Bezpieczeństwo dostawców (TPRM): przewodnik
Twoje bezpieczeństwo kończy się na najsłabszym dostawcy. Jak ocenić ryzyko kontrahentów, co wpisać do umów i jak monitorować dostawców bez armii audytorów.
Możesz mieć wzorowe MFA, aktualne systemy i przećwiczony plan reagowania — a i tak trafić na czołówki mediów, bo Twój dostawca IT trzymał hasła klientów w arkuszu, a jego serwis zdalny miał dostęp do Twojej sieci. Głośne incydenty ostatnich lat (od MOVEit po ataki na dostawców helpdesków) mają wspólny mianownik: atakujący wybrał drogę przez dostawcę, bo była łatwiejsza. Zarządzanie ryzykiem stron trzecich (TPRM — third-party risk management) przestało być domeną korporacji; wymagają go NIS2, DORA i coraz częściej — Twoi właśni klienci.
Skąd bierze się ryzyko dostawców
Trzy typowe kanały, którymi problem dostawcy staje się Twoim problemem:
- Dostęp do Twoich systemów. Serwisant z kontem VPN, agencja z dostępem do CMS-a, księgowość z dostępem do banku, dostawca IT z uprawnieniami administratora domeny. Przejęcie ich konta = wejście do Ciebie — często poza Twoim monitoringiem.
- Twoje dane u dostawcy. SaaS z bazą klientów, chmura z kopiami zapasowych, kurier z listą adresów, procesor płatności. Wyciek u nich to Twój obowiązek zgłoszenia do UODO i Twoja utrata zaufania klientów.
- Zależność operacyjna. Awaria lub ransomware u kluczowego dostawcy (ERP, logistyka, hosting) zatrzymuje Twój biznes, choć nikt Cię nie zaatakował. To ryzyko ciągłości, nie tylko poufności.
Osobną kategorią jest łańcuch dostaw oprogramowania — zależności i aktualizacje, które wpuszczasz do środowiska automatycznie.
Krok 1: inwentaryzacja i tiering
Nie da się zarządzać listą, której się nie ma. Zbierz dostawców z umów, faktur i… działów (shadow IT ma też wymiar dostawców — pisaliśmy o tym). Następnie podziel ich na poziomy — prosty model, który działa:
- Tier 1 (krytyczni): mają dostęp administracyjny do Twoich systemów, przetwarzają dane wrażliwe/duże wolumeny danych osobowych albo ich awaria zatrzymuje biznes w ciągu doby.
- Tier 2 (istotni): ograniczony dostęp lub istotne dane, awaria boli w tygodnie.
- Tier 3 (pozostali): brak dostępu do systemów i danych, łatwa zastępowalność.
Cały rygor TPRM stosujesz do Tier 1, uproszczony do Tier 2, a Tier 3 obsługujesz zapisami umownymi i tyle. Bez tieringu program umiera pod własnym ciężarem.
Krok 2: ocena przed umową (due diligence)
Dla Tier 1–2 przed podpisaniem umowy zbierz odpowiedzi na kilkanaście konkretnych pytań zamiast 300-punktowej ankiety, której nikt nie czyta:
- Czy dostawca ma wdrożone MFA (w tym na dostępach do Twojego środowiska)? Jak zarządza kontami swoich pracowników po odejściach?
- Kiedy miał ostatni test penetracyjny / audyt? Czy pokaże streszczenie raportu?
- Jak wygląda jego proces obsługi incydentów i w jakim czasie zobowiąże się poinformować Ciebie?
- Gdzie fizycznie są dane, kto ma do nich dostęp, czy podpisze umowę powierzenia (RODO)?
- Certyfikaty (ISO 27001, SOC 2) — traktuj jako sygnał dojrzałości, nie gwarancję; sprawdź zakres certyfikacji.
- Jak wygląda jego ciągłość działania: kopie, RTO, co się dzieje z Twoimi danymi po zakończeniu umowy?
Dla dostawców naprawdę krytycznych warto pójść dalej: zewnętrzna ocena powierzchni ataku (co widać z internetu), przegląd konfiguracji dostępu, który ma do Ciebie, albo wspólne ćwiczenie incydentowe.
Krok 3: umowa, która ma zęby
Ankiety się dezaktualizują — umowa zostaje. Minimalny zestaw klauzul bezpieczeństwa:
- Zgłaszanie incydentów: definicja incydentu, termin powiadomienia (konkretne godziny, nie „niezwłocznie”), zakres informacji, kontakt awaryjny.
- Prawo do audytu (lub audytu zastępczego przez raporty niezależne) — z realnym trybem wykonania.
- Standardy minimalne: MFA, szyfrowanie, aktualizacje, kontrola dostępu do Twojego środowiska (imienne konta, least privilege, logowanie sesji).
