Siirry sisältöön
Etusivu Ajankohtaista Digipoolin yritysten kokonaisturvallisuudenhallinnan tilasta

Digipoolin yritysten kokonaisturvallisuudenhallinnan tilasta

Katsaus ICT yritysten turvallisuudenhallinnan tilanteeseen: Monet firmat ovat jo hyvin kartalla lakisääteisistä turvallisuusaiheista ja kyberturvallisuudessa ne suorastaan loistavat. Tietoturva on kunnossa, mutta kokonaisturvallisuudenhallinnan organisointia voisi kenties selkeyttää. Pandemioista on opittu ja varautuminenkin on jollain tasolla hanskassa. Toisaalta ympäristöturvallisuudessa ja riskienhallinnassa on vielä petrattavaa ja väärinkäytösten hallinta kaipaa lisää huomiota. CER- ja erityisesti NIS2-direktiivi puskevat kyberturvallisuuden entistä paremmalle tolalle, ja verkostojen kautta saadaan arvokasta oppia ja tukea. Yhteistyöllä, vertaistuella ja jatkuvalla koulutuksella tulevaisuus näyttää valoisalta!

Digipoolin verkoston, eli ICT alan kokonaisturvallisuudenhallinta on pitkälti yritysten itsensä hallussa eikä sen tilaa laajasti tunneta. Epäilys verkoston yritysten tilasta on ollut se, että tila ja ratkaisut ovat hyvinkin yrityskohtaiset ja hajonta turvallisuudenhallinnan kypsyydessä on iso. Tähän aiheeseen piti saada lisäselvyyttä nykyisessä geopoliittisessa tilanteessa ja nyt alan yritysten kokonaisturvallisuuden hallinnan tilaa on selvitetty pienen projektin kautta.

Projektissa järjestettiin Kysely sekä haastatteluita anonyymin tiedon keräämiseksi. Kyselyyn vastasi yli 30 alan yrityksen edustajaa ja 10 yrityksen edustajaa haastateltiin näkemyksien esiin saamiseksi. Yhteensä siis lähes 50 yrityksen edustajaa alalta otti kantaa kokonaisturvallisuuden hallinnan tilaan yrityksissä. Otos on pieni osa alan yrityksistä, mutta edustaa alansa toimijoita, joilta odotetaan korkeatasoista turvallisuudenhallintaa.

Päällimmäisenä havaintona selvityksestä on se että lähtökohtaisesti kaikilla oli turvallisuudenhallintaa ylipäänsä tehty ja vielä huomioiden useimmat EK:n yritysturvallisuusmallin osa-alueet. Turvallisuudenhallinnan tila on siis varsin hyvä alan yrityksissä. Projektissa yritysturvallisuusmallin osa-alueiden tilaa peilattiin alalle oleellisimpiin liiketoimintaa höykyttäviin uhkiin ja riskeihin ja sitä kautta nousi kuitenkin esiin havaintoja, joihin alan yrityksissä nyt kannattaa kiinnittää huomiota.

Uhkia ja riskejä huomioitavaksi

Projekti koosti tunnetuista lähteistä* uhka/riskilistan alan yritysten huomioitavaksi. Listalle nousivat aiheet, joilla todettiin olevan vaikutusta alan yritysten liiketoimintaan ja listalta jäivät siihen vähemmän vaikuttavat aiheet. Seuraavaa listausta toivotaan alan yritysten huomioivan omassa jatkuvuudenhallinnassa.

