Łańcuch dostaw pod lupą – co nowe regulacje oznaczają dla Twojego otoczenia biznesowego?

Liczba oraz skala ataków na i poprzez łańcuchy dostaw sprawiają, że coraz więcej organizacji zaczyna szukać najlepszych sposobów zabezpieczenia współpracy z wszelkiego rodzaju partnerami.

Wraz z wejściem w życie UoKSC firmy będą musiały dokładnie zewidencjonować swoich partnerów, dokonać ich analizy ryzyka, stworzyć standardy współpracy i zabezpieczyć różnego rodzaju ryzyka stron trzecich.

Standardy bezpieczeństwa łańcucha dostaw wymagane przez UoKSC przybliżą nas do standardów pracy na dojrzałych rynkach pod kątem bezpieczeństwa, gdzie organizacje stosunkowo często nie są w stanie nawiązać współpracy bez spełnienia odpowiednich standardów bezpieczeństwa.

Podniesienie standardów we współpracy biznesowej to nie tylko wyzwanie dla działów IT oraz bezpieczeństwa, ale również obowiązki dla działów biznesu (m.in. operacji, działów zakupowych itd.).

Posiadanie odpowiednich standardów stanie się jednym z kryteriów wyboru konkretnego podmiotu do dalszej współpracy, co powinno skłaniać organizacje (a przede wszystkim zarządy organizacji) do inwestycji w odpowiednie procesy czy technologie.

Brak spełnienia standardów bezpieczeństwa = ograniczone możliwości biznesowe
Odpowiednie standardy bezpieczeństwa są częstym wymogiem w czasie trwania współpracy biznesowej i przy postępowaniach przetargowych. Brak minimalnych standardów może uniemożliwić organizacjom nawiązanie współpracy, szczególnie jeśli wiąże się ona z dostępem do zasobów drugiej strony.

Według badania BitSight przeprowadzonego na ponad 200 respondentach (2019), prawie 40% firm potwierdziło utratę możliwości współpracy biznesowej przez brak odpowiednich procesów i technologii w zakresie cyberbezpieczeństwa.

Ponadto, ataki na łańcuch dostaw mają również znaczący wpływ na relacje z klientami czy reputację. Badanie Deloitte przeprowadzone na ponad 1000 respondentach (2019) pokazało, że dla 35% organizacji atak na łańcuch dostaw wiązał się z umiarkowanym poziomem wpływu na obsługę klientów, sytuację finansową czy reputację (dla 11% organizacji ataki okazały się mieć znaczący wpływ na biznes).

Niezwykle ważnym obszarem jest analiza partnerów technologicznych (m.in. vendorów, dostawców sprzętu czy wszelkiego rodzaju usług). Najwięksi dostawcy posiadają wiele certyfikacji, natomiast mniejsze organizacje często nie spełniają formalnych wymogów.

Obszar bezpieczeństwa łańcucha dostaw jest przedmiotem najważniejszych standardów bezpieczeństwa
Najważniejsze standardy bezpieczeństwa definiują jasne wymogi w obszarze bezpieczeństwa łańcucha dostaw:

• ISO 27001 – międzynarodowy standard w obszarze bezpieczeństwa (z badania CybSafe z 2017 wynika, że 44% małych i średnich przedsiębiorstw otrzymało prośby od swoich klientów z segmentu „enterprise” o wdrożenie standardu cyberbezpieczeństwa, takiego jak ISO 27001)
• SOC 2 – standard do audytu bezpieczeństwa, bardzo często stosowany dla dostawców oprogramowania
• NIST – standard do zarządzania ryzykiem i bezpieczeństwem stworzony dla organizacji z USA

Ponadto obszar dotyczący bezpieczeństwa łańcucha dostaw jest wymagany przez różnego rodzaju branżowe normy. Dobrym przykładem jest PCI DSS, czyli norma bezpieczeństwa dla środowisk biznesowych, które przetwarzają dane z kart płatniczych.

Dostawcy usług dla podmiotów objętych PCI DSS muszą m.in. przeprowadzać kwartalne przeglądy, które powinny zawierać szczegóły dotyczące przeglądu logów, reguł zapory sieciowej czy standardów konfiguracji nowych systemów.

UoKSC podniesie standardy bezpieczeństwa łańcucha dostaw wpływając na kryteria współpracy biznesowej
Wejście w życie UoKSC oznacza konieczność wdrożenia środków w ramach bezpieczeństwa łańcucha dostaw.

Po pierwsze, firmy powinny stworzyć rejestr organizacji, z którymi współpracują oraz odpowiednio kategoryzować partnerów (np. pod kątem ryzyka). Wspomniany rejestr powinien posiadać kluczowe informacje operacyjne o partnerach.

Organizacje powinny posiadać formalną politykę uwzględniającą sposób współpracy z partnerami, minimalne standardy bezpieczeństwa wymagane od partnerów, środki do weryfikacji bezpieczeństwa (przed współpracą, podczas współpracy i po jej zakończeniu).

Firmy podlegające pod NIS 2 będą musiały zidentyfikować swoich partnerów, którzy w określonych przypadkach sami będą musieli spełniać wymogi NIS 2 (mimo wcześniejszej negatywnej weryfikacji podlegania pod zakres podmiotowy UoKSC).

NIS 2 wymaga zaangażowania „biznesu” oraz zarządów
Wdrożenie NIS 2 to nie tylko wyzwanie dla zespołów IT, bezpieczeństwa, ryzyka czy compliance. NIS 2 to również konkretne obowiązki we współpracy ze stronami trzecimi.

Z tego powodu organizacje, w postaci najwyższego kierownictwa, powinny zapewnić adekwatne środki umożliwiające stworzenie rejestru partnerów oraz zrozumienie kontekstu współpracy.

Tylko takie podejście umożliwi rzetelne wdrożenie procesów i zabezpieczenie łańcucha dostaw, a przez to własnych procesów biznesowych.

Ponadto organizacje powinny wymagać od swoich dostawców nie tylko spełnienia wymogów bezpieczeństwa, ale zdefiniować je zgodnie z faktycznymi ryzykami i możliwościami partnerów.

Oferta Trecom w obszarze łańcucha dostaw
Jako Trecom pomagamy firmom w tworzeniu rejestru partnerów czy wdrażaniu dedykowanych polityk stron trzecich, które zabezpieczą organizację, jednocześnie nie ograniczając przy tym współpracy biznesowej poprzez zastosowanie adekwatnych środków.

Jeżeli szukasz współpracy w obszarze bezpieczeństwa łańcucha dostaw czy pozostałych wymogów UoKSC, zachęcamy do indywidualnych i darmowych konsultacji.