Bezpečnost v rámci dodavatelských vztahů je zásadní součástí bezpečnosti informací a kybernetické bezpečnosti obecně. Právní předpisy ke kybernetické bezpečnosti, podpůrné materiály Národního úřadu pro kybernetickou bezpečnost (dále jen „NÚKIB“) a jeho zprávy, které jsou výsledkem jeho kontrolní činnosti, představují důkaz, že to tak vnímá také NÚKIB.
Ve „Zprávě o stavu kybernetické bezpečnosti 2020“ se v přehledu deseti nejčastějších nálezů nedostatků při kontrolních šetřeních nachází i ten, že subjekty nedostatečně řídí rizika spojená s dodavateli. V tomto článku, který sepsala bezpečnostní konzultantka Barbora Kvasnicová, absolventka Policejní akademie, se proto zaměříme na bezpečné dodavatelské vztahy podle vyhlášky č. 82/2019 Sb., o kybernetické bezpečnosti (dále jen „VKB“) a navazujících metodických dokumentů NÚKIB.
Cílem řízení dodavatelů z bezpečnostního hlediska je předejít nejčastějším problémům vznikajících při využívání externích služeb, jako jsou:
Jednou z největších hrozeb v rámci dodavatelských vztahů je útok na dodavatelský řetězec. Jde o techniku, při které útočník injektuje škodlivý kód nebo součástku do důvěryhodného softwaru nebo hardwaru. Tím, že kompromituje určitého dodavatele, může útočník proměnit každou internetovou aplikaci, vydanou aktualizaci programu nebo i technické vybavení na trojské koně, a dostat se tak k nic netušícím zákazníkům dodavatele.
Podle dokumentu „Kybernetické incidenty pohledem NÚKIB; Červenec 2021“ byl v červenci zaznamenán druhý kybernetický útok, při němž byli postiženi klienti napadaného dodavatele. Konkrétně se jedná o ransomware vedený proti serveru české organizace poskytující ICT řešení. V jeho důsledku ztratilo přes tucet klientů tohoto dodavatele svá data. To, zda byl primárním cílem dodavatel, nebo jeho klient/i, není jasné.
Začátkem července tohoto roku se stal obdobný útok patrně větších rozměrů v USA. Konkrétně šlo o útok na software „Virtual SW Administrator“ od firmy Kaseya, který používají poskytovatelé ICT služeb pro vzdálenou správu a monitoring systémů klientů, za využití zranitelnosti nultého dne. Dle odhadů bylo touto cestou napadnuto ransomwarem asi 1500 koncových klientů, kterými jsou nejčastěji malé a střední podniky, které přímo s kompromitovaným softwarem neměly nic společného.
Koncem roku 2020 vydal NÚKIB dokonce reaktivní opatření, kvůli kybernetickému útoku na dodavatelský řetězec softwarové společnosti SolarWinds prostřednictvím infikování aktualizací softwaru backdoors platformy Orion. Útočníci takto pronikli do systémů např. firmy FireEye poskytující služby kyberbezpečnosti, amerického ministerstva financí, obrany nebo zahraničních věcí a společnosti Microsoft, Fujitsu nebo Lukoil. Ze špionáže jsou podezřelí ruští hackeři.
I zde platí, že nejlepším přístupem je prevence. Ta spočívá v důsledném dodržování pravidel pro řízení dodavatelů podle VKB.
VKB nazývá proces, který zahrnuje všechny činnosti k zajištění bezpečných dodavatelských vztahů, řízením dodavatelů. V §8 pak stanoví pro zodpovědné osoby celou řadu povinností.
Činnosti k řízení dodavatelů lze rozdělit na obecné, jimiž zodpovědná osoba plní povinnost k zajištění dodavatelských vztahů obecně a mají zejména plánovací, koncepční a vyrozumívací charakter, a na adresné, které jsou prováděny vůči konkrétnímu dodavateli v průběhu jeho životního cyklu. Na řízení významných dodavatelů jsou pak kladeny zvláštní nároky.
