Řízení rizik v ekosystému dodavatelských vztahů je dnes velmi komplexní obor a stává se tak doslova strategickou disciplínou. Důvodem je například to, že dnešní globální ekonomika je v podstatě na přesunech a dodávkách energií, surovin, financí, služeb, zboží a dat založena. Složitě vazby v dodavatelských sítích, které vznikly jen díky rozvoji ICT technologií a globální komunikace, musí tak brát v úvahu také další širokou úroveň nových kybernetických rizik. Jejich dopady mohou totiž mít v nejtemnějších scénářích doslova fatální důsledky na fungování ekonomik a život obyvatel celých států.

Co říkají výzkumy globálních rizik

Podniky a organizace si růst rizik v dodavatelských řetězcích samozřejmě uvědomují, což také potvrzuje každoroční výzkum Risk Barometr pojišťovny Allianz. Již sedmým rokem se přitom riziko narušení dodavatelského řetězce a přerušení provozu umísťuje na absolutní špici žebříčku tohoto výzkumu. Spolu s ním se ale v letošním roce na špici hodnocení poprvé dotáhla i kybernetická rizika. Výsledky výzkumu také ukazují, že rovněž stoupá i množství různých scénářů pro narušení businessu a řetězce dodavatelů. Výše zmíněná kybernetická rizika mají dopady na složité systémy a infrastruktury k řízení dodavatelů. Na druhou stranu je třeba říct, že častějšími příčinami kybernetických incidentů, než nepřátelské kybernetické útoky, jsou chyby či nedbalost uživatelů.

Obr. 1: 10 nejdůležitějších firemních rizik pro rok 2019, zjištěných na základě poznatků více než 2 400 odborníků na řízení rizik z více než 80 zemí. Zdroj: Allianz Risk Barometer, Top Business Risks for 2019.

Výzkumem a definicí vztahů mezi riziky v dodavatelských řetězcích se čile zabývá i akademická sféra. V mezinárodní odborné komunitě jsou etablováni například profesor Gerald Quirchmayr a Johannes Göllner, kteří působí na Vídeňské univerzitě a také v Centru pro riziko a řízení krizí (ZRK – Zentrum für Risiko & Krisenmanagement). ZRK také úzce spolupracuje s Výzkumný ústavem pro strategie a inovace (ISFRI) při Fakultě ekonomicko – správní Masarykovy univerzity v Brně. Přednášku výše uvedených odborníků na téma „Využití pojištění kybernetických rizik při ošetření rizik v dodavatelských řetězcích“ vyslechli návštěvníci červnové konference Cyber Insurance Conference 2019, kterou pořádal Principal engineering spolu s Českou asociací pojišťoven. Význam akademických výzkumů podtrhuje fakt, že jejich výstupy a doporučení výzkumníků jsou často využity při tvorbě norem, legislativy nebo oborových doporučení pro řízení rizik v dodavatelských řetězcích, jako je například a ISO 28000 a další oborové normy.

Pojďme se ale podívat na kybernetická rizika v dodavatelských řetězcích jednodušším pohledem podniků a jejich dodavatelů.

Nedostatečná kybernetická bezpečnost dodavatelských řetězců

Kybernetická rizika jsou pro kybernetickou bezpečnost firem a organizací v dodavatelských řetězcích opravdovou noční můrou. Opatření přijatá partnery v různých úrovních dodavatelského řetězce jsou víceméně stále mimo jakoukoliv kontrolu. To může vytvořit prostředí, které nabízí lákavou příležitost k útoku na konkrétní organizaci díky proniknutí do infrastruktury jeho dodavatele.

Firmy a organizace v ekosystému dodavatelů jsou totiž poměrně snadným terčem. Svoje slabiny a potenciální hrozby často neuvědomují a pokud patří do SME segmentu, zpravidla ani nemusí mít také dostatečné zdroje pro zajištění zabezpečení na potřebné úrovni.

Útočníci také často začínají s málem. Mohou totiž čekat a hledat i roky slabinu v systémech, kterou využijí k zásahu cílové organizace na opravdu citelném místě. Velmi účinné jsou v dodavatelském řetězci například útoky, vedené sociálním inženýrstvím, které využívají vybudované základní důvěry mezi dodavatelem a odběratelem. Hackeři se totiž v mnoha případech vyhýbají tradiční kybernetické obraně a často útočí na vlastní procesy, komunikaci mezi oběma stranami, dokumenty a jejich doručovací zvyklosti. Tento postup, známý také jako útok Man-in-the-Middle (MITM), jim umožňuje získat kontrolu nad daty a informacemi, které mohou být dále zneužity pro poškození společnosti. Častým dopadem takového útoku na firmy jsou například převody peněz na podvržené účty.

