Vājākais posms: CISO rokasgrāmata NIS2 prasībām atbilstošas piegādes ķēdes risku pārvaldības programmas izveidei

Brīdinājums šķita nekaitīgs — neliela novirze trešās puses uzraudzības pakalpojumā. Anjai, vidēja izmēra loģistikas uzņēmuma informācijas drošības vadītājai (CISO), tas bija jau trešais šāds paziņojums mēneša laikā no tā paša piegādātāja: “Konstatēta pieteikšanās anomālija”. Piegādātājs — neliels, bet kritiski svarīgs autoparka pārvaldības programmatūras nodrošinātājs — apliecināja, ka tas nav nekas būtisks. Kļūdaini pozitīvs gadījums. Taču Anja zināja labāk. Tie nebija tikai tehniski traucējumi; tās bija pazīmes, kas liecināja par dziļāku nestabilitāti kritiskā piegādes ķēdes posmā. Tā kā viņas uzņēmums tagad bija klasificēts kā “svarīgais subjekts” saskaņā ar NIS2 direktīvu, šīs pazīmes izskatījās kā priekšvēstnesis nopietnam satricinājumam.

Vecā piegādātāju pārvaldības pieeja — mutiska vienošanās un vispārīgi formulēts līgums — ir neatgriezeniski novecojusi. NIS2 skaidri parāda, ka organizācijas kiberdrošības stāvoklis ir tik stiprs, cik stiprs ir tās vājākais posms. Vājākais posms vairs nav “kaut kur ārpusē” — tas atrodas jūsu piegādes ķēdē. NIS2 ietvaros piegādātāju riska nepārvaldīšana nav tikai tehniska nepilnība. Tas ir valdes līmeņa regulatīvs risks ar darbības, reputācijas un finanšu sekām. Anjas problēma nebija tikai viens nestabils piegādātājs. Tā bija sistēmiska ievainojamība, kas ieausta organizācijas darbībā, un auditori to meklētu. Viņai vajadzēja vairāk nekā ātru labojumu; viņai vajadzēja rokasgrāmatu.

Šis ceļvedis ir šī rokasgrāmata. Mēs soli pa solim aplūkosim strukturētu pieeju CISO, atbilstības vadītājiem un auditoriem, lai izveidotu pamatotu, vairāku regulējumu prasībām atbilstošu piegādes ķēdes risku pārvaldības programmu. Izmantojot stabilu ietvaru, piemēram, ISO/IEC 27001:2022, un Clarysec ekspertu rīkkopas, jūs varat sasaistīt steidzamus piegādes ķēdes riskus ar īstenojamām metodēm, kas palīdz izpildīt NIS2, DORA, GDPR un citu regulējumu prasības.

Riska prasība: kā NIS2 pārdefinē piegādes ķēdes drošību

NIS2 direktīva pārveido piegādes ķēdes drošību no vienkāršas labās prakses par juridiski saistošu pienākumu. Tā pieprasa uz risku balstītu, pastāvīgu pieeju IKT un operacionālo tehnoloģiju (OT) piegādes ķēžu aizsardzībai, paplašinot darbības jomu uz daudzām nozarēm un paredzot tiešu vadības atbildību par atbilstības neizpildi. Tas nozīmē:

• Paplašināta darbības joma: darbības jomā ietilpst katrs piegādātājs, apakšapstrādātājs, mākoņpakalpojumu sniedzējs un ārpakalpojumu sniedzējs, kas saskaras ar jūsu IKT vidi.
• Nepārtraukta uzlabošana: NIS2 nosaka dzīvu risku izvērtēšanas, uzraudzības un pielāgošanas procesu, nevis vienreizēju pārskatīšanu. Šis process jāvirza gan iekšējiem notikumiem (incidentiem, pārkāpumiem), gan ārējām izmaiņām (jauniem tiesību aktiem, piegādātāju pakalpojumu izmaiņām).
• Obligātie kontroles pasākumi: reaģēšana uz incidentiem, ievainojamību apstrāde, regulāra drošības testēšana un droša šifrēšana tagad jānodrošina visā piegādes ķēdē, ne tikai jūsu pašu perimetrā.