Jak je ze znění zákona patrné, VKB požaduje, aby povinná osoba provedla rozřazení dodavatelů na dvě kategorie – významné dodavatele a dodavatele ostatní. Na významné dodavatele je přitom kladen z hlediska jejich řízení velký důraz. Významným dodavatelem je podle písm. n) §2 VKB:
provozovatel informačního nebo komunikačního systému (dále jen „provozovatel“) a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému.
Provozovatelem informačního systému je pak podle písm. g) §2 vyhlášky orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.
Prakticky je potřeba mezi významné dodavatele řadit zejména:
provozovatele chráněných informačních systémů – většinou jde o organizace, které buď samy vyvíjí, nebo přeprodávají informační systém a provádí jeho implementaci u odpovědné osoby a poskytují servisní a další služby,
poskytovatele klíčových služeb, ale také například hardwaru, který je nepostradatelný pro provoz chráněných informačních systémů, případně je důležitý pro zajištění bezpečnosti těchto IT systémů. Příkladem jsou poskytovatelé služeb Security Operation Center, kteří provádějí bezpečnostní monitoring a detekci kybernetických bezpečnostních událostí a incidentů, nebo provozovatelé zálohovacích clusterů.
Zásadními úkoly obecného charakteru, které musí povinná osoba plnit, jsou:
1. Stanovení politiky řízení dodavatele
Jde o povinný dokument, jehož obsahové náležitosti jsou stanoveny v příloze č. 5 vyhlášky a upravuje interní postupy pro řízení dodavatelů:
2. Řízení dodavatelských rizik
3. Stanovení obecných pravidel pro všechny dodavatele a jejich seznámení s nimi
4. Určení významných dodavatelů, jejich evidence a prokazatelné informování o jejich vedení v evidenci
Povinné osoby mají povinnost vést evidenci významných dodavatelů a tyto subjekty
o jejich vedení v evidenci prokazatelně informovat. Náležitosti, které musí takové informování naplňovat, jsou uvedeny v odst. 3 §8 vyhlášky.
Jak již bylo uvedeno, kromě obecných činností vyžaduje řízení dodavatelů řadu činností adresných, tedy konkrétně prováděných vůči jednotlivým dodavatelům. Rozsah těchto činností se liší podle toho, zda se jedná o významného dodavatele, či nikoli. Tento rozdíl je nejvíce patrný ve fázi zadávacího řízení a sjednání smlouvy. U běžných dodavatelů je zde třeba pouze úprava obecných bezpečnostních opatření a pravidel k ISMS pro dodavatele do smlouvy.
Při přípravě na zadávací řízení k výběru významného dodavatele je potřeba vždy provést analýzu rizik. Cílem této analýzy je určit a vyhodnotit rizika, která z plnění předmětu dodávky vyplývají. Nejedná se již o analýzu rizik v rámci celkové analýzy rizik organizace, ale o takovou, která je zaměřená na konkrétní předmět dodavatelského plnění.
K určení možných hrozeb by měli být přizvání vedoucí a odborní zaměstnanci, kteří posoudí hrozby charakteru technického, obchodního i personálního, a také hrozby pro fyzickou bezpečnost. Vhodnou metodou pro identifikaci těchto hrozeb je např. brainstorming.
Na základě výsledků analýzy rizik jsou stanovena bezpečnostní opatření, která je třeba zanést do zadávací dokumentace a do smlouvy.
Konkrétní způsob, jak zahrnout bezpečnostní podmínky do zadávacího řízení, není právními předpisy ke kybernetické bezpečnosti stanoven. Dodavatelské vztahy povinných osob mají nejčastěji charakter veřejných zakázek.
Zákon o zadávání veřejných zakázek (dále jen „ZZVZ“) umožňuje zadavateli zanesení jakýchkoli požadavků, které jsou řádně odůvodněny a dostojí základním zásadám dle §6 ZZVS. K této problematice vydal NÚKIB metodický materiál „Zadávání veřejných zakázek v oblasti ICT a KB“, ve kterém se zabývá častými oblastmi k řešení v zadávacím řízení, jako je omezení nákupu rizikových technologií, zamezení šíření důvěrné informace, kritéria kvalifikace dodavatelů a jejich zaměstnanců, řízení poddodavatelů a kontrola dodavatelů ve fázi zadávacího řízení. Materiál rovněž uvádí možné opěrné body pro odůvodnění požadavků v rámci těchto oblastí.
