Znaczenia zarządzania cyberryzykiem dostawców nie trzeba już obecnie uzasadniać. W niekończących się doniesieniach o udanych cyberatakach niebagatelną część stanowią tzw. supply chain cyberattacks, czyli ataki przeprowadzone na organizację przez zewnętrznego dostawcę. Oprócz ataków występują również problemy wynikające z innych przyczyn, np. awaria spowodowana przez błędną aktualizację od firmy CrowdStrike w 2024 r., co w efekcie sparaliżowało lotniska, banki, szpitale, hotele i wiele innych branż.
W odpowiedzi na powyższe wiele firm wdrożyło odpowiednie programy i utworzyło zespoły zajmujące się weryfikacją dostawców przed rozpoczęciem współpracy. Mimo to wciąż obserwuje się niezadowolenie z efektów u kierownictwa, spory zarówno z dostawcami, jak i wewnątrz samej organizacji, a finalnie frustrację u wszystkich zaangażowanych.
Zatem jakie są fundamenty sukcesu i na co zwrócić uwagę, żeby całe przedsięwzięcie oceny cyberryzyka dostawców działało sprawnie i wnosiło istotną wartość dla organizacji?
Rys. 1. Fundamenty skutecznej oceny cyberryzyka dostawców
Źródło: Opracowanie własne
W niniejszym artykule nie ma przestrzeni, żeby omówić wszystkie fundamenty skutecznej oceny cyberryzyka dostawców oraz powiązane z nimi aspekty, natomiast postaram się poruszyć następujące dwa zagadnienia:
- Którzy dostawcy powinni podlegać ocenie ryzyka i w jakim zakresie? Odpowiedzi na te pytania są częścią strategii i określenia wymagań od organizacji.
- Kiedy ocena cyberryzyka powinna zostać przeprowadzona? Odpowiedź na to pytanie jest z kolei częścią mapy procesów i szukaniem złotego środka między sprzecznymi oczekiwaniami.
Istotne jest rozróżnienie oceny ryzyka dostawcy (jako organizacji) od oceny ryzyka produktu czy usługi (które są oferowane przez tegoż dostawcę), ponieważ zakres tej oceny będzie inny. W niniejszych rozważaniach skupiam się na ocenie dostawcy jako organizacji.
Którzy dostawcy powinni podlegać ocenie ryzyka i w jakim zakresie?
Naturalną odpowiedzią wydaje się: „wszyscy”. Problem oczywiście jest taki, że pełna weryfikacja wszystkich dostawców nie wchodzi w grę, szczególnie w dużej organizacji, ponieważ nie będziemy mieli na to zasobów, a i nie każdy dostawca będzie chciał w takiej pełnej weryfikacji partycypować. Co zatem? Mimo wszystko nadal powinniśmy pochylić się nad każdym dostawcą, ale zacząć ich różnicować. Według jakich kryteriów? Główny wyznacznik w zasadzie jest jeden: jaki wpływ na naszą firmę będzie miała sytuacja, gdy z naszym dostawcą będzie problem?
Oczywiście jest to sformułowanie bardzo ogólne, które należy przełożyć na bardziej szczegółową listę kryteriów w zgodzie z branżą, regulacjami, aktualną bazą dostawców, dostępnymi zasobami, apetytem na ryzyko, wewnętrznymi politykami itp. Należy również uwzględnić różne rodzaje problemów, które możemy napotkać. Aby lepiej przybliżyć temat, poniżej podaję kilka propozycji kryteriów:
- Jak brak produktu czy usługi wpłynie na ciągłość biznesu?
- Jak łatwo można zastąpić danego dostawcę innym?
- Jaka jest reputacja dostawcy (np. cyberincydenty w ostatnim czasie)?
- Jakie nasze dane dostawca będzie przetwarzał i w jakim zakresie?
- Czy dostawca będzie miał dostęp fizyczny dostęp do pomieszczeń i jakich?
- Czy dostarczane są pewne specyficzne usługi, np. software development, które wymagają dodatkowej weryfikacji (np. czy dostawca działa w zgodzie z najlepszymi praktykami)?
