V květnu 2021 najala srbská společnost zabývající se kryptoměnami vývojáře jménem „Bryan Cho“ - ukradenou identitu používanou severokorejským státním agentem Jong Pong Ju. Prošel náborovými kontrolami společnosti, protože tyto kontroly potvrdily, že jméno je čisté, ne že osoba byla skutečná. Jakmile byl uvnitř s důvěryhodným přístupem vývojářů, on a jeho spoluspiklenci ukradli 915 000 dolarů kryptoměny přímo z akcií společnosti a prali ji prostřednictvím mixérů a shellových účtů, než byl podvod odhalen - nikoli společností, ale obžalobou americké federální velké poroty o čtyři roky později v červnu 2025. Kontrola spolehlivosti, která ověřila pravost dokladu totožnosti a potvrdila, že osoba, která jej předkládá, se biometricky shoduje s tímto dokumentem, by žádost zamítla dříve, než agent vůbec získal přístup. Srbský případ je jedním z datových bodů ve vzorci, který CrowdStrike nyní sleduje ve Velké Británii, Polsku, Rumunsku a dalších evropských zemích, přičemž infiltrace tohoto druhu vzrostly jen za posledních dvanáct měsíců o 220%.
Náklady na šek, který nebyl proveden: zlomek procenta 915 000 dolarů.
Rozsah závislosti na IT třetích stran
Evropské organizace nikdy nebyly více závislé na externích IT talentech. Průzkum pracovních sil Eurostatu v oblasti IKT soustavně ukazuje, že většina středních a velkých podniků zadává alespoň část svých IT funkcí externě, ať už prostřednictvím poskytovatelů řízených služeb, vývojových týmů na pevnině, personálních agentur IT nebo nezávislých dodavatelů. V České republice, Německu a Polsku - třech nejrychleji rostoucích technologických trzích v regionu střední a východní Evropy - tvoří outsourcing IT významný podíl na celkových výdajích na IT.
Tato závislost vytváří strukturální riziko, které většina organizací systematicky podceňuje. Dodavatel se neobjevuje v HRIS společnosti. Často jsou zapojeni spíše prostřednictvím zadávání veřejných zakázek než HR. Jejich přístupová pověření jsou často poskytována v krátké době. Jejich právo na práci a totožnost ověřuje, pokud vůbec, agentura nebo zprostředkovatel, který je umístil, nikoli organizací, do které vstupují do sítě.
Zpráva IBM Cost of a Data Breach Report 2023 zjistila, že narušení zahrnující třetí strany stojí v průměru o 11,8% více než ty, které pocházejí interně, a jejich odhalení trvalo podstatně déle. Ponemon Institute samostatně oznámil, že 51% organizací zažilo narušení dat způsobené třetí stranou. V Evropě, kde pokuty GDPR za nedostatečně zabezpečené osobní údaje mohou dosáhnout 4% celosvětového ročního obratu, je finanční expozice značně zesílena.
Kdo přesně jsou tito dodavatelé?
Populace dodavatelů IT je různorodá, stejně jako rizikový profil. Na spodním konci rizikového spektra sedí webový vývojář přivedený na tříměsíční projekt, který má přístup k inscenačnímu prostředí a pracovnímu prostoru Slack. Na vyšším konci sedí inženýr infrastruktury, kterému byl udělen přístup na úrovni správce k produkčním serverům, cloudovým prostředím nebo finančním systémům - a který může pracovat současně pro několik dalších klientů.
Mezi těmito póly leží velká populace IT profesionálů, jejichž přístup je významný a jejichž prověřování je minimální. Správci databází, inženýři DevOps, síťoví technici, pracovníci oddělení podpory a vývojáři softwaru pracující na základě smluv o rozšíření zaměstnanců často mají přístup k systémům, které by, pokud by byly ohroženy, představovaly vážnou regulační a reputační událost.
Provozní realitu ilustruje porušení v roce 2023 u významné německé logistické společnosti, připisované účtu dodavatele, který nebyl po skončení zakázky zrušen. Přístup byl udělen. Práce byla ukončena. Účet zůstal aktivní. Útočník, který ji nakonec objevil a využil, nemusel být sofistikovaný - prostě potřeboval najít otevřené dveře.
Co vyžadují NIS2 a ZKI
Směrnice NIS2, která vstoupila do vnitrostátního práva v členských státech EU od října 2024, ukládá provozovatelům základních a důležitých subjektů výslovné povinnosti týkající se bezpečnosti dodavatelského řetězce. Článek 21 požaduje, aby organizace prováděly opatření, která se zabývají bezpečností dodavatelských řetězců, včetně bezpečnostních postupů přímých dodavatelů a poskytovatelů služeb. To se neomezuje pouze na software a hardware - vztahuje se na lidské prvky těchto dodavatelských řetězců.
