Zaštita u lancu opskrbe više nije preporuka – to je zakonska obveza

Ušli smo u novo razdoblje u kojem se kibernetička sigurnost više ne promatra kao tehnički izazov koji pripada isključivo IT odjelu. Sve je jasnije da je riječ o poslovnom pa onda i strateškom pitanju – pitanju kontinuiteta, povjerenja i, odnedavno, i zakonske odgovornosti.

Zakon o kibernetičkoj sigurnosti i pripadajuća Uredba, koji su na snazi, unijeli su značajne promjene u način na koji ključni i važni subjekti moraju upravljati sigurnošću svojih digitalnih sustava. Među najvažnijim, a ujedno i najzahtjevnijim novostima jest obveza uspostave mjera za sigurnost lanca opskrbe. Drugim riječima – organizacije više ne gledaju samo sebe. Zakonom su obvezne gledati i sve one koji im pružaju uslugu: dobavljače softvera, pružatelje clouda, razvojne partnere, outsourcing firme, upravljane usluge, telekom usluge, infrastrukturu koju dijele s drugima…jednom riječju sve one koji imaju doticaja sa informacijskom i mrežnom i podatkovnom infrastrukturom.

No, pogledamo li trenutnu praksu, dojam je da mnoge organizacije još nisu spremne za ovu promjenu. Lanci opskrbe i dalje se tretiraju kao "tuđa stvarnost". Sigurnost se, u najboljem slučaju, provjerava jednom prilikom sklapanja ugovora – ako uopće. Mnogi ugovori s ključnim digitalnim dobavljačima nemaju ni osnovne klauzule o obavijesti o incidentima, pravu revizije ili odgovornostima kod prekida usluge. Još češće, nema jasne interne politike tko uopće upravlja tim odnosima – pravna služba, IT, nabava, netko treći?

U stvarnosti, napadi kroz dobavljače sve su sofisticiraniji i učestaliji. Globalni incidenti poput SolarWindsa, Kaseye, Log4J ili ZX pokazali su koliko štete može nastati ako samo jedan vanjski entitet postane izvor ranjivosti. U takvim slučajevima, organizacije koje su povjerile ključne dijelove svog poslovanja trećim stranama nerijetko ostaju bez informacija, bez kontrole i bez pravnog oslonca.

Zato zakonodavac više ne prepušta sigurnost lanca opskrbe dobroj volji organizacija. Hrvatski zakon – usklađen s europskom NIS2 direktivom – propisuje jasne obveze. Ključni i važni subjekti moraju voditi registar ICT dobavljača, kategorizirati ih prema razini kritičnosti, provoditi procjene sigurnosnog rizika za vrijeme ugovaranja ali i za vrijeme korištenja usluga, unijeti sigurnosne zahtjeve i mehanizme u ugovore, uspostaviti nadzor i redovite assessmente, osigurati sigurnost prilikom razvoja sustava, i to sve pod nadzorom uprave.

Ono što se možda najviše mijenja u ovom zakonu nije tehnički aspekt, nego upravljanje. Odgovornost je izričito postavljena na upravljačka tijela – članove uprave, direktore, voditelje organizacijskih jedinica. Nema više prostora za delegiranje prema dolje. Riječi poput “nisam znao” ili “to je radila informatika” više ne predstavljaju obranu – nego znak neispunjenja zakonske obveze.

Ipak, zakon ne traži od uprava da poznaju sve tehničke detalje sigurnosnih protokola. Ono što traži jest da postave jasan sustav – politiku, odgovorne osobe, postupke procjene i nadzora – i da redovito nadziru njihovu provedbu. Sigurnost u lancu opskrbe mora biti dio redovitih izvještaja, strategija i odluka na najvišoj razini i sa pitanjima sigurnosti redovna tema makar jednom u pola godine na sastancima uprava.

Nije riječ samo o izbjegavanju kazni. Riječ je o sposobnosti da organizacija odgovori na sve kompleksnije prijetnje i istovremeno zadrži stabilnost, povjerenje klijenata i operativnu učinkovitost. U vremenu kada se sve više poslovanja oslanja na vanjske partnere, sigurnost tih odnosa postaje ključna točka otpornosti.

Kako onda konkretno odgovoriti na zahtjeve zakona?

Prvi korak je identifikacija – tko su sve vaši dobavljači ključnih digitalnih usluga za vaše poslovanje? Koji od njih imaju pristup podacima, sustavima, ključnim funkcijama? Drugi korak je kategorizacija – koji od njih su za vas poslovno ili sigurnosno kritični? Slijedi procjena – imate li alate i upitnike kojima možete zatražiti uvid u njihove sigurnosne kontrole? Nakon toga dolazi ugovaranje – sadrže li vaši ugovori klauzule koje zakon zahtijeva: obvezu obavijesti o incidentima, reviziju, postupanje s podugovarateljima? I konačno, upravljanje – imate li jasan proces, odgovorne osobe i plan nadzora tih dobavljača? Na posljetku ključni dio je i provedba gore navedenih zahtjeva, odnosno kako i na koji način i koliko redovito zaista radite assessmente i procjene kod vaših dobavljača – jer u protivnom se sve svodi na mrtvo slovo na papiru.

Ako vam neki od tih koraka zvuče nepoznato ili djelomično riješeno – niste sami. Mnoge organizacije su tek na početku ovog procesa. No važno je znati – to više nije stvar dobre volje, već zakonske obveze.

Uloga pojedinaca unutar organizacija pritom je jednako važna kao i sama organizacija. Voditelji pravne službe trebaju prepoznati klauzule koje nedostaju. Direktori IT-a trebaju jasno razumjeti na koje točno sustave i podatke dobavljači imaju pristup. Voditelji razvoja moraju u svojim procesima ugraditi sigurnosne kontrole. A menadžeri rizika moraju znati koje dobavljače treba pratiti svakodnevno, a koje povremeno.

Pitanje sigurnosti lanca opskrbe više nije pitanje može li se nešto dogoditi. Može. I već se događa. Pravo pitanje je: hoće li vaša organizacija imati kontrolu, pravnu zaštitu i spremnost da odgovori – ili će biti izložena, bez zaklona i bez podrške?

Zakon nudi okvir, ali i obvezu. I kao i svaki zakon koji dolazi iz regulacije visoko rizičnih područja – njegova svrha nije samo zaštita sustava, već zaštita povjerenja. Povjerenja klijenata, tržišta, i društva u cjelini. A to je odgovornost koja počinje od svakog pojedinca koji donosi odluke.

Ako vam je sve ovo novo – to je u redu. Bitno je da nije nepoznato i za šest mjeseci.