Řízení dodavatelů – kulatý stůl CyberBlog.cz: Dodavatele nelze vybírat jen na základě nízké ceny.

Stát musí vytvořit podmínky, aby organizace mohli efektivně řídit rizika, shodli se experti.

S příchodem kyberbezpečnostní směrnice NIS 2 je kladen větší důraz na zajištění bezpečnosti dodavatelského řetězce. Server Cyberblog.cz na toto téma uspořádal kulatý stůl, na který pozval přední experty z oblasti bezpečnosti, aby se podělili o svých zkušenostech v oblasti řízení dodavatelů a prodiskutovali významné aspekty nového zákona o kybernetické bezpečnosti, který v současné době připravuje NÚKIB.

Celý kulatý stůl moderoval Šimon Toman z advokátní kanceláře Chrenek, Toman Kotrba, který se dlouhodobě problematikou kybernetické bezpečnosti zabývá. Na úvod představil problematiku řízení dodavatelů jako takovou, která není jenom o správně nastavených procesech při výběru dodavatele, ale i o správném pochopení hrozeb, se kterými se daná organizace potýká a jejich efektivní řízení v rámci životního cyklu technologie a vztahu s daným dodavatelem.

Jako první hovořil ředitel společnosti Corpus Solutions Tomáš Přibyl, který varoval před nejčastějšími chybami, jichž se dopouštějí nejen soukromé společnosti, ale také stát. Kamenem úrazu je dle něj výběr dodavatelů na základě nejnižší ceny. Jako příklad uvedl nákup zakázkového softwaru státním úřadem v roce 2022 od společnosti, která má dle veřejných zdrojů skutečné majitele registrované v Karibiku a je historicky napojená na Bělorusko. V tomto ohledu Přibyl kvitoval nový zákon o kybernetické bezpečnosti, který dle něj klade důraz na prověřování dodavatelů a výběr bezpečného dodavatele nad levným dodavatelem.

Do kybernetické bezpečnosti, prověřování dodavatelů a zajištění bezpečného dodavatelského řetězce investuje nemalé prostředky a úsilí Letiště Václava Havla Praha. Tamější ředitel pro audit, řízení rizik a Compliance Filip Zelingr na kulatém stole uvedl: „Výběr dodavatele chápeme jako integrální součást compliance management systému. Významnou roli nejen pro nás samotné, ale i pro naše obchodní vztahy hraje nejen cena, ale i sada hodnot a pravidel udržitelného a etického podnikání, pročež jsme zavedli etický kodex obchodních partnerů a máme zavedený proces Znej svého obchodního partnera“.

Jako konkrétní složitou otázku však identifikoval prostor mezi požadavkem dobré praxe a navrhované legislativy na řízení identifikovaných rizik v budoucím obchodním vztahu a podmínkami transparentnosti, rovného přístupu a nediskriminace, kterou předpokládá v oblasti výběru dodavatele zákon o zadávání veřejných zakázek. „Já ta rizika znám, ale zároveň musím mít rovný přístup ke všem dodavatelům. To znamená, že cenu řízení rizik nemůžu jednomu dodavateli zohlednit a druhému ne, ačkoliv ji mám spojenou pouze s jedním dodavatelem. Ve finále mě to jako konečného uživatele může vyjít i dráž, pokud budu muset řídit rizika spojené s původně lacinější cenou s velkým rizikem obchodního vztahu. Oproti tomu možná dražší cena na vstupu se mnou nemá spojené další náklady.

Pak ale není vůbec možné nic dopředu transparentně deklarovat, protože předtím, než s obchodním partnerem spolupracovat začnu, nevím, kdo se mi přihlásí a jakou sadu rizik s ním budu mít asociovanou,“ čím vysvětlil nesoulad mezi řízením dodavatelů například dle požadavků zákona o kybernetické bezpečnosti a výběrem dodavatele dle zákona o zadávání veřejných zakázek.

Skutečnost, že cena hraje důležitou roli při rozhodování potvrdili všichni účastníci kulatého stolu, avšak účastníci ze zkušenosti potvrdili, že stále více společností postupuje proporčně ve vztahu k hrozbám a rizikům, kterým dotčené organizace v daných případech čelí. „Analýza rizik musí být provedena tím, kdo ve společnosti služby odebírá. Interní zákazník (odborný garant) sám nejlépe posoudí celý proces a předmět dodávky z pohledu daného konkrétního obchodního vztahu. Situaci následně ve spolupráci s dalšími stranami ve společnosti (nákup, compliance atd.) posoudí komplexně počínaje reputačními riziky a konče výpočtem potenciálních rizik a ztrát“, dodal Zelingr.

V další části vystoupil se svým příspěvkem prezident Asociace provozovatelů mobilních sítí (APMS) Jiří Grund, který se zabýval primárně chystaným mechanismem pro prověřování dodavatelů, který by dle pracovní verze NÚKIB umožnil státu ve vybraných případech soukromým i veřejným organizacím z kritické infrastruktury zakazovat spolupráci s určenými dodavateli.

