Audit dodavatelského řetězce a vztahů: Řízení rizik třetích stran (TPRM) v éře hyperkonektivity

Audit dodavatelského řetězce a vztahů: Řízení rizik třetích stran (TPRM) v éře hyperkonektivity
IT Strategie a Řízení – odborný článek redakce Informatika.cz.

20. prosince 2025

Redakce Informatika.cz

IT Strategie a Řízení

Abstrakt: V dnešním propojeném globálním ekosystému již neplatí, že bezpečnost organizace končí na hranici jejího fyzického nebo digitálního perimetru. Bezpečnost firmy je tak silná, jak silný je její nejslabší dodavatel. Tento článek se do hloubky zabývá problematikou Third-Party Risk Management (TPRM) a auditem dodavatelského řetězce. Analyzuje spektrum rizik spojených s outsourcingem – od kybernetických hrozeb (Supply Chain Attacks) přes operační závislosti až po reputační a compliance rizika (GDPR, DORA, NIS2). Představuje robustní metodiky pro celý životní cyklus řízení dodavatele: od pre-contract due diligence a segmentace (Tiering) přes smluvní ošetření (Right to Audit) až po průběžný monitoring pomocí Security Rating Services. Zvláštní pozornost je věnována fenoménu Software Supply Chain Security v kontextu útoků typu SolarWinds a Log4j a nástupu SBOM (Software Bill of Materials) jako standardu transparentnosti.

---

1. Úvod: Rozšířený perimetr a iluze kontroly

Tradiční model "hradu a příkopu" (Castle and Moat), kdy se firma snažila opevnit svá data uvnitř vlastního datacentra, je mrtvý. Moderní podnik je digitální pavučina. Sdílí data s desítkami SaaS poskytovatelů (Salesforce, Slack, Office 365), využívá infrastrukturu cloudových gigantů (AWS, Azure) a spoléhá na externí vývojáře, účetní firmy a logistické partnery.

Každý z těchto vztahů je potenciální dírou v obraně. Útočníci to vědí. Místo aby útočili na dobře zabezpečenou banku přímo (Front Door Attack), zaútočí na jejího malého dodavatele tiskových služeb nebo na firmu, která spravuje klimatizaci v serverovně. Jakmile kompromitují dodavatele, využijí důvěryhodného propojení k průniku do cílové organizace. Tato technika se nazývá Island Hopping.

Podle agentury ENISA a reportů Verizon DBIR tvoří útoky přes dodavatelský řetězec významnou a rostoucí část všech kybernetických incidentů. Nejde jen o IT dodavatele – únik dat může způsobit i právní kancelář nebo marketingová agentura.

---

2. Taxonomie rizik třetích stran

Než začneme auditovat, musíme vědět, co hledáme. Rizika lze kategorizovat do několika domén:

2.1 Kybernetická a informační rizika

  • Únik dat (Data Breach): Dodavatel ztratí vaše data (např. nezašifrovaná záloha).
  • Malware a Ransomware: Dodavatelova síť je infikována a nákaza se šíří VPN tunelem k vám.
  • Zranitelnosti v softwaru: Dodavatel dodá kód obsahující zadní vrátka (Backdoor) nebo známé zranitelnosti.

2.2 Operační rizika a kontinuita (BCM)

  • Výpadek služby: Dodavatel SaaS služby má výpadek, což zastaví vaši výrobu.
  • Bankrot dodavatele: Klíčový partner zkrachuje a vy nemáte alternativu (Vendor Lock-in).

2.3 Compliance a právní rizika

  • GDPR: Pokud dodavatel (zpracovatel) poruší GDPR, pokutu může dostat i správce (vy), pokud jste ho neprověřili.
  • Sankce: Spolupráce s firmou na sankčním seznamu (např. vazby na Rusko nebo Írán) může vést k obrovským pokutám a ztrátě reputace.
  • Sektorová regulace: Banky (DORA), energetika (NIS2) mají přísné povinnosti kontrolovat dodavatele.

2.4 Reputační rizika

  • ESG (Environmental, Social, Governance): Pokud se zjistí, že váš dodavatel využívá dětskou práci nebo ničí životní prostředí, poškodí to vaši značku (Guilt by Association).

---

3. Životní cyklus řízení rizik (TPRM Lifecycle)

TPRM není jednorázový audit, ale cyklický proces.