Základní rozsah těchto opatření ve smlouvě je ten, který stanoví vyhláška v příloze č. 7:
Uvedená opatření jsou rozpracována ve veřejně dostupném materiálu NÚKIB „Výklad požadavků na smlouvy s dodavateli“.
Ujednáním bezpečnostních opatření ve smlouvě řízení dodavatelů nekončí. Je třeba pravidelně vyhodnocovat účinnost opatření ke snížení rizik a zda se neobjevila rizika nová.
Povinná osoba má povinnost u svých významných dodavatelů provádět pravidelnou kontrolu zavedených bezpečnostních opatření. Tyto kontroly se provádí zpravidla formou auditu. Audit je možné provádět vlastními silami, nebo prostřednictvím najatých odborníků. Dokládá se formou auditní zprávy či jiným dokumentem. Následně je nutné, aby povinná osoba zajistila, že se výsledky auditu reálně projeví v následném plnění smlouvy. I tuto povinnost pro dodavatele je vhodné uvést ve smlouvě.
Další povinností v rámci řízení významných dodavatelů je jejich pravidelné hodnocení. Dobrou praxí pak bývá zahrnutí výsledků tohoto hodnocení do roční zprávy z přezkoumání systému řízení informační bezpečnosti. Konkrétní náležitosti hodnocení nejsou vyhláškou stanoveny, zpravidla se odvíjí od výsledků kontrol dodavatele, případně od zjištěných kybernetických bezpečnostních událostí nebo incidentů způsobených právě dodavatelem.
Pravidla pro bezpečné ukončení smluvního vztahu v rámci tzv. „exit strategy“ jsou ujednána při podpisu smlouvy. Ve fázi samotného ukončení musí povinná osoba zejména dohlédnout na řádné dodržení těchto pravidel ze strany dodavatele. Příklady oblastí, které je třeba řešit, jsou duševní vlastnictví, vlastnictví zdrojových kódů, předání dat v čitelné podobě, likvidace médií a dat u dodavatele, nebo trvání závazku mlčenlivosti i po ukončení smluvního vztahu.
Zajištění bezpečnosti dodavatelských vztahů je komplexní a důležitá oblast, na kterou NÚKIB zaměřuje svoji pozornost, a to z opodstatněných důvodů. Dodavatel je možná skulina vysoce zabezpečených organizací, což dokazují uvedené úspěšné útoky na dodavatelské řetězce.
Globálně se stále více institucí obrací na bezpečnostní koncept nulové důvěry, tzv. „Zero Trust Security“, ve kterém mají organizace považovat za nedůvěryhodnou nejen vnější, ale i svou vnitřní síť, a před udělením přístupu musí ověřit vždy všechna zařízení, která se pokoušejí připojit k jejich sítím či systémům. Uživatelé mají zároveň povolený přístup pouze ke službám, které jim jsou explicitně přiděleny, a všechno ostatní mají blokováno. Koncept nulové důvěry lze využít nejen u snižování rizik spojených s dodavateli, ale i k zabezpečení připojení a sítí při práci na dálku.
K efektivní prevenci a přípravě na rizika plynoucí z dodavatelských vztahů je třeba zejména stanovit politiku řízení dodavatelů, dostatečně zahrnout hrozby spojené s dodavateli do analýzy rizik, určit pravidla pro dodavatele a seznámit je s nimi a určit významné dodavatele, na něž je třeba zaměřit pozornost.
V rámci životního cyklu dodavatele je kritickou fází zadávací řízení a postup před podpisem smlouvy. Do ní je nutné zahrnout všechna bezpečnostní opatření určená na základě provedení analýzy rizik konkrétního předmětu dodavatelského plnění. Při samotném výběru dodavatelů je třeba vyvarovat se přílišné závislosti na jednom dodavateli. V průběhu plnění je třeba pravidelně vyhodnocovat rizika, periodicky vykonávat kontroly dodržování bezpečnostních opatření dodavatelem a provádět pravidelné hodnocení dodavatelů.