Jiří Grund uvedl, že chápe, že se stát snaží ošetřit geopolitická rizika spojená s dodavateli a jeho členi chtějí být státu v tomto ohledu maximálně nápomocní. Varoval však před příliš zjednodušeným přístupem k celé problematice, jako je plošný zákaz jednoho či více dodavatelů zejména bez důkladné analýzy toho, jaký tento zákaz může mít dopad na trh. Jako příklad uvedl počet dodavatelů v jednotlivých odvětví, kdy například v oblasti telekomunikací jsou relevantní dodavatelé pouze dva. „Když z důvodu geopolitického rizika řeknu, že jeden dodavatel ze země A je špatný, zbude mi druhý dodavatel ze země B. Může se ale stát, že já za ním přijdu a on mi řekne „super, tak přijďte za dva roky, protože mám vyprodáno“. V té chvíli mně vzniká další riziko, že dva roky nedostanu dodávky, což mi způsobí další problém v síti. Tak vlastně nemůžu splnit to, k čemu jsem se zavázal, když jsem si kupoval licenci,“ dokreslil. Takový přístup dle něj může způsobit až miliardové škody, kdy se vyloučením jednoho dodavatele vytvoří strategická závislost na druhém (tzv. vendor lock in).

Jako další slabé místo navrhovaného mechanismu vidí zejména ve způsobu hodnocení rizik, který je dle něj zaměřený pouze na geopolitická kritéria. „Mechanismus pro hodnocení dodavatelů, v představeném znění, zahrnuje pouze kritéria spojená s osobou dodavatele, nikoliv dané technologie. Jsme přesvědčeni, že se jedná o méně vhodný přístup. Stát bohužel nemá dostatečnou kapacitu k hodnocení technologií, a proto se uchýlil k jednoduššímu, avšak méně proporcionálnímu řešení“, řekl Jiří Grund prezident Asociace provozovatelů mobilních sítí (APMS) a současně dodal „kýženého výsledku lze dosáhnout i méně radikálním přístupem, například omezením určitých dodavatelů pro jádrovou, tedy nejkritičtější část infrastruktury, zastropování maximálního podílu dodávek určitých dodavatelů, či stanovením povinných zásob klíčového technologického materiálu odběrateli“.

V tomto ohledu jej ve svém navazujícím příspěvku podpořil i Michal Moroz, výkonný ředitel Asociace kritické infrastruktury ČR: „Je nezbytné chránit primární aktiva, jimiž nová legislativa rozumí základní služby poskytované zákazníkům. Posouzení rizik však musí být komplexní a zohlednit nejen hrozby související s informačními systémy a komunikačními technologiemi, ale také s lidmi, budovami a dalšími podpůrnými aktivy. Jejich identifikace a popis vzájemných souvztažností je základ, na který musí navazovat kvalitně zpracovaná analýza hrozeb, jejich pravděpodobností a možných dopadů.“ Nové hrozby podle Moroze představuje především čím dál hlubší propojení virtuálního a fyzického světa: „V novém hybridním světě se prolínají informační, bezpečnostní, a především provozní technologie. Vzniká jeden velký organismus, v němž je vše vzájemně propojené v důsledku čehož je ten organismus zranitelnější.“ K tomu dodal: „Big data, umělá inteligence a internet věcí promění společnost, jak ji známe. Tyhle technologie přinesou řadu nových dosud nepoznaných hrozeb, ale současně mohou sloužit jako nástroj obrany. Problém však podle něj představuje také skutečnost, že v České republice existuje jen málo vzdělávacích programů, které by absolventy připravily na budoucnost. „Roli státu v tomto směru supluje trh a firmy, které jsou nuceny vychovávat si vlastní experty.“

Závěrem kulatého stolu proběhla diskuse ohledně role státu v zajištění kybernetické bezpečnosti. Všichni účastnící se shodli, že stát má primárně napomáhat, navádět a vytvářet příznivé prostředí s dostatkem lidských zdrojů. Celou myšlenku perfektně shrnul Zelingr, dle kterého by „Stát měl zaprvé měl ze svého pohledu definovat hrozby. Měl by říct ze svého pohledu toto je hrozba, kterou musí komerční subjekty zohlednit. On k tomu má zpravodajské služby, svoje informace, politický nadhled, a i kdyby to byla politická rovina, je to jeho právo. Pak by ovšem měl nechat, nebo dokonce nařídit těm společnostem, aby si sami perfektně identifikovali rizika s těmi hrozbami spojenými, jak uvedl pan Grund, aby nechal ten trh fungovat. A za třetí, dát jim vhodné nástroje, například stanoviska, zejména teď mluvím o naší části, které jsou spojené s veřejným zadáváním, aby ve chvíli kdy identifikují riziko, tak s ním mohli efektivně pracovat.“

Na konci kulatého stolu Šimon Toman dodává, že v oblasti kyberbezpečnostních povinností, jako je například řízení dodavatelů, se společností Corpus solutions poskytují unikátní službu cybersecurity compliance.