Bezpečné dodavatelské vztahy

Bezpečné dodavatelské vztahy

29. 09. 2021
Bezpečnost v rámci dodavatelských vztahů je zásadní součástí bezpečnosti informací a kybernetické bezpečnosti obecně.

Dodavatelské vztahy má Národní úřad pro kybernetickou bezpečnost na mušce

Bezpečnost v rámci dodavatelských vztahů je zásadní součástí bezpečnosti informací a kybernetické bezpečnosti obecně. Právní předpisy ke kybernetické bezpečnosti, podpůrné materiály Národního úřadu pro kybernetickou bezpečnost (dále jen „NÚKIB“) a jeho zprávy, které jsou výsledkem jeho kontrolní činnosti, představují důkaz, že to tak vnímá také NÚKIB.  

Ve „Zprávě o stavu kybernetické bezpečnosti 2020“ se v přehledu deseti nejčastějších nálezů nedostatků při kontrolních šetřeních nachází i ten, že subjekty nedostatečně řídí rizika spojená s dodavateli. V tomto článku, který sepsala bezpečnostní konzultantka Barbora Kvasnicová, absolventka Policejní akademie, se proto zaměříme na bezpečné dodavatelské vztahy podle vyhlášky č. 82/2019 Sb., o kybernetické bezpečnosti (dále jen „VKB“) a navazujících metodických dokumentů NÚKIB.  

 

Co je cílem řízení dodavatelů?

Cílem řízení dodavatelů z bezpečnostního hlediska je předejít nejčastějším problémům vznikajících při využívání externích služeb, jako jsou:  

  • vendor lock-in,  
  • nedostatečná ochrana informací poskytnutých dodavateli,  
  • nedostatečná bezpečnostní opatření při správě systému/ů.

 

Evidované kybernetické bezpečnostní incidenty poslední doby související s dodavateli  

Jednou z největších hrozeb v rámci dodavatelských vztahů je útok na dodavatelský řetězec. Jde o techniku, při které útočník injektuje škodlivý kód nebo součástku do důvěryhodného softwaru nebo hardwaru. Tím, že kompromituje určitého dodavatele, může útočník proměnit každou internetovou aplikaci, vydanou aktualizaci programu nebo i technické vybavení na trojské koně, a dostat se tak k nic netušícím zákazníkům dodavatele.

Podle dokumentu „Kybernetické incidenty pohledem NÚKIB; Červenec 2021“ byl v červenci zaznamenán druhý kybernetický útok, při němž byli postiženi klienti napadaného dodavatele. Konkrétně se jedná o ransomware vedený proti serveru české organizace poskytující ICT řešení. V jeho důsledku ztratilo přes tucet klientů tohoto dodavatele svá data. To, zda byl primárním cílem dodavatel, nebo jeho klient/i, není jasné.

Začátkem července tohoto roku se stal obdobný útok patrně větších rozměrů v USA. Konkrétně šlo o útok na software „Virtual SW Administrator“ od firmy Kaseya, který používají poskytovatelé ICT služeb pro vzdálenou správu a monitoring systémů klientů, za využití zranitelnosti nultého dne. Dle odhadů bylo touto cestou napadnuto ransomwarem asi 1500 koncových klientů, kterými jsou nejčastěji malé a střední podniky, které přímo s kompromitovaným softwarem neměly nic společného.

Koncem roku 2020 vydal NÚKIB dokonce reaktivní opatření, kvůli kybernetickému útoku na dodavatelský řetězec softwarové společnosti SolarWinds prostřednictvím infikování aktualizací softwaru backdoors platformy Orion. Útočníci takto pronikli do systémů např. firmy FireEye poskytující služby kyberbezpečnosti, amerického ministerstva financí, obrany nebo zahraničních věcí a společnosti Microsoft, Fujitsu nebo Lukoil. Ze špionáže jsou podezřelí ruští hackeři.  

I zde platí, že nejlepším přístupem je prevence. Ta spočívá v důsledném dodržování pravidel pro řízení dodavatelů podle VKB.

