Lukittu
Blogi

Digipoolin yritysten kokonaisturvallisuudenhallinnan tilasta

Katsaus ICT yritysten turvallisuudenhallinnan tilanteeseen: Monet firmat ovat jo hyvin kartalla lakisääteisistä turvallisuusaiheista ja kyberturvallisuudessa ne suorastaan loistavat. Tietoturva on kunnossa, mutta kokonaisturvallisuudenhallinnan organisointia voisi kenties selkeyttää. Pandemioista on opittu ja varautuminenkin on jollain tasolla hanskassa. Toisaalta ympäristöturvallisuudessa ja riskienhallinnassa on vielä petrattavaa ja väärinkäytösten hallinta kaipaa lisää huomiota. CER- ja erityisesti NIS2-direktiivi puskevat kyberturvallisuuden entistä paremmalle tolalle, ja verkostojen kautta saadaan arvokasta oppia ja tukea. Yhteistyöllä, vertaistuella ja jatkuvalla koulutuksella tulevaisuus näyttää valoisalta!

Digipoolin verkoston, eli ICT alan kokonaisturvallisuudenhallinta on pitkälti yritysten itsensä hallussa eikä sen tilaa laajasti tunneta. Epäilys verkoston yritysten tilasta on ollut se, että tila ja ratkaisut ovat hyvinkin yrityskohtaiset ja hajonta turvallisuudenhallinnan kypsyydessä on iso. Tähän aiheeseen piti saada lisäselvyyttä nykyisessä geopoliittisessa tilanteessa ja nyt alan yritysten kokonaisturvallisuuden hallinnan tilaa on selvitetty pienen projektin kautta.

Projektissa järjestettiin Kysely sekä haastatteluita anonyymin tiedon keräämiseksi. Kyselyyn vastasi yli 30 alan yrityksen edustajaa ja 10 yrityksen edustajaa haastateltiin näkemyksien esiin saamiseksi. Yhteensä siis lähes 50 yrityksen edustajaa alalta otti kantaa kokonaisturvallisuuden hallinnan tilaan yrityksissä. Otos on pieni osa alan yrityksistä, mutta edustaa alansa toimijoita, joilta odotetaan korkeatasoista turvallisuudenhallintaa.

Päällimmäisenä havaintona selvityksestä on se että lähtökohtaisesti kaikilla oli turvallisuudenhallintaa ylipäänsä tehty ja vielä huomioiden useimmat EK:n yritysturvallisuusmallin osa-alueet. Turvallisuudenhallinnan tila on siis varsin hyvä alan yrityksissä. Projektissa yritysturvallisuusmallin osa-alueiden tilaa peilattiin alalle oleellisimpiin liiketoimintaa höykyttäviin uhkiin ja riskeihin ja sitä kautta nousi kuitenkin esiin havaintoja, joihin alan yrityksissä nyt kannattaa kiinnittää huomiota.

Uhkia ja riskejä huomioitavaksi

Projekti koosti tunnetuista lähteistä* uhka/riskilistan alan yritysten huomioitavaksi. Listalle nousivat aiheet, joilla todettiin olevan vaikutusta alan yritysten liiketoimintaan ja listalta jäivät siihen vähemmän vaikuttavat aiheet. Seuraavaa listausta toivotaan alan yritysten huomioivan omassa jatkuvuudenhallinnassa.

Uhka

Kuvaus

Rikollisuus

Sisäinen ja/tai ulkoinen petos/kyberrikollisuus. Terrorismi.

Tiedustelu

Tiedonhankintaa mm. tuotekehityksestä

Vaikuttaminen

Hybridi- ja Informaatiovaikuttamista, jolla halutaan luoda epävakautta tai henkilötason vaikuttaminen, maalittaminen. Yritysten mainehaitta voi vaikuttaa liiketoiminnan jatkamiseen ja kriittisten palveluiden tuotantoon.

Asiakas

Asiakkaille aiheutetut menetykset ja vahingot sekä asiakaskato.

