W czerwcu 2023 r. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport zatytułowany „Good practices for supply chain cybersecurity”. Dokument zawiera wnioski wypływające z analizy ankiet skierowanych w 2022 r. do 1 081 podmiotów z 27 państw członkowskich UE. W celu zapewnienia należytej reprezentacji w każdym z nich przebadano co najmniej 40 organizacji.

Czytaj też: Cyberbezpieczeństwo prosumentów OZE to nadal wyzwanie

Zapoznanie się z raportem niewątpliwie może pomóc w przeprowadzeniu oceny obowiązujących w naszej organizacji regulacji z zakresu cyberbezpieczeństwa łańcucha dostaw (lub jeżeli byłoby to potrzebne – stworzeniu ich od nowa). Poza przeglądem obecnie stosowanych przez badane organizacje rozwiązań raport zawiera zestawienie standardów i dobrych praktyki istotnych z punktu widzenia zapewnienia cyberbezpieczeństwa łańcucha dostaw (załącznik B do raportu). W zakresie sporządzania inwentaryzacji dostawców ENISA proponuje natomiast wzorowanie się na brytyjskim dokumencie: UK Cabinet Office’s Supplier Assurance Framework: Good practice guide.

Rekomendacje w sprawie cyberbezpieczeństwa

Zgodnie z art. 21 ust. 2 pkt d) dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) cyberbezpieczeństwo łańcucha dostaw stanowi integralną część środków, które podmioty kluczowe i ważne będą miały obowiązek wprowadzić w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

ENISA posługuje się definicją łańcuch dostaw ICT / OT, przy czym warto podkreślić, że sama ENISA zwraca uwagę, że termin ten nie jest używany przez wszystkie objęte badaniem podmioty. Równoznaczne, występujące w środowisku pojęcia to: łańcuch cyfrowy (eng. digital chain), zarządzenie ryzykiem stron trzecich (eng. third party risk management) czy zarządzanie ryzykiem dotyczącym cybernetycznego łańcucha dostaw (eng. cyber supply chain risk management).

Raport obejmuje rekomendacje odnośnie zapewnienia cyberbezpieczeństwa łańcucha dostaw niezależnie od nazwy, pod którą dany proces występuje w naszej organizacji. Podsumowanie definicji terminów odnoszących się do bezpieczeństwa łańcucha dostaw na gruncie różnych regulacji zebrane zostało w załączniku C do raportu. Obejmuje on przegląd praktyk stosowanych przez podmioty kluczowe i ważne w zakresie zapewnienia cyberbezpieczeństwa łańcucha dostaw, a także opis dobrych praktyk, które powinny być przestrzegane w celu zapewnienia tego bezpieczeństwa. Odnosząc się do treści samego raportu, na podstawie przeprowadzonego przez ENISA badania wyłania się następujący obraz:

  1. Organizacje rozumieją znaczenie bezpieczeństwa łańcucha dostaw, ale nie przeznaczają wystarczających zasobów na zapewnienie cyberbezpieczeństwo tego łańcucha.
  2. Inwestycje w projekty cyberbezpieczeństwa łańcucha dostaw ICT/OT są często dokonywane bez zapewnienia im odpowiedniego miejsca w strukturze ładu korporacyjnego i bez uwzględnienia korzyści związanych z wdrożeniem kontroli cyberbezpieczeństwa łańcucha dostaw ICT/OT dla całej organizacji – 86% badanych posiada polityki wewnętrzne z zakresu cyberbezpieczeństwa łańcucha dostaw ICT/OT, ale już tylko 47% badanych przeznacza w budżecie środki na zapewnienie cyberbezpieczeństwa łańcucha dostaw ICT/OT, a 76% organizacji objętych badaniem nie ma dedykowanych stanowisk ani zadań związanych z zapewnieniem cyberbezpieczeństwa w łańcuchu dostaw ICT/OT.
  3. Spośród organizacji objętych badaniem jedynie mniejszość ma formalnie ustanowione procedury korporacyjne dotyczące cyberbezpieczeństwa w łańcuchu dostaw ICT/OT.
  4. Najbardziej uregulowanym i dofinansowanym sektorem w zakresie zapewnienia cyberbezpieczeństwa łańcucha dostaw ICT/OT jest sektor bankowy.
  5. Brak jest klarownych kryteriów, które umożliwiłyby sprawne kwalifikowanie incydentu występującego w ramach łańcucha dostaw.
  6. Wśród badanych podmiotów preferowanym sposobem potwierdzania poziomu bezpieczeństwa cybernetycznego dostawców jest certyfikacja (certyfikacji wymaga 61% badanych), przy czym jest to rozwiązanie kosztowne, szczególnie dla tych dostawców, którzy nie specjalizują się w cyberbezpieczeństwie. Co intrygujące niemal 1/10 badanych (9%) w żaden sposób nie ocenia ryzyk związanych z łańcuchem dostaw.
  7. Badane organizacje potwierdziły, że ujednolicenie wymagań w zakresie zapewnienia bezpieczeństwa cybernetycznego produktów i usług byłoby korzystne dla rynku.
  8. W większości badanych organizacji nie stosowano systemu zarządzania podatnościami, który obejmowałby wszystkie zasoby organizacyjne.
  9. Zarządzanie podatnościami i testowanie produktów zwiększa bezpieczeństwo cybernetyczne łańcucha dostaw ICT/OT.

