Vaši zaměstnanci jsou prověřeni. Vaše přístupové kontroly jsou přísné. Ale co tisíce lidí, které vaši dodavatelé posílají přes vaše brány každý den? Čistič, který se v 5 hodin dostane do vaší továrny na polovodiče, řidič logistiky, který každé úterý vstoupí do vašeho obranného areálu. IT dodavatel, který má vzdálený přístup k vašim výrobním systémům. Jsou kontrolováni na stejném standardu jako vaši vlastní lidé?
Pro většinu organizací je upřímná odpověď: nevíme.
Tato propast mezi přísným screeningem aplikovaným na přímé zaměstnance a téměř úplnou absencí screeningu aplikovaného na zaměstnance dodavatele je jedním z nejvíce podceňovaných rizik v moderním řízení dodavatelského řetězce. V různých odvětvích od automobilového průmyslu po obranu, od polovodičů až po zasilatelství jsou lidé, kteří procházejí dodavatelskými řetězci, stále více vektory, kterými krádeže, špionáž, sabotáž a regulační selhání vstupují do organizace.
Tento článek zkoumá, proč screening dodavatelských pracovníků zůstává slepým bodem, co se stane, když je toto slepé místo využíváno a co nyní vyžaduje nově vznikající regulační prostředí - zejména v České republice a EU. Stanoví také praktický rámec pro vedoucí zadávání zakázek, kteří chtějí tuto mezeru překonat dříve, než se stane krizí.
Screeningová mezera: Proč jsou lidé vašich dodavatelů vaším problémem
Většina velkých organizací má zavedené procesy pro prověřování svých vlastních zaměstnanců. Kontroly spolehlivosti před zaměstnáním - rejstřík trestů, ověření totožnosti, prověřování sankcí - jsou běžnou praxí v regulovaných odvětvích. Logika je přímočará: pokud bude mít někdo přístup k vašim prostorům, datům nebo kritickým systémům, musíte vědět, kdo jsou a zda představují riziko.
Ale ve chvíli, kdy je stejný přístup udělen zaměstnanci dodavatele, logika se rozpadne. Zakázkové smlouvy mohou specifikovat úrovně služeb, termíny dodání a ceny. Téměř nikdy neurčují, že každý jednotlivec, kterého dodavatel nasadí, musí být prověřen podle definovaného standardu - a dokonce i tam, kde se tak stane, ověření je vzácné.
Výsledkem je dvouúrovňová pracovní síla pracující ve stejném bezpečnostním perimetru. Přímí zaměstnanci jsou prověřováni. Zaměstnanci dodavatelů jsou důvěryhodní prostřednictvím proxy - důvěryhodní, protože smlouva existuje, protože dodavatel „musel“ zkontrolovat své lidi, protože se nikdo nikdy neptal. Nejedná se o přehlédnutí v žádné individuální smlouvě. Jedná se o systémové selhání ve struktuře vztahů se zadávacími zakázkami.
Zvažte rozsah: v mnoha výrobních, logistických a infrastrukturních prostředích převyšuje počet zaměstnanců dodavatelů a dodavatelů přímých zaměstnanců o dva nebo tři ku jedné. V některých zařízeních na výrobu polovodičů je poměr ještě vyšší. Každý z těchto jedinců představuje přístupový bod, který nebyl nikdy nezávisle ověřen.
Funkce zadávání zakázek je středem tohoto problému - a tedy ve středu řešení. Nákupní týmy vybírají dodavatele, vyjednávají smlouvy, řídí vztahy a dohlížejí na výkon. Mají jedinečnou pozici k tomu, aby vyžadovaly, ověřovaly a prosazovaly standardy prověřování pracovních sil v celém dodavatelském řetězci. K tomu však musí porozumět riziku, regulačnímu směru a dostupným nástrojům.
Když se zlomí nejslabší článek: Případy v reálném světě
Důsledky neprověřování pracovních sil dodavatelů nejsou hypotetické.
