Tiek Tinklų ir informacinių sistemų kibernetinio saugumo direktyva (TIS2 direktyva), tiek Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentas (DORA) įpareigoja pažinti savo tiekėjus, stebėti jų saugumo brandą, o svarbiausia turėti dokumentuotą pagrindimą. Kaip bebūtų, saugumo srityje egzistuoja tylus paradoksas: kuo mažesnis tiekėjas – tuo daugiau iš jo reikalaujama. Ir tai ne visada pagrįsta.

Didieji žaidėjai dažnai diktuoja sąlygas: vienpusiai SLA, atsisakymas derėtis dėl rizikos pasidalinimo, nuorodos į reputaciją ar sertifikatą, kurio niekas iš esmės neanalizuoja. Klientai retai turi svertų spausti, todėl tiesiog susitaiko – juk tai „pramonės standartas“.

Mažieji tiekėjai, priešingai, dažnai būna lankstesni, atviresni, pasirengę kalbėtis, taikyti papildomas priemones, prisitaikyti prie kliento reikalavimų. Tikriausiai būtent dėl to iš jų dažnai reikalaujama daugiau: išsamių klausimynų, papildomų patvirtinimų, nepriklausomų auditų, nuolatinių ataskaitų.

Susidaro paradoksali situacija todėl, kad didžiųjų technologijų gigantų atveju dažnai pasitenkinama tuo, ką jie kaip trupinius numeta, nes net ir labai norint dažniausiai negalima iš jų išsireikalauti daugiau. Jų dydis, rinkos galia ir monopolistinis statusas suteikia realų svertą, kurio neturi mažos ar vidutinės įmonės. Jei esate mažesnis paslaugų teikėjas, jūsų įsipareigojimas tampa dvigubu: ne tik saugiai dirbti, bet ir gebėti įrodyti, kad dirbate saugiai. Būtent čia susiduriama su spaudimu: jeigu dideliam tiekėjui pakanka tik parodyti sertifikatą, paskelbti kelias deklaracijas savo svetainėje, iš mažesnio reikalaujama šiuos dokumentus dar ir paaiškinti, detalizuoti, papildyti ataskaitomis ir netgi atskleisti procesus. Tie patys dokumentai – dvi skirtingos kartelės.

Tai sukuria iškreiptą situaciją, kurioje vertinamas ne saugumo brandos lygis, o tiekėjo dydis. Tačiau saugumas – tai ne reputacijos klausimas, o procesų, kultūros, įsipareigojimų ir gebėjimo juos įgyvendinti visumoje rezultatas.

Mažiems tiekėjams, nusprendusiems įgyvendinti ISO/IEC 27001, tai gali tapti savotiška panacėja. Tinkamai įdiegta informacijos saugos valdymo sistema ne tik sustiprina vidinius procesus, bet ir suteikia aiškią, audituojamą struktūrą, leidžiančią įrodyti brandą be perteklinės administracinės naštos. Tai tampa kalba, kurią supranta ir didieji klientai, ir rizikos vertintojai, bei svarbiu įrodymu, kai tenka kas kartą iš naujo įrodyti savo patikimumą vien todėl, kad mažo tiekėjo pavadinimas dar neskamba rinkose.

Be abejo, skaidrumas rodo saugumo brandą, tačiau apetitas auga bevalgant, todėl didieji klientai neretai savo mažuosius tiekėjus „išrengia nuogai“: reikalauja vidinių politikų, incidentų registrų, audito išvadų ar net komercinių sąlygų su subrangovais. Kiekvienas papildomas klausimas tampa jau  ne tik rizikos valdymu, bet vis skvarbesniu žvilgsniu į verslo virtuvę.

Perdėtas reiklumas mažiems tiekėjams gali sukelti per didelę administracinę ir finansinę naštą, ypač kai tokie vertinimai atliekami dažnai, net nesant realios rizikos. Ir, paradoksalu, būtent tai kartais mažą tiekėją padaro mažiau atspariu ne dėl saugumo stokos, o dėl verslo sąlygų, kurios ilgainiui tampa ekonomiškai nebepagrįstos.

Tiekėjų saugumo brandos įrodymas turi būti proporcingas. Konfidencialios informacijos ir komercinių paslapčių atskleidimas neturi tapti šalutine žala dėl to, kad tiekėjas nėra „per didelis, kad žlugtų“. Saugumas reikalauja skaidrumo, bet skaidrumas turi eiti kartu su pagarba partnerystei, nes tik tuomet mažas tiekėjas gali būti ne tik prižiūrimas, bet ir išgirstas.