Tietoturva Nyt!
Toimitusketjuhyökkäykset ovat yleistyneet viime vuosina. Asia on huomioitu myös NIS2-direktiivissä ja sen kyberturvallisuuden riskienhallinnan toimenpiteissä. NIS2-direktiivissä toimitusketjun hallintavelvoite ulottuu toimijan välittömiin toimittajiin ja palveluntarjoajiin. Hankintojen osalta uusi NIS2-direktiivi korostaa tuotteen tai palvelun kyberturvallisuuden huomioimista koko elinkaaren ajalta.
Hankintojen ja toimitusketjujen turvallisuus koostuu monesta tekijästä. Niihin kohdistuvien riskien hallitsemiseksi NIS2-direktiivissä esitetään hankintojen ja toimitusketjujen turvallisuutta koskevia velvoitteita. Tämän artikkelin viimeisessä osiossa esittelemme muutamia hallinnollisia ja teknisiä keinoja. Artikkelin alussa kerromme yleisesti hankintojen turvallisuudesta sekä toimitusketjuihin tyypillisimmin kohdistuvista kyberhyökkäyksistä.
Hankintojen turvallisuus - kyberriskien tunnistaminen ja hallinta
Uuden ohjelmiston käyttöönotto voi olla niin tavanomaista, ettei sitä edes mielletä hankinnaksi, jossa tulisi huomioida myös turvallisuus. Epäonnistuneet hankinnat voivat tuottaa kyberturvallisuuteen liittyviä uhkia, menetyksiä ja teknisiä haasteita. Nykymaailmassa lähes kaikkeen toimintaan tarvitaan jonkinlaista ohjelmistoa. Kyberturvallisuusriskin hallitsemiseksi pitäisi olla mahdollisimman tietoinen siitä, mitä sovelluksia ja laitteita ympäristössä on.
Hankintoihin kohdistuvia vaatimuksia tai rajoitteita voi tulla esimerkiksi laeista ja saatavilla olevasta tuote- tai palvelutarjonnasta. Tuotteen tietoturvaominaisuuksien lisäksi olisi hyvä tarkastella myös muun muassa tietosuoja-asioita, immateriaalioikeuksia ja lisenssiehtoja.
Turvallisuuden tulisi ulottua kilpailutusvaiheesta tuotteen tai palvelun käytöstä poistamiseen saakka. Elinkaaren aikana voi tapahtua muutoksia alihankintaketjussa, jotka voivat muuttaa tilannetta toimijan kannalta epäsuotuisaan suuntaan. Tämän vuoksi toimitusketjun aiheuttamaa riskiä ja hankinnan turvallisuutta tulisi arvioida säännöllisesti ja aina muutosten yhteydessä.
Palvelua ja tuotetta hankittaessa toimittajan kanssa voidaan sopia esimerkiksi tuotteen, ohjelmiston tai palvelun turvallisuuden ajan tasalla pitämisestä ja turvallisuuspäivityksistä, jatkuvuuden hallinnasta ja varmuuskopioinneista. Lisäksi sopimuksin voidaan sopia myös parhaiden käytänteiden tai standardien noudattamisesta sekä sertifioinnista, mikä voi antaa lisävarmuutta ja läpinäkyvyyttä turvallisuuden toteuttamiseen.
Suurissa hankkeissa ja projekteissa toimitusketjun hallinta voi olla haastavaa, jos saman tuotteen tai palvelun toimittamiseen osallistuu useampi toimittaja ja tästä voi muodostua uusia riskejä. Tällaisissa tilanteissa yhteisistä käytänteistä, standardeista, toimintamalleista, menettelyistä ja työkaluista sopiminen on tärkeää. Esimerkiksi monitoimittajahankkeissa kannattaa miettiä toimintamallit myös turvallisesta dokumenttien jakamiseen, säilömiseen sekä viestintäkanavien käyttöön.
Traficomin suosituksessa kyberturvallisuuden riskienhallinnan toimenpiteistä pyritään tarjoamaan työkaluja hankintoihin liittyvien kyberriskien tunnistamiseen ja hallintaan.
Toimitusketjuhyökkäykset ovat vakava uhka
Toimitusketjuihin on osunut maailmanlaajuisesti useita, hyvin vakavia hyökkäyksiä aivan viime vuosina. Toimitusketjuhyökkäyksessä organisaation tietojärjestelmiin murtaudutaan verkostojen, palveluiden, tuotteiden tai avoimen lähdekoodin projektien kautta. Hyökkäyksessä hyväksikäytetään organisaatioiden luottamusta toimittajiinsa. Hyökkäysten seuraukset voivat olla mittavia ja kohdistua kerralla suureen määrään toimittajia ja asiakkaita.