Porušení dat Target ve výši 300 milionů dolarů (2013)
Porušení systému Target (při kterém bylo ohroženo 70 milionů dat zákazníků) zůstává rozhodujícím případem rizika dodavatelského řetězce třetích stran. Útočníci neprorazili Targetův firewall. Ukradli přihlašovací údaje společnosti Fazio Mechanical Services, malého dodavatele HVAC s přístupem na portál dodavatelů společnosti Target. Zaměstnanci společnosti Fazio nikdy nebyli podrobeni smysluplnému prověřování pozadí společností Target a vlastní bezpečnostní postupy Fazia byly minimální. Útočníci použili tato pověření k laterálnímu pohybu sítí Target a nakonec nainstalovali malware do systémů prodejních míst v téměř 1800 obchodech.
Celkové náklady přesáhly 300 milionů dolarů na vypořádání, právní poplatky, nápravu a poškození reputace. Generální ředitel i CIO přišli o práci. Cena akcií společnosti Target výrazně poklesla a důvěra spotřebitelů trvala roky, než se obnovila. Hlavní příčinou nebylo sofistikované zneužití nultého dne - byl to neprověřovaný jedinec u dodavatele s přístupem k kritickému systému.
Zejména Fazio nebyl velkým strategickým dodavatelem. Byl to malý regionální dodavatel - přesně ten, který spadá pod prah kontroly. To je paradox rizika třetích stran: nejmenší a nejméně viditelní dodavatelé často představují největší přístupová rizika právě proto, že unikají náležité péči aplikované na hlavní partnery.
Infiltrace severokorejských IT pracovníků (2020 — současnost)
Snad nejvýraznějším současným příkladem je systematická infiltrace západních společností severokorejskými IT pracovníky využívajícími falešné identity. Toto schéma, které bylo rozsáhle dokumentováno FBI a americkým ministerstvem spravedlnosti, zahrnuje tisíce operativců, kteří získávají pozice vzdálených dodavatelů prostřednictvím personálních agentur, platforem na volné noze a subdodavatelských ujednání - přesně takové vztahy, které řídí týmy zadávání zakázek.
Příjmy (odhadované na stovky milionů dolarů) financují severokorejské zbrojní programy. V několika zdokumentovaných případech infiltrátoři také exfiltrovali proprietární kód, duševní vlastnictví a citlivá interní data. Jako oběti byly identifikovány společnosti od technologických firem z žebříčku Fortune 500 až po středně velké evropské podniky.
To, co činí tento systém zvláště důležitým pro zadávání veřejných zakázek, je mechanismus. Nejedná se o hackery prorážející firewally. Jsou to lidé zapojeni prostřednictvím legitimních komerčních kanálů, kteří prošli rozhovory, ale nikdy neprošli kontrolou totožnosti. Faktují prostřednictvím zavedených platebních kanálů. Dodávají práci. Jediná věc, kterou neudělali, je dokázat, že jsou tím, kým tvrdí, že jsou.
Pokud nepřátelský stát dokáže umístit tisíce agentů do západních dodavatelských řetězců využitím mezery v prověřování, není to menší přehlídka - je to strategická zranitelnost. Reakcí vlád bylo posunout odpovědnost na společnosti, které tyto pracovníky zaměstnávají - a potažmo na týmy pro zadávání zakázek, které řídí tyto dodavatelské vztahy.
Krádež obchodního tajemství GE Aviation (2019)
Inženýr společnosti GE Aviation byl odsouzen za spiknutí s cílem ukrást technologii turbín proudových motorů a zaslání proprietárních dat spolupracovníkům v Číně. Šetření odhalilo, že citlivá IP protékala sítí dodavatelů s výrazně odlišnými standardy prověřování. Dodavatelský řetězec GE zahrnuje stovky společností, z nichž každá zaměstnává specialisty s různým přístupem k proprietárním datům. Prověřovací postupy u těchto dodavatelů se pohybovaly od přísných po neexistující - a GE měla omezený přehled o tom, který je kdo.
