Zakaj mora poslovni svet odstraniti plašnice in pozorno poslušati, kakšna so tveganja digitalizacije z vidika samih poslovnih rešitev in kako jih primejo za roge.

V trenutku, ko večina podjetij svoje ključne procese seli v digitalno okolje, postaja dobavna veriga programske opreme ena od najbolj podcenjenih, a hkrati kritičnih točk tveganja. Zadeva ni preprosta in presega dojemanje povprečnega uporabnika.

Gre za vse, kar sestavlja ekosistem oziroma vrednostno verigo proizvodnje programske opreme in njenih storitev – od odprtokodnih knjižnic, zunanjih komponent in razvojnih orodij do gostovanja in podizvajalcev, ki skrbijo za vzdrževanje.

Upravljanje s tveganji dobavne verige programske opreme danes zapoveduje tudi zakonodaja, konkretneje Zakon o informacijski varnosti (ZInfV-1/NIS 2). Ta namreč določa obvezno sistematično upravljanje tveganj, poročanje o incidentih in odgovornost uprave za kritične informacijske storitve. Hkrati nas na obzorju čaka Zakon o spodbujanju kibernetske varnosti in odpornosti (ZsKVO), ki bo še dodatno zaostril zahteve glede varnosti izdelkov in komponent, s poudarkom na odgovornosti dobaviteljev programske opreme skozi celoten življenjski cikel.

Vsekakor je slednje logično pričakovanje kupcev programske opreme, vendar realno ne gre pričakovati, da bodo razvojne programske hiše vse predvidene prakse izvajale v sklopu rednega vzdrževanja. Takšno obvladovanje namreč pomeni izjemno povečanje dela in posledično časovnega vložka. Na primer odkrita ranljivost v nekem ogrodju in posledično prehod na novejšo verzijo ogrodja, lahko v določenih primerih pomeni več mesecev dodatnega razvoja – s tem da funkcionalnost ostane enaka. Na tem mestu je popolnoma legitimno vprašanje, ali je splošna varnostna zavednost naročnikov res na taki ravni, da bi naročilo za takšen prehod podpisali in plačali?

Kako pristopite k pripravi organizacije na obvladovanje tveganj v nabavni verigi

Pot do celostnega obvladovanja tveganj, ki izhajajo z naslova dobavne verige, večinoma ni kratka. Zato jo je smiselno razdeliti na manjše mejnike s katerimi postopoma pokrivamo vse večje področje, kjer zaznavamo potencialne vektorje napadov ali drugih groženj za naše poslovanje.

Običajno pričnemo s popisom trenutnega stanja, ki predstavlja na eni strani oceno naših dobaviteljev, na drugi pa na primer skeniranje in pregled nad komponentami, ki sestavljajo naš informacijski sistem (skeniranje, SBOM – kosovnica programske opreme, natančne evidence verzij sistemske opreme ipd.). Te informacije so podlaga za pripravo realnih protokolov in na njih vezanih SLA-jev za odpravljanje zaznanih tveganj.

Tu je poudarek na besedi realnih. Zakaj? Protokoli morajo odsevati sposobnost organizacije, ki jih bo izvajala. Podjetje s tremi zaposlenimi bo težko izvajalo in zagotavljalo enako stopnjo in SLA, kot večji konkurent. Po drugi strani pa je kdaj lahko tudi bolj odzivno zaradi tanjše organizacije in hitrejšega toka informacij. Vse to so potem postavke znotraj ocene dobavitelja na strani naročnikov, ki ocenjujejo to podjetje. Naročnik je tisti, ki mora od svojih dobaviteljev zahtevati dodatna varnostna preverjanja in sprotno odpravljanje napak, seveda pa se mora zavedati, da to za seboj lahko potegne dodatno delo in višje stroške.

Če podjetje uporablja dokumentne sisteme, ERP ali CRM, lahko en sam kompromis v tej verigi povzroči velike motnje, izgubo podatkov ali pravne posledice – zato je razumevanje teh predpisov in njihova implementacija del osnovne poslovne odgovornosti.

Kje vse prežijo nevarnosti

Dobavna veriga programske opreme ni le programska koda. Vključuje vse člene od razvojnega okolja in uporabljenih orodij, preko postopkov in orodij, s katerimi programsko opremo gradimo, pakiramo, shranjujemo in nameščamo do izvajalnih okolij, ter vse bolj avtomatizirane in umetno-inteligenčno podprte datoteke od razvoja do nameščanja, tretje strani, API‑je, uporabljenih knjižnic in fizične lokacije strežnikov. Vsak vprašljiv člen v kateremkoli delu takšne verige predstavlja možen vektor napada.