 

Prawo celne. Komentarz

Edward Komorowski, Mirosława Laszuk, Robert Michalski

Sprawdź  

Co możemy wywnioskować z raportu?

Wynikające z raportu wnioski możemy podzielić na dwie grupy, tj. wnioski ogólne (terminologia z zakresu cyberbezpieczeństwa łańcucha dostaw ICT/OT jest niejasna; różne sektory prezentują różny poziom możliwości zarządzania łańcuchem dostaw ICT/OT; zależności pomiędzy różnymi aktami prawnymi wprowadzającymi wymogi  z zakresu cyberbezpieczeństwa produktów i usług wymagają dalszej analizy) oraz wnioski praktyczne, tj.:

  1. system zarządzania łańcuchem dostaw powinien być ustanawiany dla całej organizacji, w oparciu o zarządzanie ryzykiem w relacjach ze stronami trzecimi i powinien obejmować ocenę tego ryzyka, zarządzanie relacjami z dostawcami oraz zarządzanie podatnościami i jakością produktów/usług;
  2. dobre praktyki cyberbezpieczeństwa powinny obejmować swym zakresem wszystkie podmioty (od produkcji po konsumpcję), które odgrywają rolę w łańcuchu dostaw produktów i usług ICT/OT.

 

Na podstawie zebranego przez siebie materiału ENISA zidentyfikowała także 6 głównych wyzwań odnoszących się do cyberbezpieczeństwa łańcucha dostaw. Pierwszym ze wskazanych wyzwań jest konieczność ujednolicenia terminologii, zarówno w odniesieniu do cyberbezpieczeństwa łańcucha dostaw jak i podmiotów zaangażowanych w łańcuch dostaw.

W drugiej kolejności ENISA zwróciła uwagę na brak możliwości pełnego zabezpieczenia łańcucha dostaw jedynie poprzez stosowanie się do dobrych praktyk cyberbezpieczeństwa, ponieważ nie wszystkie zagrożenia (np. ukryte funkcje dostępu w podzespołach, ang. backdoors) mogą zostać zmitygowane wskutek implementacji standardowych rozwiązań.

ENISA zwróciła też uwagę na konieczność zarządzania ryzykami dla bezpieczeństwa łańcucha dostaw, zwłaszcza w odniesieniu do usług i towarów krytycznych, na poziomie krajowym i międzynarodowym. Obrona przed atakami sponsorowanymi przez państwa wymaga działań na odpowiednio wysokim poziomie, np. z udziałem służb wywiadowczych, czy przeprowadzania oceny ryzyka dla ryzyka łańcucha dostaw ICT/OT na poziomie państwa członkowskiego.

Na potrzebę wypracowania rozwiązań na wyższym, międzynarodowym poziomie ENISA zwróciła uwagę także w przypadku podatności typu zero-day, o których wiedzę posiada jedynie ograniczona grupa podmiotów. Aby uniknąć wykorzystania podatności typu zero-day przez hakerów oczekiwaną dobrą praktyką jest wypracowanie rozwiązań pozwalających na sprawnym dzielenie się informacjami na temat nowowykrytych zagrożeń na poziomie międzypaństwowym, tak aby podatności te mogły być usuwane zanim zostaną wykorzystane do przeprowadzenia ataku.

ENISA zwróciła uwagę również na fakt, że istotnym elementem cyberbezpieczeństwa łańcucha dostaw ICT/OT jest zapewnienie odpowiedniej jakości oferowanych towarów i usług. Świadczenia oferowane przez przedmioty kluczowe i ważne mają istotne znaczenie dla funkcjonowania społeczeństwa, dlatego – w ocenie ENISA, zakup zasobów krytycznych dla ich infrastruktury powinien obejmować przetestowanie ww. zasobu pod kątem bezpieczeństwa, co więcej rozwiązanie to powinno być promowane i wspierane przez państwa.

Wśród zidentyfikowanych wyzwań znalazła się też kwestia tworzenia wspólnych (krajowych lub regionalnych) platform testowych.

Podsumowanie

Raport Europejskiej Agencja ds. Cyberbezpieczeństwa obrazuje jak organizacje na terenie Państw Członkowskich UE radzą sobie z zapewnieniem bezpieczeństwa cybernetycznego łańcucha dostaw, a także wskazała, które z dobrych praktyk powinny zostać wzięte pod uwagę przy dostosowywaniu łańcucha dostaw do wymogów NIS2. Informacje te mogą być przydatne dla praktyków w celu oceny rozwiązań stosowanych w swoich organizacjach. Co prawda znaczna część wypływających z raportu wniosków skierowana jest nie do poszczególnych jednostek, lecz państw lub organizacji (np. w zakresie potrzeby ujednolicenia terminologii używanej odnośnie cyberbezpieczeństwa łańcucha dostaw), niemniej jednak raport porusza także kwestie, które dotyczą bezpośrednio organizacji objętych wymogami NIS2 i chociażby z tego powodu warto zapoznać się z jego treścią.

Milena Rygiel-Soćko, adwokat, starszy analityk ds. cyberbezpieczeństwa w GSK Services

 

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.