Kontaminace potravinového řetězce ve Velké Británii (2008—2020)
Během dvou desetiletí byli dočasní agenturní pracovníci s nezveřejněnou kriminální historií opakovaně zařazováni do rolí manipulace s potravinami personálními agenturami, které neprováděly žádné kontroly spolehlivosti. Při jednom incidentu z roku 2008 byl zaměstnanec dodavatele v závodě na zpracování masa (s předchozím přesvědčením, které nebylo nikdy zkontrolováno) zapojen do záměrné kontaminace produktu, která stála odhadem 12 milionů liber na stažení z trhu.
Vypnutí ransomwaru ASCO Industries (2019)
ASCO, belgický letecký dodavatel společností Airbus, Boeing a Lockheed Martin, byl zasažen ransomwarem, který na týdny uzavřel výrobu ve čtyřech zemích. Porušení bylo v souladu s ohroženými pověřeními - typem přístupu, který zaměstnanci dodavatele běžně drží. Přes 1000 zaměstnanců bylo posláno domů.
Společné vlákno
Každý případ se řídí stejným vzorem: jednotlivec v dodavatelském řetězci, který nebyl nikdy řádně prověřen. Škody se pohybují od milionů finančních ztrát až po kompromis národní bezpečnosti. A za každý incident, který se stane veřejným, odborníci na bezpečnost odhadují, že mnohem více zůstane nezjištěno.
Proč screening dodavatelů propadá prasklinami
Pokud je riziko tak jasné, proč to většina zadávacích týmů stále neřeší?
Smluvní iluze. Většina smluv obsahuje široká ustanovení vyžadující, aby dodavatelé „udržovali vhodná bezpečnostní opatření“. V praxi nejsou téměř nikdy vynucovány ani auditovány. Dodavatel může podepsat smlouvu slibující prověřený personál a poté zadat subdodavatelskou agenturu, která neprovádí žádné kontroly. Zadavatelská organizace má kus papíru. Nemá jistotu.
Vnímání nákladů. Přidání požadavků na screening je vnímáno jako přidání nákladů. To je téměř vždy špatně. Komplexní kontrola spolehlivosti stojí 20—80 EUR na jednotlivce. Jediný kompromis dodavatelského řetězce běžně stojí miliony. Návratnost investic není okrajová - je ohromující.
Složitost jurisdikce. Přeshraniční prověřování znamená procházení různých právních rámců, zdrojů dat a předpisů o ochraně osobních údajů. Česká společnost s německými dodavateli, polskou montáží a slovenskou distribucí čelí čtyřem právním prostředím. Tato složitost je skutečná, ale moderní screeningové platformy jsou navrženy tak, aby to zvládly prostřednictvím jediného rozhraní - což je přesně to, k čemu byl Scaut postaven.
Reputační slepé místo. Když se incident dodavatelského řetězce stane veřejným, nadpis pojmenuje vaši značku, nikoli subdodavatele. Pověst společnosti je ve skutečnosti udržována nejslabšími screeningovými postupy v jejím dodavatelském řetězci.
Organizační silo. HR obrazovky přímých zaměstnanců. Bezpečnost spravuje přístup do zařízení. Zadávání zakázek vlastní dodavatelský vztah, ale nikoli personální otázku. Nikdo se systematicky neptá: jsou lidé dodavatele vyšetřováni? Prolomení tohoto sila vyžaduje, aby se zadávání zakázek stalo mechanismem vynucování — funkcí, která zabudová prověřování do smluv a ověřuje dodržování předpisů.
Regulační bod zvratu: „Měl by“ se stává „nutností“
Zákon o kritické infrastruktuře (ZKI)
Zákon o kritické infrastruktuře z roku 2025 vyžaduje, aby kritické subjekty a jejich dodavatelé ověřovali spolehlivost všech zaměstnanců s přístupem ke kritickým aktivům - minimálně ověřování totožnosti a kontroly rejstříku trestů. Do 1. března 2026 musí být ověřen veškerý personál kritických dodavatelů s pokutami až 50 milionů korun za nedodržení předpisů. Regulační orgány mají pravomoc auditovat dodržování předpisů a požadovat důkazy o screeningových procesech.
