Przejdź do treści
Breachroad
Wróć do bloga
Łańcuch dostaw

Bezpieczeństwo dostawców (TPRM): przewodnik

Twoje bezpieczeństwo kończy się na najsłabszym dostawcy. Jak ocenić ryzyko kontrahentów, co wpisać do umów i jak monitorować dostawców bez armii audytorów.

KR
Karol Rapacz
25 maja 2026 · 12 min czytania
Bezpieczeństwo dostawców (TPRM): przewodnik

Możesz mieć wzorowe MFA, aktualne systemy i przećwiczony plan reagowania — a i tak trafić na czołówki mediów, bo Twój dostawca IT trzymał hasła klientów w arkuszu, a jego serwis zdalny miał dostęp do Twojej sieci. Głośne incydenty ostatnich lat (od MOVEit po ataki na dostawców helpdesków) mają wspólny mianownik: atakujący wybrał drogę przez dostawcę, bo była łatwiejsza. Zarządzanie ryzykiem stron trzecich (TPRM — third-party risk management) przestało być domeną korporacji; wymagają go NIS2, DORA i coraz częściej — Twoi właśni klienci.

Skąd bierze się ryzyko dostawców

Trzy typowe kanały, którymi problem dostawcy staje się Twoim problemem:

  1. Dostęp do Twoich systemów. Serwisant z kontem VPN, agencja z dostępem do CMS-a, księgowość z dostępem do banku, dostawca IT z uprawnieniami administratora domeny. Przejęcie ich konta = wejście do Ciebie — często poza Twoim monitoringiem.
  2. Twoje dane u dostawcy. SaaS z bazą klientów, chmura z kopiami zapasowych, kurier z listą adresów, procesor płatności. Wyciek u nich to Twój obowiązek zgłoszenia do UODO i Twoja utrata zaufania klientów.
  3. Zależność operacyjna. Awaria lub ransomware u kluczowego dostawcy (ERP, logistyka, hosting) zatrzymuje Twój biznes, choć nikt Cię nie zaatakował. To ryzyko ciągłości, nie tylko poufności.

Osobną kategorią jest łańcuch dostaw oprogramowania — zależności i aktualizacje, które wpuszczasz do środowiska automatycznie.

Krok 1: inwentaryzacja i tiering

Nie da się zarządzać listą, której się nie ma. Zbierz dostawców z umów, faktur i… działów (shadow IT ma też wymiar dostawców — pisaliśmy o tym). Następnie podziel ich na poziomy — prosty model, który działa:

  • Tier 1 (krytyczni): mają dostęp administracyjny do Twoich systemów, przetwarzają dane wrażliwe/duże wolumeny danych osobowych albo ich awaria zatrzymuje biznes w ciągu doby.
  • Tier 2 (istotni): ograniczony dostęp lub istotne dane, awaria boli w tygodnie.
  • Tier 3 (pozostali): brak dostępu do systemów i danych, łatwa zastępowalność.

Cały rygor TPRM stosujesz do Tier 1, uproszczony do Tier 2, a Tier 3 obsługujesz zapisami umownymi i tyle. Bez tieringu program umiera pod własnym ciężarem.

Krok 2: ocena przed umową (due diligence)

Dla Tier 1–2 przed podpisaniem umowy zbierz odpowiedzi na kilkanaście konkretnych pytań zamiast 300-punktowej ankiety, której nikt nie czyta:

  • Czy dostawca ma wdrożone MFA (w tym na dostępach do Twojego środowiska)? Jak zarządza kontami swoich pracowników po odejściach?
  • Kiedy miał ostatni test penetracyjny / audyt? Czy pokaże streszczenie raportu?
  • Jak wygląda jego proces obsługi incydentów i w jakim czasie zobowiąże się poinformować Ciebie?
  • Gdzie fizycznie są dane, kto ma do nich dostęp, czy podpisze umowę powierzenia (RODO)?
  • Certyfikaty (ISO 27001, SOC 2) — traktuj jako sygnał dojrzałości, nie gwarancję; sprawdź zakres certyfikacji.
  • Jak wygląda jego ciągłość działania: kopie, RTO, co się dzieje z Twoimi danymi po zakończeniu umowy?

Dla dostawców naprawdę krytycznych warto pójść dalej: zewnętrzna ocena powierzchni ataku (co widać z internetu), przegląd konfiguracji dostępu, który ma do Ciebie, albo wspólne ćwiczenie incydentowe.