Są to punkty, które należy doprecyzować lub rozwinąć, być może jeszcze jakieś dodać, a może niektóre wręcz usunąć, żeby uprościć. Natomiast kluczowe jest, aby te kryteria pozwoliły zróżnicować dostawców w sposób spójny i szybki, tak żeby poziom dalszej weryfikacji odpowiadał oczekiwaniom zdefiniowanym w organizacji.
Mamy wypracowane kryteria – kolejny aspekt to znalezienie odpowiedzi na zadane pytania. Tutaj kluczowa jest dobra jakość danych oraz współpraca z innymi działami. I przykładowo, na część tych pytań (np. „Jak łatwo można zastąpić danego dostawcy innym?”) odpowiedzi może dostarczyć dział SCM, na część (np. „Jak brak produktu czy usługi wpływa na ciągłość biznesu?”) dział EA (przy wsparciu działu BCM), który zwykle utrzymuje tzw. capability map i ma zrozumienie, jak poszczególne rozwiązania wpływają na różne funkcje biznesu, na część (np. „Jakie nasze dane dostawca będzie przetwarzał i w jakim zakresie?”) odpowiedni dział jednostki biznesowej, ang. BU (przy wsparciu działu IT), itd. Ostatecznie ważne jest ustalenie i uzgodnienie, kto na które pytania może odpowiedzieć, dzięki czemu realizacja takiej wstępnej analizy przebiegnie sprawnie i szybko. Podkreślę w tym miejscu, że kluczowa jest dobra współpraca pomiędzy działami, żeby sprawnie zebrać właściwe dane i szybko określić ekspozycję na ryzyko związane z danym dostawcą, szczególnie że ma to dotyczyć każdego z nich.
Rys. 2. Główni interesariusze analizy ekspozycji na ryzyko dostawcy
Źródło: Opracowanie własne
Jednym z trudniejszych, ale bardzo ważnych elementów, jest określenie, na czym zróżnicowanie zakresu weryfikacji ma faktycznie polegać i tutaj nie jest łatwo o jednoznaczne wytyczne. Załóżmy prosty model, w którym mamy trzy poziomy ekspozycji na ryzyko: wysoki, średni i niski. Pierwszy problem to określenie, jak wspomniane wyżej kryteria definiują granice pomiędzy poziomami: wysokim i średnim oraz średnim i niskim. Drugi problem to zakres weryfikacji, szczególnie dla poziomów średniego i niskiego. Dobrze jest zdefiniować te zakresy jako część wymagań i mocno umocować je w organizacji, żeby późniejsze inne elementy (np. kwestionariusze) nie były kwestią opinii, a opierały się na odpowiednim dokumencie polityki czy wymaganiach organizacji.
Na końcu warto pamiętać o jednej rzeczy: celem nie jest samo wdrożenie dostawcy. Najczęściej chcemy wdrożyć do organizacji produkt lub usługę, a wprowadzenie dostawcy jest poniekąd skutkiem ubocznym. Warto to przytoczyć, bo tym samym celem jest wybór nie najlepszego dostawcy, a wybór produktu czy usługi najlepiej dopasowanego do potrzeb. Dostawca ma tylko spełnić określone wytyczne i wcale nie musi być najlepszym spośród kandydatów.
Kiedy ocena cyberryzyka powinna zostać przeprowadzona?
Przede wszystkim należy najpierw zrozumieć, w jakim kontekście ocena cyberryzyka jest przeprowadzana. Jest ona zwykle częścią większej całości, gdzie analizowane są ryzyko finansowe, operacyjne, geopolityczne itd. Ponadto, jak już wspomniano, należy pamiętać, że celem jest dostarczenie do firmy nowych produktów lub usług, co wprowadza kolejne zależności. Dlatego ponownie kluczowa jest współpraca z innymi działami (głównie SCM, ale też np. IT), żeby upewnić się, że szeroko rozumiane wprowadzenie dostawcy do firmy wpisuje się w ten szerszy kontekst i wszystkie zależności są odpowiednio zrozumiane, uwzględnione w procesach i nie powodują kolizji.