Praktické důsledky jsou podstatné. Zadávací týmy musí identifikovat každého dodavatele, jehož zaměstnanci mají přístup ke kritickým aktivům, definovat požadavky na prověřování, začlenit je do smluv a průběžně ověřovat dodržování předpisů. Pro organizace se stovkami aktivních dodavatelů je to provozní výzva, kterou manuální procesy jednoduše nemohou vyřešit v dostupném časovém rámci.
ZKI také zavádí koncept „kritických dodavatelů“ - těch, jejichž narušení nebo kompromis by podstatně ovlivnilo fungování kritické entity. Tito dodavatelé čelí zvýšeným povinnostem, včetně předvedení vlastních postupů prověřování kritickému subjektu a regulačním orgánům. Týmy pro zadávání zakázek jsou přirozeným bodem vymáhání tohoto požadavku.
Směrnice EU NIS2 a CER
NIS2 výslovně vyžaduje, aby základní subjekty řešily bezpečnost dodavatelského řetězce, včetně vztahů s přímými dodavateli. Článek 21 je jednoznačný: organizace se musí zabývat „bezpečnostními aspekty týkajícími se vztahů mezi jednotlivými subjekty a jeho přímými dodavateli nebo poskytovateli služeb“. Vnitrostátní provádění v celé EU to interpretuje tak, že vyžaduje ověření na úrovni pracovní síly. Souběžná směrnice CER vyžaduje ověření spolehlivosti zaměstnanců v citlivých funkcích (výslovně včetně personálu vykonávajícího funkce jménem třetích stran).
Společně, vytvářejí komplexní regulační rámec, kde prověřování pracovníků není doporučením, ale právním požadavkem. Pokuty v rámci NIS2 dosahují 10 milionů EUR nebo 2% globálního obratu pro základní subjekty. Nejedná se o teoretická maxima - regulační orgány v celé EU jasně signalizují, že prosazování bude aktivní a že selhání dodavatelského řetězce bude považováno za organizační selhání.
Regulační směr v celé Evropě je nezaměnitelný: pokud jsou lidé ve vašem dodavatelském řetězci, musíte vědět, kdo jsou. Éra dobrovolných osvědčených postupů ustupuje povinnému dodržování předpisů a týmy pro zadávání zakázek jsou v první linii tohoto přechodu.
Skryté náklady nedělání
Kromě regulačních pokut jsou náklady kumulativní a často skryté. Krádeže nákladu v Evropě přesahují 8,2 miliardy EUR ročně (TAPA, 2022), přičemž významný podíl zahrnuje zasvěcené znalosti zaměstnanců dodavatelského řetězce. Krádež duševního vlastnictví stojí evropský průmysl odhadem 60 miliard EUR ročně (Evropská komise). Občanskoprávní odpovědnost za porušení způsobená neprověřovaným dodavatelským personálem může být zničující - náklady společnosti Target přesáhly 300 milionů dolarů za jediný incident.
Provozní přerušení přidává další vrstvu. Pokud dojde ke kompromisu dodavatelského řetězce, okamžitý dopad je závažný: zastavení výroby, blokování zařízení, odstávky IT a nouzové audity spotřebovávají čas řízení, narušují harmonogramy dodávek a poškozují vztahy se zákazníky. Útok ASCO Industries zastavil výrobu ve čtyřech zemích na týdny - vše lze vysledovat až k ohroženým přístupovým údajům.
Některé organizace, konfrontované s potřebou prověřování dodavatelů, začínají zkoumat interní řešení - spojují poskytovatele rejstříků trestů napříč jurisdikcemi, vytvářejí pracovní postupy manuálního ověřování identity, vytvářejí sledování dodržování předpisů na základě tabulek. Tento přístup téměř vždy selže. Soudní složitost přeshraničního prověřování vyžaduje odborné znalosti o zdrojích údajů, právních rámcích a předpisech o ochraně osobních údajů v každé zemi. Technologická infrastruktura - integrace API s databázemi rejstříků trestů, systémy ověřování identity, seznamy sankcí - trvá roky a miliony eur. Regulační prostředí se neustále vyvíjí a vyžaduje neustálé aktualizace, aby zůstaly v souladu s předpisy.