Tas izpludina robežas starp iekšējo drošību un trešo pušu risku. Jūsu piegādātāja kiberdrošības kļūme kļūst par jūsu regulatīvo krīzi. Strukturēts ietvars, piemēram, ISO/IEC 27001:2022, kļūst neaizstājams, jo tas nodrošina kontroles pasākumus un procesus, kas nepieciešami noturīgas un auditējamas programmas izveidei atbilstoši NIS2 prasībām. Šis ceļš nesākas ar tehnoloģijām, bet ar stratēģiju, kas koncentrējas uz trim pamatkontroles pasākumiem:

• 5.19 - Informācijas drošība piegādātāju attiecībās: stratēģiskā ietvara izveide piegādātāju riska pārvaldībai.
• 5.20 - Informācijas drošības prasību noteikšana piegādātāju līgumos: drošības prasību nostiprināšana juridiski saistošos līgumos.
• 5.22 - Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība: nepārtrauktas pārraudzības un pielāgošanas nodrošināšana visā piegādātāja dzīves ciklā.

Šo trīs jomu pārvaldīšana pārvērtīs jūsu piegādes ķēdi no bažu avota par labi pārvaldītu, prasībām atbilstošu un noturīgu aktīvu.

1. solis: pārvaldības pamata izveide ar kontroles pasākumu 5.19

Anjas pirmais secinājums bija vienkāršs: pret visiem piegādātājiem nedrīkst izturēties vienādi. Biroja kancelejas preču piegādātājs nav tas pats, kas kritiskās autoparka pārvaldības programmatūras nodrošinātājs. Pirmais solis NIS2 prasībām atbilstošas programmas izveidē ir izprast un klasificēt piegādātāju ekosistēmu pēc riska.

Kontroles pasākums 5.19, Informācijas drošība piegādātāju attiecībās, ir stratēģiskais stūrakmens. Tas liek pāriet no vienkārša piegādātāju saraksta uz daudzlīmeņu pārvaldības sistēmu. Šim procesam jābalstās skaidrā, valdes apstiprinātā politikā. Clarysec Trešo pušu un piegādātāju drošības politika šo darbību tieši sasaista ar organizācijas plašāko risku pārvaldības ietvaru:

“P6 – Risku pārvaldības politika. Nosaka pieeju ar trešo pušu attiecībām saistīto risku identificēšanai, izvērtēšanai un mazināšanai, tostarp mantotiem vai sistēmiskiem riskiem piegādātāju ekosistēmās.” No sadaļas “Saistītās politikas un sasaiste”, politikas punkts 10.2.

Šī integrācija nodrošina, ka riski no pakārtotām atkarībām jeb “ceturtās puses” ekspozīcijām tiek pārvaldīti kā daļa no jūsu pašu IDPS. Pašam klasifikācijas procesam jābūt metodiskam. Zenith Blueprint: revidenta 30 soļu ceļvedis 23. solī “Audits un uzlabošana” fāzē palīdz organizācijām klasificēt piegādātājus, balstoties uz kritiskiem jautājumiem:

• Vai piegādātājs apstrādā jūsu sensitīvo vai reglamentēto informāciju?
• Vai tas nodrošina infrastruktūru vai platformas, no kurām ir atkarīgas jūsu kritiskās darbības?
• Vai tas jūsu vārdā pārvalda vai uztur sistēmas?
• Vai piegādātāja kompromitēšana varētu tieši ietekmēt jūsu konfidencialitātes, integritātes vai pieejamības mērķus?

Anja izmantoja šo loģiku, lai atkārtoti izvērtētu autoparka pārvaldības programmatūras nodrošinātāju. Tas apstrādāja reāllaika atrašanās vietas datus (sensitīvi dati), tā platforma bija būtiska ikdienas darbībai (kritiskā infrastruktūra), un kompromitēšana varētu apturēt piegādes (augsta ietekme uz pieejamību). Nekavējoties piegādātājs tika pārklasificēts no “standarta piegādātāja” uz “kritisku, augsta riska piegādātāju”.

Šī uz risku balstītā līmeņu noteikšana nosaka nepieciešamo sākotnējās izpētes, līgumisko prasību stingrības un pastāvīgās uzraudzības līmeni. Kā skaidro mūsu Zenith Controls: vairāku ietvaru atbilstības ceļvedis, šī pieeja tieši saskan ar galveno regulējumu prasībām.

Šis pamata solis nav tikai iekšējs uzdevums; tas ir pamats, uz kura tiek būvēta visa jūsu pamatotā piegādes ķēdes drošības programma.

2. solis: stingru līgumu izveide ar kontroles pasākumu 5.20

Kad augsta riska piegādātājs bija identificēts, Anja atvēra līgumu. Tas bija standarta iepirkuma veidnes līgums ar vispārīgu konfidencialitātes klauzulu un gandrīz neko citu, kas attiektos uz kiberdrošību. Tajā nebija konkrētu drošības kontroles pasākumu, nebija paziņošanas termiņa drošības pārkāpuma gadījumā un nebija audita tiesību. NIS2 auditora skatījumā tas bija bezvērtīgs.