Palvelu

Kapasiteetin, kompetenssin, prosessien ja/tai tarpeiden epäsuhdanne.

Teknologia

Vanhentunut, toimimaton ja/tai kehityskelvoton teknologia; koodin tekijänoikeudet ja lisenssiehdot. Haavoittuvuudet. Verkkolaitteiden suojaamattomuus. Riippuvuudet avaruudesta ja satelliittiratkaisuista. Nousevien teknologioiden kaksikäyttösovellutusten ja vientivalvonnan aukkojen hyödyntäminen.

Tuotanto

Tieto- ja viestintäverkkojen ja palveluiden häiriöt - Infran, IT & OT ympäristön, verkon, konesalien, päätelaitteiden toimimattomuus. Kyberhyökkäykset. Häiriöt sähkönsaannissa.

Alihankinta

Toimittajien virheet ja muutoshitaus. Kumppanin kyberhäiriö. Kuljetusten jatkuvuuden häiriöt. Polttoaineiden saannin vakavat häiriöt.

Kehitys

Vaatimuksien määrittelyn, suunnittelun ja koodamisen virheet. Ylimääräinen koodi ohjelmistossa tai aukko asetuksissa. Kotimaisen tutkimuksen ja kehityksen suojaaminen ovat nousevia teemoja

Henkilöstö

Henkilöstön (sis. yritysjohto) työmotivaation, osaamisen ja toimintakyvyn puute. Henkilöstön vaihtuvuus. Puutteet tilanneymmärryksessä johtavat liiketoiminnan ongelmiin. pelastustoiminnan ja toimitilaturvallisuuden puutteet aiheuttavat henkilöstöön kohdistuvia uhkia. Vakava ydinvoimalaitosonnettomuus Suomessa tai Suomen lähialueilla

Pandemia

Pandemian tai muun vastaavan laajalle levinneen epidemian moniulotteiset vaikutukset, jotka näkyvät kokonaisvaltaisesti esim. tuotannossa, työntekijöissä, kyberhyökkäyksissä

Talous

Talouden tai rahoitusjärjestelmän häiriöt, ulkomaankaupan häiriöt aiheuttavat uhan huoltovarmuudelle ja yritysten liiketoiminalle. Esim. Kauppapakotteiden kiertäminen häivyttämällä hankintaketjuista tiedon todellisesta ostajasta sekä hankkimalla tuotteita kolmansien maiden kautta. Digitaalisen rahansiirron käyttö ja virtuaalivaluuttojen yleistyminen vaikuttavat epävirallisen pankki- ja rahansiirtopalvelusektorin vahvistumiseen. Yrityksen oman talouden tappiot häiriötilanteista.

Häiriöt

Rauta- ja/tai softaviat. Inhimilliset erehdykset.

Luonnonilmiöt

Äärimmäisen voimakas avaruusmyrsky

Sota

Sota uhkaa monen yrityksen liiketoiminnan jatkamisen mahdollisuuksia. Toisaalta monien liiketoiminta jatkuu, mutta muuttuneissa olosuhteissa. Valmiussuunnittelua tulee tehdä liiketoiminnan jatkamiseksi ja palveluiden tuotannon turvaamiseksi.

Taulukko 1 Uhkia ja riskejä alalla huomioitavaksi 

(* YTS2017, Kyberturvallisuusstrategia 2019, Kansallinen riskiarvio 2023, Supo Kansallisen turvallisuuden katsaus 2023, VNP huoltovarmuuden tavoitteista 2018, Valtioneuvoston huoltovarmuusselonteko 2022, Allied Universal – World security report 2023)

