Bezpieczeństwo łańcucha dostaw cz. 2: jak znaleźć partnera idealnego
Opisane w dyrektywie NIS2 wymagania względem cyberbezpieczeństwa łańcucha dostaw są bardzo ogólne. Wielu menedżerów IT staje jednak przed koniecznością udzielenia konkretnej odpowiedzi na pytanie o to, jakie kroki w tym kierunku zamierzają podjąć. Sprawdźmy zatem praktyczne metody przygotowania organizacji do wdrożenia polityki kontrolowania cyberbezpieczeństwa partnerów biznesowych.
CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:
|
Formalnie dyrektywa NIS2 już obowiązuje – od 17 października 2024 roku. Jej zapisy pozostają jednak martwe, co z jednej strony opóźnia proces podnoszenia bezpieczeństwa i odporności biznesowej najważniejszych podmiotów w kraju, a z drugiej – daje więcej czasu na przygotowanie organizacji do nowych wymagań. Kluczowe zapisy precyzujące oczekiwania wobec podmiotów kluczowych i ważnych są co prawda zawarte w dyrektywie NIS2, jednak ich implementacja do prawa krajowego odbędzie się dzięki nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Tu należy jednak dodać, że NIS2 przewiduje tylko minimalne wymagalne zasady dotyczące cyberbezpieczeństwa (tzw. harmonizacja minimalna), pozostawiając państwom członkowskim „możliwość przyjęcia przepisów mających na celu osiągnięcie wyższego poziomu bezpieczeństwa sieci i systemów informatycznych”.
Ze względu na opóźnienia w procedowaniu ustawy o KSC, należy się spodziewać, że pojawi się ona (i wejdzie w życie) dopiero jesienią 2025 roku. Warto w tym miejscu przypomnieć, że średnie opóźnienie Polski we wdrażaniu postanowień unijnych to ok. 19 miesięcy. Ten „dodatkowy” czas można wykorzystać poprawiając przygotowanie organizacji do wdrożenia postanowień NIS2, w tym do kontroli cyberbezpieczeństwa partnerów biznesowych. Jak się do tego zabrać?
Analiza ryzyka
Pierwszym krokiem tworzenia polityki bezpieczeństwa łańcucha dostaw powinna być kategoryzacja dostawców. Należy sprawdzić, czy usługi tego konkretnego partnera (w dowolnej formie – dostaw towarów, sprzętu IT, usług programistycznych czy usług infrastrukturalnych) mają krytyczne znaczenie dla działania naszej firmy. Inaczej mówiąc – czy zachowanie ciągłości biznesowej jest uzależnione od działania tego konkretnego dostawcy.
Drugim elementem podlegającym ocenie ryzyka powinno być sprawdzenie, czy ten konkretny dostawca ma dostęp do danych wrażliwych przekazanych przez naszą organizację.
Wreszcie trzecim aspektem wymagającym kontroli są zapisy w umowach z dostawcą. Czy przewidują one odpowiednie działania i zabezpieczenia, których wymaga nasze cyberbezpieczeństwo? Czy dostawca zgadza się na audyty, przewiduje raportowanie, stosowanie określonych polityk bezpieczeństwa i wykorzystanie adekwatnych środków technicznych?
Tu trzeba również podkreślić, że nie ma sposobu na standaryzację oceny bezpieczeństwa IT u dostawców – jest to możliwe tylko na bardzo ogólnym poziomie. Ryzyko można ocenić w sposób wiarygodny tylko indywidualnie, uwzględniając charakterystykę organizacji, jej partnerów, branży i sposób działania.
Cyberbezpieczeństwo na poważnie
Można jednak sprawdzić, w jaki sposób dostawca podchodzi do problematyki cyberbezpieczeństwa własnej infrastruktury. Jak rozpoznać firmę, która nas nie zawiedzie? Oto kilka podpowiedzi:
-
Firma dysponuje wiarygodnymi certyfikatami oraz spełnia międzynarodowe normy.
Kluczowe są tu normy standaryzujące system zarządzania bezpieczeństwem informacji, czyli ISO/IEC 27001 oraz system zarządzania ciągłością działania ISO 22301. Firma sama przeprowadza zewnętrzne audyty bezpieczeństwa.
Warto zwrócić uwagę, aby w umowie nasz dostawca zgadzał się na przeprowadzanie takich audytów regularnie lub na życzenie.W umowie SLA zgadza się na ewentualne kary za niedopełnienie obowiązków z obszaru cyberbezpieczeństwa.
Spełnia branżowe standardy.
Często takie standardy, niebędące formalnie obowiązujące, niosą wyższe wymagania dla firm i systemów bezpieczeństwa IT, niż przepisy ustawowe lub unijne zakładające tylko minimalny poziom ochrony.Jest otwarta na wprowadzenie do umów zapisów uściślających wymagania z obszaru bezpieczeństwa IT, również w ponadstandardowym zakresie.