 

Požadavky VKB na řízení dodavatelů

VKB nazývá proces, který zahrnuje všechny činnosti k zajištění bezpečných dodavatelských vztahů, řízením dodavatelů. V §8 pak stanoví pro zodpovědné osoby celou řadu povinností.

Činnosti k řízení dodavatelů lze rozdělit na obecné, jimiž zodpovědná osoba plní povinnost k zajištění dodavatelských vztahů obecně a mají zejména plánovací, koncepční a vyrozumívací charakter, a na adresné, které jsou prováděny vůči konkrétnímu dodavateli v průběhu jeho životního cyklu. Na řízení významných dodavatelů jsou pak kladeny zvláštní nároky.

Významný dodavatel vyžaduje zvláštní péči

Jak je ze znění zákona patrné, VKB požaduje, aby povinná osoba provedla rozřazení dodavatelů na dvě kategorie – významné dodavatele a dodavatele ostatní. Na významné dodavatele je přitom kladen z hlediska jejich řízení velký důraz. Významným dodavatelem je podle písm. n) §2 VKB:

provozovatel informačního nebo komunikačního systému (dále jen „provozovatel“) a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému.

 

Provozovatelem informačního systému je pak podle písm. g) §2 vyhlášky orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.  

Prakticky je potřeba mezi významné dodavatele řadit zejména:

  • provozovatele chráněných informačních systémů – většinou jde o organizace, které buď samy vyvíjí, nebo přeprodávají informační systém a provádí jeho implementaci u odpovědné osoby a poskytují servisní a další služby,

  • poskytovatele klíčových služeb, ale také například hardwaru, který je nepostradatelný pro provoz chráněných informačních systémů, případně je důležitý pro zajištění bezpečnosti těchto IT systémů. Příkladem jsou poskytovatelé služeb Security Operation Center, kteří provádějí bezpečnostní monitoring a detekci kybernetických bezpečnostních událostí a incidentů, nebo provozovatelé zálohovacích clusterů.

 

Obecné činnosti

Zásadními úkoly obecného charakteru, které musí povinná osoba plnit, jsou:

1. Stanovení politiky řízení dodavatele

Jde o povinný dokument, jehož obsahové náležitosti jsou stanoveny v příloze č. 5 vyhlášky a upravuje interní postupy pro řízení dodavatelů:  

  • Pravidla a principy pro výběr dodavatelů.
  • Pravidla pro hodnocení rizik souvisejících s dodavateli.
  • Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti.
  • Pravidla pro provádění kontroly zavedení bezpečnostních opatření.
  • Pravidla pro hodnocení dodavatelů.
 

2. Řízení dodavatelských rizik

  • Jde o řízení rizik, které plynou z dodavatelských vztahů a rizik nedodržení smluvních závazků v rámci řízení rizik v organizaci.
  • Všechna rizika je třeba evidovat, volit pro ně vhodné způsoby zvládání a pravidelně a opakovaně je vyhodnocovat.
  • Téma analýzy a hodnocení rizik je velmi komplexní a bude zpracováno v jednom z nadcházejících článků.  

 

3. Stanovení obecných pravidel pro všechny dodavatele a jejich seznámení s nimi

  • Jde o relevantní pravidla pro všechny dodavatele v rámci systému řízení bezpečnosti informací organizace; může jít např. o pravidla pro klasifikaci informací a jejich sdílení, o pravidla pro vzdálený přístup, o pravidla pro používání výměnných datových úložišť, pravidla pro navštěvování určitých prostor apod. a měla by být identifikována v rámci řízení dodavatelských rizik.
  • Je důležité revidovat smlouvy s dodavateli a zajistit, že je v nich dodavateli udělena povinnost seznámit pracovníky podílející se na zakázce s bezpečnostní dokumentací klienta, případně pro ně uspořádat školení.
  • Seznámení pracovníků dodavatele s pravidly může probíhat formou zaslání školicího materiálu, formou prezentace, nebo i prezenčního školení.