Keskeiset havainnot kokonaisturvallisuuden tilasta

Kuten sanottua vaikuttaisi alan yrityksille olevan tärkeää huolehtia turvallisuudestaan laajasti, mutta ns. käsitys hyvästä turvallisuuden tasosta vaihteli osallistujittain ja sikäli hajonta kypsyydessä mietityttää. Selvityksen myötä oli alan yritysten kokonaisturvallisuuden aiheet mahdollista asettaa myös kypsyysjärjestykseen. Ja ei ehkä yllättäen tietoturvallisuus oli suhteellisesti kypsimmäksi osa-alueeksi arvioitu. Huoltovarmuuden näkökulmasta Varautumisen ja kriisinhallinnan jääminen jättöpäähän tässä vertailussa on tietysti pieni pettymys ja asia, jota Digipoolikin pyrkii kehittämään. Vastauksissa väärinkäytösten ja poikkeamien hallintaan liittyi eniten epävarmuutta - kaikki yritykset sitä jollain tasolla tekevät, mutta kysymyksenä tuntui olevan, että mitä kaikkea aiheeseen oikein kuuluukaan?

Yritysturvallisuuden osa-alueiden suhteellinen kypsyys järjestyksessä
Kuva 1 Yritysturvallisuuden osa-alueiden suhteellinen kypsyys järjestyksessä

Alalla sovelletut turvallisuudenhallintaan liittyvät standardit

Mielenkiintoista oli nähdä myös se, kuinka alan yritykset ovat kokeneet tarpeelliseksi lähteä standardoitumaan turvallisuudenhallinnan osa-alueissa. Ja alalle tyypillisimmästä standardista ei ole epäselvyyttä - ISO27001 vaikuttaa ehdottomasti suurimman osan toimijoiden toimintaan. Ehkä enemmän yllättäen riskienhallinnan, laadunhallinnan ja jatkuvuudenhallinnan standardit loistivat poissaolollaan - näitä kyllä sovellettiin yrityksissä (vaihtelevasti), mutta niiden osalta ei oltu nähty tarpeelliseksi standardoitua. Kaupallinen etu ja asiakasvaatimukset ohjaavatkin vahvasti alan yritysten standardoitumista. NIS2 direktiivin ja 2024 voimaantulevan Lain kyberturvallisuuden riskienhallinnasta kannalta korostuu edelleen ISO27001 merkitys, mutta kenties myös tarve riskienhallinnan toimenpiteiden kehitykselle.

Standardit alalla
Kuva 2 Alalla sovelletut standardit

 

Kehitettävää priorisoinnin perusteella

Koska nykyinen turvallisuusympäristö on haastava on todettu tarpeelliseksi arvioida uhkia ja riskejä ja niiden vaikutusta toimintaan. Niinpä tässäkin projektissa kokonaisturvallisuuden osa-alueiden suhteellista kypsyyttä peilattiin em. Uhka/Riskilistauksen aiheisiin. Uhkien ja riskien osalta arvioitiin niiden oleellisuus alan yrityksille ja sen avulla niitä painotettiin. Peilaamalla suhteellisia kypsyysarvioita painotettuihin riskeihin saatiin aikaan priorisoitu kehityslista alalla huomioitavaksi. Digipoolin ja huoltovarmuuden kannalta tulos oli mielenkiintoinen, sillä Varautumisen ja jatkuvuudenhallinnan kehitys nousi tärkeimmäksi kehitysaiheeksi. (Toisaalta suhteellisen matalan kypsyyden ja toisaalta ajankohtaisten uhkien kannustamana).

Lakisääteiset aiheet, kuten pelastus ja työturvallisuus olivat varsin hyvin hallussa alan yrityksillä eivätkä niiden korostaminen riskipeilauksen myötä noussut oleelliseksi.

Riskipeilauksen perusteella muodostettu priorisoitu kokonaistuvallisuuden osa-alueiden kehitysjärjestys on:

Prio.

Suhdeluku

Turvallisuuden osa-alue

1.

5,36

Varautuminen ja kriisinhallinta

2.

5,00

Tuotannon ja toiminnan turvallisuus

3.

3,87

Henkilöturvallisuus

4.

3,87

Väärinkäytösten ja poikkeamien hallinta

5.

3,82

Tietoturvallisuus

6.

3,20

Ympäristöturvallisuus

7.

2,90

Kiinteistö- ja toimitilaturvallisuus

8.