Najpogostejši izzivi so:
– neodpravljene ranljivosti v posameznih programskih knjižnicah;
– zlonamerna ali kompromitirana koda, vnesena skozi tretje pakete ali vdor v razvojni ekosistem ponudnika;
– neučinkovito upravljanje dostopa in pomanjkanje ločevanja vlog, na primer privilegiranih uporabniških računov;
– odvisnost od enega ponudnika brez načrta za izhod;
– nejasne pogodbe, ki puščajo velike vrzeli pri opredelitvi odgovornosti;
– pomanjkanje preglednosti nad izvori komponent oziroma SBOM, pri ponudniku običajno zagotavljajo po naročilu in za primerno plačilo;

Ti problemi se ne končajo pri IT‑oddelku ali ponudniku programske opreme temveč neposredno udarijo poslovanje, zaupne podatke strank, skladnost z zakonodajo in ugled. Podjetje mora pretehtati, kako ta tveganja upravičujejo povišanje izdatkov za varnost dobavne verige programske opreme.

Naročnik je tisti, ki mora od svojih dobaviteljev zahtevati dodatna varnostna preverjanja in sprotno odpravljanje napak, seveda pa se mora zavedati, da to za seboj lahko potegne dodatno delo in višje stroške.

Kaj vse morate pričakovati in zahtevati – od ponudnikov in od lastne organizacije?

Ko izbirate ponudnika poslovnih aplikacij, zahtevajte konkretne dokaze o varnosti in zanesljivosti. Seveda se morate zavedati, da s tem vstopate tudi na občutljivo polje poslovnih skrivnosti ter intelektualne lastnine in da morda to ne bo poceni:

– varnost razvoja: redni statični in dinamični varnostni pregledi, upravljanje odvisnosti in varnostne revizije kode;

– SBOM: jasen seznam komponent, licenc in različic ter mehanizmi obveščanja ob ranljivostih;

– robustno upravljanje uporabniških identitet: enkratna prijava, več faktorsko overjanje, overjanje glede na vloge in posebne atribute, redne revizije privilegijev;

– šifriranje: podatki v mirovanju in med prenosom, podpora za lastne ključe ter varnostne strojne module;

– razpoložljivost in obnova: dokumentirane pogodbe o ravni izvajanju storitev (kakšni so časi za obnovo delovanja in meje izgube podatkov), redno preizkušanje postopka obnove;

– pogodbene zaveze: jasne določbe glede poročanja o incidentih, pravica do revizij in odgovornosti, pri čemer se mora naročnik zavedati, da se izvajanje varnostnih testov in sprotna odprava ranljivosti ustrezno finančno kompenzira;

– pregledni dnevniki: neizbrisni, centralizirani dnevniški zapisi z možnostjo izvoza za kibernetsko forenziko.

Zaželene lastnosti, ki pogosto ločijo resne ponudnike od ostalih, vključujejo neodvisne vdorne preizkuse, certifikata, kot je ISO 27001 in SOC2 (slednji predvsem za ponudnike storitev programske opreme), podporo za lokalne ali hibridne namestitve, enostaven izvoz podatkov in proaktivno obveščanje o ranljivostih.

Kako upravljati tveganja kot naročnik

Izbor varnega ponudnika je le začetek. Podjetja morajo vzpostaviti sistematičen pristop:

– pred pogodbo izvedite oceno tveganosti dobavitelja in naročite SBOM, poročilo SAST (statično varnostno testiranje aplikacij) ter skeniranje kontejnerjev oziroma izvajalnega okolja, kot stalni del izdaje vsake verzije;

– za kritične aplikacije je potrebno redno izvajanje protokolov vdornega preizkušanja, pri čemer se je treba z dobaviteljem dogovoriti o sprotnem odpravljanju zaznanih ranljivosti;

– vključite varnostne klavzule v pogodbo (hitro obveščanje, SLA za incidente, možnost neodvisnih revizij);

– načrtujte izstopno strategijo: kako izvoziti podatke in prestopiti na drugo rešitev brez prekinitve poslovanja in izgube podatkov;

– integrirajte ponudnikov sistem z notranjimi rešitvami za upravljanje identitet in varnostnih dogodkov ter preizkušajte pretoke varnostnih podatkov;

– redno preizkušajte obnovo podatkov in izvajajte vaje odzivanja na incidente;

– spremljajte podizvajalce in jasno definirajte odgovornosti v dobavni verigi.

Pri tem je pomembno je, da oddelek IT in uprava podjetja govorita isti jezik. Tehnološka tveganja je potrebno pretvoriti v poslovne posledice (izpad storitve, izguba prihodka, škoda ugledu), na osnovi česar lahko šele uprava potrdi primerne naložbe.

Dobavna veriga programske opreme je nov mejnik, kjer se srečajo varnost, pravna odgovornost in operativna zanesljivost. Podjetja, ki to spregledajo, tvegajo več kot le težave z delovanjem programskih rešitev oziroma storitev — na kocko postavljajo zaupanje strank, skladnost z zakonodajo in kontinuiteto poslovanja. In nasprotno, tisti, ki zahtevajo preglednost programske opreme, močne pogodbe, robustne tehnične kontrole in redne revizije dobaviteljev, pridobijo konkurenčno prednost: bolj odporno, varno in zanesljivo digitalno poslovanje.