Tieši šeit kritiski svarīgs kļūst kontroles pasākums 5.20, Informācijas drošības prasību noteikšana piegādātāju līgumos. Tas ir mehānisms, ar kuru 5.19 identificētie riski tiek pārvērsti izpildāmās, juridiski saistošās saistībās. Līgums nav tikai komerciāls dokuments; tas ir primārs drošības kontroles pasākums.

Jūsu politikām ir jāvirza šī pārmaiņa. Trešo pušu un piegādātāju drošības politika to nosaka kā pamatmērķi:

“Saskaņot trešo pušu drošības kontroles pasākumus ar piemērojamajiem regulatīvajiem un līgumiskajiem pienākumiem, tostarp GDPR, NIS2, DORA un ISO/IEC 27001 standartiem.” No sadaļas “Mērķi”, politikas punkts 3.6.

Šis punkts pārvērš politiku no vadlīnijām par tiešu uzdevumu iepirkumu un juridiskajām komandām. Anjai tas nozīmēja atgriezties pie piegādātāja un pārskatīt līgumu. Jaunajā līguma pielikumā tika iekļautas konkrētas, neapspriežamas klauzulas:

• Paziņošana par pārkāpumu: piegādātājam jāziņo par jebkuru iespējamu drošības incidentu, kas ietekmē uzņēmuma datus vai pakalpojumus, 24 stundu laikā, nevis “saprātīgā termiņā”.
• Audita tiesības: uzņēmumam ir tiesības reizi gadā veikt drošības izvērtēšanu vai pieprasīt trešās puses audita pārskatus (piemēram, SOC 2 Type II).
• Drošības standarti: piegādātājam jāievēro konkrēti drošības kontroles pasākumi, piemēram, daudzfaktoru autentifikācija visai administratora piekļuvei un regulāra platformas ievainojamību skenēšana.
• Apakšapstrādātāju pārvaldība: piegādātājam jāatklāj jebkuri savi apakšuzņēmēji, kas apstrādās uzņēmuma datus, un jāsaņem iepriekšēja rakstiska piekrišana to izmantošanai.
• Iziešanas stratēģija: līgumā jānosaka procedūras drošai datu atdošanai vai iznīcināšanai līguma izbeigšanas brīdī, nodrošinot korektu piegādātāja atslēgšanu.

Kā uzsver Zenith Controls, šī prakse ir būtiska vairākos ietvaros. GDPR Article 28(3) nosaka detalizētu datu apstrādes līgumu nepieciešamību. DORA Article 30 paredz izsmeļošu līgumisko noteikumu sarakstu kritiskajiem IKT pakalpojumu sniedzējiem. Ieviešot stabilu kontroles pasākumu 5.20, Anja ne tikai izpildīja ISO/IEC 27001:2022 prasības; viņa vienlaikus veidoja pamatotu pozīciju NIS2, DORA un GDPR auditiem.

3. solis: novērošanas tornis — nepārtraukta uzraudzība ar kontroles pasākumu 5.22

Anjas sākotnējā problēma — atkārtotie drošības brīdinājumi — radās no klasiskas kļūdas: “paraksti un aizmirsti”. Spēcīgs līgums ir bezjēdzīgs, ja tas tiek noglabāts mapē un vairs nekad netiek izmantots. Pēdējais puzles elements ir kontroles pasākums 5.22, Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība. Tas ir operatīvais kontroles pasākums, kas nodrošina līgumā doto solījumu izpildi.

Šis kontroles pasākums pārvērš piegādātāju pārvaldību no statiskas sākotnējās piesaistes aktivitātes par dinamisku un pastāvīgu procesu. Saskaņā ar Zenith Controls tas ietver vairākas savstarpēji saistītas darbības:

• Pakalpojuma snieguma pārskatīšana: regulāri plānotas sanāksmes (piemēram, reizi ceturksnī augsta riska piegādātājiem), lai apspriestu sniegumu salīdzinājumā ar drošības SLA, pārskatītu incidentu pārskatus un plānotu gaidāmās izmaiņas.
• Audita artefaktu pārskatīšana: proaktīva piegādātāju audita pārskatu, sertifikāciju un ielaušanās testu rezultātu pieprasīšana un analīze. Auditors pārbaudīs ne tikai to, vai šie pārskati tiek savākti, bet arī to, vai tajos norādītie izņēmumi tiek aktīvi izsekoti un pārvaldīti.
• Izmaiņu pārvaldība: ja piegādātājs maina savu pakalpojumu — migrē uz jaunu mākoņpakalpojumu sniedzēju vai ievieš jaunu API — tam jūsu pusē jāierosina drošības pārskatīšana. Tas novērš situāciju, kurā piegādātāji neapzināti ievieš jaunus riskus jūsu vidē.
• Nepārtraukta uzraudzība: rīku un draudu izlūkošanas avotu izmantošana, lai būtu informēti par piegādātāja ārējo drošības stāvokli. Straujš drošības reitinga kritums vai ziņa par pārkāpumu jāuzskata par iemeslu tūlītējai reakcijai.

