Mnoga slovenska podjetja so začela spoznavati, da so dobavitelji ena od najbolj kritičnih vstopnih točk za kibernetske napade. Še posebej, ker se informacijsko vse bolj povezujejo s svojimi dobavitelji zaradi digitalizacije in avtomatizacije notranjih in zunanjih procesov. Po drugi strani se zaostruje zakonodaja tako glede varovanja zasebnosti kot tudi poslovnih informacij.
»Zmanjševanje tveganj pri stikih s kupci in dobavitelji je glavnega pomena za uspešno poslovanje organizacij. V medsebojnem poslovanju je bistveno, da si partnerji zaupajo, kar na področju varnosti informacij pomeni, da si varno izmenjujejo poslovne podatke, da skrbijo za nepretrgano poslovanje, da preprečujejo nepričakovane dogodke, vdore oziroma neželene spremembe,« je povedala Sabina Bauman, vodilna presojevalka za sisteme upravljanja informacijske varnosti ISO/IEC 27001 v podjetju SIQ.
Organizacije od svojih najpomembnejših dobaviteljev pričakujejo, da bodo sistematično zagotavljali celovitost, razpoložljivost in zaupnost informacij, kar pa je vse prej kot enostavno preverjati. Obravnava kibernetske varnosti v dobavni verigi namreč vključuje tako strojno in programsko opremo, lokalno in oblačno delovanje aplikacij in shranjevanje podatkov kot tudi mehanizme za njihovo distribucijo oziroma izmenjavo.
Obvladovanje informacijskih tveganj pri dobaviteljih
Eden glavnih pomislekov, s katerimi se danes srečujejo podjetja pri razvoju sistemov upravljanja varnosti informacij, je, kako pristopiti k upravljanju varnostnih tveganj tretjih oseb, ki so v številnih primerih šibek člen za mnoga podjetja.
»Vsaka organizacija se mora zavedati, da mora pri analizi tveganj za nepretrgano poslovanje pogledati tudi svoje partnerje, še posebej zunanje izvajalce. Če tega nisi opravil, si pustil odprta vrata za vrsto tveganj. Partnerja se lahko pogodbeno dogovorita, da lahko nekdo postane zunanji izvajalec samo, če zagotavlja ustrezne varnostne standarde in pričakovanja. Tako podjetje zmanjša tveganja za, na primer, pretrganje dobave repromateriala ali izdelkov, ki jih potrebuje za nemoten potek proizvodnega procesa,« je opozoril Denis Čaleta, predsednik sveta Instituta za korporativne varnostne študije.
Eno glavnih orodij: ISO 27001
Čedalje več podjetij od svojih dobaviteljev zahteva urejeno obvladovanje tveganj za kibernetsko varnost, pri čemer je eno glavnih orodij sistem varovanja informacij po standardu ISO/IEC 27001, kar lahko dobavitelji kupcem dokažejo s pridobljenim certifikatom.
V SIQ zadnja leta ugotavljajo povečano zanimanje za certificiranje sistemov vodenja informacijske varnosti, še posebej, če gre za ključne dobavitelje. »Pogosto se certificirajo velike organizacije, ki upravljajo velike baze podatkov, predvsem osebnih podatkov, v telekomunikaciji, finančni industriji, avtomobilski industriji, farmaciji in še posebej v IT-panogi,« je dejala Sabina Bauman.
Med najbolj naprednimi panogami je na tem področju avtomobilska industrija, ki je razvila standardu ISO/IEC 27001 komplementarni sistem TISAX. Ta predpisuje zahteve za dobavitelje avtomobilski industriji, na primer naročnikom, kot so Volkswagen, BMW, Mercedes-Benz in Porsche.
»Posredno se zahteve informacijske varnosti dobaviteljem postavljajo prek zakonodaje, kot so zakon o informacijski varnosti, zakon o kritični infrastrukturi, zakon o varstvu osebnih podatkov ter regulativa eIDAS, ki v sistemskem delu temelji na standardih ETSI, ti pa se neposredno navezujejo na zahteve standarda ISO/IEC 27001,« je razložil Cerar.
Standardi so vsekakor eno od izhodišč pri iskanju dobaviteljev. »Vendar pa so velikokrat mrtva črka na papirju, saj se jih podjetja zelo administrativno lotevajo,« je opozoril Čaleta.
»Priporočljivo je, da se izvajanje standardov neposredno preveri. Na primer s penetracijskim testiranjem, da oceniš, ali je ta standard realen ali je samo pro forma, zaradi česar sistem omogoča preveč varnostnih praznin, ki bi pomenile tveganja tako za podizvajalca kot našo organizacijo.«
Kaj vključuje ISO 27001 glede dobaviteljev
Zaradi vse strožje evropske in nacionalne zakonodaje je treba informacije, ki so bistvenega pomena za organizacijo, ustrezno varovati. »V tem pogledu je standard ISO/IEC 27001 praktičen, zlasti pa priloga omenjenega standarda, ki vsebuje organizacijske, tehnične in logične kontrole za varovanje informacij, kot nekakšen kontrolni seznam za upoštevanje vseh vidikov za ustrezno varovanje informacij. Te kontrole so se lani nekoliko spremenile z izdajo novega standarda ISO/IEC 27001:2022 oziroma kontrole ISO/IEC 27002:2022 in posodobile kot odgovor na dogajanje na trgu v zvezi z napadi in vdori v informacijske sisteme organizacij,« je pojasnila Sabina Bauman.
