Lappari
Blogi

Tarvitaanko ohjeita palvelutuotannon varautumiselle?

Digipooli halusi selvittää onko palvelutuotannon varautumisen vaatimuksille tarvetta kun maailma on jo muutoinkin pullollaan ohjeistusta. Aiheen tekee haastavaksi se, että ohjeistusta on, mutta se on varsin vahvasti julkishallinnon lähtökohdista tehtyä eikä suoraan soveltuvaa yritysten väliseen kanssakäymiseen. Tai olemassa olevat ohjeistukset eivät ole ajan tasalla.

Näistä lähtökohdista KPMG selvitti Huoltovarmuuskeskuksen ja digipoolin toimeksiannosta, miten eri organisaatiot kokevat tarvetta kehittää varautumista ICT-palvelutuotannossaan ja onko ohjeistuksille tarvetta. Saatujen tulosten perusteella yleisiä varautumisen perusteita ja toimialayrityksille ict palvelutuotannon varautumista koskeva ohje nähdään tarpeelliseksi laatia ja julkaista sekä järjestää aiheesta valmennusta.

Viimeaikaiset aggressiivisetkin geopoliittiset muutokset ovat herättäneet huolta niin kansalaisissa kuin yrityksissä ja poikkeaviin olosuhteisiin varautumisesta on tullut arkipäivää - joka näkyy mm. lisääntyvinä yhteydenottoina Digipoolin toimistolla. Kaikkien organisaatioiden liiketoiminta on riippuvaista tietoliikenteestä ja kansainvälisistä yhteyksistä, joihin on Ukrainan sodan seurauksena kohdistunut monia uhkia ja ylipäänsä yritysten kokemat häiriöt ovat lisääntyneet. Häiriöiden vaikutuksen kohteena ovat esimerkiksi toimitusketjut, jotka ovat riippuvaisia erilaisista informaatiovirroista. Ja lisääntyneet palveluestohyökkäyksetkin ovat lopulta enemmän häiriöitä informaatiokentässä kuin teknisesti haastavia tapahtumia. Tilanne on joka tapauksessa johtanut tarpeeseen varautua niin EU:ssa kuin kansallisella tasolla ja yrityksissä - onkin lähdetty tekemään toimenpiteitä muun muassa informaatiovirtojen häiriönsietokyvyn kehittämiseksi. (HVK informaatioturvallisuuskeskus pilotti)

Aiemmista toimialojen kyberkypsyyden selvityksistämme selvityksistä ilmenee, että viime vuosina eri organisaatiot ovat tuottaneet ohjeistuksia yksittäisiin ICT-varautumisen aiheisiin. Yksittäisiä ohjeita on siis olemassa vaikka informaatiovaikuttamiseen varautumisesta, mutta kotimaisia yrityksiä avustavaa ja kokonaisuuksia tehokkaasti hahmottavaa ajantasaista summaavaa ohjetta ei ole. Lisäksi olemassa olevat ja ajantasaiset varautumisen vaatimukset on suunnattu lähinnä julkishallinnolle.

ICT-palvelutuotannon varautumisen vaatimukset ovat vanhentuneita

Huoltovarmuusorganisaation Digipoolissa päätettiin toteuttaa aiheeseen liittyen esiselvitys, jonka toteuttajaksi valittiin KPMG Oy Ab. Esiselvitys toteutettiin kyselytutkimuksena, jossa pyydettiin näkemyksiä ICT-palvelutuotannon varautumisen vaatimusten ohjeen tarpeellisuudesta. Samalla tiedusteltiin ohjeeseen liittyvän valmennuksen tarvetta muun muassa sisällön soveltamista koskien.

Selvitykseen valittiin Huoltovarmuusorganisaation yrityksiä ja organisaatioita. Esiselvitys toteutettiin kesä-lokakuussa ja kysely syyskuussa 2023. Kysely lähetettiin noin 100 henkilölle, joista 55 vastasi. Kyselyyn osallistui yrityksiä ja organisaatioita lähes kaikista Huoltovarmuusorganisaation pooleista sekä kattavasti ELVAR-toimikuntien asiantuntijoita.

Esiselvityksen aikana analysointiin taustamateriaalia, kuten EU-direktiivejä, Suomen lainsäädäntöä soveltuvilta osin, VAHTI-ohjeita, Sopiva-suosituksia, ISO-standardeja ja aiheeseen liittyviä muita selvityksiä. Analyysin tuloksena havaittiin, että ICT-palvelutuotannon varautumisen vaatimuksia on tunnistettavissa runsaasti, mutta suurin osa niistä on vanhentuneita ja kuten sanottua huoltovarmuuden kannalta kokonaisuutta koostavaa kokonaisuutta ei ole. 

Kyselytutkimuksen perusteella voidaan todeta, että useimmissa yrityksissä ja organisaatioissa tuotetaan varautumissuunnitelmia oman toiminnan turvaamiseksi. Selvä enemmistö kyselytutkimukseen vastanneista toivoi konkreettisia ja esimerkein esiteltyjä toimialakohtaisia ohjeita varautumissuunnittelun perusteista.  

Tulevaisuudessa on yritysten palvelutuotannon varautumista ja toiminnan jatkuvuutta tuettava päivitetyllä ja kokoavalla ohjeella

Varautumisen periaatteet ovat aina tähdänneet toiminnan jatkuvuuteen, nyt asiakirja- ja kyselytutkimuksen perusteella on nähtävissä tarve kehittää toimintaa päivitetyllä ja kokoavalla ohjeella niin että katetaan varautumissuunnittelulla jatkuvuudenhallinta sekä valmiussuunnittelu soveltuvin osin. Tätä tarvetta lisäävät vuoden 2024 lokakuussa voimaan astuvat EU:n NIS2- ja CER-direktiivien kansalliset implementaatiot. 

Seuraava toimenpide onkin varautumisohjeen laatiminen direktiivien vaatimukset ja voimaantulo huomioon ottaen. Esiselvityksen perusteella vastaajat toivovat ohjeeseen toimialakohtaisia perusteita ICT-varautumisen suunnitelman laatimiseksi, ylläpitämiseksi ja kehittämiseksi. Ohjeen valmennusohjelma tullaan liittämään osaksi käyttöönottoa ja on osa poolien tarjoamaa koulutusohjelmaa. Ohjeistusta tuottava projekti tultaneen tekemään vuoden 2024 aikana osana Digitaalisen turvallisuuden kehitysohjelmaa

Varautumisen viitekehys
Esimerkki viitekehyksestä, minkä puitteissa varautumissuunnittelua tehdään.

Jutun ovat kirjoittaneet Perttu Luhtakanta, KPMG:ltä ja Antti Nyqvist, Digipoolista.