Kontrola dodavatelského řetězce v praxi

Outsourcing je trend

Využití dodavatelů, resp. outsourcování určitých činností nebo procesních elementů, může přinést vyšší produktivitu, snížení nákladů či dlouhodobou udržitelnost. Proto je využívání různých dodavatelů současným operativním modelem většiny organizací, ať už ve službách nebo výrobě.

Není výjimkou, že někteří z dodavatelů zpracovávají data zákazníků či zaměstnanců nebo jinak vstupují do manažerského systému organizace. Může se například jednat o softwarové řešení CRM databáze či HR agenda správy zaměstnanců nebo účetnictví. Mnoho firem mnohdy ani netuší, že data „předávají dále“, ani že propojovací místa kdesi v systému dodavatelů a subdodavatelů se mohou stát terčem kyberútoku.

Ať už jsou služby dodavatelů využity pro zajištění či podporu jakéhokoliv interního procesu, tento obchodní vztah otevírá prostor pro nová rizika vyplývající právě ze vztahu s dodavatelem. Proto je důležité znát svůj dodavatelský řetězec, speciálně ten, který pokrývá technologickou konektivitu či zpracování a ochranu dat. 

První kroky k řízení rizika dodavatelů

Zmapovat dodavatelský řetězec

Mapování dodavatelského řetězce je proces zaznamenávání, ukládání a používání informací shromážděných od dodavatelů, kteří jsou zapojeni do celkového dodavatelského řetězce společnosti. Cílem je mít aktuální přehled o síti dodavatelů, aby bylo možné efektivněji řídit kybernetická a další rizika a provádět due diligence.

Důležitou součástí mapování jsou i subdodavatelé v dodavatelském řetězci a nastavené smluvní podmínky právě pro dodavatele a jejich subdodavatele.

Co k mapování využít:

1. Databázi nákupčího či finančního oddělení, zejména platby, nabídky, objednávky, faktury, licence atd. pro identifikaci všech skutečně využívaných dodavatelů

2. Smlouvy, licenční dohody a další právní dokumenty k identifikaci využívaných služeb,  produktů a jejich podmínek

3. Různé technologické nástroje, např. pro zaznamenávání logů či identifikaci využívaných aplikací v IT prostředí společnosti

4. Dokumentaci interních procesů a postupů, zejména identifikace, jak je daný produkt či služba v organizaci využívána

5. Definici kritických procesů jak z pohledu businessu a provozu, tak informační bezpečnosti, případně využít víceúrovňová kritéria

6. Identifikaci požadované úrovně a vyspělosti dodavatele, typicky v oblasti informační bezpečnosti

7. Revizi procesu výběru dodavatelů, zohlednění informační bezpečnosti a provozní odolnosti již od počátku procesu

Identifikovat rizika dodavatelského řetězce

V rámci organizace by mělo být jasné, jakou úroveň rizika je management schopen a ochoten akceptovat. Přiměřený a efektivní program řízení rizik pak pomáhá organizaci optimálně řešit celou škálu hrozeb, kterým čelí. Řízení rizik pak zkoumá vztah mezi různými typy obchodních rizik a jejich případným dopadem na strategické cíle organizace.

Dodavatelské řetězce čelí zvyšujícímu se počtu kybernetických rizik, včetně zranitelností třetích stran, phishingu, porušení zabezpečení osobních údajů, ransomwarových útoků a různých narušení dostupnosti. Dodavatelské řetězce jsou citlivé, protože žádná jiná firma se nebude o vaše data a vaše bezpečí starat tak, jako vy sami. Proto je důležité zmapovat rizika související s využitím konkrétních dodavatelů, ohodnotit je a přistupovat k dodavatelům dle provedené analýzy a požadovat spolupráci na snížení rizik či jejich případných dopadů.

Řízení rizik v kostce

1. Identifikujte, co je třeba chránit a proč. Jedná se o hodnotu vašich informací nebo aktiv, která dodavatelé drží, budou držet, budou k nim mít přístup nebo s nimi budou nakládat

2. Identifikujte, kdo jsou vaši dodavatelé, a ověřte, jak zabezpečují zpracovávané informace a svoji kybernetickou a provozní odolnost. Ověřte zejména vyspělost a účinnost současných bezpečnostních opatření vašich dodavatelů, včetně posouzení, zda vaši dodavatelé a jejich subdodavatelé zajistili bezpečnostní požadavky, které jsou pro ochranu vašich dat a aktiv nezbytné.