 

4. Určení významných dodavatelů, jejich evidence a prokazatelné informování o jejich vedení v evidenci

  • Povinné osoby mají povinnost vést evidenci významných dodavatelů a tyto subjekty  
    o jejich vedení v evidenci prokazatelně informovat. Náležitosti, které musí takové informování naplňovat, jsou uvedeny v odst. 3 §8 vyhlášky.  

 

Životní cyklus významného dodavatele

Jak již bylo uvedeno, kromě obecných činností vyžaduje řízení dodavatelů řadu činností adresných, tedy konkrétně prováděných vůči jednotlivým dodavatelům. Rozsah těchto činností se liší podle toho, zda se jedná o významného dodavatele, či nikoli. Tento rozdíl je nejvíce patrný ve fázi zadávacího řízení a sjednání smlouvy. U běžných dodavatelů je zde třeba pouze úprava obecných bezpečnostních opatření a pravidel k ISMS pro dodavatele do smlouvy. 

 

Zadávací řízení a sjednání smlouvy

Při přípravě na zadávací řízení k výběru významného dodavatele je potřeba vždy provést analýzu rizik. Cílem této analýzy je určit a vyhodnotit rizika, která z plnění předmětu dodávky vyplývají. Nejedná se již o analýzu rizik v rámci celkové analýzy rizik organizace, ale o takovou, která je zaměřená na konkrétní předmět dodavatelského plnění.  

K určení možných hrozeb by měli být přizvání vedoucí a odborní zaměstnanci, kteří posoudí hrozby charakteru technického, obchodního i personálního, a také hrozby pro fyzickou bezpečnost. Vhodnou metodou pro identifikaci těchto hrozeb je např. brainstorming.  

Na základě výsledků analýzy rizik jsou stanovena bezpečnostní opatření, která je třeba zanést do zadávací dokumentace a do smlouvy.  

Konkrétní způsob, jak zahrnout bezpečnostní podmínky do zadávacího řízení, není právními předpisy ke kybernetické bezpečnosti stanoven. Dodavatelské vztahy povinných osob mají nejčastěji charakter veřejných zakázek.  

Zákon o zadávání veřejných zakázek (dále jen „ZZVZ“) umožňuje zadavateli zanesení jakýchkoli požadavků, které jsou řádně odůvodněny a dostojí základním zásadám dle §6 ZZVS. K této problematice vydal NÚKIB metodický materiál „Zadávání veřejných zakázek v oblasti ICT a KB“, ve kterém se zabývá častými oblastmi k řešení v zadávacím řízení, jako je omezení nákupu rizikových technologií, zamezení šíření důvěrné informace, kritéria kvalifikace dodavatelů a jejich zaměstnanců, řízení poddodavatelů a kontrola dodavatelů ve fázi zadávacího řízení. Materiál rovněž uvádí možné opěrné body pro odůvodnění požadavků v rámci těchto oblastí.

Základní rozsah těchto opatření ve smlouvě je ten, který stanoví vyhláška v příloze č. 7:

  • bezpečnosti informací z pohledu důvěrnosti, dostupnosti a integrity,
  • oprávnění užívat data,
  • autorství programového kódu, popřípadě programové licence,
  • pravidla zákaznického auditu,
  • řetězení dodavatelů,
  • povinnost dodavatele dodržovat bezpečnostní politiky povinné osoby,
  • řízení změn,
  • soulad smluv s obecně závaznými právními předpisy,
  • povinnost dodavatele informovat povinnou osobu o:
    • kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy,
    • způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním smlouvy,
    • významné změně u dodavatele,
  • podmínky bezpečnosti při ukončení smlouvy  
  • řízení kontinuity činností  
  • formát předání dat, provozních údajů a informací po vyžádání správcem,
  • likvidace dat,
  • právo jednostranně odstoupit od smlouvy v případě významné změny kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění podle smlouvy a
  • ustanovení o sankcích za porušení povinností.