2,86

Pelastusturvallisuus

9.

2,73

Työturvallisuus (työterveyshuolto ja työsuojelu)

Taulukko 2 Priorisoitu kokonaisturvallisuuden osa-alueiden kehitysjärjestys

 

Avoimet kysymykset / Pohdittavaksi jäävät asiat

Selvitys kosketti monia yritysturvallisuuden osa-alueita ja löysi selviä kehitystarpeita, mutta myös avoimeksi jääviä aiheita. Monet avoimeksi jääneet aiheet jättävät epäilyn kehitystarpeesta ja havainnon vahvistamiseen kannattanee panostaa. Tällaisia avoimia aiheita löytyy em. Prioriteettilistan aiheista. Selvitettävää löytyy mm. seuraavista aiheista:

  • Varautuminen ja riskienhallinta aiheessa vaikuttaisi siltä, että on suositeltavaa tehokkuuden tähden viedä kaikki yritysturvallisuuden aiheet samoihin prosesseihin erillisten sijaan. Organisoitumisen vaikutus turvallisuudenhallintaan vaikuttaisi aiheuttavan keskinäisriippuvuusriskien tunnistamiseen haasteita ja toisaalta vaikuttavan myös toimitusketjujen hallintaan.
  • Riskienhallintajärjestelmien tila  alan yrityksissä mietityttää, koska ISO31000-standardi ei ole yleinen ICT-yrityksissä, vaikka se voisi olla arvokas huoltovarmuuden kannalta ja onkin huomattavasti yleisempi muilla aloilla. Aihetta tulee käsitellä alan yritysten kanssa ja pohtia kuinka ala hyötyisi laajemmin riskienhallintajärjestelmistä ja niiden vaikutuksista yritysten kokonaisturvallisuuden hallinnalle.
  • ICT yrityksille tyypillinen tilanne vaikuttaisi olevan vuokrakiinteistöissä toimiminen ja sopimustenhallinnan merkitys korostuu fyysisen turvallisuuden aiheiden hallinnassa. Selvityksen perusteella hallinnan taso vaihtelee suuresti ja vastuuasioissa on kirkastettavaa. Toisaalta vastaajaprofiilit eivät välttämättä tunteneet aihetta hyvin huolimatta turvallisuus roolistaan - havainto myös alleviivaa organisoitumisen merkitystä
  • Väärinkäytösten ja poikkeamien hallinta vaihtelee suuresti yrityksissä - samalla kun tietoturvallisuuteen liittyvät poikkeamat ovat hallittu erinomaisesti alan yrityksissä vaikuttaisi siltä, että muut poikkeamat ja mahdolliset väärinkäytökset eivät ole korkealla prioriteetillä.

 

Digipoolin kokonaisturvallisuudenhallinnan selvitys 2024

Selvitys tuotti paljon tietoa yritysten turvallisuudenhallinnan tilasta ja Digipoolissa toivomme, että tarkastelu motivoi pohtimaan yrityksen omaa tilannetta havaintoaiheissa. Ja mikäli aiheen kehitystä lähdetään tarkastelun perusteella tekemään olemme kiinnostuneita kuulemaan havainnoista ja tukemaan kehitystä - jos ei muuten niin ainakin tarjoamaan verkoston vertaistukea.

Havaintoja myös käsitellään verkoston ryhmissä ja jaoksissa ja pyritään löytämään yhteisymmärrys aiheista, jotka aidosti vaativat tukea kehittyäkseen. Näissä aiheissa voitaneen käynnistää projekteja, jotka tukevat yrityksiä kehityspyrkimyksissään.

Projekti tuotti siis tietoa eri kokonaisturvallisuuden osa-alueista ja suosituksia aiheista, joihin kiinnittää huomiota. Näihin aiheisiin voit tutustua raportin kautta. Projektin tuottaman raportin voit kokonaisuudessaan ladata tästä:

 

Kirjoittanut: Antti Nyqvist, Valmiuspäällikkö, Digipoolin poolisihteeri