Fáze 1: Sourcing a Due Diligence (Před podpisem)

Nejlevnější způsob, jak vyřešit problém s dodavatelem, je vůbec ho nenajmout. Před podpisem smlouvy musí proběhnout hloubková prověrka.

  • Bezpečnostní dotazníky: Standardem jsou SIG (Standardized Information Gathering) nebo CAIQ (Consensus Assessments Initiative Questionnaire) od Cloud Security Alliance. Ptejte se na šifrování, řízení přístupů, zálohování, incident response.
  • Finanční zdraví: Analýza účetních závěrek. Má dodavatel cash-flow na příštích 12 měsíců?
  • Reputace: OSINT (Open Source Intelligence) analýza. Negativní zprávy v médiích, soudní spory.

Fáze 2: Klasifikace a segmentace (Tiering)

Nemůžete auditovat každého dodavatele stejně hluboko (bylo by to neekonomické). Rozdělte je do skupin:

  • Tier 1 (Kritičtí): Mají přístup k citlivým datům (PII, IP) nebo jejich výpadek zastaví váš byznys. Vyžadují on-site audit a penetrační testy.
  • Tier 2 (Důležití): Mají přístup k interním datům, ale jsou nahraditelní. Stačí dotazník a certifikace (ISO 27001).
  • Tier 3 (Komoditní): Dodavatel kancelářských potřeb. Minimální prověrka.

Fáze 3: Smluvní ošetření (Contracting)

Smlouva je váš štít. Musí obsahovat:

  • Right to Audit: Právo provést audit u dodavatele (fyzicky nebo digitálně).
  • SLA (Service Level Agreement): Garantovaná dostupnost a sankce za neplnění.
  • Povinnost hlásit incidenty: Dodavatel musí nahlásit bezpečnostní incident do X hodin (např. dle GDPR do 72h, dle DORA mnohem dříve).
  • Subdodavatelé (4th Party Risk): Povinnost hlásit změny v řetězci subdodavatelů.

Fáze 4: Průběžný monitoring a Audit (Ongoing)

Dotazník vyplněný před rokem je dnes bezcenný.

  • Pravidelná re-certifikace: Roční aktualizace dotazníků pro Tier 1.
  • Security Rating Services (SRS): Nástroje jako BitSight, SecurityScorecard nebo UpGuard. Tyto služby pasivně skenují internet a hledají stopy dodavatele (otevřené porty, uniklé přihlašovací údaje na Dark Webu, neaktualizované certifikáty, špatná konfigurace DNS). Dávají dodavateli skóre (např. A až F). Pokud skóre klesne, je to trigger pro audit.

Fáze 5: Terminace a Offboarding

Když smlouva skončí, riziko nekončí.

  • Vrácení/Smazání dat: Potvrzení o skartaci dat (Data Destruction Certificate).
  • Odebrání přístupů: Zrušení VPN účtů, federovaných identit a přístupových karet.

---

4. Specifika auditu softwarového dodavatelského řetězce

Moderní software se nepíše, ale "skládá" z open-source komponent. 80-90 % kódu v moderní aplikaci tvoří knihovny třetích stran. Útoky jako SolarWinds (útočník infikoval build server dodavatele a vložil malware do oficiální aktualizace) nebo zranitelnost Log4j (chyba v populární knihovně pro logování) ukázaly, že musíme auditovat i kód.

4.1 SBOM (Software Bill of Materials)

SBOM je "seznam ingrediencí" pro software. Je to strojově čitelný seznam (formáty CycloneDX nebo SPDX) všech komponent, knihoven a závislostí v daném softwaru.

  • Proč je to důležité: Když se objeví nová zranitelnost (jako Log4j), díky SBOMu okamžitě víte, které aplikace ve vaší firmě tuto knihovnu obsahují. Bez SBOMu hledáte jehlu v kupce sena týdny.
  • Auditní požadavek: Vyžadujte SBOM od každého dodavatele softwaru jako součást dodávky.

4.2 Bezpečnost vývoje (Secure SDLC)

Při auditu softwarové firmy se ptejte:

  • Používáte SAST (Static Application Security Testing) a DAST (Dynamic Analysis)?
  • Jak spravujete klíče a tajemství (Secrets Management)? Nejsou natvrdo v kódu?
  • Máte podepsané artefakty (Code Signing), aby nikdo nemohl podvrhnout binárku?

