Velké množství subjektů veřejného sektoru (např. ministerstva, kraje), jakožto správci a/nebo provozovatelé informačních a/nebo komunikačních systémů kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby (dále jen společně „povinné subjekty“), mají povinnost řídit dodavatele podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „ZoKB“) a jeho prováděcí vyhlášky č. 81/2018 Sb., o kybernetické bezpečnosti (dále jen „VyKB“).

Konkrétně v § 8 VyKB je stanovena povinnost pro řízení dodavatelů, která kromě jiného požaduje:

• stanovit bezpečnostní opatření a pravidla pro dodavatele,
• seznámit dodavatele s těmito bezpečnostními opatřeními, pravidly a vyžadovat jejich plnění,
• řídit rizika spojená s dodavateli.

U významných dodavatelů (dle VyKB provozovatel informačního systému a každý kdo s povinným subjektem vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního systému) jsou požadavky rozšířeny zejména:

• zajistit, že bezpečnostní opatření a pravidla budou součástí smluvního vztahu,
• provádět hodnocení rizik v rámci výběrového řízení a před uzavřením smluv
• stanovit způsob a úrovně realizace bezpečnostních opatření a stanovení odpovědností za zavedení a kontrolu,
• provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření,
• reagovat na rizika a zajistit řešení nedostatků.

Důkladným dodržováním těchto povinností má být zajištěna dostatečná kontrola v rámci celého vztahu mezi povinným subjektem a dodavatelem. Současná situace je však odlišná. V rámci našich projektů pro veřejný sektor se opakovaně setkáváme s významnými nedostatky a riziky, které ohrožují důvěrnost (např. únik informací ze strany zaměstnance dodavatele), dostupnost (např. úmyslné přerušení komunikačních linek a sítí) i integritu (např. neoprávněné poškození, změnu či vymazání dat ze strany zaměstnance dodavatele) informací a služeb jak občanů České republiky, tak i státu. Kromě toho nedostatečně řízené vztahy s dodavateli mají i sekundární dopady, ke kterým se řadí překročení financování projektu, vendor lock-in, zpoždění dodávky apod.

O vendor lock-in v oblasti veřejných zakázek lze dle informačního listu Úřadu pro ochranu hospodářské soutěže 1/2017 hovořit jako o „neschopnosti zadavatele změnit či zpřístupnit díle vytvořené dodavatelem bez jeho souhlasu nebo poplatků (tzv. exit cost)“. V tomto případě se zadavatel, jakožto příjemce a uživatel díla, nachází v situaci, kdy je zcela závislý na službě konkrétního dodavatele.

Proces řízení dodavatelů lze rozdělit na 3 oblasti:

1. Výběr dodavatele. Povinné subjekty veřejného sektoru se v rámci akvizice, vývoje a údržby informačního systému musí řídit zákonem č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „ZZVZ“). Již při zamýšleném zadávacím řízení je tak potřeba myslet na rizika, které mohou plynout ze vztahu s dodavatelem, a na jejich dopad na informační systém. V této fází je zejména potřeba stanovit, jestli bude součástí veřejné zakázky významný dodavatel, odpovědnosti požadované povinnou osobou od dodavatele a relevantní pravidla a bezpečnostní opatření, která budou po dodavateli vyžadována. Tyto informace jsou výstupem analýzy rizik budoucího nebo změny stávajícího informačního systému či celé veřejné zakázky. Získané poznatky je následně potřeba adekvátně přenést do zadávací dokumentace. Další povinností je řídit rizika spojená s dodavateli. Zde je nezbytné provést analýzu rizik vůči konkrétním dodavatelům s cílem zhodnotit a stanovit rizikový profil dodavatele prostřednictvím Due Diligence, případně prověřit prostřednictvím Backgroud Checků zaměstnance dodavatele.
2. Řízení dodavatelů a to od výběru až po ukončení smluvního vztahu. Zde je potřeba dostatečně informovat dodavatele o pravidlech a bezpečnostních opatřeních, která jsou od něj vyžadována a jimiž se musí řídit. Musí být také informován o možnosti provádění tzv. klientského auditu za účelem kontroly a ověření plnění pravidel a bezpečnostních opatření. Rizikový profil dodavatelů se v průběhu smluvního vztahu mění, proto je potřeba provádět jeho pravidelnou kontrolu. Povinný subjekt musí disponovat vlastními postupy pro zvládání situací, kdy dodavatel řádně neplní své závazky, ohrožuje aktiva povinného subjektu nebo porušuje stanová pravidla a bezpečnostní opatření.
3. Ukončení smluvního vztahu s dodavatelem. Ať už v případě neočekávaného rozvázání smluvního vztahu nebo na základě řádného splnění služeb či dodávek je potřeba mít nastaveny mechanismy pro ukončení smluvního vztahu s dodavatelem. Na tomto místě je potřeba vždy zajistit, aby nedošlo k ohrožení důvěrnosti, dostupnosti a integrity informací a služeb, aby došlo k předání všech potřebných informací a přístupů a aby došlo k přenesení odpovědností a předání celkové agendy.

