NIS2 READY
Nepríjemnou realitou je, že aj keď kybernetický incident vznikne vinou dodávateľa, poskytovateľa IT alebo dokonca dodávateľa vášho dodávateľa, právnu zodpovednosť nesie vaša organizácia.
Je to podobné ako pri požičaní auta – ak váš priateľ jazdí nezodpovedne a spôsobí škodu, riešite to cez svoje poistenie. Rovnako to funguje aj pri dodávateľoch – ich bezpečnostné problémy sa veľmi rýchlo môžu stať vašimi problémami.
Mnohé organizácie sú závislé od komplexnej siete dodávateľov a poskytovateľov služieb. Prináša to efektivitu a flexibilitu, no zároveň to znamená, že vaša bezpečnosť je len taká silná, ako je najslabší článok vo vašom dodávateľskom reťazci.
Kybernetickí útočníci to veľmi dobre vedia.
Útok na menšieho, menej zabezpečeného dodávateľa je často najjednoduchší spôsob, ako sa dostať k väčšej organizácii.
Jedným z najznámejších prípadov je útok na spoločnosť Target v roku 2013, kde sa útočníci dostali do siete obchodného reťazca prostredníctvom dodávateľa tretej strany. Incident stál spoločnosť Target viac ako 200 miliónov dolárov na škodách a vyrovnaniach.(Zdroj: Red River Security – https://redriver.com/security/target-data-breach).
Smernica NIS2 v Európskej únii rozšírila zodpovednosť organizácií a jasne stanovila, že ignorovanie rizík dodávateľov už nie je možné. Riadenie rizík tretích strán už nie je len odporúčaná prax, ale v EÚ aj zákonná povinnosť. NIS2 stanovuje požiadavky na kybernetickú bezpečnosť dodávateľského reťazca, GDPR pridáva prísne pravidlá ochrany osobných údajov pri spracúvaní údajov dodávateľmi a normy ISO poskytujú praktický návod, ako tieto požiadavky zaviesť do praxe.
Táto oblasť má zároveň priamy dopad aj na externé audity.
Audítori sa už nepozerajú len na interné kontroly – overujú aj to, ako riadite riziká dodávateľov, aké dôkazy uchovávate a či sú procesy pre tretie strany zdokumentované a opakovateľné. Ak chcete vedieť, čo audítori štandardne očakávajú, prečítajte si aj článok Ako sa pripraviť na externý audit.
Praktické kroky na minimalizáciu rizík tretích strán:
KROK 1 – Zmapujte dodávateľov a kritických partnerov
Vytvorte zoznam všetkých externých spoločností, od ktorých je vaša organizácia závislá – nielen poskytovateľov IT, ale aj cloudové platformy, dodávateľov softvéru, hardvéru a kľúčových subdodávateľov. Zahrňte aj tzv. štvrté strany (dodávateľov vašich dodávateľov), ak sú kritické pre vašu prevádzku.
Následne dodávateľov rozdeľte podľa kritickosti (napr. vysoká, stredná, nízka). Nie každý dodávateľ predstavuje rovnaké riziko – poskytovateľ cloud hostingu alebo spracovateľ platieb predstavuje výrazne väčšie riziko ako napríklad cateringová spoločnosť. Takéto rozdelenie vám pomôže zamerať bezpečnostné kontroly tam, kde sú najdôležitejšie.
KROK 2 – Overte ich bezpečnosť a súlad
Pýtajte sa základné, ale dôležité otázky, napríklad:
- Aktualizujú svoje systémy pravidelne?
- Mali bezpečnostný incident za posledné dva roky?
- Dodržiavajú štandardy ako ISO 27001 alebo SOC 2?
- Majú pravidelné školenia kybernetickej bezpečnosti pre zamestnancov?
Ak dodávateľ spracúva osobné údaje, overte jeho opatrenia podľa GDPR a či dokáže vaše údaje na požiadanie vymazať alebo vrátiť. Pri kritických dodávateľoch si vyžiadajte dôkazy, napríklad aktuálny certifikát SOC 2 alebo ISO 27001, výsledky penetračných testov alebo správu z auditu.
Tento proces je možné zjednodušiť pomocou rôznych nástrojov – napríklad v module Tretie strany v platforme Tazilla je možné registrovať dodávateľov, použiť integrovaný self-assessment dotazník a automaticky generovať rizikový profil (inherentné a reziduálne riziko) pre každého dodávateľa. Výsledky sa ukladajú pre účely auditov a pomáhajú rozhodnúť, či pokračovať v spolupráci, podmienečne ju schváliť alebo ju ukončiť.
KROK 3 – Zapracujte bezpečnostné povinnosti do zmlúv
Do dodávateľských zmlúv zahrňte ustanovenia, ktoré vyžadujú dodržiavanie bezpečnostných štandardov, rýchle nahlásenie incidentu (napr. do 24 hodín) a umožňujú vám vykonávať audit. Pri spracovateľoch osobných údajov zabezpečte, aby zmluva obsahovala požiadavky článku 28 GDPR. Zmluvy môžu obsahovať aj konkrétne požiadavky, napríklad každoročné dodanie SOC 2 reportu, udržiavanie certifikácie ISO 27001 alebo povinnosť oznámiť zmenu subdodávateľa do 48 hodín.
KROK 4 – Pravidelne monitorujte a prehodnocujte
Kritických dodávateľov prehodnocujte minimálne raz ročne, pri vysokorizikových aj častejšie. Overujte, či sú ich certifikácie stále platné, či nemali bezpečnostné incidenty a či dodržiavajú dohodnuté štandardy. Pri najkritickejších dodávateľoch zvážte priebežné monitorovanie alebo externé služby hodnotenia rizika dodávateľov.
KROK 5 – Majte plán reakcie na incident, ktorý zahŕňa dodávateľov
Naplánujte si dopredu, čo urobíte, ak bude kompromitovaný dodávateľ:
- Kto prevezme jeho úlohy?
- Ako ochránite svojich zákazníkov?
- Ako budete incident komunikovať interne a externe?
Tento plán pravidelne testujte formou cvičení spolu s kritickými dodávateľmi, aby každý poznal svoju úlohu ešte pred skutočným incidentom.
KROK 6 – Ukončenie spolupráce
Po ukončení spolupráce s dodávateľom sa uistite, že všetky prístupy sú zrušené, účty deaktivované a zdieľané dáta vymazané alebo vrátené. „Zabudnuté“ prístupy alebo ponechané dáta môžu predstavovať skryté bezpečnostné riziko aj dlho po ukončení zmluvy.
Riadenie rizík tretích strán už dnes nie je len záležitosť IT oddelenia.
Ide o právnu, prevádzkovú aj reputačnú otázku.
Nikto nechce spolupracovať so spoločnosťou, ktorá je známa slabou kybernetickou bezpečnosťou. NIS2 a GDPR to hovoria jasne: ochrana dodávateľského reťazca je vašou zodpovednosťou.
Ak začnete jednoduchým procesom – zmapovaním dodávateľov, kontrolou bezpečnosti, nastavením zmlúv, pravidelným monitorovaním a prípravou na incidenty – môžete výrazne znížiť riziko a zároveň splniť legislatívne požiadavky.