• Zprávy
  • Stalo se
  • Sport
  • Kultura
  • Ze společnosti
  • Zajímavosti
  • nezarazene
  • Bezpečné dodavatelské vztahy

    6.10.2021
    Komerční sdělení

    Dodavatelské vztahy má Národní úřad pro kybernetickou bezpečnost na mušce

    Bezpečnost v rámci dodavatelských vztahů je zásadní součástí bezpečnosti informací a kybernetické bezpečnosti obecně. Ve „Zprávě o stavu kybernetické bezpečnosti 2020“ se v přehledu deseti nejčastějších nálezů nedostatků při kontrolních šetřeních nachází i ten, že subjekty nedostatečně řídí rizika spojená sdodavateli. V tomto článku, který sepsala bezpečnostní konzultantka společnosti NEXT GENERATION SECURITY SOLUTIONS s.r.o.,  Barbora Kvasnicová, se proto zaměříme na bezpečné dodavatelské vztahy podle vyhlášky č. 82/2019 Sb., o kybernetické bezpečnosti (dále jen „VKB“) a navazujících metodických dokumentů NÚKIB.

    Co je cílem řízení dodavatelů?

    Cílem řízení dodavatelů z bezpečnostního hlediska je předejít nejčastějším problémům vznikajících při využívání externích služeb, jako jsou:

    • vendor lock-in,
    • nedostatečná ochrana informací poskytnutých dodavateli,
    • nedostatečná bezpečnostní opatření při správě systému/ů.

    Evidované kybernetické bezpečnostní incidenty poslední doby související sdodavateli  

    Jednou z největších hrozeb v rámci dodavatelských vztahů je útok na dodavatelský řetězec. Jde o techniku, při které útočník injektuje škodlivý kód nebo součástku do důvěryhodného softwaru nebo hardwaru. Tím, že kompromituje určitého dodavatele, může útočník proměnit každou internetovou aplikaci, vydanou aktualizaci programu nebo i technické vybavení na trojské koně, a dostat se tak k nic netušícím zákazníkům dodavatele.

    Podle dokumentu „Kybernetické incidenty pohledem NÚKIB; Červenec 2021“ byl včervenci zaznamenán druhý kybernetický útok, při němž byli postiženi klienti napadaného dodavatele. Konkrétně se jedná o ransomware vedený proti serveru české organizace poskytující ICT řešení. V jeho důsledku ztratilo přes tucet klientů tohoto dodavatele svá data. To, zda byl primárním cílem dodavatel, nebo jeho klient/i, není jasné.

    Začátkem července tohoto roku se stal obdobný útok patrně větších rozměrů v USA. Konkrétně šlo o útok na software „Virtual SW Administrator“ od firmy Kaseya, který používají poskytovatelé ICT služeb pro vzdálenou správu a monitoring systémů klientů, za využití zranitelnosti nultého dne. Dle odhadů bylo touto cestou napadnuto ransomwarem asi 1500 koncových klientů, kterými jsou nejčastěji malé a střední podniky, které přímo s kompromitovaným softwarem nemělynic společného.

    Koncem roku 2020 vydal NÚKIB dokonce reaktivní opatření, kvůli kybernetickému útoku na dodavatelský řetězec softwarové společnosti SolarWinds prostřednictvím infikování aktualizací softwaru backdoors platformy Orion. Útočníci takto pronikli do systémů např. firmy FireEye poskytující služby kyberbezpečnosti, amerického ministerstva financí, obrany nebo zahraničních věcí a společnosti Microsoft, Fujitsu nebo Lukoil. Ze špionáže jsou podezřelí ruští hackeři.

    I zde platí, že nejlepším přístupem je prevence. Ta spočívá v důsledném dodržování pravidel pro řízení dodavatelů podle VKB.

    Významný dodavatel vyžaduje zvláštní péči

    Jak je ze znění zákona patrné, VKB požaduje, aby povinná osoba provedla rozřazení dodavatelů na dvě kategorie – významné dodavatele a dodavatele ostatní. Na významné dodavatele je přitom kladen z hlediska jejich řízení velký důraz.

    Zásadními úkoly obecného charakteru, které musí povinná osoba plnit, jsou:

    1. Stanovení politiky řízení dodavatele

    Jde o povinný dokument, jehož obsahové náležitosti jsou stanoveny v příloze č. 5 vyhlášky a upravuje interní postupy pro řízení dodavatelů:

      • Pravidla a principy pro výběr dodavatelů.
      • Pravidla pro hodnocení rizik souvisejících s dodavateli.
      • Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti.
      • Pravidla pro provádění kontroly zavedení bezpečnostních opatření.
      • Pravidla pro hodnocení dodavatelů.
    1. Řízení dodavatelských rizik
    2. Stanovení obecných pravidel pro všechny dodavatele a jejich seznámení snimi
    3. Určení významných dodavatelů, jejich evidence a prokazatelné informování o jejich vedení vevidenci

    Závěrem

    Zajištění bezpečnosti dodavatelských vztahů je komplexní a důležitá oblast, na kterou NÚKIB zaměřuje svoji pozornost, a to z opodstatněných důvodů. Dodavatel je možná skulina vysoce zabezpečených organizací, což dokazují uvedené úspěšné útoky na dodavatelské řetězce.

    Globálně se stále více institucí obrací na bezpečnostní koncept nulové důvěry, tzv. „Zero Trust Security“, ve kterém mají organizace považovat za nedůvěryhodnou nejen vnější, ale i svou vnitřní síť, a před udělením přístupu musí ověřit vždy všechna zařízení, která se pokoušejí připojit k jejich sítím či systémům. Uživatelé mají zároveň povolený přístup pouze ke službám, které jim jsou explicitně přiděleny, a všechno ostatní mají blokováno. Koncept nulové důvěry lze využít nejen u snižování rizik spojených s dodavateli, ale i k zabezpečení připojení a sítí při práci na dálku.

    K efektivní prevenci a přípravě na rizika plynoucí z dodavatelských vztahů je třeba zejména stanovit politiku řízení dodavatelů, dostatečně zahrnout hrozby spojené s dodavateli do analýzy rizik, určit pravidla pro dodavatele a seznámit je s nimi a určit významné dodavatele, na něž je třeba zaměřit pozornost.

    V rámci životního cyklu dodavatele je kritickou fází zadávací řízení a postup před podpisem smlouvy. Do ní je nutné zahrnout všechna bezpečnostní opatření určená na základě provedení analýzy rizik konkrétního předmětu dodavatelského plnění. Při samotném výběru dodavatelů je třeba vyvarovat se přílišné závislosti na jednom dodavateli. V průběhu plnění je třeba pravidelně vyhodnocovat rizika, periodicky vykonávat kontroly dodržování bezpečnostních opatření dodavatelem a provádět pravidelné hodnocení dodavatelů.



    Nepřehlédněte