Jak vybrat dodavatele v oblasti kybernetické bezpečnosti? Položte jim tyto otázky

Situace v oblasti IT zůstává ke konci roku 2024 stejně žalostná jako na začátku – na pracovním trhu schází mezi 20 až 30 tisíci odborníky se specifickými dovednostmi a zkušenostmi, kybernetickou bezpečnost nevyjímaje. V kontextu nového zákona o kybernetické bezpečnosti, který reaguje na přijetí unijní směrnice NIS2, však poptávka po manažerech kybernetické bezpečnosti nadále poroste. Jedním z řešení je i oslovení externí bezpečnostní firmy. Jak vybrat prověřeného dodavatele a na co se zaměřit?

Přestože Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) například v září 2024 v České republice evidoval „pouze“ jeden významný bezpečnostní incident a tři případy úspěšných ransomwarových útoků, celkových pokusů o útoky na státní i soukromé organizace stále přibývá. Ve 3. čtvrtletí 2024 čelila každá organizace v průměru 1 876 kybernetickým útokům týdně, což představuje meziroční nárůst o 75 % a nárůst o 15 % oproti předchozímu čtvrtletí.

Na zabezpečení firemních systémů a citlivých dat i předcházení rozsáhlým výpadkům tak na jedné straně tlačí trh, na druhé zákon. Přitom pokud firma kybernetickou bezpečnost odkládá, ve výsledku zaplatí více. Pokud totiž vyprší lhůta stanovená zákonem k tomu, aby firma provedla analýzu současného stavu kybernetické bezpečnosti, aktualizaci interních procesů, zavedla pravidelná školení zaměstnanců, případně také nové technologie a bezpečnostní opatření, hrozí jí sankce za neplnění povinností. A zároveň vzhledem k nedostatku odborníků na trhu může dojít k situaci, kdy poptávka po kvalitních dodavatelích převýší nabídku, což povede k dalšímu zdražení služeb a omezené dostupnosti odborníků.

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

Zobrazit článek

Výhody a nevýhody externího dodavatele

Externí dodavatelé kyberbezpečnosti samozřejmě mají svá pro i proti. Jednou z hlavních výhod outsourcované kybernetické bezpečnosti je úspora nákladů ve srovnání s investováním do vlastního bezpečnostního a dostatečně kvalifikovaného týmu. Dodavatelé tak dokážou firmám nabídnout široké spektrum odborníků s aktuálními znalostmi technologií a hrozeb, které se dynamicky vyvíjejí. Tyto odborné znalosti mohou být cenné zejména pro malé podniky, které nemají dostatek prostředků k tomu, aby si najali a vyškolili vlastní tým kybernetické bezpečnosti.

Externí tým má zpravidla také přístup ke specializovaným nástrojům a technologiím, které mu pomáhají včas odhalovat hrozby a reagovat na ně přesněji. Stejně jako se vyvíjí metody hackerů, i firmy musí držet krok s nejnovějšími nástroji a softwarem. Outsourcing bezpečnostních služeb umožňuje podnikům tyto technologie využívat bez nákladů a procesních nepříjemností spojených s jejich instalací a používáním.

Externí dodavatelé navíc často nabízí vysokou škálovatelnost služeb. To znamená, že společnosti mohou přizpůsobit úroveň zabezpečení svým potřebám a měnícím se podmínkám na trhu. Jako odběratel tak můžete po většinu roku například využívat základní balíček služeb a v době zvýšeného rizika (například v období zavádění nové legislativy) si objednat pokročilé zabezpečení či služby nad rámec standardní smlouvy. Externí dodavatel tak umožňuje lépe reagovat na sezónní či specifická rizika. To samé platí také pro expandující firmy, u kterých s růstem obvykle rostou i jejich požadavky na zabezpečení.

Bezpečnostní dohled jako služba. Jaké jsou jeho výhody a nevýhody?

Bezpečnostní dohled jako služba. Jaké jsou jeho výhody a nevýhody?