- Poddostawcy: zgoda lub przynajmniej informacja o łańcuchu dalszych podmiotów.
- Wyjście: zwrot/usunięcie danych z potwierdzeniem, wsparcie migracji, format eksportu.
- Odpowiedzialność i ubezpieczenie — limit odpowiedzialności dostawcy nie może być niższy niż realne skutki incydentu u Ciebie.
Krok 4: kontrola dostępu — tu wygrywa się najwięcej
Najskuteczniejsza redukcja ryzyka dostawców nie wymaga ani ankiet, ani prawników — wystarczy potraktować ich dostępy jak własne konta uprzywilejowane:
- imienne konta dla ludzi dostawcy (nigdy wspólne „serwis”), wyłączane po zakończeniu prac,
- MFA obowiązkowe, dostęp tylko w ustalonych oknach czasowych lub aktywowany na żądanie,
- minimalny zakres: dostęp do konkretnego systemu, nie do sieci; segmentacja zamiast płaskiej sieci (filozofia Zero Trust),
- nagrywanie/logowanie sesji zdalnych i alerty na logowania poza wzorcem — to powinno spinać się z Twoim monitoringiem,
- przegląd dostępów dostawców co kwartał: kto jeszcze ma konto i po co?
Regularnie znajdujemy w testach konta dostawców sprzed lat — aktywne, ze słabym hasłem, z pełnym dostępem. To najniżej wiszący owoc w całym TPRM.
Krok 5: monitorowanie zamiast ankiety raz w roku
Ryzyko dostawcy zmienia się między przeglądami. Sensowny, tani monitoring: alerty Google/monitoring wzmianek o incydentach u kluczowych dostawców, obserwacja ich statusów usług, okresowy zewnętrzny skan ich powierzchni ataku (za zgodą lub usługą ratingową), oraz — najważniejsze — wewnętrzny obowiązek zgłaszania zmian: nowy dostawca, nowy zakres danych, nowy dostęp = przegląd, zanim ruszy produkcja.
Najczęstsze pytania (FAQ)
Od czego zacząć, jeśli mamy 200 dostawców i zero procesu? Od tieringu: wybierz 10–15 dostawców Tier 1 (dostęp administracyjny / dane / krytyczność operacyjna) i przez pierwszy kwartał zajmij się tylko nimi: przegląd dostępów, klauzule przy najbliższym aneksie, ustalenie kontaktów incydentowych. Szerokość przyjdzie później; głębokość na krytycznych daje 80% efektu.
Dostawca nie chce wypełnić ankiety ani pokazać raportu z testów. Co robić? Negocjuj alternatywy: streszczenie raportu pod NDA, certyfikat z zakresem, rozmowa techniczna z ich bezpieczeństwem. Jeśli dostawca krytyczny odmawia wszystkiego — to jest wynik oceny ryzyka. Możesz kompensować (ograniczenie dostępu, dodatkowy monitoring) albo szukać alternatywy; udokumentuj decyzję.
Czy NIS2/DORA każą nam audytować każdego dostawcę? Nie — każą zarządzać ryzykiem łańcucha dostaw proporcjonalnie: zidentyfikować zależności, ocenić krytycznych, mieć zapisy umowne i nadzór. Regulator zapyta o proces i dowody jego działania, nie o audyt hurtowni papieru.
Jak sprawdzić dostawcę „od zewnątrz”, zanim podpiszemy umowę? Pasywna ocena powierzchni ataku mówi zaskakująco dużo: wystawione panele i usługi, stan łatania, higiena domen i poczty (SPF/DMARC), wycieki poświadczeń pracowników. Robimy takie oceny w ramach usług audytowych — to często godziny pracy, które oszczędzają miesięcy problemów.
Jesteśmy dostawcą i klienci zasypują nas ankietami. Jak to ogarnąć? Przygotuj pakiet due diligence raz, aktualizuj co pół roku: opis architektury bezpieczeństwa, polityki, streszczenie ostatniego testu penetracyjnego, certyfikaty, wzór DPA. Odpowiadanie „z pakietu” skraca sprzedaż B2B o tygodnie — a regularny pentest z raportem dla klientów bywa najlepszą inwestycją handlową.
Podsumowanie
TPRM nie polega na kolekcjonowaniu ankiet, tylko na czterech rzeczach robionych konsekwentnie: wiesz, kim są Twoi krytyczni dostawcy; ich dostępy do Ciebie są ciasne i monitorowane; umowy dają Ci informację o incydencie i drogę wyjścia; a zmiany przechodzą przegląd, zanim staną się faktem. Jeśli chcesz przejrzeć dostępy dostawców w swojej sieci albo przygotować się na pytania klientów o Twoje własne bezpieczeństwo — odezwij się.