Podstatou internetu jsou datové a komunikační služby (dále jako DKS), které zajišťují nejen přenos surových dat, ale umožňují propojení lidí i strojů a vznik celé řady nových služeb. Hity na poli informačních a komunikačních technologií, jako je cloud, průmysl 4.0, nositelná elektronika (tzv. wearables) nebo internet věcí, jsou na DKS zcela závislé.

 

Jak ale vybrat toho správného dodavatele DKS?

Společností, které tyto služby dodávají, je celá řada. Jako obvykle by měla na začátku stát analýza potřeb.

Měli bychom se zamyslet nad následujícím:

  • co vlastně potřebujeme zajistit - jakou vazbu má pořízení DKS na náš core business?
  • v jaké kvalitě – existuje celá řada parametrů či legislativní požadavky
  • v jakém rozsahu – s ohledem například na pobočky
  • na jak dlouho – bude se jednat o dočasnou výstavu nebo desetiletý kontrakt

Nejtěžší je asi definice parametrů služby. Částečně může pomoci legislativa (požadavky se liší dle oboru, v kterém působíme), regulátor nebo nadnárodní vlastník. Je potřeba vycházet z analýzy potřeb a zjistit, jaké DKS potřebují nejen naše útvary (běžná internetová konektivita, VoIP), ale také náš zákazník (pokud třeba poskytujeme streamovací služby) či dodavatelé (mohou např. vzdáleně spravovat část našich systémů).

Jelikož nejsme státní správa, můžeme si dovolit vybírat dodavatele vícekriteriálně a nesledovat jen cenu, protože to je cesta do pekla. Dobrá cena je nutnou podmínkou, není však postačující. Záleží samozřejmě na tom, zda poptáváme jen základní službu připojení k internetu nebo komplexní sadu služeb, kdy se z běžného dodavatele stává partner.

                  

A kde je ta bezpečnost?

Jak říkají poučky, zajištění bezpečnosti znamená zajištění dostupnosti, důvěrnosti a integrity.

Náročnější klienti poptávají například připojení k internetu rovnou s nějakým řešením proti (D)DoS útokům. Poskytovatel DKS má obvykle mnohem větší možnosti odolávat útokům typu „odmítnutí služby“, než koncová organizace. Pokud je můj business na vysoké dostupnosti závislý, je rozumné rovnou „anti-(D)DoS“ poptat. S tím souvisí samozřejmě záloha konektivity. Přestože překopnutých kabelů je čím dál méně, některé společnosti poptávají DKS s myšlenkou, aby byla minimalizována závislost na jednom dodavateli - z organizačních důvodů nebo s ohledem na fyzickou bezpečnost (linka fyzicky vede jinou trasou). Tím bychom měli zajištěnou dostupnost. Detaily, jako je definice požadovaného datového toku, rychlost odezev nebo spolehlivost služby zde řešit nebudeme.

Stále častěji zákazníci chtějí „doručit i důvěrnost a integritu“, tj. přenos dat by měl být šifrovaný. Požadavek je to logický, zvláště v době, kdy se všechno outsourcuje. Dodávka DKS, včetně šifrování, je dnes již možná i v mobilní datové síti. Zákazníci však bohužel dávají z ruky všechny trumfy, tj. nejenom správu síťových zařízení, ale i kryptografického materiálu. Zde dochází ke střetu v pojetí zajištění celé služby. Totální správa outsourcerem je pohodlná a moderní, konzervativci mezi námi si zase myslí, že šifrovací klíče a rootovská hesla by měla držet samotná společnost, která DKS používá k realizaci svých služeb a potřeb a je za ně primárně zodpovědná.

 

Ať se rozhodneme pro kteroukoliv variantu, bylo by rozumné si aspoň udržet možnost zákaznických auditů

Je pravdou, že záleží na velikosti a „síle“ jednotlivých subjektů a zasmluvnění takových prověření. Dobré je na to myslet již při výběrovém řízení. Zákaznický audit by měl společnosti umožnit prověření dodavatele DKS po organizační (audit relevantní interní dokumentace, vlastní analýza rizik) i technické stránce (penetrační testy, audity konfigurací, zátěžové testy). Teprve pak získáte jistotu, že váš partner je schopný nejen v oblasti dodání samotných DKS, ale i v oblasti bezpečnosti. Nehledě na to, že v případě regulovaných odvětví jste povinni takové audity provádět.

Je dobré zájemcům včas sdělit, jaké technologie používáte, abyste se vyhnuli nabídce nekompatibilních zařízení či řešení. To si můžete dovolit v podstatě jen při stavbě komunikací na zelené louce.

 

V případě dodávky komplexních služeb určitě požadujte, a pak osobně prověřte, existující reference

Ty by měly obsahovat řešení pro podobně velké subjekty (počet uživatelů, podobná architektura řešení a požadavky na službu) a ve stejné tržní vertikále. Nechte si celé řešení předvést a zajímejte se o případové studie.

Nezapomeňte na možnosti budoucího rozšiřování. Vaše společnost chce přece růst a s ní porostou vaše potřeby. Agregované ADSL na sídlišti asi proto nebude nejlepší řešení pro váš business. Chtějte proto vědět, zda má dodavatel výkonové rezervy.

 

Ptejte se i na další přidanou hodnotu

Je vám dodavatel DKS schopný přinést další přidanou hodnotu? Velké společnosti vám například mohou pomoci se splněním legislativních požadavků, které s DKS souvisí. Z hitů posledních let to může být Zákon o kybernetické bezpečnosti, resp. jeho vyhlášky, dále třeba kontroverzní Zákon o hazardních hrách umožňující cenzuru internetu, předpisy EU na ochranu osobních údajů (General Data Protection Regulation), transatlantickou dohodu Privacy Shield nebo aktuální Elektronická evidence tržeb (EET).

Nyní je snad jasné, že cena není všechno. Dodavatel DKS by měl být dostatečně silný a pokud do výběrového řízení zapojíte výše uvedené principy, měli byste uspět.

 

Co říci na závěr?

Vždy je dobré, aby se dodavatel stal partnerem, ale mělo by jít skutečně o partnerství a ne vazalství. Na to se poslední dobou hodně zapomíná.

Jindřich Hlaváč, odborník na kybernetickou bezpečnost ze společnosti DCIT