新闻中心
News
Shein物流软件面临供应链安全担忧
鞭牛士报道,7月9日消息,据CNBC报道,亚洲快时尚零售商Shein的崛起已让亚马逊提高警惕,但其向全球公司出售专有供应链技术和服务的计划却引起了另一个方面的关注:美国网络安全公司和国家安全专家警告称,在寻求扩大全球物流足迹之际,一家与中国关系密切的公司可能会监视其供应链。
据知情人士透露,Shein物流软件正在与选定的供应链客户进行Beta测试。
美国供应链有数百万个连接点,连接着各种规模的公司。应用程序编程接口(API)使连接变得顺畅,公司使用它们来提高效率并节省成本。
API软件允许应用程序实时相互通信,对于物流公司与货运供应商整合、简化运营并为其供应链中的供应商以及最终的最终客户提高效率至关重要。
切尔托夫集团运输和创新业务负责人兼主管、曾任美国运输安全管理局高级官员的李凯尔(LeeKair)表示:物流基础设施中的API高度互联,通常不考虑网络安全。
网络安全专家和政策分析师表示,供应商的供应链在不断变化,获取数据访问权的可能性很简单,只需识别公司数据网络中最薄弱的环节即可。通常,小公司的后台系统更脆弱,网络协议也更弱。
「快时尚界有大量的物流整合。这些整合可能会被恶意利用,泄露客户数据或危害其他连接系统。」凯尔说。
根据美国政府和关键基础设施行业用于风险管理的供应链情报公司Exiger的数据,与Shein相连的实体网络很复杂,这表明该公司的供应链比大多数人意识到的更加广泛和复杂。
Exiger数据显示,尽管Shein与其母公司Zoetop等44家公司建立了直接合作关系,并披露了5,000多家供应商,但对其所有材料生产商的分析显示,其供应链连通性图大幅扩展。总共有10,821家公司组成了与Shein相隔一层的供应链。深入研究Shein合作伙伴网络,它扩展到50,000多家实体,包括由AuthenticHoldings和购物中心运营商SimonPropertyGroup运营的Forever21等美国大公司——这两家公司去年都宣布与Shein建立正式合作伙伴关系,专注于进入实体零售店。
LongviewGlobal董事总经理兼高级政策分析师、曾担任奥巴马政府国防部亚洲政策专家的DewardricMcNeal表示,允许Shein将其技术嵌入美国供应链可能会破坏竞争格局、违反监管标准并带来一系列风险,包括网络安全。
「鉴于美国和全球供应链的复杂性,间谍活动或数据收集的可能性是一个巨大的风险。」麦克尼尔说。「Shein的软件可以提供前所未有的敏感供应链数据访问权限,这种暴露对美国供应链的完整性构成了直接威胁,使其容易受到利用和操纵。」
Shein已采取行动与中国保持距离。2022年,出于监管和财务原因,Shein将总部从中国迁至新加坡。不过,该公司的供应链和仓库仍在中国。
「任何拥有大量中国股权和实体的公司都担心中国的法律框架。」凯尔说。「中国法律要求公司合作向中国政府提供与美国公民有关的敏感信息。即使总部位于新加坡,公司的供应链数据也可能被中国人扣押。这显然是美国客户数据的弱点。」
凯尔称,为了缓解监管审查,该公司将总部从中国迁至新加坡,这是所谓新加坡清洗做法的另一个例子。
一些认证可以帮助公司证明其信息安全控制措施符合公认的公司标准,其中包括由第三方审计公司创建的SOC2TypeII报告,该报告用于检查公司的内部控制措施及其保护客户数据的有效性——这项审计可能需要几个月甚至更长时间。
另一项主要认证是ISO27001认证,这是信息安全管理系统的国际行业标准,以及其扩展ISO27701——Shein表示,这两项认证都是其为保护客户数据而实施的行业标准控制措施之一。
Shein在给CNBC的一份声明中表示:我们试图将数据收集限制在处理商业交易所需的最低限度。声明称:「我们根据国际标准组织的标准27001和27701等领先的数据保护框架建立了系统。」
负责维护ISO标准的国际标准组织通过电子邮件解释说,它不进行任何认证,这些认证是由世界各地的各种国家和国际认证机构独立于ISO颁发的。
它写道:因此,ISO中央秘书处没有这些认证的数据库。
获得认证的公司有义务告知客户颁发证书的组织的名称,认证验证应发送给该认证组织。CNBC搜索了ISO的IAFCertSearch数据库,以查找Shein或其母公司Zoetop的证书,但未找到证书验证。
Shein向CNBC表示,它已获得第三方审计师的相关认证。
在本地存储敏感数据
为了缓解国家安全担忧,Shein在各个市场都设立了数据存储。它将美国客户数据存储在微软美国的Azure云和AWS美国的云中。在欧盟,客户数据存储在德国法兰克福。支付数据不是由该公司在美国收集的,而是由美国支付处理公司Worldpay收集的,后者由上市公司GTCR控股。
在中国存储的数据涵盖其工业供应商管理和数字商户系统,这有助于从服装原材料(纽扣、拉链等辅助材料)到中国境内产品的交易。
全球贸易数字审查平台Publican的联合创始人兼首席执行官RamBenTzion告诉CNBC,Shein有可能滥用供应链和消费者数据。他说,提升Shein作为全球物流供应商的形象的努力与中美之间日益加剧的经济战直接相关。
