Įmonių kibernetinė gynyba šiandien dažnai remiasi ne ugniasienėmis, o sutartimis, tačiau net nesavo, o tiekėjų. Trečiosios šalys valdo mūsų duomenis, diegia mūsų sistemas, ir net palaiko mūsų kritinius verslo procesus. Kai tiek daug funkcijų perduota išorei, tiekėjų saugumo valdymas tampa nebe IT ar pirkimų klausimu, o strateginiu organizacijos atsparumo ramsčiu. Būtent čia susitinka Tinklų ir informacinių sistemų kibernetinio saugumo direktyva (TIS2 direktyva), Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentas (DORA) ir ISO/IEC 27001 standartas.

Dar prieš kelerius metus klausimas „Ar vertinote tiekėjo saugumą?“ dažnai susilaukdavo mandagaus šypsnio arba formalaus pažymėjimo apie atitiktį. Šiandien šis klausimas įgauna naują svorį: tiek TIS2 direktyva, tiek DORA įpareigoja pažinti savo tiekėjus, stebėti jų saugumo brandą, o svarbiausia: turėti dokumentuotą pagrindimą, kodėl nusprendėte su tuo tiekėju bendradarbiauti. Tai nebe rekomendacija, o teisinė prievolė ir Jūsų atsakomybė.

Pažymėtina, kad tikroji rizika dažnai slypi ne ten, kur jos laukiame. Didžiausi tiekėjai (tie, kurie atrodo patikimiausi) neretai kelia didžiausias priklausomybės grėsmes. Pastebėtina, kad šioje srityje vis tik egzistuoja diskriminacija. Didieji tiekėjai dažnai atsisako derėtis dėl saugumo sąlygų, teikia vienpusius SLA, ir pasikliauja savo reputacija, o klientai net neturi jokių svertų šiai pozicijai atremti. Mažieji paprastai būna lankstesni, bet dažnai traktuojami kaip mažiau patikimi, ir, paradoksalu, bet būtent iš mažųjų dažnai reikalaujama daugiau pasinaudojant stipresne derybine galia. O vis tik saugumo brandą reiktų vertinti ne pagal dydį ar pavadinimą, o pagal procesus, sertifikatus, nepriklausomų auditorių išvadas ir viešai prieinamą informaciją, o šį vertinimą būtinai fiksuoti raštu.

Skaidrumo trūkumas, derybinių galių disbalansas, visiško priklausomybės ir negalėjimo atsitraukti efektas, kai organizacija tampa priklausoma nuo vieno technologinio sprendimo: visa tai sunkiai eliminuojamos rizikos didžiųjų tiekėjų atveju, bet jų ignoruoti negalima. Pagal naujuosius reguliavimus, šios rizikos turi būti aiškiai įvardytos, įvertintos, dokumentuotos, nes saugumas – tai ne tik užkardymas, bet ir pasirengimas, kad vieną dieną tiekėjo galite netekti.

O išėjimo planai? Jie dažnai guli stalčiuje. Jie retai testuojami, dar rečiau integruojami į veiklos scenarijus. Tačiau būtent jie tampa gyvybiškai svarbūs, kai tiekėjas netenka licencijos, praranda infrastruktūrą ar tampa geopolitinių sankcijų taikiniu. TIS2 ir DORA šį planavimą traktuoja kaip neatsiejamą saugumo kultūros dalį. Tiekėjų valdymas čia nėra administracinė funkcija, o verslo tęstinumo garantas.

Vis dėlto, pavojingiausios rizikos kartais slepiasi net ne pirminiame, o antriniame ar tretiniame lygmenyje. Subrangovai (tie, kuriuos pasitelkia tavo tiesioginis tiekėjas) dažnai net nepatenka į matymo lauką, nors realiai tvarko duomenis, palaiko infrastruktūrą ar daro poveikį paslaugų kokybei. Jei šių grandžių nematome, jų ir nevertiname. TIS2 direktyva ir DORA aiškiai įpareigoja žinoti visą tiekimo grandinę, nes rizika visuomet keliauja žemyn, pvz., iš pažiūros patikimas tiekėjas gali remtis mažai kontroliuojamu partneriu, kurio pažeidžiamumas taps organizacijos problema. Tad tikrasis atsparumas prasideda ne nuo žinomų rizikų valdymo, o nuo nematomų identifikavimo.

ISO/IEC 27001 padeda visas šias prievoles įgyvendinti praktiškai. Standartas nubrėžia gaires tiekėjų rizikų vertinimui dar prieš sutartį, periodiškai jų peržiūrai, užtikrinant stebėseną bei turint sutartinius saugumo reikalavimus bei planą, ką daryti, jei tiekėjas nebegalėtų toliau teikti paslaugos. DORA ir TIS2 direktyva iš esmės pastato šią metodiką ant reguliacinio pagrindo: kas buvo gerąja praktika, dabar tampa pareiga. Be abejo, ISO/IEC 27001 nėra vienintelis standartas, bet faktas, kad jis išlieka dominuojančiu pasirinkimu tiekėjų vertinimo praktikoje. Šio standarto struktūra padeda suprasti, kaip techninės priemonės turi būti susietos su verslo tikslais. O kai to paties reikalauja ir DORA, ir TIS2, tampa aišku: jei dar nesate pradėję sistemingai valdyti tiekėjų rizikų – dabar jau per vėlu laukti.

Be abejo, ISO/IEC 27001 sertifikatas nėra panacėja. Jis gali sukurti saugumo iliuziją, jei aklai pasitikima vien pažymėjimu nesigilinant, ką jis realiai dengia. Ar sertifikatas apima visą tiekėjo organizaciją, ar tik vieną padalinį ar paslaugą? Ar jis apima subrangovų valdymą, ar tai išvis nevertinta? Reikia ne tik pasitikrinti, ar dokumentas galiojantis, bet ir suprasti jo ribas, kadangi tvarus tiekėjų vertinimas prasideda ne nuo sertifikato turėjimo, o nuo gebėjimo jį skaityti kritiškai ir kontekstiškai. O jei to nepadarysite prieš pasirašydami sutartį, negalėsite vėliau šios atsakomybės permesti tiekėjui.

Šiandien organizacijos neturi prabangos nežinoti, nuo ko jos priklauso. Nėra „per didelio tiekėjo, kad žlugtų“, ir nėra saugumo be sąmoningo sprendimo, kas organizacijos tiekimo grandinėje yra silpniausia grandis. Viskas prasideda nuo klausimo: ar iš tiesų žinote, ką Jūsų tiekėjas žino ar nežino apie saugumą? Juk kai nutrūksta tiekimas, nutrūksta ne paslauga, o pasitikėjimas. Ar tikrai esate pasiruošę atsakyti už kitų klaidas?