Hrozby a rizika dodavatelských vztahů

Základním stavebním kamenem řádného řízení dodavatelů je mít vhodně a dostatečně nastavená pravidla a bezpečnostní opatření. Před jejich stanovením je nezbytné v souladu s principem založeném na rizicích (Risk Based Apporach) identifikovat aktiva a následně provést analýzu rizik dle předem stanovené a ověřené metodiky. Vhodně nastavená metodika pro řízení rizik by měla být vytvořena v souladu s prostředím, potřebami a očekáváními instituce a měla by mít nastaveny odpovídající škály hodnocení pro jednotlivé atributy (hrozba, zranitelnost, dopad, riziko). Stejně tak vedením instituce odsouhlasený risk apetite, respektive akceptační úroveň pro rizika.

Předmětem analýzy rizik by měla být jak osoba konkrétního dodavatele, tak i rizika plynoucí z provedeného hodnocení rizik pro zamýšlenou dodávku služeb nebo technických či programových prostředků informačního systému.

Osvědčeným postupem při řízení rizik informační bezpečnosti je rozdělení aktiv na primární a podpůrná. Dle VyKB a mezinárodně uznávané normy ISO/IEC 27001:2013 spadají dodavatelé do kategorie podpůrných aktiv, jelikož pouze ty mají zranitelnosti, kterých hrozby využívají.

Pro definování hrozeb a zranitelnosti je vhodné vytvořit jejich katalog. Inspiraci poskytuje VyKB, kde je uvedena hrozba nedodržení smluvního závazku ze strany dodavatele. Další hrozbu přineslo opatření Národního úřadu pro kybernetickou a informační bezpečnost, který ve svém varování ze dne 17.prosince 2018 uvádí hrozbu použití technických a programových prostředků společností Huawei Technologies Co., Ltd., a ZTE Corporation. Katalog hrozeb a zranitelností by vždy měl odrážet specifické potřeby a prostředí instituce, přičemž s ohledem na dynamiku hrozeb by mělo docházet k jeho pravidelné aktualizaci.

6 hlavních rizik a nedostatků veřejného sektoru v rámci řízení dodavatelských vztahů

Při poskytování služeb pro povinné subjekty veřejného sektoru se s ohledem na velikost instituce a předmět činnosti setkáváme s množstvím rizik a nedostatků. Níže jsou uvedena ta, která se opakují a které je potřeba řešit s vyšší prioritou.

1. Neznalost vlastního prostředí a budoucího předmětu veřejné zakázky

Nedostatečná znalost předmětu veřejné zakázky před jeho vypsáním a nedostatečné zmapování a znalost vlastního ICT prostředí je častým problémem. Pokud instituce nezná vlastní prostředí a nemá konkrétně stanovené požadavky, je velmi obtížné, provést předběžnou analýzu rizik, jelikož zde absentují podstatné informace. Jak již bylo zmíněno, aktiva jsou obvykle v rámci informační bezpečnosti rozdělena na primární a podpůrná aktiva. Přičemž v případě, že je předmětem veřejné zakázky např. dodání technických prostředků a instituce nemá dostatečně zmapovanou infrastrukturu informačního systému, nemá definovaná primární aktiva a jejich vazby na podpůrná aktiva, je velmi obtížné stanovit vhodná bezpečnostní opatření pro budoucího dodavatele a řídit tak rizika spojená s tímto vztahem.

2. Nedostatečně nastavené role a odpovědnosti

Pokud nejsou smluvně zakotveny povinnosti a odpovědnosti na straně dodavatele a speciálně významného dodavatele a správce, existují velké problémy s vymáháním jejich plnění. ZoKB požaduje po správci informačního systému velké množství bezpečnostních opatření, nicméně často se stává, že správce nedisponuje adekvátními zdroji a proto přenáší své povinnosti na významného dodavatele. To však s sebou nese rizika v podobě nepřesného určení rozsahu požadovaného plnění a jeho smluvního zakotvení. Často se tedy stává, že povinný subjekt v roli správce informačního systému požaduje plnění svých povinností po významném dodavateli, nicméně ten neplní, jelikož to nemá ukotvené ve smlouvě.