Uvedená opatření jsou rozpracována ve veřejně dostupném materiálu NÚKIB „Výklad požadavků na smlouvy s dodavateli“.

 

Průběh smluvního vztahu s dodavatelem

Ujednáním bezpečnostních opatření ve smlouvě řízení dodavatelů nekončí. Je třeba pravidelně vyhodnocovat účinnost opatření ke snížení rizik a zda se neobjevila rizika nová.  

Povinná osoba má povinnost u svých významných dodavatelů provádět pravidelnou kontrolu zavedených bezpečnostních opatření. Tyto kontroly se provádí zpravidla formou auditu. Audit je možné provádět vlastními silami, nebo prostřednictvím najatých odborníků. Dokládá se formou auditní zprávy či jiným dokumentem. Následně je nutné, aby povinná osoba zajistila, že se výsledky auditu reálně projeví v následném plnění smlouvy. I tuto povinnost pro dodavatele je vhodné uvést ve smlouvě.

Další povinností v rámci řízení významných dodavatelů je jejich pravidelné hodnocení. Dobrou praxí pak bývá zahrnutí výsledků tohoto hodnocení do roční zprávy z přezkoumání systému řízení informační bezpečnosti. Konkrétní náležitosti hodnocení nejsou vyhláškou stanoveny, zpravidla se odvíjí od výsledků kontrol dodavatele, případně od zjištěných kybernetických bezpečnostních událostí nebo incidentů způsobených právě dodavatelem.

 

Ukončení smluvního vztahu

Pravidla pro bezpečné ukončení smluvního vztahu v rámci tzv. „exit strategy“ jsou ujednána při podpisu smlouvy. Ve fázi samotného ukončení musí povinná osoba zejména dohlédnout na řádné dodržení těchto pravidel ze strany dodavatele. Příklady oblastí, které je třeba řešit, jsou duševní vlastnictví, vlastnictví zdrojových kódů, předání dat v čitelné podobě, likvidace médií a dat u dodavatele, nebo trvání závazku mlčenlivosti i po ukončení smluvního vztahu.  

 

Závěr

Zajištění bezpečnosti dodavatelských vztahů je komplexní a důležitá oblast, na kterou NÚKIB zaměřuje svoji pozornost, a to z opodstatněných důvodů. Dodavatel je možná skulina vysoce zabezpečených organizací, což dokazují uvedené úspěšné útoky na dodavatelské řetězce.  

Globálně se stále více institucí obrací na bezpečnostní koncept nulové důvěry, tzv. „Zero Trust Security“, ve kterém mají organizace považovat za nedůvěryhodnou nejen vnější, ale i svou vnitřní síť, a před udělením přístupu musí ověřit vždy všechna zařízení, která se pokoušejí připojit k jejich sítím či systémům. Uživatelé mají zároveň povolený přístup pouze ke službám, které jim jsou explicitně přiděleny, a všechno ostatní mají blokováno. Koncept nulové důvěry lze využít nejen u snižování rizik spojených s dodavateli, ale i k zabezpečení připojení a sítí při práci na dálku.

K efektivní prevenci a přípravě na rizika plynoucí z dodavatelských vztahů je třeba zejména stanovit politiku řízení dodavatelů, dostatečně zahrnout hrozby spojené s dodavateli do analýzy rizik, určit pravidla pro dodavatele a seznámit je s nimi a určit významné dodavatele, na něž je třeba zaměřit pozornost.  

V rámci životního cyklu dodavatele je kritickou fází zadávací řízení a postup před podpisem smlouvy. Do ní je nutné zahrnout všechna bezpečnostní opatření určená na základě provedení analýzy rizik konkrétního předmětu dodavatelského plnění. Při samotném výběru dodavatelů je třeba vyvarovat se přílišné závislosti na jednom dodavateli. V průběhu plnění je třeba pravidelně vyhodnocovat rizika, periodicky vykonávat kontroly dodržování bezpečnostních opatření dodavatelem a provádět pravidelné hodnocení dodavatelů.

 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.