Šī nepārtrauktā uzraudzības, pārskatīšanas un pielāgošanas cilpa ir NIS2 pieprasītā “pastāvīgā risku pārvaldības procesa” būtība. Tā nodrošina, ka uzticēšanās nekad netiek pieņemta kā pašsaprotama; tā tiek nepārtraukti pārbaudīta.

Praktisks piemērs: piegādātāja pārskatīšanas kontrolsaraksts

Lai to padarītu praktisku, Anjas komanda izveidoja kontrolsarakstu jaunajām ceturkšņa pārskatīšanām ar autoparka pārvaldības nodrošinātāju, balstoties uz Zenith Controls aprakstītajām audita metodoloģijām.

Šis vienkāršais rīks pārvērta sarunu no vispārīgas statusa apspriedes par fokusētu, pierādījumos balstītu drošības pārvaldības sanāksmi, izveidojot auditējamu nepārtrauktas pārraudzības ierakstu.

Nepārkāpjamās robežas noteikšana: riska pieņemšana NIS2 vidē

Sākotnējais incidents ar piegādātāju piespieda Anju atbildēt uz pamatjautājumu: kāds riska līmenis ir pieņemams? Pat ar labākajiem līgumiem un uzraudzību zināms atlikušais risks vienmēr saglabāsies. Tieši tāpēc skaidri, vadības apstiprināti riska pieņemšanas kritēriji nav apspriežami.

Zenith Blueprint 10. solī “Riski un ieviešana” fāzē sniedz būtiskas norādes par šo jautājumu. Nepietiek pateikt: “mēs pieņemam zemus riskus”. Ir jādefinē, ko tas nozīmē jūsu juridisko un regulatīvo pienākumu kontekstā.

“Pieņemšanas kritērijos jāņem vērā arī juridiskās/regulatīvās prasības. Daži riski var būt nepieņemami neatkarīgi no to iespējamības tiesību aktu dēļ… Līdzīgi NIS2 un DORA nosaka noteiktas drošības pamatlīmeņa prasības — to neizpilde (pat ja incidenta varbūtība ir zema) var radīt nepieņemamu atbilstības risku. Iekļaujiet šīs perspektīvas, piemēram: “Jebkurš risks, kas var novest pie neatbilstības piemērojamiem tiesību aktiem (GDPR u. c.), nav pieņemams un ir jāmazina.””

Anjai tas mainīja spēles noteikumus. Viņa kopā ar juridisko un iepirkumu komandām atjaunināja risku pārvaldības politiku. Jaunie kritēriji skaidri noteica, ka jebkurš kritisks piegādātājs, kurš neatbilst NIS2 noteiktajām drošības pamatlīmeņa prasībām, rada nepieņemamu risku un ierosina tūlītēju risku apstrādes plānu. Tas novērsa neskaidrību lēmumu pieņemšanā un izveidoja skaidru pārvaldības ierosinātāju. Kā noteikts Trešo pušu un piegādātāju drošības politikā:

“Augsta riska izņēmumi (piemēram, piegādātāji, kas apstrādā reglamentētus datus vai atbalsta kritiskās sistēmas) ir jāapstiprina CISO, juridiskajai funkcijai un iepirkumu vadībai, un tie jāreģistrē IDPS izņēmumu reģistrā.” No sadaļas “Risku apstrāde un izņēmumi”, politikas punkts 7.3.

Auditors ir klāt: pārbaude no vairākiem skatpunktiem

Pēc sešiem mēnešiem, kad iekšējie auditori ieradās veikt gatavības izvērtēšanu NIS2 prasību izpildei, Anja bija sagatavojusies. Viņa zināja, ka piegādes ķēdes programmu vērtēs no vairākiem skatpunktiem.

• ISO/IEC 27001:2022 auditors: šis auditors koncentrējās uz procesu un pierādījumiem. Viņš pieprasīja piegādātāju uzskaiti, pārbaudīja riska kategorizāciju, izlases veidā pārskatīja līgumus, lai pārliecinātos par konkrētām drošības klauzulām, un pārbaudīja ceturkšņa pārskatīšanas sanāksmju protokolus. Strukturētā pieeja, kas balstīta uz kontroles pasākumiem 5.19, 5.20 un 5.22, nodrošināja skaidru audita pēdu.