Zobrazit článek

Nevýhody spolupráce s externími dodavateli však také nelze podcenit. Mezi největší rizika patří možná ztráta kontroly nad interními procesy a citlivými daty, neboť spolupráce s třetí stranou s sebou vždycky přináší otázku důvěry a přístupu externího dodavatele k interním datům. Firma proto musí být při výběru obezřetná a uzavřít smlouvu jedině se skutečně prověřeným dodavatelem s adekvátními certifikacemi.

Často se také stává, že ne všechny interní požadavky na bezpečnost lze outsourcovat – a některé specifické požadavky či regulace si pak žádají kombinaci interního a externího řešení. Interní zaměstnanci by v takovém případě měli převzít roli supervizorů, kteří kontrolují, zda externí strana řádně plní dohodu o provedení služeb, a poskytují jí zpětnou vazbu skrze interní monitoring. Outsourcovaný odborník na kybernetickou bezpečnost nebo IT má jedinou hlavní prioritu: zajistit bezpečnost dat. Na rozdíl od interního zaměstnance nemá firma poskytující služby v oblasti kybernetické bezpečnosti hluboké znalosti o podnikání a bezpečnostních nuancích vaší organizace, stejně jako o každodenním provozu.

Outsourcované služby někdy také vedou ke komunikačním problémům. Firmy proto musí zajistit, aby měly se svým dodavatelem jasné komunikační kanály a aby dostávaly včasné aktualizace o stavu své kybernetické bezpečnosti.

Další nevýhodou je závislost na dodavateli, což může být v případě problému s dodávkou služeb či nesouladu mezi partnery problém. Pokud dodavatel selže v reakci na útok, firma třeba nemůže sama rychle reagovat na útok a sama sjednat nápravu. Proto je klíčové mít smluvně ošetřené podmínky dostupnosti a kvality služeb (tzv. SLA) a dbát na jejich důsledné dodržování.

Které otázky byste měli při výběru položit?

Jaké certifikace a standardy kybernetické bezpečnosti dodržujete?

Z odpovědi zjistíte, zda dodavatel splňuje důležité standardy, jako je ISO 27001 nebo SOC 2, které garantují kvalitu a odpovědnost za bezpečnostní opatření. Například ve fintechové firmě může být dodržování standardů SOC 2 nebo GDPR klíčové pro ochranu citlivých dat klientů. Bez dodavatele s těmito certifikacemi by firma riskovala nesoulad s regulacemi, a tím i možné právní postihy.

Můžete nám poskytnout reference od firem podobného rozsahu?

Pozitivní reference od obdobných společností potvrzují spolehlivost a kompetence dodavatele. IT společnost, která prošla kybernetickým útokem, může potvrdit rychlou a efektivní reakci dodavatele při zmírnění útoků. Reference ukazují nejen výsledky spolupráce, ale i to, zda má dodavatel zkušenosti s podobnými problémy a je schopen adekvátně reagovat na hrozby.

Jaké máte zkušenosti se specifickými typy kybernetických hrozeb, kterým by mohla naše firma čelit?

Podrobná odpověď může prokázat, že dodavatel rozumí konkrétnímu rizikovému profilu vaší firmy a dokáže poskytnout odpovídající ochranu. Například firma zaměřená na vývoj softwaru bude potřebovat ochranu před útoky na aplikační vrstvu, zatímco zdravotnické zařízení musí brát ohled na ochranu citlivých osobních údajů pacientů. Dodavatel s praktickými zkušenostmi v daném oboru tak může nabídnout řešení přesně podle potřeb vaší firmy.

Jak jsou vaše služby škálovatelné? Můžeme v případě potřeby služby navýšit?

Schopnost flexibilně reagovat na různé úrovně rizika zajišťuje, že budete mít potřebnou podporu nejen v běžném provozu, ale i v období zvýšeného rizika. Během růstu firmy, kdy expandujete na nové trhy a zvyšuje se objem zpracovávaných dat, vám dodavatel, který zvládne rozšířit zabezpečení, může ušetřit čas i náklady. Nebudete tak nuceni hledat nového dodavatele v kritickém okamžiku růstu.

