Subskrybuj nas na Youtube
Skuteczne ataki cybernetyczne na różne organizacje stają się naszą codziennością. Ataki DDoS, phishing, zagrożenia ransomware czy SQL injection to zaledwie kilka spośród licznych zagrożeń dla działania firmy i przetwarzanych przez nią danych osobowych. Dbałość o bezpieczeństwo cybernetyczne organizacji to dzisiaj jeden z kluczowych priorytetów firm. Na szali leży nie tylko ryzyko utraty reputacji, lecz także utrata ciągłości działania procesów biznesowych, straty finansowe, wyciek najważniejszych firmowych danych czy nawet ryzyko odpowiedzialności przed regulatorem.
Nie ma przedsiębiorstw samowystarczalnych. Projektowanie odpornej na ataki organizacji wymaga także dokładnego zaplanowania zasad współpracy z dostawcami usług IT. Stuprocentowej kontroli nad nimi osiągnąć się nie da. Gdy wydarzy się atak hakerski na systemy dostawcy, postanowienia umowy nie powinny jednak stać na przeszkodzie skutecznemu dochodzeniu roszczeń przez zamawiającego. Konstruując umowy na usługi IT, warto pamiętać o pięciu kluczowych zasadach, które zabezpieczą interesy zamawiającego w stosunkach z dostawcą.
1. Precyzyjnie określone wymagania
Precyzując listę wymagań wobec dostarczanego systemu informatycznego, warto pamiętać o uwzględnieniu wymogów dotyczących standardów cyberbezpieczeństwa, jakie dostarczane rozwiązanie powinno zapewniać. Dobrą praktyką jest odwoływanie się do uznanych standardów branżowych, takich jak ISO/IEC z serii 27 000 (w szczególności ISO/IEC 27 001), Narodowe Standardy Cyberbezpieczeństwa (NSC), NIST Cybersecurity Framework czy – w przypadku aplikacji internetowych – OWASP Top Ten.
Szczególnie istotne są wymagania związane z kontrolą dostępu do systemu, danych i procesów, które system będzie obsługiwał, oraz odpowiednią identyfikacją i uwierzytelnianiem użytkowników. Precyzyjne ich wskazanie minimalizuje ryzyko sporów interpretacyjnych i jednoznacznie określa odpowiedzialność dostawcy.
2. Precyzyjne zdefiniowanie siły wyższej
Zdarza się, że dostawcy IT próbują wyłączyć swoją odpowiedzialność kontraktową, wymieniając atak hakerski jako jeden z przykładów siły wyższej. Warto zadbać o to, by jej definicja w umowie nie pozostawiała pola do dyskusji i nie obejmowała możliwych do przewidzenia zdarzeń, które da się ograniczyć poprzez zastosowanie odpowiednich środków technicznych, szczególnie jeśli atak to wynik zaniedbań w bieżącym utrzymaniu bezpieczeństwa systemu.
3. Stosowanie standardów określonych przez zamawiającego
Dobrą praktyką jest uwzględnienie w umowach wymogów dotyczących wewnętrznych procedur i standardów cyberbezpieczeństwa opracowanych przez zamawiającego, które dostawca jest zobowiązany stosować. Wśród najważniejszych są: regularne testy penetracyjne, monitorowanie zagrożeń w czasie rzeczywistym, szyfrowanie danych czy systemy detekcji i zapobiegania włamaniom (IDS/IPS).
Warto, by umowy obejmowały również klauzule zobowiązujące dostawcę do bieżącej aktualizacji oprogramowania i zabezpieczeń przed nowymi zagrożeniami
4. Prawo do audytu
Prawo do przeprowadzania audytów bezpieczeństwa pozwala zamawiającemu zweryfikować, czy dostawca przestrzega uzgodnionych standardów. Zbyt ogólnikowa klauzula audytowa może jednak nie zabezpieczyć w wystarczającym stopniu interesów zamawiającego, pozwalając dostawcy na uchylanie się od obowiązku poddania się kontroli lub przynajmniej skutecznego uniemożliwienia dostępu do istotnych informacji i materiałów świadczących o nienależytym wykonywaniu umowy.
Należy pamiętać o określeniu terminu, w którym dostawca jest zobowiązany do poddania się audytowi po zgłoszeniu żądania przez zamawiającego. Zamawiający powinien również określić zakres czynności, do jakich wykonania został uprawniony. Wiąże się z tym także konieczność zadbania o określenie obowiązków dostarczania niezbędnej dokumentacji, danych oraz wsparcia w wykonaniu audytu. Ponieważ audyt bywa kosztowny i czasochłonny, strony mogą również ustalić dodatkowe zasady rozliczania dokonywanych kontroli oraz ewentualne wynagrodzenie dostawcy z tytułu realizacji obowiązków audytowych.
5. Zapewnienie współpracy w przypadku incydentu
Wystąpienie incydentu to często zarzewie poważnych napięć. Dlatego warto, aby umowa z góry uwzględniała mechanizmy współpracy w przypadku ataku. Istotne jest m.in. ustalenie reguł szybkiego zgłaszania incydentów przez dostawcę oraz jego czynny udział w ustalaniu źródła problemu. Strony powinny się zobowiązać do aktywnej wymiany informacji technicznych, która zastopuje trwający atak.
Pomocny będzie również szczegółowy opis procedur gromadzenia materiału dowodowego, który może się okazać nieoceniony, gdy wszczęte zostaną postępowania sądowe lub kontrole odpowiednich organów.
Uwzględnienie w umowie opisanych konstrukcji pozwoli na skuteczniejsze dochodzenie swoich praw przez zamawiającego oraz zminimalizuje ryzyko eskalacji konfliktów. Należy jednak pamiętać, że najistotniejsza jest sprawna i partnerska współpraca stron, przeciwdziałająca wystąpieniu incydentów cyberbezpieczeństwa. ©℗