Účelové screeningové platformy existují právě proto, že tento problém je příliš složitý a příliš specializovaný na to, aby většina organizací řešila samostatně. Ekonomika je jasná: platforma, která stojí zlomek jediného selhání dodržování předpisů, není nákladem - je to pojištění se zaručenou návratností.
Vytváření programu prověřování dodavatelů: Praktický rámec
Krok 1: Zmapujte svůj rizikový povrch. Identifikujte, kteří dodavatelé mají personál přístup k vašim prostorům, systémům nebo datům. To se neomezuje pouze na velké strategické dodavatele - zahrnuje úklidové společnosti, dodavatele údržby, poskytovatele IT, provozovatele logistiky, cateringové firmy a personální agentury. V mnoha organizacích drží nejrizikovější přístupové body nejmenší a nejméně viditelní dodavatelé. Vytvořte rizikově stupňovanou klasifikaci: kritický přístup (fyzický vstup do zabezpečených oblastí, přístup k kritickým systémům), zvýšený přístup (pravidelná přítomnost na místě) a standardní přístup (příležitostná, omezená přítomnost). Požadavky na screening by měly být kalibrovány pro každou úroveň.
Krok 2: Definujte svůj screeningový standard. Pro kritický přístup: ověření totožnosti, rejstříky trestů (v příslušných případech domácí i mezinárodní), sankce a sledování seznamu sledovaných osob a kontroly finanční integrity svěřeneckých rolí. Pro zvýšený přístup: ověření identity a rejstřík trestů. Pro standardní přístup: ověření identity. Zdokumentujte to jasně - stane se smluvní základnou pro každého dodavatele a standardem, podle kterého bude soulad měřen.
Krok 3: Vložit screening do veřejných zakázek. Široká ustanovení jako „dodavatel musí dodržovat všechny platné zákony“ jsou v praxi nevymahatelné. Uveďte konkrétní informace: jaké kontroly jsou vyžadovány pro každou úroveň přístupu, povinnost prověřit všechny zaměstnance před udělením přístupu, právo auditovat dodržování předpisů a požadovat důkazy, důsledky nesouladu, včetně ukončení smlouvy, a požadavek oznamovat jakékoli podstatné změny. Toto není typické - je to vymahatelná povinnost, která přesouvá odpovědnost z převzetí k ověření.
Krok 4: Automatizujte. Manuální procesy se nerozšiřují. Pokud máte 200 dodavatelů, kteří nasazují 5 000 lidí ve třech zemích, tabulky a e-mailové řetězce to neobejdou. Potřebujete platformu, která automatizuje celý pracovní postup - od pozvání zaměstnanců dodavatelů přes kompletní kontroly, přes ověření identity a prověřování rejstříků trestů napříč jurisdikcemi až po řídicí panely dodržování předpisů v reálném čase a hlášení připravené k auditu. To je jádro toho, co Scaut poskytuje: automatizovaný screening v celé České republice a více než 30 evropských jurisdikcích prostřednictvím jediného rozhraní, takže zadávací týmy mohou řídit dodržování předpisů dodavatelů ve velkém měřítku, aniž by vytvářely překážky.
Krok 5: Monitorujte nepřetržitě. Screening není jednorázová událost. Aktualizace rejstříků trestů. Seznamy sankcí se vyvíjejí. Okolnosti lidí se mění. Zaměstnanec dodavatele, který byl v místě najímání čistý, může o dva roky později vykazovat jiný rizikový profil. Provádět opakovaný screening v definovaných intervalech a upozornění v reálném čase na změny sankcí nebo nepříznivého stavu médií. Využijte data k upřesnění úrovní rizik a zlepšení výběru dodavatelů v průběhu času.