3. Absence hodnocení rizikového profilu dodavatelů

Instituce veřejného sektoru musejí postupovat v souladu s péčí řádného hospodáře při správě finančních prostředků státu. Proto musí před výběrem dodavatele posoudit jeho rizikový profil, kdy je potřeba poznat vlastnickou strukturu, konečného vlastníka, posoudit historické projekty a reference na dodavatele. Na základě těchto a dalších informací zhodnotit, zdali daný dodavatel poskytuje dostatečnou úroveň bezpečnosti a nehrozí rizika, která by měla negativní vliv na dodávku služeb nebo prostředků, případně mohla ohrozit reputaci instituce. Nicméně stanovení rizikového profilu dodavatele je nekončící proces a proto je potřeba aktualizovat případně reflektovat zkušenosti nebo nové skutečnosti související s dodavatelem.

4. Nestanovení vhodných bezpečnostních opatření

Přestože ZoKB nabyl účinnosti již začátkem roku 2015, množství institucí veřejného sektoru stále nedostatečně stanovilo a implementovalo pravidla a procesy pro tvorbu bezpečnostních opatření v oblasti informační bezpečnosti, které jsou vyžadovány po dodavatelích již při návrhu řešení v souladu s principem security by design. Tato pravidla a procesy musí být stanoveny na základě provedené analýzy rizik s ohledem na předmět budoucího plnění a následně musí být propsána do zadávací dokumentace veřejné zakázky.

5. Neprovádění klientských auditů dodavatelů

Ve většině institucí nejsou dostatečné lidské zdroje pro budování vlastní informační bezpečnosti, natož pro provádění kontrol dodržování plnění stanovených pravidel a bezpečnostních opatření u dodavatelů v pravidelných intervalech. Kromě porušení povinností podle VyKB při neprovádění klientských auditů dodavatelů se instituce vystavuje velkým rizikům, jelikož nemá dostatečnou kontrolu nad svými aktivy, což může v horších případech skončit únikem citlivých informací a dat nebo nedodáním řešení v požadované kvalitě.

6. Nedostatek závazku a aktivní podpory vrcholového vedení

Implementace nových pravidel, procesů a bezpečnostních opatření v oblasti informační bezpečnosti je běh na dlouhou trať. Zde hrají primární roli lidské zdroje, které by měly být dostatečně proškoleny a měly by mít stanovené jasné pokyny. Přes veškerou snahu vzdělávacích a školících programů za účelem zvyšování povědomí o důležitosti informační bezpečnosti je velkým problémem akceptace a plynulá implementace nových povinností ze strany zaměstnanců do každodenních činností. To odráží i často nedostatečně aktivní postoj vrcholového vedení a vedoucích pracovníků, kteří by měli aktivně podporovat své podřízené v řádném plnění daných povinností a jít příkladem.

Důkladná prevence, včasná detekce a agilní reakce

Při řízení dodavatelů je bezpodmínečně nezbytná adekvátně ošetřit výše uvedené nedostatky, které pouze poukazují na rozmanitost rizik a nedostatků, jimž v současnosti čelí instituce veřejného sektoru. Předmětem tohoto článku nebylo specifikovat technické nedostatky, ale spíše se zaměřit na organizační opatření. Nicméně jak se technologie vyvíjí, budou se s ní vyvíjet útočné vektory i jejich sofistikovanost.

Vždy je potřeba postupovat v souladu s třemi základními prvky životního cyklu informační bezpečnosti, kterými je důkladná prevence, včasná detekce a agilní reakce. Proto je potřeba nejdříve disponovat úplnými znalostmi o svém vlastním prostředí, následně stanovit jasná práva a povinnosti na straně povinného subjektu a dodavatele, pravidla a bezpečnostní opatření, která je nutné propsat do zadávací dokumentace. Následně stanovit rizikový profil dodavatelů, dostatečně ošetřit rizika plynoucí z veřejné zakázky a provádět pravidelnou kontrolu dodržování plnění pravidel a bezpečnostních opatření. Na závěr je potřeba dostatečně zabezpečit ukončení služeb nebo dodávek s ohledem na možná rizika.