---

5. Nová evropská legislativa: DORA a NIS2

Evropská unie reaguje na rizika dodavatelského řetězce novou, výrazně přísnější legislativou.

5.1 DORA (Digital Operational Resilience Act)

Platí pro finanční sektor (banky, pojišťovny, fintech) od ledna 2025.

  • Zavádí přímý dohled regulátora nad "kritickými ICT poskytovateli" (např. AWS, Microsoft).
  • Banky musí mít kompletní registr informací o všech smlouvách s ICT dodavateli.
  • Vyžaduje testování odolnosti (včetně Threat-Led Penetration Testing) zahrnující i dodavatele.

5.2 NIS2 (Network and Information Security Directive)

Rozšiřuje okruh regulovaných subjektů (energetika, doprava, zdravotnictví, ale i potravinářství a výroba).

  • Explicitně vyžaduje "zajištění bezpečnosti dodavatelského řetězce".
  • Management firmy je osobně odpovědný za nedodržení (pokuty, zákaz činnosti).

---

6. Závěr: Od compliance k partnerství

Audit dodavatelského řetězce se posouvá z administrativního cvičení ("máme papír") do roviny aktivní kybernetické obrany. Cílem není dodavatele "nachytat" a penalizovat, ale společně zvýšit bezpečnost celého ekosystému. Pokud pomůžete svému dodavateli opravit zranitelnost, chráníte tím sebe.

Budoucnost TPRM leží v automatizaci. Manuální posílání Excelových dotazníků je neudržitelné. Nastupují platformy pro výměnu bezpečnostních informací, AI pro analýzu smluv a kontinuální monitoring v reálném čase. V propojeném ekosystému platí jednoduché pravidlo: důvěřuj, ale prověřuj — a v kyberprostoru prověřuj kontinuálně.

---

Reference a doporučená literatura

  • NIST SP 800-161r1: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. (Zlatý standard pro řízení rizik).
  • ENISA: Threat Landscape for Supply Chain Attacks.
  • Shared Assessments: Standardized Information Gathering (SIG) Questionnaire.
  • Cloud Security Alliance: CAIQ (Consensus Assessments Initiative Questionnaire).
  • Nařízení EU 2022/2554 (DORA).
  • Směrnice EU 2022/2555 (NIS2).
  • CISA: Software Bill of Materials (SBOM) Resources.

Další z tématu IT Strategie a Řízení

Zobrazit vše
Budování inovační kultury v IT týmech: Od hackathonů k psychologické bezpečnosti

Budování inovační kultury v IT týmech: Od hackathonů k psychologické bezpečnosti

V současném konkurenčním technologickém prostředí představuje schopnost systematicky generovat a implementovat inovace klíčový rozdíl mezi prosperujícími a upadajícími organizacemi. Inovace nelze nařídit shora – lze pouze vytvořit kulturu a prostředí, ve kterém budou prospívat.…

Redakce Informatika.cz • 11. ledna 2026

Refaktoring: Kdy a jak vylepšovat existující kód

Refaktoring: Kdy a jak vylepšovat existující kód

Redakce Informatika.cz • 4. května 2026

Měření výkonnosti IT oddělení: Klíčové KPI a Balanced Scorecard v praxi

Měření výkonnosti IT oddělení: Klíčové KPI a Balanced Scorecard v praxi

Redakce Informatika.cz • 16. prosince 2025

Penetration Testing a Red Teaming: Jak testovat obranu organizace

Penetration Testing a Red Teaming: Jak testovat obranu organizace

Tradiční penetrační testy zaměřené na vyhledávání zranitelností přestávají stačit moderním útočníkům. Zatímco strukturovaný pentest většinou identifikuje technické nedostatky podle metodiky OWASP nebo PTES, sofistikovaní protivníci dnes využívají kombinaci sociálního…

Redakce Informatika.cz • 1. dubna 2026

Testování softwaru: Od jednotkových testů po end-to-end strategii

Testování softwaru: Od jednotkových testů po end-to-end strategii

Redakce Informatika.cz • 8. prosince 2025

Řízení rizik v IT projektech: Praktický průvodce pro úspěšnou realizaci

Řízení rizik v IT projektech: Praktický průvodce pro úspěšnou realizaci

Redakce Informatika.cz • 14. listopadu 2025