Článek
Právě tady často vznikají největší, tiché bezpečnostní díry s potenciálem velkého průšvihu. Externí dodavatelé jsou v každé firmě nutnost. Problém nastává, když přístup zůstane nastavený i po letech, přestože dodavatel už dávno skončil, vyměnil lidi nebo dokonce celou firmu. V praxi často chybí jednoduchá věc. Přehled. Kdo má k čemu přístup? Jak často se připojuje? Potřebuje to vůbec ještě? Většina firem na tyhle otázky neumí odpovědět.
Cizí ruce v systému jsou vaše odpovědnost
Stačí si přitom udělat základní checklist. Kdo se k vám připojuje, odkud, přes jaké zařízení, na jaký server a s jakými právy. A jednou za čas si to projet. Je to nuda, ale levnější než řešit incident, který mohl vzniknout jen proto, že někdo zapomněl zrušit starý účet.
Kontrola přístupů není populární téma. Zabírá čas, zdržuje a občas způsobí nepohodlí, třeba když se někomu zablokuje účet, i když zrovna nic neprovedl. Ale tohle mrzení je pořád lepší než otevřená díra v infrastruktuře. V Algotechu přístupy pravidelně revidujeme a necháváme je expirovat po určité době. Aktivní uživatel si přístup snadno obnoví. Pasivní už ne, a to je dobře.
Bezpečnost se nedá dělat pocitově. Potřebuje proces. Pokud máte interní IT nebo security tým, nastavte si vlastní pravidla a frekvenci kontrol. U klíčových dodavatelů, tedy těch s administrátorskými přístupy nebo přístupem do kritické infrastruktury, se nebojte jít dál. Mluvte s nimi o auditech, chtějte vědět, jak chrání svoje systémy, jestli testují připojení a jak nakládají s vašimi daty. Není to o nedůvěře. Je to o zodpovědnosti. Když váš dodavatel spravuje desítky firem, může se stát snadným cílem. Jeden průnik a problém se přenese dál po celém řetězci.
Také papíry samy o sobě nikoho neochrání, ale mají svůj smysl. Do smluv se vyplatí dávat klauzule o bezpečnostních standardech, mlčenlivosti, možnosti auditu nebo i sankce za nedodržení dohodnuté úrovně zabezpečení. Samozřejmě s rozumem. Cílem není zničit obchodní vztahy právními kličkami, ale nastavit jasná očekávání.
Důvěřuj, ale prověřuj
Ať jste malý dodavatel nebo velký zákazník, jste součástí dodavatelského řetězce. To znamená, že i vaše bezpečnost má dopad na ostatní. Ztráta důvěry, kybernetický incident nebo jen banální výpadek může zasáhnout partnery i klienty. Začněte jednoduše, udělejte si seznam přístupů, projděte ho, zrušte, co nedává smysl. Pak si z toho udělejte pravidlo. Protože i v kyberbezpečnosti platí staré známé: důvěřuj, ale prověřuj.
A pokud chcete rychlý start bez revoluce, začněte třemi tahy. Zaveďte expiraci všech externích účtů a přístupů by default, kdo se neozve, zůstává vypnutý. Logujte a pravidelně vyhodnocujte, kdo se kdy odkud připojil a co dělá. K tomu přidejte jednoduchý offboardingový rituál. Změna hesel, odvolání certifikátů, zrušení VPN profilu, odebrání vnějších API klíčů. Vypadá to přísně, ale ve výsledku to šetří čas i nervy, hlavně když se něco děje.
A ano, regulace jako NIS2 vám to brzy připomene razítkem, ale je škoda čekat, až vás k tomu donutí paragraf. Udělejte si taky jednou ročně dodavatelský den a projděte si přístupy, aktualizujete kontakty, ověříte si schopnost dodavatele reagovat na incidenty v časech, které potřebujete, vyzkoušíte krátký restore nebo cvičný zásah a domluvíte si audity na další období. Tím odtečou všechna „možná, asi, mělo by“ a zůstane čistá mapa toho, kdo má kam sahat a proč.