Omaisuudenhallinta riskien tunnistamisen apuna
Toimitusketjuriskin tunnistamisessa ja hallinnassa auttaa hyvä omaisuudenhallinta. Osana omaisuusluetteloa kannattaa laatia myös toimijaluettelo, johon kootaan palveluntarjoajat ja toimittajat sekä heidän toimittamansa tuotteet. Erityisen tärkeää on tunnistaa toiminnan jatkuvuuden kannalta merkitykselliset tuotteet ja palvelut ja kiinnittää näihin huomiota. Traficomin suosituksessa kyberturvallisuuden riskienhallinnan toimenpiteistä on esimerkkejä, miten toimijaluettelon voisi laatia ja mitä asioita omaisuudenhallinnassa voi huomioida.
Riskiarviointia olisi hyvä tehdä jo hankinnan suunnitteluvaiheessa. Osana riskiarviointia tulisi tunnistaa ja arvioida hankitun palvelun, tuotteen tai ohjelmiston häiriön vaikutus omaan toimintaan. Häiriö voi olla esimerkiksi palvelukatkos, toimitusongelma, tietoturvaan liittyvä tapahtuma tai palvelun ennakoimaton päättyminen. Palveluun, tuotteeseen tai ohjelmistoon kohdistuvan toimitusketjun aiheuttamien uhkien tunnistamisessa auttavat myös uhka-analyysit ja uhkamallinnus.
Henkilöstökoulutus ja ohjeet ovat osa riskien hallintaa
Toimitusketjuista ja hankinnasta aiheutuvaa kyberturvallisuusriskiä voidaan hallita esimerkiksi sopimuksilla ja organisaation sisäisillä tietoturvavaatimuksilla, kuten esimerkiksi henkilöstökoulutuksilla ja tietoturvaohjeilla. Erityisesti henkilöstökoulutukset ovat yksi keino lisätä henkilöstön tietoisuutta asiasta.
Tietoturvapolitiikassa, -ohjeissa ja henkilöstön koulutuksessa olisi hyvä huomioida alihankintasopimukset ja toimittajat ja sisällyttää tarvittavat menettelyt varmistamaan toimitusketjun turvallisuus. Esimerkiksi sopimuksen loputtua alihankkija velvoitetaan palauttamaan datan ja välineet tilaajalle. Lisäksi tietoturvaohjeissa olisi syytä huomioida myös esimerkiksi alihankkijan mahdollisten pääsyoikeuksien poisto tilaajan järjestelmiin ja tiloihin.
Havaitse, estä ja rajaa
NIS2-direktiivissä on useita teknisiä riskienhallinnan toimenpiteitä, joiden toteuttaminen auttaa hallitsemaan myös toimitusketjuista aiheutuvaa ja toteutunutta riskiä. Havainnointikyky epätyypillisestä verkkoliikenteestä ja haittaohjelmien leviämisen estäminen esimerkiksi vyöhykkeistämällä ovat vain yksittäisiä esimerkkejä teknisistä ratkaisuista.
Ennen tuotteen tai palvelun käyttöönottoa on tietoturvatestauksella hyvä varmistaa, että se toimii niin kuin on sovittu ja että se sisältää juuri ne komponentit ja ominaisuudet, joista on sovittu. Toiminnan jatkuvuuden kannalta kriittisen tuotteen pitäisi olla myös saatavilla aina tarvittaessa. Tämä tarkoittaa esimerkiksi riittävän nopeaa varalaitteen toimitusta laiterikon yhteydessä, ylläpito- ja tukipalvelujen laajuutta ja vastausviivettä sekä tuotteen riittävän pitkää elinkaarta. Tällaiset asiat on toki hyvä huomioida myös hankintasopimuksissa.
Hankittaessa palveluita, laitteita ja ohjelmistoja, kannattaa toimittajalta kysyä myös ajantasaista materiaaliluetteloa ohjelmistoista (software bill of materials, SBOM). Materiaaliluettelo auttaa toimijaa tunnistamaan mahdolliset ohjelmistoriippuvuudet ja haavoittuvuudet. Tarvittaessa tuotteessa tai palvelussa havaittuja haavoittuvuuksia voidaan tämän jälkeen kompensoida muita teknisiä hallintakeinoja lisäämällä, esimerkiksi eriyttämällä palvelun muusta verkosta.
Uhkien tunnistamisessa auttaa myös uhkamallinnus. Uhkamallinnus kannattaa tehdä systemaattisesti koko järjestelmään ja arvioida erityisesti toimittajien ja palveluntarjoajien rajapinnat ja käyttöoikeudet.
Kyberturvallisuuskeskuksen palvelut havainnointikyvyn tukena
Lisää tietoa aiheesta
Seuraavat NIS2-direktiiviä käsittelevät uutisemme käsittelevät uhkamallinnusta sekä poikkeaman havaitsemista. Lue myös edelliset uutiset perustason tietoturvakäytännöistä ja kyberturvallisuuden riskienhallinnasta.