近年來，資料外洩事件中涉及第三方供應商的比例顯著增加，已從15%翻倍至近30%。這使得許多組織更加重視第三方風險管理，仔細審查其供應商的安全實踐。然而，一個關鍵的漏洞卻常被組織所忽略：第四方風險。

第四方風險是指供應商的供應商（即間接供應商）所帶來的威脅。由於這些供應商並非直接與您的組織合作，它們的存在可能不為人知，除非您的直接供應商揭露。儘管如此，一旦發生因第四方漏洞導致的資料外洩或營運中斷，監管機構和客戶仍會追究您組織的責任。現實情況是，您最關鍵的供應商往往構成最大的風險，因為它們深度嵌入您的營運，並通常依賴多個次級處理者提供服務。無論您的供應商透過硬體、軟體、本地部署、傳統技術或雲端訪問您的環境，都可能引入風險。為有效管理這些風險，組織應從「追蹤資料」開始：

1. 收集哪些資料及目的？ 了解您的供應商及其次級處理者代表您收集哪些具體資料，收集目的為何，以及這些資料是否對服務交付必要。
2. 資料流向何處？ 繪製資料流向圖，追蹤資料如何在第四方之間傳輸，並識別隱私或安全法規較弱的司法管轄區。
3. 誰將訪問資料？ 識別所有實體，包括次級處理者，哪些擁有直接或間接訪問您資料的權限，並評估其控制措施。
4. 資料保留多久？ 確定供應商供應鏈中的資料保留和刪除實踐，以防止資料存留在不明或不安全的環境中。

資料在整個生命週期中如何受到保護？ 評估您的第三方和第四方用於保護資料的加密、存取控制和安全標準。
許多組織已採取措施加強第三方風險管理，但僅關注直接供應商關係是不足夠的。第四方風險往往隱藏在現有的供應鏈安全實踐中，形成盲點，可能破壞整體安全態勢。組織應強制執行「傳遞義務」。

管理第四方風險最有效的策略之一，是在供應商合約中強制執行「傳遞義務」。這意味著要求您的供應商也必須讓其供應商及其供應商的供應商遵循您所要求的相同安全和隱私合規標準。例如，如果您要求直接供應商實施特定加密標準、定期進行安全審計、在特定期限內限制資料保留，並在規定時間內報告安全事件，那麼這些要求應適用於您的供應商所聘用的任何分包商。

為此，每份供應商合約都應包含以下原則：追蹤資料、強制問責制和最小化殘餘風險。具體合約結構應要求：

1. 揭露次級處理者： 要求供應商揭露任何訪問您資料或系統的次級處理者（符合GDPR的法律義務），確保您可以追蹤資料流動中的風險。
2. 強制快速事件通知： 要求供應商在任何涉及其分包商的安全事件可能影響您的系統或資料時，迅速通知您。
3. 保留審計權限： 保留審計供應商和分包商合規性的權利，包括確認具名身份而非共用帳戶的能力。
4. 控制終止合作： 確保所有訪問權限在合約終止或非活動狀態後立即失效，以防止殘留風險。
5. 強制傳遞義務： 供應商必須要求分包商符合相同的安全和合規標準。

通過將這些要求形式化，可以建立一個問責鏈，顯著降低因分包商未能符合標準而導致安全事件被忽視的風險。口頭承諾或誇大的保險範圍在不可執行時毫無意義。

要保持領先，組織必須超越管理直接供應商的範疇，實施可貫穿整個分包商鏈的強制性控制措施。透過嵌入傳遞義務、加強監督以及採取分層、基於風險的方法，企業可以消除盲點，並建立一個具備韌性且能應對未來威脅的供應商生態系統。