Podjetja se na podlagi standarda ISO/IEC 27001 sistematično lotijo upravljanja in zmanjševanja tveganj, ki jih prepoznajo v svojem poslovanju – tudi z zunanjimi izvajalci. V Bureau Veritas so razložili, da podjetje z vpeljavo standarda ISO/IEC 27001 med drugim zagotovi izvajanje preverjanja blaga in storitev dobavitelja prek kontrol, ki predvidevajo:
- določitev politike varnosti informacij za odnose z dobavitelji, ki obravnava tveganja, povezana z dostopom do informacijsko-komunikacijske infrastrukture ter informacij organizacije;
- sklenitev sporazumov, vključno z vsemi ustreznimi zahtevami glede varnosti informacij, z vsakim dobaviteljem, ki obdeluje informacije organizacije;
- vključitev zahtev glede informacijske varnosti v izdelke informacijske in komunikacijske tehnologije v pogodbe, kar vključuje storitve v oblaku.
Kot je razložil Cerar, je cilj upravljanja storitev dobavitelja zagotoviti in ohraniti dogovorjeno raven varnosti informacij in izvajanja storitev v okviru pogodb prek zagotavljanja in upoštevanja zahtev glede varnosti informacij, določenih v pogodbah, tako da dobavitelje redno spremljajo, pregledujejo in izvajajo presoje. Poleg tega so dobavitelji vključeni tudi v sistem upravljanja sprememb, kar vključuje spremembe pogodb z dobavitelji ter pregledovanje in posodabljanje politik in postopkov.
ISO 27001 v dobavni verigi informacijskih tehnologij
Standard 27001 se pri zahtevah v odnosih z dobavitelji osredotoča na upravljanje varnosti informacij v celotni dobavni verigi. Naročnikom in ponudnikom storitev v oblaku daje smernice o tveganjih za varnost informacij, povezanih z uporabo storitev v oblaku, in o učinkovitem upravljanju teh tveganj z izvajanjem kontrol za njihovo ublažitev.
»V praksi to pomeni, da morajo dobavitelji dejansko izvajati kontrole za obvladovanje varnostnih tveganj, povezanih z njihovimi dobavitelji, če želijo pridobiti certifikat ISO 27001. Standard daje smernice za varovanje informacij podjetij v smislu obvladovanja tveganj: zlonamerna programska oprema, lažni izdelki, organizacijska tveganja in podobno v procesih celotnega življenjskega cikla informacijskega sistema ter programske opreme,« je pojasnil Cerar.
Sabina Bauman pravi, da je panoga IKT pravzaprav vodilna na področju vzpostavitve in certificiranja sistemov vodenja informacijske varnosti, ko gre za ISO 27001 ali katerega od drugih standardov iz te družine, na primer standard za neprekinjeno poslovanje ISO 22301, standard za varnost oblačnih storitev ISO/IEC 27017, standard za varnost osebnih podatkov v oblačnih storitvah ISO/IEC 27018 ter standard za zaščito zasebnosti ISO/IEC 27701.
Samo v SIQ so na primer izdali že več kot 100 certifikatov s področja sistemov vodenja informacijske varnosti, vendar že bežen pregled stanja pri slovenskih ponudnikih informacijskih rešitev in storitev razkrije, da ISO 27001 uporabljajo poleg telekomunikacijskih podjetij predvsem veliki sistemski integratorji, ponudniki storitev v oblaku ter proizvajalci programske opreme, ki sodelujejo bodisi z državo bodisi s finančnimi ustanovami. Nasprotno pa ponudniki storitev gostovanja, manjši zunanji ponudniki IT-storitev ter razvijalci programske opreme, ki sodelujejo s proizvodnimi, trgovskimi in drugimi storitvenimi podjetji ter s podjetji iz drugih gospodarskih panog, takšne oblike obvladovanja informacijskih tveganj praviloma ne izvajajo. Zanimivo je tudi to, da je uvedba ISO 27001 celo pri ponudnikih rešitev in storitev kibernetske varnosti prej izjema kot pravilo.
Janko Štefančič, direktor podjetja Genis, je povedal, da so že pred časom zaznali potrebo, da se ustrezni mehanizmi zaščite in varovanja informacij iz tradicionalnih okolij, na primer iz državne uprave, prenesejo v gospodarstvo. Povečanje povpraševanja po certifikatu ISO 27001 opaža od koronske krize, ki je dala pospešek digitalizaciji in so podjetja bolj ozaveščena glede informacijskih tveganj. »Je pa uvajanje oziroma zahtevanje certifikata ISO 27001 od dobaviteljev informacijskih tehnologij še vedno najbolj odvisno od zunanjega vzgiba, največkrat od zunanje revizije, ko revizorji priporočijo vodstvu tudi takšen način upravljanja tveganj,« je poudaril Štefančič. Sklenil je, da večina standardov izvira z istih predpostavk in načel in da se lahko znanje iz sistemov vodenja, kot sta ISO 9001 in ISO 27001, preprosto prenaša v druge oblike, na primer za izpolnjevanje novih zakonskih in panožnih zahtev na področju informacijske varnosti.