「你现在看到这项新的商业服务正在提供。」BenTzion说。
「推动Shein成为一家物流公司是对美国收紧对中国外包业务的回应或报复。」他说。「这是中国重新掌控全球供应链的一种方式。」他补充道,指的是贸易流出中国,中国巨头发现很难在美国市场筹集资金。
Shein计划在美国上市被认为已成泡影,该国首都的一些有权势的政治人物试图阻止其上市,理由包括其供应链问题和利用贸易漏洞(Shein现在正寻求在伦敦上市)。
Shein还遭到了美国零售业最大的贸易集团的拒绝,该公司曾寻求加入该集团。
Shein的网络安全协议此前曾受到抨击。2022年10月,纽约总检察长对Shein、其关联公司Romwe和母公司Zoetop处以190万美元的罚款,原因是其处理了2018年的数据泄露事件,当时有3900万个Shein账户和700万个Romwe账户被盗,其中包括80多万纽约居民的账户。
ITSLogistics的IT基础设施副总裁兼首席信息安全官SriniCherukuri表示:在全球供应链中,数据所有权和防范网络安全威胁绝对必不可少。对供应链中每个人的数据安全和隐私实践进行尽职调查对于防范网络安全攻击、减轻影响和优化业务运营的恢复时间至关重要。
Shein的快速崛起
根据供应链情报公司Zero100最近的一份报告,Shein的优势在于该公司超灵活的供应链。报告发现,该公司利用广州附近的5,400多家工厂进行小批量生产,能够缩短从设计到交付的周期,降低生产成本,并将库存风险降至最低。在创始人ChrisXu对SEO和在线营销的深入了解的带领下,Shein还开发了一种数据驱动的方法来推动其增长。
Zero100表示,Shein通过在其市场平台上整合持续、实时的人工智能数据,实现动态的供需匹配、数据驱动的趋势发现和算法供应商选择,并将人工智能输出输入后续模型,以便在整个价值链上进行全面的决策。
供应链效率被誉为积极因素,但BenTzion表示,小型制造商和社交媒体影响者应该明白,中国推动Shein成为物流公司的努力是为了与其贸易行为相关的责任划清界限,并将其转嫁给小企业主。
使用Shein进行物流也意味着放弃对供应链和粉丝的所有控制权。「可以肯定地说,使用像Shein这样的第三方进行制造和生产将使Shein完全掌握公司的所有信息,以及其消费者和粉丝的购物习惯。」他说。
快时尚从制造到市场的历程
与亚洲运动鞋和服装等产品生产相关的物流服务需要多个供应链接触点。
供应链研究公司Project44的产品营销高级总监EricFullerton表示:运动鞋和服装的平均接触点为5.6个。这些货物平均使用四种运输方式中的三种[海运、铁路、卡车、空运]。
根据Project44的分析,运动鞋和服装在制造过程中平均有42%的距离要经过世界各地。从工厂到配送中心的平均距离为9,630英里。这段距离足以在美国各地来回行走近四次。平均每批货物要经过美国8.4个州。
「如果你是一家老牌零售商,你不会想把你的销售、库存、地理战略交给可能生产仿冒产品的快时尚竞争对手。」富勒顿说。「在供应链危机中,Shein会优先考虑竞争对手的供应链履行,还是会优先考虑自己的供应链履行?」
在利润微薄的零售世界中,越来越多的组织将供应链效率视为赢得金钱之战的一种方式。「Shein不仅能够仿制产品,而且还能够确定该产品的销售地区和价格。」富勒顿说。「这些供应链数据将使Shein能够了解公司的分销策略。」
依赖中国存在风险
McNeal认为,从财务和战略角度来看,收集供应链数据对Shein来说都是有意义的。「购买这款软件为Shein提供了额外的收入来源,从而增强了其财务状况和市场竞争优势。」他说。此外,使用Shein的供应链服务和软件,外国公司授予其访问其数据的权限。「这种访问权限使Shein能够增强其人工智能和算法模型,从而提高运营效率并改善Shein的市场情报。」McNeal说。
这最终可能会使企业与日益壮大的亚洲零售和物流巨头产生矛盾。「这使得外国公司容易过度依赖竞争对手,可能会损害他们自己利用和使用数据以及加强供应链和物流运营的能力。」
Shein的迅速崛起促使亚马逊加深了与中国的联系。CNBC最近获悉,亚马逊计划在其网站上推出一个专门销售低价时尚和生活用品的新版块,让中国卖家可以直接向美国消费者发货。去年12月,亚马逊宣布在热门技术和制造中心深圳建立一个新的创新中心,并大幅降低了向销售20美元以下服装的商家收取的费用。
与此同时,美国政府密切关注与中国有关系的公司,这些公司的供应链或数据关系属于国家安全问题,凯尔表示。「美国监管机构和立法者对Shein的审查与他们对TikTok、大疆无人机和美国港口起重机制造商等其他公司的供应链和数据安全担忧一致。」
运输部发言人让CNBC向商务部和国家安全委员会寻求帮助。商务部发言人在一封电子邮件中写道,该部致力于保护美国信息和通信技术供应链。我们将继续积极主动地识别和缓解美国信息和通信技术供应链中的漏洞,并维护我们的国家安全。