Rozšírili ste si perimeter organizácie do vesmíru, viete o tom?
Pred dvadsiatimi rokmi zaznelo v podnikateľských kruhoch poradenstvo, ktoré sa stalo mantrou celej generácie manažérov: venujte sa tomu, čomu rozumiete, zarábajte peniaze a všetko ostatné — infraštruktúru, aplikácie, prevádzku IT — outsourcujte.
Používal sa príklad: Ani Bill Gates nepotreboval rozumieť infraštruktúre — prinášal nové myšlienky, víziu a produkty. Infraštruktúra a aplikácie sa stali réžiou, nie motorom rastu.
V súčasnosti môže byť každý outsourcovaný článok reťazca bránou pre útočníka. Čím viac optimalizujeme náklady prostredníctvom externých dodávateľov, tým rozsiahlejší je útočný perimeter pre útočníka.
Útok na spoločnosť SolarWinds v roku 2020 bol zlomový — softvérová aktualizácia dôveryhodného dodávateľa sa stala trójskym koňom, ktorý prenikol do sietí stoviek organizácií. Nešlo o slabinu samotných obetí, išlo o slabinu v ich dodávateľskom reťazci.
Ak pracujeme s AI, musíme myslieť na to, že väčšina systémov AI je outsourcovaná. AI prináša výhody — firmy nepotrebujú hordu odborníkov na AI, stačí len začať AI používať. No zároveň nevieme úplne presne, čo sa s našimi dátami deje.
Každý systém AI, ktorý nasadíte, prináša do organizácie minimálne jedného externého dodávateľa. Vaše dáta putujú do infraštruktúry, ktorú nekontrolujete. A začnú vám napadať otázky: Kde sa spracúvajú? Kto k nim má prístup? Trénuje sa na nich ďalší model?
Oblasť dodávateľského reťazca sa dnes stáva významnou oblasťou kybernetickej bezpečnosti. Potrebujeme čoraz dôkladnejšie a prísnejšie analyzovať zmluvy s dodávateľmi.
Objavila sa ďalšia axióma kyberbezpečnosti: vaša firma je taká bezpečná ako jej najslabší dodávateľ. Zmluvná dokumentácia sa stala novým perimetrom kybernetickej obrany. Právnici a kyberbezpečnosť musia dennodenne spolupracovať.
Na čo teda minimálne myslieť? Zaveďte si register tretích strán s riadením rizík. Každú zmluvu konzultujte s kyberbezpečnosťou. K dodávateľovi AI musíte pristupovať rovnako ako ku ktorémukoľvek inému. Nastavte si minimálne požiadavky na bezpečnosť podľa úrovne rizika.
Pamätajte, vaša digitálna odolnosť sa dnes meria kvalitou vašich zmlúv.
Kompetenčné a certifikačné centrum kybernetickej bezpečnosti