Tarneahela turvalisus: mida see tähendab? Lühidalt: kui sa kasutad tarnijaid, siis ei kao vastutus ära.
Sa ei vastuta selle eest, kuidas tarnija oma süsteeme ehitab, vaid selle eest, et oled mõelnud, kellega oma teenuse “kokku seod”.
1. Mida see EI tähenda (oluline rahustus)
See ei tähenda, et:
- sa peaksid tarnijaid auditeerima nagu audiitor
- sa peaksid kontrollima nende servereid
- sa vastutaksid iga nende vea eest
See tähendab, et sa:
- tead, millised tarnijad on sinu jaoks olulised
- oled hinnanud, kas nende rike või viga võib sind mõjutada
- oled selle kohta teinud teadliku otsuse
Sest üllatused on toredad šampanjaga, mitte siis, kui need tulevad logidest kell 03.17 öösel.
2. Mida see siis tähendab praktikas?
2.1. Tarnijate küberriskide hindamine = mõtled kaasa
Praktikas tähendab see:
- sul on nimekiri tarnijatest
- sa oled küsinud: “Mis juhtub, kui see tarnija ära kaob või saab rünnaku?”
- kui mõju on olemas, siis:
- hindad riski (küsimustik, lihtne skoor)
- paned selle kirja
See ongi „tarnijate küberriskide hindamine“.
2.2. Turbenõuded lepingus = ootused on kirjas
See tähendab:
- lepingus on kirjas, et:
- tarnija peab rakendama mõistlikke turvameetmeid
- ta peab teavitama sind turvaintsidendist (lepinguline teavitustähtaeg (nt 24h))
- mitte lootma suusõnalisele “meil on kõik korras”
See ei ole karmus, vaid selgus.
2.3. Jälgimine = sa ei saa teada oma teenust mõjutanud küberintsidendist alles ajalehest, vaid kohe ja otse tarnijalt
See tähendab:
- kui tarnijal juhtub turvaintsident, siis:
- ta ütleb seda sulle ise
- mitte siis, kui probleem juba kliendini jõuab
- sul on vähemalt kokkulepe:
- kuidas ja millal sind teavitatakse
See ongi “jälgimismehhanism” – mitte tehniline luure, vaid kokkulepitud info liikumine.
3. Miks see üldse oluline on?
Sest väga tihti:
- rünnak ei tule sinu süsteemi otse
- rünnak tuleb:
- tarkvara kaudu
- pilveteenuse kaudu
- teenusepakkuja kaudu
Ehk probleem ei ole “sinu IT”, vaid kellegi teise IT, mida sina kasutad.
NIS2 ütleb nüüd selgelt: see on reaalne risk ja seda ei tohi enam ignoreerida.
4. Defending Data tarneahela ja tarnijate küberturbe tööriistad
Tarneahela riskijuhtimine ei alga auditist.
See algab sellest, et sul on ülevaade, ootused ja otsus.
Selleks oleme loonud praktilise tööriistakomplekti, mis aitab täita NIS2 ja KüTS ootusi ka siis, kui tarnija ei ole IT-ettevõte.
Komplekti kuuluvad:
- Küberturbe ja tarneahela turbe tingimused - selged miinimumnõuded ja intsidenditeavituse kohustused lepingutesse.
- Juhend tarnijate riskihindamiseks - samm-sammuline selgitus, keda hinnata, kuidas ja miks.
- Tarnijate riskihindamise vorm - lihtne, dokumenteeritud riskihinnang otsuste tegemiseks.
- Tarnija küberturbe hindamisküsimustik - praktilised küsimused, mis töötavad ka mitte-tehniliste tarnijate puhul.
Vaata Defending Data tarneahela ja tarnijate küberturbe tööriistu siit ja tee nähtavaks riskid, mis muidu jäävad „kellegi teise IT-ks“.
Tarneahela dokumendid - 129 EUR
5. KKK – korduma kippuvad küsimused – tarneahel NIS2 ja KüTS kohaselt
Mis on tarneahela turvalisus NIS2 mõttes?
Tarneahela turvalisus tähendab, et pead arvestama küberturbe riskidega, mis tulevad sinu otsetarnijate ja teenusepakkujate kaudu, ning võtma need oma riskijuhtimise osaks.
Kas ma pean tarnijaid auditeerima?
Ei pea tegema “täisauditit”, aga pead teadma, millised tarnijad on kriitilised, hindama nende mõju ja fikseerima otsuse: kas risk on aktsepteeritav või on vaja lisameetmeid (nt lepingutingimused).
Mida ma pean lepingusse panema?
Vähemalt: turvanõuete miinimum, intsidenditeavituse tähtaeg (nt 24h) ja koostöö kohustus intsidenti lahendamisel. Outsourcing’u puhul on oluline, et info jõuaks sinuni kiiresti.
Nüüd peaks olema kõik üldine kaetud, liigume edasi ISMS-i dokumentatsioonini, loe postitust siit.
See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.
Kommentaarid