Firmy často investujú do zabezpečenia vlastnej infraštruktúry, no zanedbávajú posúdenie a overenie bezpečnostných praktík svojich partnerov.
Skúsenosti zo slovenských reálií potvrdzuje aj Július Selecký zo spoločnosti ESET: „Najväčším a často podceňovaným problémom v dodávateľskom reťazci je nedostatočná viditeľnosť do IT systémov a procesov. Ich súčasťou sú aj subdodávatelia a kontrola nad bezpečnostnými opatreniami tretích strán.“
Aj firmy aj štát
Ešte viac frustruje fakt, že dodávateľské riziká, ktoré môžu ohroziť ich samých, zanedbávajú prevádzkovatelia základných služieb.
Toto zistenie je podľa generálneho riaditeľa Kompetenčného a certifikačného centra kybernetickej bezpečnosti Ivana Makaturu už chronickou súčasťou auditných správ. „Pritom by to mohlo byť rutinne ošetrené v zmluvách s dodávateľmi,“ dodáva.
Pozor na pokuty
Ak dnes niekoho prekvapuje informácia, že má povinnosti mať pod kontrolou aj bezpečnosť dodávateľského reťazca, iba sa tým usvedčuje z neznalosti zákona o kybernetickej bezpečnosti.
Táto požiadavka vôbec nie je nová. „A dokonca nebola unikátom ani v prvej verzii zákona o kybernetickej bezpečnosti, je totiž súčasťou dobrej praxe už od minulého tisícročia,“ prízvukuje Ivan Makatura. Novela zákona o kybernetickej bezpečnosti teda zásadne nemení požiadavky na riadenie bezpečnosti dodávateľského reťazca. Čo sa však zmení veľmi výrazne, je výška pokút za neplnenie povinností. A aby ste neboli prekvapení, budú sa týkať aj tých, ktorých doteraz obchádzali.
Sme v tom spolu
Terčmi útokov sú organizácie všetkých veľkosti - o tom nie je pochýb. „V spletitom ekonomickom reťazci sme všetci dodávateľmi aj odberateľmi, takže sa na to pozrime z dvoch uhlov,“ vysvetľuje Michal Srnec, vedúci informačnej bezpečnosti Aliter Technologies.
Veľké spoločnosti majú IT bezpečnosť spravidla vyriešenú. Takže ak sú dodávateľmi, v zmysle riadenia rizík v dodávateľskom reťazci nemajú problém.
Problém hrozí malým a stredným podnikom, ktoré nemajú dostatočnú kyberodolnosť a figurujú ako dodávateľ veľkých partnerov. Útočníci sa sústredia na toto slabé ohnivko. A plejáda útokov je rôznorodá - od phishingu, cez zneužitie zraniteľností až po DDoS.
Neskoro plakať
Pokojne sa môže stať, že aj malý dodávateľ poskytne útočníkovi prienik do cieľovej infraštruktúry. Skupina pokročilých hrozieb dokáže vyčkávať mesiace v infraštruktúre a čakať na príhodnú chvíľu.
Spravidla sa však v prípade incidentu príde na spojenie s dodávateľom až "post morten". Až následná forenzná analýza ukáže na zraniteľnosť. A nebodaj, ak veľký zákazník padne na chybe dodávateľa, súdne spory a postihy nebudú mať konca.
Zoberme si príklad
Zdravotná poisťovňa Dôvera má kontrakt s tisícami poskytovateľov zdravotnej starostlivosti rôznej veľkosti, ambulanciami, nemocnicami, lekárňami, laboratóriami a ďalšími dodávateľmi služieb a tovarov. Zároveň je zodpovedná za osobné údaje takmer dvoch miliónov ľudí a predstavuje súčasť kritickej infraštruktúry štátu.
Nechcime si ani predstavovať, aký by mal dosah kybernetický incident.
Kde začať?
„Začiatok spolupráce s dodávateľom akýchkoľvek technológií má prísne pravidlá,“ vysvetľuje Roman Varga, manažér kybernetickej bezpečnosti.
Odporúčania z hľadiska kybernetickej bezpečnosti sú pre manažment v rozhodovacom procese kľúčové. Nečudo, veď za bezpečnosť je zodpovedný štatutár.
Osvietený manažment si uvedomuje, že útočníci môžu využiť slabé miesta u ktoréhokoľvek partnera na prienik do ich siete. Preto je dôležité, aby všetky články reťazca mali požadované bezpečnostné opatrenia.
Férové hodnotenie
Úloha objektívne a efektívne vyhodnotiť bezpečnosť dodávateľov a odberateľov je na pleciach manažéra kybernetickej bezpečnosti a osoby zodpovednej za ochranu osobných údajov v spolupráci s útvarom zodpovedným za výber dodávateľa. Súčasťou preverenia je prepracovaný audit tretích strán v konkrétnych oblastiach. Sem patrí ochrana osobných údajov, kybernetická bezpečnosť ale aj neustále sledovanie nových trendov.
Aktuálne sme v Dôvere zaviedli plán pre správu rizík, ktorý rieši, identifikuje, hodnotí a ošetruje riziká súvisiace s nasadením umelej inteligencie. Aj tu sa využívajú osvedčené priemyselné štandardy v kyberbezpečnosti.
Ako to prebieha
Hodnotenie dodávateľa sa začína predložením relevantnej dokumentácie. Pokiaľ však chýbajú kľúčové vstupy, alebo ich dodávateľ nevie zdokumentovať, je to pre neho diskvalifikácia.
„Samotná metodika hodnotenia je naše duševné vlastníctvo a nie je dopredu s dodávateľom komunikovaná,“ upozorňuje Roman Varga.
Jednoznačne však platí, že dodávateľ musí preukázať, že kybernetickú bezpečnosť má zvládnutú a pochopenú najmä podľa normy ISO a súvisiacich legislatívnych požiadaviek. Samozrejmosťou je, že bezpečnosť vyžaduje a preveruje aj u svojich subdodávateľov.
Bolestivé, ale užitočné
Hodnotenie, alebo takzvaný scoring prebieha online, alebo osobne. Po skončení dostane dodávateľ výstup pre konkrétne auditované oblasti. Kľúčové je, aby si pri hodnotení uvedomil záber a význam svojej zodpovednosti.
Ak sa však v procese hodnotenia preukážu chyby a dodávateľ nie je dodatočne odolný, je to signál, ktorý môže mať v budúcnosti fatálne následky. Rezultát? „S takým dodávateľom zmluvu nemôžeme uzatvoriť.“
Najväčšie diery
Najväčšie zraniteľnosti u dodávateľov často vznikajú z nedostatočného zabezpečenia koncových zariadení, slabých hesiel, nedostatočného šifrovania a chýbajúcej aktualizácie softvéru.
Jednoducho povedané, kto je v scoringu pod latkou, musí prijať nápravné opatrenia, alebo sa s ním v Dôvere rozlúčia.
Bolestivé, ale užitočné
Samozrejme, žiadny audit nie je úplne povznášajúci zážitok. Michal Srnec opäť inšpiruje k tomu, že to môže byť vzácna skúsenosť. Dá sa tu veľa naučiť. Aj to, ako budovať kybernetickú odolnosť.
V každom prípade je nutné uvedomiť si, že aj „my - malý a stredný podnik" sme účastníkmi zájazdu "riziko dodávateľských reťazcov". Takže, nadýchnite sa, urobte si poctivo analýzu rizík a profesionálne riešenia už budú nasledovať.