Ensi lokakuussa voimaan astuva EU:n päivitetty kyberturvallisuusdirektiivi NIS2 tulee vaatimaan asetuksessa mainituilla toimialoilla operoivilta sekä kriittisten alojen yrityksiltä ja organisaatioilta vastuuta myös toimitusketjunsa tietoturvallisuudesta. Miten toimitusketjun kyberturvallisuus varmistetaan?
Lainsäädännön tiukkeneminen on yksi syy pitää huolta toimitusketjun tietoturvallisuuden korkeasta tasosta. Lisäksi turvallisesta toimitusketjusta huolehtiminen tuo myös selkeitä etuja liiketoiminnan jatkuvuuden turvaamisen ja mainehaittojen torjumisen näkökulmasta. Samalla torjutaan mahdollisia taloudellisia tappioita, joita väistämättä koituu kyberturvaloukkauksen osuessa toimitusketjuun.
Se, että yritys pystyy tarjoamaan asiakkailleen luotettavaa palvelua varmistamalla toimitusketjunsa tietoturvallisuuden tuo myös selkeää kilpailuetua yritykselle.
Kartoita koko toimitusketju ja mahdolliset järjestelmäriippuvuudet
Ensimmäinen askel toimitusketjun tietoturvallisuuden varmistamisessa on kartoittaa ylipäänsä toimitusketju ja yrityksen erilaiset toimittajat. Toimitusketjun kartoittaminen aloitetaan toimitusketjun ymmärtämisestä – mitä prosesseja ja toimijoita liittyy siihen, että tuotteet ja palvelut saadaan toimitettua asiakkaille? Minkälaisia vaiheita ja toimijoita taas liittyy yrityksen omiin hallinnollisiin prosesseihin?
Toimitusketjun kartoittaminen auttaa tunnistamaan erilaiset toimittajat. Näitä voivat olla esimerkiksi palveluiden tai raaka-aineiden toimittajat, valmistajat, tuotteiden jakelijat ja niin edelleen. Tietoa erilaisista toimittajista voi saada tarkastelemalla esimerkiksi tietokantojen, ostojen ja ostolaskujen tai sopimusten tietoja.
Monissa yrityksissä toimittajien kartoitusta tehdään jo nyt säännöllisesti, esimerkiksi kerran vuodessa, jolloin toimitusketjun hahmottaminen ja toimittajien kartoittaminen on myös kyberturvallisuuden näkökulmasta helpompaa.
Kun toimitusketju on kartoitettu, analysoidaan siihen liittyviä riippuvuussuhteita ja riskejä. Riskianalyysissä otetaan huomioon luonnollisesti yrityksen liiketoimintaan liittyvät riskit, esimerkiksi palveluiden tai raaka-aineiden saatavuus, mutta myös tietoturvaan ja kyberturvallisuuteen liittyvät riskit. Tällaisia voivat olla esimerkiksi yhteisesti käytössä oleva järjestelmät tai toimittajan käyttämät järjestelmät ja toimittajayrityksen järjestelmäarkkitehtuuri. Huomionarvoista on, että tänä päivänä liiketoiminnan kannalta olennaisen kriittisiä toimittajia löytyy myös järjestelmätoimittajista.
Lue lisää: EU:n uusi tietoturvadirektiivi NIS2 tulee, oletko valmis?
Varmista järjestelmien turvallisuus ja tarkista toimittajan taustat
Toimittajien riskikartoituksessa voidaan hyödyntää niin yrityksiltä itseltään saatavaa tietoa kuin avoimista lähteistä, kuten internetissä, vapaasti jaossa olevaa tietoa.
Jos toimittajalla on ollut ongelmia tietoturvansa kanssa aiemmin, ja sen järjestelmistä on vaikkapa onnistuttu viemään esimerkiksi asiakkaiden henkilötietoja tai asiakasyritysten tietoja, tapahtumasta löytyy todennäköisesti tietoa avoimien lähteiden kautta. Toimittajien taustoja voidaan tarkastella vaikkapa sosiaalisen median keskusteluista tai uutisarkistoista.
Kun tarkastellaan toimittajan käyttämiä järjestelmiä, voidaan turvautua myös erilaisiin järjestelmiin liittyviin tietoturvastandardeihin ja parhaisiin käytäntöihin. Näitä ovat julkaisseet ainakin Open Web Application Security Project (OWASP), CIS (Center for Internet Security) Benchmarks sekä ISO-standardit. Myös kotimainen, Kyberturvallisuuskeskuksen luoma kybermittari on hyvä työkalu organisaatioiden ja siten myös toimittajien kyberturvan tason arviointiin.
Pyydä riskiarviointi toimittajalta itseltään
Myös toimittajalta itseltään voidaan saada tietoa ja arvioita kyberturvallisuuden tasosta, ja se onkin tehokas tapa huolehtia toimitusketjun turvallisuudesta. Kun riskit ja heikot kohdat ovat tiedossa, ja myös vaikutukset ovat skenaarioissa mukana, saadaan toimitusketjuun ja toimittajien prosesseihin läpinäkyvyyttä ja hallittavuutta.
Toimittajalta voidaan myös edellyttää tietoturvaraportointia asiakkuuden ehtona. Edellytettävän raportoinnin laajuus voi vaihdella yrityksen koosta ja toimitusketjun tärkeydestä riippuen.
Huomionarvoista on, että NIS2-direktiivin soveltamisala on varsin laaja ja se koskee 15 eri toimialaa. Näin ollen todennäköistä on, että myös toimittajasi on NIS2-direktiivin alainen, ja myös heitä ja heidän toimitusketjuaan koskevat samat kartoitus- ja raportointivelvollisuudet.