UhkaKuvaus
RikollisuusSisäinen ja/tai ulkoinen petos/kyberrikollisuus. Terrorismi.
TiedusteluTiedonhankintaa mm. tuotekehityksestä
VaikuttaminenHybridi- ja Informaatiovaikuttamista, jolla halutaan luoda epävakautta tai henkilötason vaikuttaminen, maalittaminen. Yritysten mainehaitta voi vaikuttaa liiketoiminnan jatkamiseen ja kriittisten palveluiden tuotantoon.
AsiakasAsiakkaille aiheutetut menetykset ja vahingot sekä asiakaskato.
PalveluKapasiteetin, kompetenssin, prosessien ja/tai tarpeiden epäsuhdanne.
TeknologiaVanhentunut, toimimaton ja/tai kehityskelvoton teknologia; koodin tekijänoikeudet ja lisenssiehdot. Haavoittuvuudet. Verkkolaitteiden suojaamattomuus. Riippuvuudet avaruudesta ja satelliittiratkaisuista. Nousevien teknologioiden kaksikäyttösovellutusten ja vientivalvonnan aukkojen hyödyntäminen.
TuotantoTieto- ja viestintäverkkojen ja palveluiden häiriöt – Infran, IT & OT ympäristön, verkon, konesalien, päätelaitteiden toimimattomuus. Kyberhyökkäykset. Häiriöt sähkönsaannissa.
AlihankintaToimittajien virheet ja muutoshitaus. Kumppanin kyberhäiriö. Kuljetusten jatkuvuuden häiriöt. Polttoaineiden saannin vakavat häiriöt.
KehitysVaatimuksien määrittelyn, suunnittelun ja koodamisen virheet. Ylimääräinen koodi ohjelmistossa tai aukko asetuksissa. Kotimaisen tutkimuksen ja kehityksen suojaaminen ovat nousevia teemoja
HenkilöstöHenkilöstön (sis. yritysjohto) työmotivaation, osaamisen ja toimintakyvyn puute. Henkilöstön vaihtuvuus. Puutteet tilanneymmärryksessä johtavat liiketoiminnan ongelmiin. pelastustoiminnan ja toimitilaturvallisuuden puutteet aiheuttavat henkilöstöön kohdistuvia uhkia. Vakava ydinvoimalaitosonnettomuus Suomessa tai Suomen lähialueilla
PandemiaPandemian tai muun vastaavan laajalle levinneen epidemian moniulotteiset vaikutukset, jotka näkyvät kokonaisvaltaisesti esim. tuotannossa, työntekijöissä, kyberhyökkäyksissä
TalousTalouden tai rahoitusjärjestelmän häiriöt, ulkomaankaupan häiriöt aiheuttavat uhan huoltovarmuudelle ja yritysten liiketoiminalle. Esim. Kauppapakotteiden kiertäminen häivyttämällä hankintaketjuista tiedon todellisesta ostajasta sekä hankkimalla tuotteita kolmansien maiden kautta. Digitaalisen rahansiirron käyttö ja virtuaalivaluuttojen yleistyminen vaikuttavat epävirallisen pankki- ja rahansiirtopalvelusektorin vahvistumiseen. Yrityksen oman talouden tappiot häiriötilanteista.
HäiriötRauta- ja/tai softaviat. Inhimilliset erehdykset.
LuonnonilmiötÄärimmäisen voimakas avaruusmyrsky
SotaSota uhkaa monen yrityksen liiketoiminnan jatkamisen mahdollisuuksia. Toisaalta monien liiketoiminta jatkuu, mutta muuttuneissa olosuhteissa. Valmiussuunnittelua tulee tehdä liiketoiminnan jatkamiseksi ja palveluiden tuotannon turvaamiseksi.
Taulukko 1 Uhkia ja riskejä alalla huomioitavaksi

(* YTS2017, Kyberturvallisuusstrategia 2019, Kansallinen riskiarvio 2023, Supo Kansallisen turvallisuuden katsaus 2023, VNP huoltovarmuuden tavoitteista 2018, Valtioneuvoston huoltovarmuusselonteko 2022, Allied Universal – World security report 2023).

Keskeiset havainnot kokonaisturvallisuuden tilasta

Kuten sanottua vaikuttaisi alan yrityksille olevan tärkeää huolehtia turvallisuudestaan laajasti, mutta ns. käsitys hyvästä turvallisuuden tasosta vaihteli osallistujittain ja sikäli hajonta kypsyydessä mietityttää. Selvityksen myötä oli alan yritysten kokonaisturvallisuuden aiheet mahdollista asettaa myös kypsyysjärjestykseen. Ja ei ehkä yllättäen tietoturvallisuus oli suhteellisesti kypsimmäksi osa-alueeksi arvioitu. Huoltovarmuuden näkökulmasta Varautumisen ja kriisinhallinnan jääminen jättöpäähän tässä vertailussa on tietysti pieni pettymys ja asia, jota Digipoolikin pyrkii kehittämään. Vastauksissa väärinkäytösten ja poikkeamien hallintaan liittyi eniten epävarmuutta – kaikki yritykset sitä jollain tasolla tekevät, mutta kysymyksenä tuntui olevan, että mitä kaikkea aiheeseen oikein kuuluukaan?

