Viete si predstaviť, aké by boli dôsledky incidentu vo fabrike, ktorá je najväčším zamestnávateľom v kritickom regióne a zároveň trhovým európskym lídrom?

Odvtedy ako sme zažili incident v Jaguari, už máme predstavu o škodách spôsobených kybernetickým útokom. A pritom na incident stačila jedna chybička v externom systéme.

Sme priemyselná krajina

Tatravagónka Poprad vyrába široké spektrum produktov strojárskeho priemyslu.  Má vlastný vývoj a konštrukčné zázemie, špičkové technológie a výrobné postupy, ktoré spĺňajú najnáročnejšie normy. Obrat za minulý rok cez pol miliardy eur, 4500 vozňov ročne, 2500 pracovníkov. Viete si predstaviť, koľko dodávateľov a odberateľov má takýto gigant?

IT manažér v Tatravagónke Marián Guráň preto o bezpečnosti dodávateľského reťazca hovorí ako o dôležitej a náročnej oblasti. Smernica NIS2 a kyberzákon výrazne prispeli k uvedomeniu si zodpovednosti v partnerských vzťahoch a aj v tom, ako kyberbezpečnosť stúpa v prioritách manažmentu.

Vážna téma

V kontexte posledných rokov už kyberbezpečnosť málokto vníma ako luxus. Je to predovšetkým manažovanie rizika, podobne ako menové kurzy či poistenie. Kyberpriestor je však vysoko technická oblasť, preto je často ťažšie jednoducho vysvetliť cenu opatrení. V Tatravagónke reálnu hodnotu opatrení vnímajú v ochrane kontinuity, dát a stability firmy.

„V každom prípade však zostáva výzvou zvládať riziká, ktoré vznikajú mimo našej priamej kontroly u partnerov,” upozorňuje Marián Guráň. Ak ide o bezpečnosť, princípom je maximalizácia technických opatrení na minimalizáciu rizika zo strany dodávateľov.  

Títo sú premianti

Kyberbezpečnostný architekt ESETu Ondrej Krajč sa v oblasti bezpečnosti pohybuje viac ako pätnásť rokov. Podľa jeho skúseností je bezpečnosť dodávateľského reťazca „globálna, horúca téma“ len ostatných päť rokov. Najmä v poslednom roku k tomu prispela aj novelizácia zákona.

„Z môjho pohľadu sú na tom najlepšie v rámci súkromného sektora bankové subjekty,“ hodnotí Ondrej Krajč. „Banky si dávajú veľký pozor na to, čo a ako implementujú. Veľmi často realizujú zdĺhavé procesy, kde výrobcovia musia jednotlivé riešenia inštalovať v testovacích prostrediach a dokladovať rôzne audity a certifikácie.“  Medzi tých najviac osvietených počíta aj pár štátnych inštitúcií najmä zo silových rezortov, kde rozhodne neplatí, že všetko štátne je automaticky podhodnotené.

Tu sa hrozby kumulujú

Na opačnom konci spektra v hodnotení kyberbezpečnosti sú väčšinou malé a stredné firmy, kde sa často kladie dôraz najmä na cenu a ostatné faktory idú bokom.

Manažérsky pohľad na dodávateľov sa často končí tam, kde sa začína rovnica výkon versus cena. Pri prvotnom výbere sa zabúda na to, že každý subdodávateľ vnáša do infraštruktúry určitú mieru rizika, s ktorou je potrebné správne pracovať a zohľadniť ju v analýze rizík. Následne by takáto analýza mala vstupovať priamo do výberového procesu pre dodávateľa a jeho riešenia.

Čo majú spoločné tí úspešní

Ondrej Krajč sa pri práci stretáva s rôznymi subjektmi – od štátnej správy či právnických kancelárií až po výrobné podniky z rôznych odvetví. Všetky tieto odvetvia a organizácie majú jedno spoločné.

Celkové zabezpečenie, vrátane bezpečnosti dodávateľského reťazca, úzko súvisí s ochotou vrcholového manažmentu zaoberať sa otázkami typu „čo ak“. Čo ak sa niečo stane? Čo ak to bude práve dodávateľ kritickej technológie, ktorý prispeje priamo či nepriamo k útoku na moju infraštruktúru?

Flagrantný príklad

Digitalizácia firiem a verejnej správy, expanzívny nástup nových technológií a rast hrozieb napredujú.  Zároveň to znamená, že úroveň bezpečnosti infokomunikačného sektora priamo ovplyvňuje bezpečnosť ostatných sektorov.

V prípade IT dodávateľov sa požiadavky v bezpečnosti dodávateľského reťazca za posledné roky dramaticky posunuli. Ak boli v kategórii „nice to have", už sú v kategórii tvrdých zmluvných požiadaviek. „Dnes sa už stáva pravidlom, že zákazník požaduje vyplnenie dotazníkov zameraných výhradne na bezpečnosť dodávateľského reťazca,“ vysvetľuje Jozef Ondruška, biznis manažér pre kyberbezpečnosť zo spoločnosti Alison Slovakia.

V prípade, ak je zákazník prevádzkovateľom základnej služby, tak sa integrátor nevyhne Zmluve o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností.

Nevyhnutná synergia

S rastúcim využívaním cloudových služieb, umelej inteligencie a externých digitálnych platforiem sa kybernetické riziká čoraz viac presúvajú za hranice organizácií. Bezpečnosť už nie je len otázkou interných systémov, ale aj schopnosti riadiť dodávateľský reťazec, zmluvné vzťahy a požiadavky partnerov na súlad so zákonom.

Bezpečnosť dodávateľského reťazca prestáva byť témou, ktorú rieši zákazník samostatne. „Integrátor musí byť aktívnym článkom bezpečnostného ekosystému u zákazníka vo všetkých oblastiach,“ dopĺňa Jozef Ondruška.

Trend je jednoznačný

Pri budovaní kybernetickej bezpečnosti sa každá organizácia učí a dozrieva a musí byť protiváhou dodávateľa. Podľa Mariána Guráňa sa kvalita dodávateľa z hľadiska kyberbezpečnosti prejavuje reálnou implementáciou opatrení, transparentnosťou, precíznymi servisnými zmluvami a merateľnými výsledkami. Preto okrem zmluvnej roviny formuluje požiadavky na dodávateľov stručne a dôraz dáva na transparentnosť, priamosť a efektivitu aktivít.

Kybernetická bezpečnosť sa posúva od ochrany interných systémov k riadeniu celého digitálneho ekosystému. Ak organizácie dokážu bezpečnostné a požiadavky na bezpečnosť a súlad so zákonom premietnuť priamo do zmluvných vzťahov s dodávateľmi, získajú vyššiu odolnosť voči kybernetickým hrozbám aj lepšiu pripravenosť na nové regulačné požiadavky.