3. Identifikujte bezpečnostní rizika, které pro vás představuje váš dodavatelský řetězec. Vyhodnoťte hrozby a rizika pro vaše informace nebo aktiva, pro produkty nebo služby, které mají být dodány, zdroje rizik, a pak rozhodněte, která rizika je nutné zmírnit, jak a do kdy.

Bezpečnost dodavatelského řetězce prakticky

Ze seznamu dodavatelů nejprve vyhodnoťte dodavatele, systémy, produkty a služby, které jsou pro vaši organizaci kritické. Poté identifikujte, jaké informace o vašem dodavatelském řetězci je zásadní znát a mít zdokumentované. Spolu s tímto se rozhodněte, jak budete informace bezpečně ukládat a spravovat k nim přístup v rámci celého řetězce.

Důležité je také rozhodnout, zda chcete shromažďovat informace o subdodavatelích svých dodavatelů, resp. jak daleko zajít v daném řetězci. K tomu můžete využít doplňkových služeb, které hodnotí vaše dodavatele a poskytují doplňující informace o jejich profilu, např. v oblasti kybernetických rizik.

U nových dodavatelů uveďte předem, v zadání pro výběrové řízení, co očekáváte od svých dodavatelů z pohledu informační bezpečnosti a provozní odolnosti. Stávajícím dodavatelům sdělte, jaké informace o nich chcete zaznamenávat a proč. Shromážděné informace od stávajících dodavatelů je doporučeno směřovat do centralizovaného úložiště, případně databáze.

Dalším krokem je přesná definice, kdo je ve vaší organizaci nejvhodnější osobou či útvarem pro získávání a spravování těchto informací; od nákupčích, přes zaměstnance zadávající zakázky, vlastníky organizace, týmy pro kybernetickou bezpečnost a provozní bezpečnost atd. Informujte je o úložišti informací a poskytněte jim vhodný přístup.

Také zvažte vytvoření příručky či interní metodiky pro řešení situací, kdy dojde k incidentu a budete muset koordinovat reakci na něj v rámci rozšířeného dodavatelského řetězce a třetích stran, jako jsou orgány činné v trestním řízení, regulační orgány, a dokonce i zákazníci.

Důležitou součástí je také dokumentace konkrétních kroků, které bude nutné případně změnit ve vašem procesu nákupu či uzavírání smluv v důsledku mapování dodavatelského řetězce. Možná budete muset zvážit i vyloučení těch potencionálních dodavatelů, kteří nemohou uspokojivě prokázat, že splňují vaše minimální potřeby v oblasti kybernetické bezpečnosti. Tyto schopnosti není na škodu pravidelně ověřovat a dokumentovat.

Smlouva

Nejdůležitějším nástrojem a opatřením k řešení řady rizik v rámci bezpečnosti informací a kybernetické a provozní odolnosti dodavatelského řetězce je bezpodmínečně dobrá smlouva.

Ta by měla obsahovat hlavně:

1. Povinnosti dodavatele v oblasti řízení incidentů a časové rámce oznámení narušení či výpadku spolu s poskytováním podpory organizaci při hledání hlavní příčiny a odstraňování následků incidentu

2. Možnost auditu dodavatelů a subdodavatelů ze strany klienta a očekávaná frekvence a postup při realizaci auditů

3. Pravidla pro správu dat, např. tak, že mimo organizační síť lze přenášet pouze nezbytná data a o nich mít třeba i záznam

4. Pravidla pro zajištění integrity dat, např. že data budou chráněna pomocí řízení přístupů, šifrování, řádně oddělena od dat ostatních zákazníků, atd.

5. Kontrolní mechanismy přístupu dodavatelů k informačním systémům a duševnímu vlastnictví, včetně procesu, který zajišťuje jejich aktualizaci

6. Vymezení jasných požadavků, které by přímí dodavatelé měli vyžadovat od svého dodavatelského řetězce (viz výše)

7. Závazky spolupráce dodavatele při ukončení obchodního vztahu, tzn. pro využití v případě změny dodavatele a s tím spojenou i exit strategy

Kontrolou dodavatelů chráníte svoji firmu

Vhodná nastavení zabezpečení dodavatelského řetězce vám pomůže zvýšit celkovou úroveň zabezpečení vaší organizace, a tak zvýšit ochranu a potažmo i odolnost před kybernetickými hrozbami. Věnujte proto dostatečné kapacity a čas výběru vhodného partnera a identifikování jeho bezpečnostní praxe a schopností ochránit vaše data a systémy na požadované úrovni. Investovaný čas a zdroje se vám v dlouhodobém měřítku vyplatí.