Průmyslové perspektivy
Automobilový průmysl. Dodavatelské řetězce zahrnující stovky dodavatelů v desítkách zemí. Přechod na elektromobily a autonomní řízení přináší citlivou chemii baterií, kalibraci senzorů a tréninková data AI proudící sítěmi s omezenou viditelností toho, kdo s nimi manipuluje. Případ Volkswagen Dieselgate ukázal, že podvody mohou přetrvávat napříč víceúrovňovými dodavatelskými řetězci po celá léta. Rámce kvalifikace dodavatelů, jako je IATF 16949, začínají zahrnovat očekávání personální bezpečnosti - prověřovací důkazy se stanou standardním prvkem auditu během příštích dvou až tří let. Dodavatelé úrovně 1, kteří nemohou prokázat screeningové schopnosti, riskují ztrátu smluv vůči konkurentům, kteří mohou.
Obrana a letectví. Vlády v celé Evropě zpřísňují personální prověrky pro kohokoli, kdo přistupuje k obranným programům, včetně personálu subdodavatelů na všech úrovních. Případ GE Aviation a širší trendy státem sponzorované ekonomické špionáže přiměly obranné primáře k uložení podrobných požadavků na prověřování jejich dodavatelských řetězců. Dodavatelé, kteří nemohou prokázat vyhovující procesy, čelí diskvalifikaci z programů, ztrátě bezpečnostních povolení a vyloučení ze seznamů nabídek.
Nákladní a logistika. Personál má fyzický přístup ke zboží v tranzitu s minimálním přímým dohledem. Údaje o krádeži nákladu TAPA - 8,2 miliardy EUR ročně v Evropě - odrážejí realitu, v níž zasvěceni dodavatelského řetězce často způsobují ztráty. Klienti stále častěji vyžadují důkazy o prověřování pracovních sil jako podmínku zadávání zakázek, zejména pro vysoce hodnotný, farmaceutický a obranný náklad. Pro týmy logistických zakázek není screening jen o dodržování předpisů - je to o komerčním přežití.
Polovodiče a high-tech. Přístup do Fab znamená přístup k technologiím v hodnotě miliard investic do výzkumu a vývoje, procesní tajemství, která definují konkurenční výhodu, a vybavení podléhající kontrole vývozu. Pracovníci dodavatelů - technici údržby, kalibrační specialisté, pracovníci čistých prostor - často tráví více času uvnitř továren než vlastní inženýři výrobce čipů. Vlády stále více spojují veřejné financování, včetně dotací zákona EU o čipech, s důkazy o bezpečnostních opatřeních dodavatelského řetězce. Zadávací týmy, které nemohou prokázat prověřování pracovních sil napříč svou dodavatelskou základnou, se mohou ocitnout nezpůsobilé pro financování určené na podporu jejich konkurenceschopnosti.
Cesta vpřed
Prověřování pracovní síly dodavatelů přechází z dodatečného myšlení na strategický imperativ. Organizace, které jednají, nyní získávají regulační připravenost před dosažením termínů, odolnost dodavatelského řetězce tím, že vědí, kdo je ve skutečnosti v jejich ekosystému, a konkurenční diferenciaci na trzích zadávání zakázek, kde se screening stává požadavkem smlouvy.
Každý týden zpoždění je týden, ve kterém nezkontrolovaní jednotlivci nadále přistupují k vašim webům, systémům a citlivým aktivům. Je o týden blíže regulačním lhůtám, které nebudou prodlouženy. A je to týden, ve kterém konkurenti, kteří již začali, budují infrastrukturu dodržování předpisů, která z nich dělá preferované partnery.
Propast mezi prověřováním vlastních lidí a prověřováním zaměstnanců vašich dodavatelů je dnes nejvýznamnějším neřešeným rizikem ve většině dodavatelských řetězců. Je také nejvíce adresovatelný. Technologie existuje. Regulační rámec přichází. Náklady na nečinnost rostou.
Volba - a odpovědnost - sedí přímo se zadáváním veřejných zakázek.
