Jak wygląda profesjonalna analiza kontrahenta w praktyce?

Większość firm sprawdza kontrahenta w bardzo prosty sposób. Wpisują NIP w Google, zaglądają do KRS albo CEIDG, patrzą czy strona internetowa wygląda „w miarę normalnie” i przechodzą do następnych kroków. Umowa, dostęp do systemu, pierwsza faktura.

Problem w tym, że dzisiaj ryzyko nie kończy się na tym, czy ktoś istnieje formalnie. Wchodzimy w relacje, w których dajemy dostęp do danych, systemów, infrastruktury. Czasem do całej naszej firmy.

Profesjonalna analiza kontrahenta to nie jest ciekawość ani brak zaufania. To element zarządzania ryzykiem. I coraz częściej również element cyberbezpieczeństwa.

Podczas takich weryfikacji przy wdrożeniach IT, przy outsourcingu księgowości, przy współpracy z software house’ami, a nawet przy wyborze dostawcy usług marketingowych. Za każdym razem w tle był jeden temat: co się stanie, jeśli ten podmiot okaże się słabszym ogniwem?

Dlaczego weryfikacja kontrahenta przestała być tylko tematem dla działu finansów

Kiedyś analiza kontrahenta kojarzyła się głównie z płynnością finansową. Czy zapłaci. Czy nie jest w upadłości. Czy nie ma zaległości podatkowych.

Dziś to za mało.

Jeżeli firma, z którą współpracujesz, ma dostęp do Twojej skrzynki mailowej, do ERP, do CRM albo do panelu sklepu internetowego, to w praktyce wpuszczasz ją do środka. Jeśli ta firma ma słabe hasła, brak MFA, przestarzałe serwery, to ich problem bardzo szybko staje się Twoim.

Analiza powinna obejmować zarówno aspekt finansowy, jak i bezpieczeństwa oraz wiarygodności biznesowej. Chodzi o całościowe spojrzenie na ryzyko współpracy, a nie tylko o „czy firma istnieje”.

W praktyce oznacza to jedno: zanim podpiszesz umowę i dasz dostęp do systemów, sprawdzasz z kim masz do czynienia. I robisz to metodycznie.

Gdzie w tym wszystkim jest OSINT

OSINT, czyli open source intelligence, w kontekście weryfikacji kontrahenta oznacza wykorzystanie ogólnodostępnych źródeł informacji do oceny wiarygodności i profilu ryzyka firmy.

To nie jest żadna tajna technika. To uporządkowane zbieranie i analiza tego, co już jest publiczne.

W praktyce zaczynamy od podstaw:

• rejestry publiczne, KRS, CEIDG, dane o zarządzie,
• powiązania osobowe i kapitałowe,
• historia zmian w strukturze spółki,
• informacje o postępowaniach upadłościowych lub restrukturyzacyjnych.

Ale to dopiero początek.

OSINT pozwala też sprawdzić:

• obecność firmy w mediach,
• komentarze pracowników i klientów,
• wcześniejsze incydenty bezpieczeństwa,
• wycieki danych powiązane z domeną firmy,
• ekspozycję usług w internecie.

I tu zaczyna się część, która najbardziej interesuje działy IT.

Jeśli kontrahent wystawia publicznie RDP bez zabezpieczeń, ma otwarty panel administracyjny albo serwer poczty bez odpowiednich rekordów SPF i DMARC, to jest sygnał ostrzegawczy. Nawet jeśli finansowo wygląda dobrze.

Analiza obejmuje również elementy związane z bezpieczeństwem teleinformatycznym oraz reputacją w sieci. I to ma sens, bo cyberincydent u partnera może uderzyć bezpośrednio w Twoją firmę.

Jak wygląda proces profesjonalnej analizy krok po kroku

Z mojego doświadczenia analiza OSINT kontrahenta nie powinna być robiona ad hoc. Musi mieć strukturę, inaczej łatwo coś pominąć.

Zaczynamy od określenia zakresu współpracy. Inaczej analizuje się firmę sprzątającą biuro, a inaczej dostawcę oprogramowania, który ma mieć dostęp do bazy klientów.

Dopiero kiedy wiemy:

• do jakich danych będzie miał dostęp kontrahent,
• jakie systemy obejmuje współpraca,
• czy przetwarzane będą dane osobowe,
• czy wchodzą w grę integracje systemowe,

można ustalić poziom szczegółowości analizy.

Następnie przechodzimy do części formalno-prawnej. Weryfikacja danych rejestrowych, struktury właścicielskiej, reprezentacji. Szukamy niespójności, częstych zmian zarządu, nietypowych powiązań.