Časté a extrémně škodlivé jsou rovněž útoky v dodavatelském řetězci softwaru, které cílí na komunikaci a zavedený vztah mezi dodavatelem softwaru a uživatelem. Hackeři zde často útočí na vlastní software a jeho distribuční procesy. To jim umožňuje narušit velké množství systémů jediným útokem. Společnosti, které používají narušený software, se mohou stát obětí vyděračských ransomware útoků, přijít o cenné informace nebo být terčem jakékoliv sabotáže.

V dnešním stále hustěji propojovaném světě internetu věcí (IoT), digitálních vztahů mezi kupujícím a prodejcem, automatizace výrobních procesů, robotů a umělé inteligence se rapidně zvyšuje zranitelnost firem a organizací způsobená z pohledu kybernetické bezpečnosti narušením důvěrnosti, integrity a dostupnosti dat. Podniky by proto mít co nejšířeji zavedeny bezpečnostní opatření a vybudovanou dostatečnou ochranu. Nicméně vždy se musí zeptat, zda jejich dodavatelé, dodavatelé jejich dodavatelů, a další subjekty v celém hodnotovém řetězci, mají stejně účinnou vlastní ochranu.

Doporučené tři kroky k základnímu zabezpečení

Na úvod doporučujeme k základnímu zabezpečení vašeho dodavatelského řetězce alespoň tyto tři kroky (a případně ještě jeden krok navíc):

1. Revidujte interní a externí bezpečnostní postupy: Organizace by neměly přezkoumávat pouze bezpečnost a odolnost své vlastní interní infrastruktury, ale také své dodavatele a partnery. Přestože interní systémy mohou mít zavedeny silné bezpečnostní praktiky pro zmaření široké škály přímých útoků, spolupracovníci třetích stran nemusí stejné postupy dodržovat. V důsledku toho musí podniky důkladně po všech stránkách kybernetické bezpečnosti prověřit své dodavatele, než je plně integrují do interních infrastruktur a ekosystému svých dodavatelů. Vhodné je se zde zaměřit nejen na formální právní ukotvení bezpečnostních opatření mezi partnery, ale rovněž jejich uplatněním v praxi.
2. Zajistěte zavedení písemných bezpečnostních pokynů a kontrolujte jejich dodržování: Počítačoví zločinci mohou například využívat webové stránky dodavatele k hostování škodlivého softwaru. Pokud je to možné, organizace by měly vyžadovat, aby dodavatelé dodržovali procesy a protokoly, které minimalizují pravděpodobnost takových útoků. Písemná dohoda by měla zajistit, aby partneři v celém řetězci dodavatelů včas informovali o jakýchkoli incidentech vnitřní bezpečnosti a sdíleli informace o stavu své bezpečnosti. Nutnou součástí je rovněž kontrola dodržování dohodnutých činností.
3. Zvyšujte bezpečnostní povědomí zaměstnanců a partnerů. Sdílejte osvědčené best practices: I když je zabezpečená technologie pro obranu nezbytná, lidská chyba je stále primárním zdrojem narušení dat nebo osobních údajů. Zkušenosti ukazují, že více než 90 % všech bezpečnostních incidentů se týká lidských chyb, kdy uživatelé padnou za oběť ať phishingovým podvodům nebo třeba nakažením malwarem po návštěvě závadných webových stránek. Organizace musí tedy průběžně školit veškerý personál v osvědčených bezpečnostních postupech. Trénink pomáhá lidem identifikovat potenciální útoky a měl by být proto neustále aktualizován, aby firemní uživatelů byli na potenciální útok vycvičeni.
4. Zvážit vhodné pojištění kybernetických rizik. A to ať pro sebe, nebo jeho zavedení do smlouvy s partnery v dodavatelském ekosystému. Pojištění jako jeden ze způsobů ošetření části kybernetických rizik může například v případě napadení a odstavení firem z části dodavatelského řetězce, zajistit dostatečné zdroje pro nápravu škod po kybernetické události a obnovu provozu. To platí dnes zejména pro malé a střední podniky (SME), které tvoří podstatnou část dodavatelských firem včetně společností a organizací se základními službami a zařazené do kritické infrastruktury jednotlivých států.

Organizace proto nesmějí přehlížet rizika, pokud jde o bezpečnost dat společnosti a osobních údajů zákazníků, která jejich dodavatelský řetězec představuje. Kybernetičtí zločinci budou hledat každou zranitelnost, kterou mohou využít k útoku na organizaci, takže je nezbytné uzavřít každou mezeru a minimalizovat rizika až po poslední článek v dodavatelském řetězci.

Daniel Konečný a Petr Moláček Autoři článku jsou konzultanti kybernetické bezpečnosti ve společnosti Principal engineering, s. r. o.