Konkrétně v České republice zákon o kybernetické bezpečnosti - národní zákon o kybernetické bezpečnosti implementující NIS2 - ukládá regulovaným subjektům požadavky na personální bezpečnost, které zahrnují povinnost posuzovat důvěryhodnost jednotlivců s přístupem ke kritickým systémům. Jedná se o smysluplný právní vývoj. Posouvá prověřování pozadí z diskreční praxe lidských zdrojů na regulovanou bezpečnostní povinnost.
Pro organizace, které se spoléhají na externí dodavatele IT, vyžaduje dodržování těchto požadavků strukturovaný přístup k prověřování před zapojením, který odráží minimálně standard aplikovaný na stálé zaměstnance v rovnocenných rolích.
Jak vypadá efektivní screening dodavatelů?
Účinné prověřování dodavatelů IT by mělo být úměrné úrovni přístupu. Osoba s přístupem pouze pro čtení do testovacího prostředí nepředstavuje stejné riziko jako někdo, kdo má přístup k zápisu do produkční databáze nebo přístup správce do cloudového prostředí. Režim prověřování by to měl odrážet.
Dodavatelé, jimž byl udělen přístup k citlivým systémům, by měli podléhat minimálně ověřování totožnosti, kontrole rejstříku trestů týkajících se země jejich bydliště a případně předchozích zemí bydliště a ověření historie zaměstnání, kterou předložili. Měly by být získány referenční kontroly z předchozích zakázek. Pokud jsou dodavatelé státními příslušníky zemí, které představují zvláštní geopolitické riziko nebo v nich žili, je nutná zvýšená náležitá péče.
V praxi většina evropských organizací nic z toho nedělá pro dodavatele. Spoléhají se na to, že umisťující agentura provedla určitou úroveň kontroly, aniž by ověřila, jaký standard byl použit, zda kontroly byly nedávné, nebo zda je umístěný jedinec ve skutečnosti jednotlivec, který byl prověřen. To je významná mezera.
Výzva víceúrovňových dodavatelských řetězců
Další komplikací je prevalence subdodávek v rámci poskytování IT služeb. Poskytovatel spravovaných služeb sjednaný vaší organizací může sám zadávat specializovanou práci butikové firmě, která může zase využívat nezávislé pracovníky pocházející z trhů platforem. V době, kdy jednotlivec dorazí do vašich systémů, může být o tři nebo čtyři stupně odstraněn od jakékoli entity, která má s vámi přímý smluvní vztah.
Evropské organizace působící v regulovaných odvětvích - finanční služby, energetika, zdravotnictví, telekomunikace - by měly stanovit smluvní požadavky, které budou proudit dodavatelskými řetězci. Měly by stanovit minimální standardy prověřování, vyžadovat důkazy o shodě a vyhrazovat si právo provádět audit nebo požadovat prověřovací dokumentaci pro každého jednotlivce, kterému byl udělen přístup k systémům nebo údajům.
Praktické kroky, které organizace mohou nyní podniknout
Výchozím bodem je audit toho, kdo má v současné době přístup k vašim systémům a na jakém základě. Mnoho organizací při provádění tohoto cvičení zjistí, že mají aktivní přístupová pověření patřící dodavatelům, kteří odešli před měsíci nebo lety, nebo že přístupová práva nebyla nikdy odpovídajícím rozsahu prováděné práce přizpůsobena vykonávané práci.
Zavedení strukturovaného procesu předběžného prověřování všech dodavatelů, kterým je udělen přístup k systému, je přiměřenou a obhajitelnou reakcí jak na prostředí ohrožení, tak na regulační požadavky. To nemusí být zatěžující. Moderní platformy pro prověřování pozadí mohou evropským dodavatelům přinést výsledky ve většině případů do 24 až 72 hodin a pokrýt důležité kontroly.
Organizace by měly zavést jasný proces zrušení provize, který se spustí automaticky na konci jakékoli zakázky dodavatele, který odstraní nebo pozastaví přístupové údaje. Počet závažných incidentů, které lze vysledovat ke spícím účtům, je zarážející a náprava je přímočará.
Dodavatel ve vaší síti může být zcela důvěryhodný. Ale bez strukturovaného procesu pro vytvoření této důvěry rozšiřujete přístup pouze na základě předpokladu. V roce 2025 to již není obhajitelná pozice - legálně, operativně ani komerčně.