• COBIT 2019 auditors: ar pārvaldības skatījumu šis auditors vēlējās redzēt sasaisti ar organizācijas mērķiem. Viņš jautāja, kā piegādātāju risks tiek ziņots izpildvadības risku komitejai. Anja parādīja risku reģistru, kurā bija redzams, kā noteikts piegādātāja riska vērtējums un kā tas kartēts pret uzņēmuma kopējo riska apetīti.

• NIS2 vērtētājs: šis vērtētājs īpaši koncentrējās uz sistēmisko risku būtiskiem pakalpojumiem. Viņam rūpēja ne tikai līgums; viņš vēlējās saprast, kas notiktu, ja piegādātājs pilnībā kļūtu nepieejams. Anja izskaidroja darbības nepārtrauktības plānu, kurā tagad bija sadaļa par kritiska piegādātāja atteici, kas izstrādāta saskaņā ar ISO/IEC 22301:2019 principiem.

• GDPR auditors: redzot, ka piegādātājs apstrādā atrašanās vietas datus, šis auditors nekavējoties pievērsās datu aizsardzībai. Viņš pieprasīja Datu apstrādes līgumu (DPA) un pierādījumus par Anjas veikto sākotnējo izpēti, lai pārliecinātos, ka piegādātājs sniedz “pietiekamas garantijas”, kā prasīts Article 28. Tā kā viņas process jau sākotnēji ietvēra privātuma prasības, DPA bija stabils.

Šī vairāku skatpunktu audita perspektīva parāda, ka labi ieviesta IDPS, kas balstīta uz ISO/IEC 27001:2022, ne tikai izpilda vienas normas prasības. Tā rada noturīgu un pamatotu pozīciju visā regulatīvajā vidē. Zemāk esošajā tabulā apkopots, kā šie soļi rada auditējamus pierādījumus jebkurai pārbaudei.

Rīcības rokasgrāmata

Anjas stāsts nav unikāls. CISO un atbilstības vadītāji visā ES saskaras ar to pašu izaicinājumu. Regulatīvo sodu draudi un NIS2 noteiktā personīgā atbildība padara piegādes ķēdes risku par augstas prioritātes organizācijas jautājumu. Labā ziņa ir tā, ka turpmākais ceļš ir skaidrs. Izmantojot ISO/IEC 27001:2022 strukturēto, uz risku balstīto pieeju, jūs varat izveidot programmu, kas ir gan prasībām atbilstoša, gan patiesi noturīga.

Negaidiet, līdz incidents piespiedīs rīkoties. Sāciet veidot savu NIS2 prasībām atbilstošo piegādes ķēdes ietvaru jau šodien:

1. Izveidojiet pārvaldību: izmantojiet Clarysec Trešo pušu un piegādātāju drošības politiku - SME vai uzņēmuma līmeņa veidnes, lai definētu iesaistes noteikumus.
2. Pārziniet savu ekosistēmu: piemērojiet Zenith Blueprint klasifikācijas kritērijus, lai identificētu un noteiktu riska līmeņus kritiskajiem, augsta riska piegādātājiem.
3. Stipriniet līgumus: veiciet esošo piegādātāju līgumu auditu pret ISO/IEC 27001:2022 kontroles pasākuma 5.20 prasībām, izmantojot Zenith Controls vairāku ietvaru atbilstības norādes, lai izpildītu NIS2, DORA un GDPR prasības.
4. Ieviesiet nepārtrauktu uzraudzību: ieplānojiet pirmo ceturkšņa drošības pārskatīšanu ar vissvarīgāko piegādātāju un izmantojiet mūsu kontrolsarakstu kā vadlīniju. Dokumentējiet visus konstatējumus savā IDPS.
5. Sagatavojiet audita pierādījumus: apkopojiet līgumu paraugus, pārskatīšanas protokolus, incidentu žurnālus un risku izvērtējumus, kas kartēti pret pamatkontroles pasākumiem katram kritiskajam piegādātājam.

Jūsu piegādes ķēdei nav jābūt vājākajam posmam. Ar pareizo ietvaru, procesiem un rīkiem to var pārvērst par spēka avotu un kiberdrošības stratēģijas stūrakmeni.

Vai esat gatavi izveidot piegādes ķēdi, kas atbilst gan regulatora, gan valdes prasībām? Lejupielādējiet Clarysec Zenith Blueprint un paātriniet ceļu uz atbilstību un noturību jau šodien.