MATERIAŁY ENGENIOUS Materiały Engenious
Wróćmy do pytania „kiedy?”, zakładając, że powyższy kontekst mamy opanowany i uzgodniony z interesariuszami. Chcąc być w zgodzie z modnym od pewnego czasu „shift left”, odpowiedź na to pytanie wydaje się jedyna i słuszna: jak najwcześniej. Okazuje się, że to nie takie proste. Jako że wybór dostawcy wynika z ewaluacji różnych opcji dotyczących produktów czy usług, to na im wcześniejszym etapie jesteśmy, tym więcej opcji rozpatrujemy i mniej pewni wyboru jesteśmy. I analogicznie, im dalej, tym lista krótsza, a nasza pewność rośnie. Zatem moment przeprowadzenia oceny to kompromis, gdzie po jednej stronie mamy wielu kandydatów na dostawców, ale sporo czasu na przeprowadzenie ich oceny cyberryzyka, a po drugiej stronie – zwykle już preferowanych dostawców (lub nawet ostatecznego kandydata), ale mało czasu na przeprowadzenie tejże oceny. Co więcej, pod koniec tej drogi nierzadko pojawia się zaangażowanie w wybrane rozwiązanie, które mogło się już danej jednostce bardzo spodobać i pojawią się naciski, aby właśnie je wybrać mimo pewnych niedociągnięć u dostawcy.
Rys. 3. Zależność między liczbą rozważanych rozwiązań a poziomem kontroli cyberryzyka w czasie
Źródło: Opracowanie własne
Dodatkowo możemy się też wspomóc różnymi narzędziami do monitorowania dostawców – ważne jest ich świadome wykorzystanie, gdyż niekoniecznie zakres analizy, który oferują, pokrywa się z naszymi wymaganiami. Niemniej może to być pomocne np. na wczesnych etapach, żeby wyeliminować dostawców, którzy nie spełnią naszych oczekiwań, a tym samym skupić się na tych, którzy dają większą szansę powodzenia.
Materiały Engenious Materiały Engenious
A to dopiero początek!
Sprawny i wnoszący wartość proces oceniania cyberryzyka dostawców musi być oparty na solidnych fundamentach i odpowiednio zakorzeniony w organizacji. Przedstawione rozważania stanowią „podstawy podstaw”, a to bynajmniej nie zamyka tematu. Pozostaje wiele ważnych aspektów, których nie poruszyłem, jak np.:
- bagaż wielu obecnych w organizacji dostawców, dla których ocena ryzyka nigdy nie była przeprowadzona albo była zrobiona dawno temu według innych kryteriów,
- wykorzystanie certyfikacji dostawców,
- skorzystanie z usług i standaryzacji w tym obszarze (np. kwestionariusze SIG).
Wymienione powyżej, jak i kolejne aspekty pozostaną na razie inspiracją na przyszłe rozważania.
MATERIAŁY ENGENIOUS Od ponad 20 lat związany z branżą IT i szkolnictwem wyższym. Brał udział w kilkudziesięciu projektach w wielu różnych rolach, dostarczając zarówno rozwiązania IT, jak i opracowując procesy i metody w obszarach architektury i bezpieczeństwa. Przez wiele lat architekt korporacyjny, a w ostatnim czasie zaangażowany w projekt związany z usprawnieniami w obszarze zarządzania ryzykiem cyberbezpieczeństwa w łańcuchu dostaw. Prelegent na konferencjach branżowych i naukowych prowadził szkolenia z tematyki architektury i bezpieczeństwa, jest także autorem kilkudziesięciu publikacji naukowych. Wieloletni członek komitetów programowych konferencji naukowych oraz redaktor czasopism z obszaru cyberbezpieczeństwa. Obecnie łączy pracę naukową i dydaktyczną jako adiunkt na Uniwersytecie Wrocławskim z pracą jako architekt korporacyjny w Engenious.