首席信息安全官 Srini Cherukuri 表示:在全球供应链中,数据所有权和防范网络安全威胁绝对必不可少。对供应链中每个人的数据安全和隐私实践进行尽职调查对于防范网络安全攻击、减轻影响和优化业务运营的恢复时间至关重要。

Shein 的快速崛起

根据供应链情报公司 Zero100 最近的一份报告,Shein 的优势在于该公司超灵活的供应链。报告发现,该公司利用广州附近的 5,400 多家工厂进行小批量生产,能够缩短从设计到交付的周期,降低生产成本,并将库存风险降至最低。在创始人 Chris Xu 对 SEO 和在线营销的深入了解的带领下,Shein 还开发了一种数据驱动的方法来推动其增长。

Zero100 表示,Shein 通过在其市场平台上整合持续、实时的人工智能数据,实现动态的供需匹配、数据驱动的趋势发现和算法供应商选择,并将人工智能输出输入后续模型,以便在整个价值链上进行全面的决策。

供应链效率被誉为积极因素,但 Ben Tzion 表示,小型制造商和社交媒体影响者应该明白,中国推动 Shein 成为物流公司的努力是为了与其贸易行为相关的责任划清界限,并将其转嫁给小企业主。

使用 Shein 进行物流也意味着放弃对供应链和粉丝的所有控制权。「可以肯定地说,使用像 Shein 这样的第三方进行制造和生产将使 Shein 完全掌握公司的所有信息,以及其消费者和粉丝的购物习惯。」他说。

快时尚从制造到市场的历程

与亚洲运动鞋和服装等产品生产相关的物流服务需要多个供应链接触点。

供应链研究公司 Project44 的产品营销高级总监 Eric Fullerton 表示:运动鞋和服装的平均接触点为 5.6 个。这些货物平均使用四种运输方式中的三种 [海运、铁路、卡车、空运]。

根据 Project44 的分析,运动鞋和服装在制造过程中平均有 42% 的距离要经过世界各地。从工厂到配送中心的平均距离为 9,630 英里。这段距离足以在美国各地来回行走近四次。平均每批货物要经过美国 8.4 个州。

「如果你是一家老牌零售商,你不会想把你的销售、库存、地理战略交给可能生产仿冒产品的快时尚竞争对手。」富勒顿说。「在供应链危机中,Shein 会优先考虑竞争对手的供应链履行,还是会优先考虑自己的供应链履行?」

在利润微薄的零售世界中,越来越多的组织将供应链效率视为赢得金钱之战的一种方式。「Shein 不仅能够仿制产品,而且还能够确定该产品的销售地区和价格。」富勒顿说。「这些供应链数据将使 Shein 能够了解公司的分销策略。」

依赖中国存在风险

McNeal 认为,从财务和战略角度来看,收集供应链数据对 Shein 来说都是有意义的。「购买这款软件为 Shein 提供了额外的收入来源,从而增强了其财务状况和市场竞争优势。」他说。此外,使用 Shein 的供应链服务和软件,外国公司授予其访问其数据的权限。「这种访问权限使 Shein 能够增强其人工智能和算法模型,从而提高运营效率并改善 Shein 的市场情报。」McNeal 说。

这最终可能会使企业与日益壮大的亚洲零售和物流巨头产生矛盾。「这使得外国公司容易过度依赖竞争对手,可能会损害他们自己利用和使用数据以及加强供应链和物流运营的能力。」

Shein 的迅速崛起促使亚马逊加深了与中国的联系。CNBC 最近获悉,亚马逊计划在其网站上推出一个专门销售低价时尚和生活用品的新版块,让中国卖家可以直接向美国消费者发货。去年 12 月,亚马逊 宣布 在热门技术和制造中心深圳建立一个新的创新中心,并大幅降低了 向销售 20 美元以下服装的商家收取的费用。

与此同时,美国政府密切关注与中国有关系的公司,这些公司的供应链或数据关系属于国家安全问题,凯尔表示。「美国监管机构和立法者对 Shein 的审查与他们对 TikTok、大疆无人机和美国港口起重机制造商等其他公司的供应链和数据安全担忧一致。 」

运输部发言人让 CNBC 向商务部和国家安全委员会寻求帮助。商务部发言人在一封电子邮件中写道,该部致力于保护美国信息和通信技术供应链。我们将继续积极主动地识别和缓解美国信息和通信技术供应链中的漏洞,并维护我们的国家安全。

打开APP阅读更多精彩内容