Kolejny etap to OSINT w szerszym zakresie. Analiza domen, adresów IP, certyfikatów, informacji o wyciekach danych. Sprawdzamy czy adresy mailowe firmy pojawiają się w znanych bazach naruszeń. To nie jest dowód winy, ale sygnał, że warto dopytać o politykę bezpieczeństwa.

W przypadku współpracy IT zdarza się, że wchodzimy też w rozmowę techniczną. Pytamy o:

• stosowanie MFA,
• sposób zarządzania dostępami,
• backupy,
• procedury reagowania na incydenty.

Nie chodzi o egzaminowanie kontrahenta. Chodzi o zrozumienie, czy jego poziom dojrzałości bezpieczeństwa nie jest dramatycznie niższy niż Twój.

Celem analizy jest ograniczenie ryzyka biznesowego i wizerunkowego związanego ze współpracą. I dokładnie tak to wygląda w praktyce. Szukamy miejsc, gdzie współpraca może wygenerować problem, zanim ten problem się wydarzy.

Co najczęściej wychodzi w trakcie takich analiz

Z doświadczenia mogę powiedzieć, że najrzadziej problemem jest jawne oszustwo. Częściej wychodzi bałagan.

Przykład. Mała firma logistyczna, która miała mieć dostęp do systemu magazynowego klienta. W analizie OSINT wyszło, że ich domena firmowa była powiązana z wyciekiem danych sprzed kilku lat. Po rozmowie okazało się, że nie mieli wtedy wdrożonego MFA i ktoś przejął skrzynkę jednego z pracowników. Sprawa została zbagatelizowana.

Dla mojego klienta to była ważna informacja. Nie zerwali współpracy, ale wprowadzili dodatkowe ograniczenia dostępu i segmentację systemu.

Inny przypadek to firma, która deklarowała wysokie standardy bezpieczeństwa. W publicznych źródłach dało się znaleźć wystawiony panel testowy aplikacji z danymi klientów. Niby środowisko developerskie, ale dane wyglądały bardzo znajomo.

Takie sytuacje nie muszą oznaczać złej woli. Często oznaczają brak procedur. A brak procedur w IT prędzej czy później kończy się incydentem.

Dlaczego właściciel firmy powinien się tym interesować

Wielu właścicieli mówi: „Od tego mam dział IT”. I tak, techniczna część analizy to często rola IT. Ale decyzja o współpracy z danym podmiotem to decyzja biznesowa.

Jeżeli kontrahent:

• przetwarza dane osobowe Twoich klientów,
• ma dostęp do infrastruktury,
• obsługuje płatności,
• ma wpływ na ciągłość działania firmy,

to ryzyko nie jest wyłącznie techniczne.

Profesjonalna analiza kontrahenta daje Ci argumenty do negocjacji umowy. Możesz wprowadzić zapisy o obowiązku stosowania MFA, o informowaniu o incydentach, o audytach bezpieczeństwa. Bez twardych danych z analizy takie zapisy są często pomijane.

Weryfikacja kontrahenta ma na celu ograniczenie strat finansowych i wizerunkowych wynikających ze współpracy z nierzetelnym podmiotem. W praktyce to oznacza mniej nerwów i mniej kosztownych niespodzianek.

Czy każda firma potrzebuje takiej analizy

Nie każda współpraca wymaga pełnego, pogłębionego raportu. Ale każda firma powinna mieć przynajmniej podstawowy proces weryfikacji.

Jeżeli podpisujesz umowę z dostawcą, który będzie miał dostęp do danych klientów, to brak analizy jest po prostu ryzykowny. Koszt jednego incydentu często przekracza koszt kilku takich weryfikacji.

Zajmuję stanowisko jasno: analiza kontrahenta powinna być standardem przy współpracy, która dotyka danych, systemów lub finansów. Nie dodatkiem, nie opcją „jak starczy czasu”.

Podsumowanie

Profesjonalna analiza kontrahenta w praktyce to połączenie weryfikacji formalnej, analizy OSINT oraz oceny bezpieczeństwa technologicznego. To uporządkowany proces, który pozwala zobaczyć więcej niż tylko wpis w rejestrze.

Nie chodzi o szukanie sensacji. Chodzi o świadome zarządzanie ryzykiem. W czasach, gdy jeden słabszy partner może stać się furtką do Twojej infrastruktury, ignorowanie tego tematu jest błędem.

Jeżeli prowadzisz firmę albo odpowiadasz za IT, potraktuj weryfikację kontrahenta jako element bezpieczeństwa. Tak samo ważny jak backup czy firewall. Bo często to nie atak z zewnątrz jest początkiem problemu, tylko zbyt szybkie zaufanie.