Badając stan cyberbezpieczeństwa naszych dostawców warto również przyjrzeć się takim zagadnieniom jak kompletność i stopień wdrożenia polityki bezpieczeństwa, stosowanie adekwatnych środków technicznych dla ochrony danych, czy organizowanie szkoleń dla zarządu oraz pracowników.
Na co zwrócić szczególną uwagę?
Dyrektywa NIS2 nie wskazuje konkretnych rozwiązań technicznych, które mogą mieć zastosowanie w kontroli cyberbezpieczeństwa łańcucha dostaw, nie wskazuje również technologii, które firmy powinny stosować.
Jak zatem rozumieć sformułowanie o adekwatnych środkach technicznych?
Dobrym pomysłem może być przeniesienie własnych doświadczenia z wewnętrznych rozwiązań naszej firmy na wymagania wobec potencjalnego dostawcy. Oznacza to sprawdzenie lub ewentualnie wprowadzenie do umowy obowiązku stosowania pewnych rozwiązań wzmacniających cyberodporność, o których wiemy, że sprawdzają się w praktyce w naszym przypadku. Tu trzeba jednak zastrzec, że nie zawsze będzie to możliwe – dostawca może mieć wielu innych partnerów o odmiennych wymaganiach lub być częścią międzynarodowej korporacji, w której decyzje o środkach ochrony IT zapadają w centrali.
Co warto sprawdzić? Spójrzmy:
Kluczowe dla bezpieczeństwa danych jest nowoczesne podejście do zarządzania tożsamością i dostępem.
W tym obszarze najistotniejsze będzie wprowadzenie przez dostawcę polityki zerowego zaufania, która w rygorystyczny sposób ogranicza dostęp do infrastruktury lub jej części, danych i krytycznych zasobów przedsiębiorstwa. Więcej o polityce zero trust przeczytasz w Strefie Wiedzy.Zasady szyfrowanie danych.
NIS2 przewiduje szczególne zasady ochrony danych przed wyciekiem w przypadku ich zgubienia lub kradzieży. Dotyczy to nie tylko szyfrowania dysków twardych, ale także nośników USB.Metody zapewnienia ciągłości działania i bezpieczeństwa danych, np. przed atakami ransomware stosowane przez dostawcę.
Tu najistotniejsza jest ocena wiarygodności polityki tworzenia kopii bezpieczeństwa, a także procedury odzyskiwania danych. W niektórych sytuacjach konieczne może być szersze spojrzenie na strategię partnera w celu utrzymania ciągłości biznesowej. Rozwiązania takie, jak szybkie odzyskiwanie gotowości działania (DRaaS) czy zapasowe centrum danych (w tym Metro Cluster w T-Mobile gwarantujący nieprzerwaną pracę) będą potwierdzeniem, że nasz partner poważnie podchodzi do własnego cyberbezpieczeństwa.Podobnie jak w przypadku naszej własnej infrastruktury, pożądanym zachowaniem dostawcy jest wykorzystywanie systemu monitorowania zagrożeń, reagowania na ewentualne awarie i ataki oraz raportowanie tego typu zdarzeń (co również jest wymagane przez dyrektywę NIS2 w kontekście podmiotów kluczowych i ważnych).
Bezpieczeństwo kodu i higiena jego tworzenia. Wiele ataków na łańcuch dostaw, a za jego pośrednictwem na większe organizacje, rozpoczyna się od wstrzyknięcia złośliwego kodu do otwartych repozytoriów, z których korzystają programiści.
To specyficzna kwestia dotycząca łańcucha dostaw oprogramowania, jednak jest to jedno z najpoważniejszych wyzwań, z jakim muszą zmierzyć się firmy badające cyberbezpieczeństwo swoich biznesowych partnerów.
Najważniejsze wnioski
Dyrektywa NIS2 pozostawia organizacjom dużą swobodę w kształtowaniu polityki cyberbezpieczeństwa w odniesieniu do swojego łańcucha dostaw. To jednak może dawać złudne poczucie bezpieczeństwa – jeśli firmy w tej dziedzinie nie sięgną po sprawdzone i standaryzowane rozwiązania, bezpieczeństwo łańcucha dostaw pozostanie gwarantowane tylko na papierze.
Trzeba również pamiętać o wyjątkowym, przyfrontowym, położeniu Polski, co sprawia, że złośliwe ataki wykorzystujące podatności występujące u dostawców są bardziej prawdopodobne. Nie wiadomo jeszcze, jak te wyzwania geopolityczne zostaną zinterpretowane w nowelizacji ustawy o KSC – można się spodziewać ostrzejszych norm, niż jest to obecnie zapisane w dyrektywie NIS2. Dlatego nie warto ograniczać się w tym obszarze do absolutnego minimum.
Artykuł powstał przy współpracy merytorycznej z:
Miłosz Jankowski, Leader Business Development Account Cybersecurity Product,
T-Mobile Polska Business Solutions sp. z o.o.
Patryk Harazim, Patryk Harazim, Head of Sales Unit Industry&Technology Sector,
T-Mobile Polska Business Solutions sp. z o.o.


Data publikacji: 04.04.2025