Krok 3: umowa, która ma zęby

Ankiety się dezaktualizują — umowa zostaje. Minimalny zestaw klauzul bezpieczeństwa:

  • Zgłaszanie incydentów: definicja incydentu, termin powiadomienia (konkretne godziny, nie „niezwłocznie”), zakres informacji, kontakt awaryjny.
  • Prawo do audytu (lub audytu zastępczego przez raporty niezależne) — z realnym trybem wykonania.
  • Standardy minimalne: MFA, szyfrowanie, aktualizacje, kontrola dostępu do Twojego środowiska (imienne konta, least privilege, logowanie sesji).
  • Poddostawcy: zgoda lub przynajmniej informacja o łańcuchu dalszych podmiotów.
  • Wyjście: zwrot/usunięcie danych z potwierdzeniem, wsparcie migracji, format eksportu.
  • Odpowiedzialność i ubezpieczenie — limit odpowiedzialności dostawcy nie może być niższy niż realne skutki incydentu u Ciebie.

Krok 4: kontrola dostępu — tu wygrywa się najwięcej

Najskuteczniejsza redukcja ryzyka dostawców nie wymaga ani ankiet, ani prawników — wystarczy potraktować ich dostępy jak własne konta uprzywilejowane:

  • imienne konta dla ludzi dostawcy (nigdy wspólne „serwis”), wyłączane po zakończeniu prac,
  • MFA obowiązkowe, dostęp tylko w ustalonych oknach czasowych lub aktywowany na żądanie,
  • minimalny zakres: dostęp do konkretnego systemu, nie do sieci; segmentacja zamiast płaskiej sieci (filozofia Zero Trust),
  • nagrywanie/logowanie sesji zdalnych i alerty na logowania poza wzorcem — to powinno spinać się z Twoim monitoringiem,
  • przegląd dostępów dostawców co kwartał: kto jeszcze ma konto i po co?

Regularnie znajdujemy w testach konta dostawców sprzed lat — aktywne, ze słabym hasłem, z pełnym dostępem. To najniżej wiszący owoc w całym TPRM.

Krok 5: monitorowanie zamiast ankiety raz w roku

Ryzyko dostawcy zmienia się między przeglądami. Sensowny, tani monitoring: alerty Google/monitoring wzmianek o incydentach u kluczowych dostawców, obserwacja ich statusów usług, okresowy zewnętrzny skan ich powierzchni ataku (za zgodą lub usługą ratingową), oraz — najważniejsze — wewnętrzny obowiązek zgłaszania zmian: nowy dostawca, nowy zakres danych, nowy dostęp = przegląd, zanim ruszy produkcja.

Najczęstsze pytania (FAQ)

Od czego zacząć, jeśli mamy 200 dostawców i zero procesu? Od tieringu: wybierz 10–15 dostawców Tier 1 (dostęp administracyjny / dane / krytyczność operacyjna) i przez pierwszy kwartał zajmij się tylko nimi: przegląd dostępów, klauzule przy najbliższym aneksie, ustalenie kontaktów incydentowych. Szerokość przyjdzie później; głębokość na krytycznych daje 80% efektu.

Dostawca nie chce wypełnić ankiety ani pokazać raportu z testów. Co robić? Negocjuj alternatywy: streszczenie raportu pod NDA, certyfikat z zakresem, rozmowa techniczna z ich bezpieczeństwem. Jeśli dostawca krytyczny odmawia wszystkiego — to jest wynik oceny ryzyka. Możesz kompensować (ograniczenie dostępu, dodatkowy monitoring) albo szukać alternatywy; udokumentuj decyzję.

Czy NIS2/DORA każą nam audytować każdego dostawcę? Nie — każą zarządzać ryzykiem łańcucha dostaw proporcjonalnie: zidentyfikować zależności, ocenić krytycznych, mieć zapisy umowne i nadzór. Regulator zapyta o proces i dowody jego działania, nie o audyt hurtowni papieru.

Jak sprawdzić dostawcę „od zewnątrz”, zanim podpiszemy umowę? Pasywna ocena powierzchni ataku mówi zaskakująco dużo: wystawione panele i usługi, stan łatania, higiena domen i poczty (SPF/DMARC), wycieki poświadczeń pracowników. Robimy takie oceny w ramach usług audytowych — to często godziny pracy, które oszczędzają miesięcy problemów.

Jesteśmy dostawcą i klienci zasypują nas ankietami. Jak to ogarnąć? Przygotuj pakiet due diligence raz, aktualizuj co pół roku: opis architektury bezpieczeństwa, polityki, streszczenie ostatniego testu penetracyjnego, certyfikaty, wzór DPA. Odpowiadanie „z pakietu” skraca sprzedaż B2B o tygodnie — a regularny pentest z raportem dla klientów bywa najlepszą inwestycją handlową.

Podsumowanie

TPRM nie polega na kolekcjonowaniu ankiet, tylko na czterech rzeczach robionych konsekwentnie: wiesz, kim są Twoi krytyczni dostawcy; ich dostępy do Ciebie są ciasne i monitorowane; umowy dają Ci informację o incydencie i drogę wyjścia; a zmiany przechodzą przegląd, zanim staną się faktem. Jeśli chcesz przejrzeć dostępy dostawców w swojej sieci albo przygotować się na pytania klientów o Twoje własne bezpieczeństwo — odezwij się.

Udostępnij artykuł

Usługi Umów konsultację