Kuva 1 Yritysturvallisuuden osa-alueiden suhteellinen kypsyys järjestyksessä

Alalla sovelletut turvallisuudenhallintaan liittyvät standardit

Mielenkiintoista oli nähdä myös se, kuinka alan yritykset ovat kokeneet tarpeelliseksi lähteä standardoitumaan turvallisuudenhallinnan osa-alueissa. Ja alalle tyypillisimmästä standardista ei ole epäselvyyttä – ISO27001 vaikuttaa ehdottomasti suurimman osan toimijoiden toimintaan. Ehkä enemmän yllättäen riskienhallinnan, laadunhallinnan ja jatkuvuudenhallinnan standardit loistivat poissaolollaan – näitä kyllä sovellettiin yrityksissä (vaihtelevasti), mutta niiden osalta ei oltu nähty tarpeelliseksi standardoitua. Kaupallinen etu ja asiakasvaatimukset ohjaavatkin vahvasti alan yritysten standardoitumista. NIS2 direktiivin ja 2024 voimaantulevan Lain kyberturvallisuuden riskienhallinnasta kannalta korostuu edelleen ISO27001 merkitys, mutta kenties myös tarve riskienhallinnan toimenpiteiden kehitykselle.

Kuva 2 Alalla sovelletut standardit

Kehitettävää priorisoinnin perusteella

Koska nykyinen turvallisuusympäristö on haastava on todettu tarpeelliseksi arvioida uhkia ja riskejä ja niiden vaikutusta toimintaan. Niinpä tässäkin projektissa kokonaisturvallisuuden osa-alueiden suhteellista kypsyyttä peilattiin em. Uhka/Riskilistauksen aiheisiin. Uhkien ja riskien osalta arvioitiin niiden oleellisuus alan yrityksille ja sen avulla niitä painotettiin. Peilaamalla suhteellisia kypsyysarvioita painotettuihin riskeihin saatiin aikaan priorisoitu kehityslista alalla huomioitavaksi. Digipoolin ja huoltovarmuuden kannalta tulos oli mielenkiintoinen, sillä Varautumisen ja jatkuvuudenhallinnan kehitys nousi tärkeimmäksi kehitysaiheeksi. (Toisaalta suhteellisen matalan kypsyyden ja toisaalta ajankohtaisten uhkien kannustamana).

Lakisääteiset aiheet, kuten pelastus ja työturvallisuus olivat varsin hyvin hallussa alan yrityksillä eivätkä niiden korostaminen riskipeilauksen myötä noussut oleelliseksi.

Riskipeilauksen perusteella muodostettu priorisoitu kokonaistuvallisuuden osa-alueiden kehitysjärjestys on:

Prio.SuhdelukuTurvallisuuden osa-alue
1.5,36Varautuminen ja kriisinhallinta
2.5,00Tuotannon ja toiminnan turvallisuus
3.3,87Henkilöturvallisuus
4.3,87Väärinkäytösten ja poikkeamien hallinta
5.3,82Tietoturvallisuus
6.3,20Ympäristöturvallisuus
7.2,90Kiinteistö- ja toimitilaturvallisuus
8.2,86Pelastusturvallisuus
9.2,73Työturvallisuus (työterveyshuolto ja työsuojelu)
Taulukko 2 Priorisoitu kokonaisturvallisuuden osa-alueiden kehitysjärjestys

Avoimet kysymykset / Pohdittavaksi jäävät asiat

Selvitys kosketti monia yritysturvallisuuden osa-alueita ja löysi selviä kehitystarpeita, mutta myös avoimeksi jääviä aiheita. Monet avoimeksi jääneet aiheet jättävät epäilyn kehitystarpeesta ja havainnon vahvistamiseen kannattanee panostaa. Tällaisia avoimia aiheita löytyy em. Prioriteettilistan aiheista. Selvitettävää löytyy mm. seuraavista aiheista:

Digipoolin kokonaisturvallisuudenhallinnan selvitys 2024

Selvitys tuotti paljon tietoa yritysten turvallisuudenhallinnan tilasta ja Digipoolissa toivomme, että tarkastelu motivoi pohtimaan yrityksen omaa tilannetta havaintoaiheissa. Ja mikäli aiheen kehitystä lähdetään tarkastelun perusteella tekemään olemme kiinnostuneita kuulemaan havainnoista ja tukemaan kehitystä – jos ei muuten niin ainakin tarjoamaan verkoston vertaistukea.

Havaintoja myös käsitellään verkoston ryhmissä ja jaoksissa ja pyritään löytämään yhteisymmärrys aiheista, jotka aidosti vaativat tukea kehittyäkseen. Näissä aiheissa voitaneen käynnistää projekteja, jotka tukevat yrityksiä kehityspyrkimyksissään.

Projekti tuotti siis tietoa eri kokonaisturvallisuuden osa-alueista ja suosituksia aiheista, joihin kiinnittää huomiota. Näihin aiheisiin voit tutustua raportin kautta. Projektin tuottaman raportin voit kokonaisuudessaan ladata tästä:

Kirjoittanut: Antti Nyqvist, Valmiuspäällikkö, Digipoolin poolisihteeri 👇

Lisätietoja