Nematomi pavojai tiekimo grandinėje: kaip sustiprinti organizacijos kibernetinį atsparumą?

Tiekimo grandinės saugumo užtikrinimas yra vienas svarbiausių uždavinių, kurį turi įgyvendinti įmonės ir organizacijos, įtrauktos į Kibernetinio saugumo subjektų registrą ir registruotos Kibernetinio saugumo informacinėje sistemoje.

Trečiosios šalys, veikiančios tiekimo grandinėje, gali būti partneriai, tiekėjai, pardavėjai ir kitos įmonės, teikiančios su tinklų ir informacinių sistemų projektavimu, kūrimu, diegimu, naudojimu, priežiūra, modernizavimu ir (ar) kibernetinio saugumo užtikrinimu susijusias prekes, paslaugas ar jų palaikymą.

Advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė pažymi, kad net ir tuo atveju, jei kibernetinio saugumo subjektais pripažįstamos įmonės ar organizacijos taikys pažangiausias kibernetinio saugumo priemones, tačiau jų pasitelkiamų trečiųjų šalių infrastruktūra dėl resursų stokos ar neveikimo bus nepakankamai atspari, egzistuoja rizika, kad tokios trečiųjų šalių saugumo spragos taps puikiu taikiniu piktavaliams. Išpuoliai prieš tiekimo grandines daro poveikį ne tik mažosioms ir vidutinėms įmonėms ir jų veiklai atskirai, bet ir patiems kibernetinio saugumo subjektams, kadangi, pasinaudodami trečiųjų šalių pažeidžiamumais, piktavaliai gali gauti nesankcionuotą prieigą prie kibernetinio saugumo subjektų valdomos informacijos.

Europos Sąjungos kibernetinio saugumo agentūra taip pat pažymi, kad organizacijų pažeidžiamumai per tiekimo grandinę ir trečiąsias šalis, įskaitant ir paslaugų teikėjus trečiosioms šalims (subtiekėjus), bus laikoma aktualiausia kibernetinio saugumo grėsme iki 2030 m.

Advokato padėjėja Akvilė Laurinaitytė primena, kad siekiant sumažinti tinklų ir informacinėms sistemoms galinčią kilti riziką ir užtikrinti tinkamą bei efektyvią trečiųjų šalių kontrolę, įmonėms ir organizacijoms svarbu įgyvendinti saugumo priemones.

Visų pirma, įmonės ir organizacijos turi parengti ir patvirtinti tiekimo grandinės saugumo valdymo tvarką, kurioje įtvirtinami trečiųjų šalių atrankos kriterijai, atitikties nustatytiems kibernetinio saugumo reikalavimams įgyvendinimo, kokybės reikalavimų užtikrinimo pareigos, prieigų valdymo tvarka, trečiųjų šalių rizikos vertinimo metodika. Šiuo dokumentu taip pat turi būti suderinta, kaip kibernetinio saugumo subjektas su tiekėjais vykdo kibernetinių incidentų valdymo ir tyrimo procedūras, apibrėžti kibernetinio saugumo subjekto ir tiekėjų vaidmenys bei atsakomybės ribos.

Taip pat A. Laurinaitytė atkreipia dėmesį, kad labai svarbu peržiūrėti ir, esant poreikiui, atnaujinti su trečiosiomis šalimis sudarytas sutartis, įtraukiant papildomas nuostatas apie trečiųjų šalių įsipareigojimus laikytis nustatytų kibernetinio saugumo reikalavimų, kvalifikacinius reikalavimus tiekėjų pasitelkiamam personalui, pareigą pranešti apie įvykusius kibernetinio saugumo incidentus ir pateikti ataskaitą, užtikrinti spragų valdymą, laikytis konfidencialumo. Sutartyse taip pat turėtų būti įtraukti reikalavimai tiekėjų patalpoms, įrangai, tinklų ir informacinių sistemų priežiūrai, informacijos perdavimui tinklais, apibrėžti paslaugų teikimo lygmenys (SLA), prieigos prie tinklų ir informacinių sistemų suteikimo lygiai ir sąlygos. Sutartyse taip pat turėtų būti numatyta kibernetinio saugumo subjektų teisė atlikti trečiųjų šalių atitikties nustatytiems reikalavimams auditą ir trečiųjų šalių bendradarbiavimo pareiga audito atlikimo metu. Audito atlikimo dažnumas turėtų priklausyti nuo trečiųjų šalių keliamos rizikos kibernetinio saugumo subjekto veiklos tęstinumui.

Be dokumentacijos rengimo, itin svarbu sudaryti, reguliariai peržiūrėti ir atnaujinti pasitelkiamų tiekėjų ir subtiekėjų registrą, klasifikuoti tiekėjus ir subtiekėjus pagal jų vaidmenis, teikiamų paslaugų svarbą ir keliamą riziką veiklos tęstinumui, pavyzdžiui, išskiriant į kritinius ir nekritinius tiekėjus. Kritiniams tiekėjams turi būti taikoma didesnio lygio priežiūra.

Kibernetinio saugumo subjektai taip pat privalo užtikrinti minimalios, terminuotos ir tik konkrečioms funkcijoms vykdyti būtinos prieigos prie tinklų ir informacinių sistemų suteikimą trečiosioms šalims.

Galiausiai, būtina įsitikinti, kad pasitelkiamos trečiosios šalys turėtų parengtą veiklos tęstinumo valdymo planą ir reguliariai jį testuotų.

Taigi, įmonėms ir organizacijoms, įtrauktoms į Kibernetinio saugumo subjektų registrą ir registruotoms Kibernetinio saugumo informacinėje sistemoje, advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė rekomenduoja nedelsiant pradėti įgyvendinti nustatytus reikalavimus ir imtis prevencinių priemonių, kad būtų ne tik užtikrinta atitiktis teisės aktų nuostatoms, bet ir stiprinamas kibernetinis atsparumas grėsmėms.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866

Akvilė

Laurinaitytė

a.laurinaityte@newtonlaw.lt +37064653727