Jaká je dostupnost služeb a odezvy podle SLA? Jak rychle reagujete na bezpečnostní incidenty?

Rychlá odezva na incidenty může výrazně snížit možné škody. Firma, která čelí ransomware útoku, ocení dodavatele, jenž má garantovanou 24/7 podporu a může ihned zasáhnout. Podmínky SLA by měly zahrnovat jasné závazky k reakční době, aby firma měla jistotu, že jí bude v případě krizové situace k dispozici.

Jaké pojištění nabízíte v případě selhání služby nebo útoku, který nezvládnete odvrátit?

Pojištění proti případným škodám může být cennou zárukou a dokazuje, že dodavatel bere svoji odpovědnost vážně. Pojištění škod vzniklých během DDoS útoku může firmě zajistit kompenzaci za prostoje nebo za ztracené obchodní příležitosti. Takové pojištění by mohlo snížit dopady na zisky a pomoci firmě rychleji se z útoku vzpamatovat.

Kdo konkrétně bude za naši firmu odpovědný a jaký bude náš přístup k pracovníkům zajišťujícím naši bezpečnost?

Osobní odpovědnost konkrétních zaměstnanců a možnost kontaktu přímo s nimi může zvýšit důvěru a spolupráci mezi firmou a dodavatelem. Pokud má firma přímý kontakt na specialistu, který ji má na starost, může v případě potřeby bez průtahů diskutovat konkrétní problémy a upravovat bezpečnostní opatření podle aktuálních potřeb.

Jaké konkrétní nástroje a technologie používáte a jak zajišťujete jejich aktuálnost?

Moderní technologie a pravidelná aktualizace nástrojů jsou zásadní pro efektivní ochranu před novými hrozbami. Dodavatel, který používá pravidelně aktualizované nástroje detekce hrozeb, dokáže odhalit i nejnovější typy malwaru, což snižuje riziko prolomení bezpečnosti.

Jak probíhá pravidelné reportování a komunikace o stavu bezpečnosti?

Transparentní a pravidelné reportování poskytuje přehled o tom, jak dobře je vaše firma chráněna a zda jsou hrozby pod kontrolou. Firma, která pravidelně dostává reporty s přehledem aktivit, identifikovaných hrozeb a reakcí na ně, může lépe vyhodnotit efektivitu investic do kyberbezpečnosti a včas se rozhodnout pro případné změny nebo vylepšení.

Jaké jsou vaše podmínky a flexibilita v případě, že bychom potřebovali změnit rozsah nebo ukončit spolupráci?

Tato informace je důležitá pro dlouhodobou strategii firmy a zajištění flexibility při změně dodavatele, pokud by to bylo nutné. Firma, která třeba během růstu expanduje do zahraničí nebo rozšiřuje produktové portfolio, může potřebovat pokročilejší úroveň zabezpečení. Flexibilní dodavatel, který je připraven na postupné navyšování služeb nebo rychlou změnu podle potřeb, umožní firmě plynule růst bez nutnosti hledat nového poskytovatele v kritické chvíli.

Co si z článku odnést?

• V Česku je nedostatek odborníků na kybernetickou bezpečnost, což nutí firmy outsourcovat bezpečnostní služby, zejména po zavedení legislativy NIS2.
• Pokud firma odkládá implementaci kybernetických opatření, může čelit nejen vysokým pokutám, ale i vyšším nákladům na služby.
• Outsourcing bezpečnostních služeb umožňuje firmám využívat nejnovější technologie a flexibilně reagovat na sezónní i specifická bezpečnostní rizika bez nutnosti investovat do vlastního týmu.
• Spolupráce s externím dodavatelem může přinést problémy, jako je omezená kontrola nad citlivými daty a potenciální komunikační překážky.
• Klíčové je prověřit certifikace, reference, flexibilitu služeb, podmínky SLA a transparentnost ve zprávách a komunikaci o bezpečnosti, aby bylo zajištěno, že vybraný dodavatel splňuje všechny požadavky firmy.

Kateřina Benešová
Marketingový specialista pro B2B