Toimitusketjun tietoturva haltuun – vastaaminen NIS2:n esittämiin haasteisiin

Euroopan Unionin uusi NIS2-kyberturvadirektiivi velvoittaa organisaatiot pitämään entistä paremmin huolta myös toimitusketjujen tietoturvasta.

Jos kirjainyhdistelmä NIS2 ei heti soita kelloja, olemme kertoneet itse direktiivistä perusasioita täällä ja yleistasolla siitä mitä toimia direktiivi yrityksiltä vaatii täällä. Tämä teksti syventyy toimitusketjun turvaamiseen ja myös laajemmin tietoturvaan ja liiketoimintaan liittyvien riskien arviointiin uuden direktiivin vaatimukset huomioon ottaen.

Direktiivin sovellusalaan kuuluvat yritykset ja julkiset organisaatiot seuraavilta toimialoilta: Energia-ala, liikenne, finanssiala, vesihuolto, terveydenhuolto, digitaalinen infrastruktuuri, tietoverkkopalvelut, julkishallinto, avaruusalan toimijat, posti- ja kuriiripalvelut, elintarvikkeiden valmistus, tuotanto ja jakelu, valmistava teollisuus, kemianteollisuus, jätehuolto, digitaalisten palveluiden tarjoajat sekä tutkimustoiminta.

NIS2 vaatii soveltamisalaan kuuluvilta toimijoilta esimerkiksi dokumentoidun riskianalyysin, politiikat tietoturvapoikkeamien käsittelyyn, jatkuvuudenhallinnan ja uusien hankintojen tietoturvan varmentamisen. Voit lukea täältä tarkemmin NIS2:n vaatimuksista. Direktiivi astuu voimaan lokakuussa 2024.

Vaikka yritys ei erityisesti kuuluisikaan NIS2 alaisiin toimialoihin tai muuten täytä annettuja kriteereitä, kannattaa huomata, että yhä suurempi osa yrityksistä on siirtymässä käyttämään ISO/IEC 27001 standardin mukaista tietoturvan hallintajärjestelmää ja hyvin todennäköisesti alkavat vaatimaan sitä myös toimitusketjunsa toimijoilta.

NIS2:n soveltamisalaan kuuluvien yritysten on oman tietoturvan hallinnan lisäksi huolehdittava oman toimitusketjunsa turvallisuudesta. Yrityksen tai muun organisaation on helppo ajatella olevan lähtökohtaisesti vastuussa ennen kaikkea itsestään, mutta myös toimittajaketjun tietoturvaan panostamisella voi olla iso merkitys, jonka vuoksi toimitusketjun tietoturva on asia, joka jokaisen yrityksen kannattaa ottaa huomioon.

Toimitusketjusta voi ilmetä aitoja uhkatekijöitä

Hälyttävin ja laajin esimerkki toimitusketjuhyökkäyksestä tietoturvan lähihistoriassa on SolarWinds Orionin laajalle levinnyt tietomurto. Hakkerit onnistuivat välttämään useiden tunnettujen toimijoiden suojaukset ja leviämään yli 30 000 julkiseen organisaatioon ja yksityiseen yritykseen. Uhrien joukossa oli tietoturvastaan tunnettuja tahoja, kuten Intel, Microsoft, Cisco, USA Homeland Security ja Commerce and Treasure.

Uudempana ja ehkä vielä laajempana vastaavana esimerkkinä on tietoturva-aukoiksi paljastuneet WordPress-sivustoilla käytetyt Catch Themesin lisäosat, joita oli käytössä yli 300 000 aktiivisella verkkosivustolla.

Viime vuosien esimerkeistä ainakin monien palvelimien turvallisuuden vaarantanut Log4Shell-haavoittuvuus avasi monien organisaatioiden silmät toimitusketjujensa hyökkäyksille. Tästä huolimatta Anchoren raportin mukaan toimitusketjusta peräisin olevat hyökkäykset lisääntyivät 62 % vuonna 2022.

Tarve turvata omat toimitusketjut on iso osa organisaation tietoturvaa. Pahimmassa tapauksessa omat sisäiset panostukset tietoturvaan menevät hukkaan, jos hyökkääminen on kuitenkin mahdollista toimitusketjun mahdollistamien vektorien kautta.

Visualisointi toimitusketjuista

Toimitusketjun arviointi lähtee riskianalyysista

Toimitusketjun turvallisuuden arviointi lähtee riskianalyysista, jossa katsotaan organisaation koko toiminta läpi ja osana tätä arvioidaan toimitusketjun mahdolliset riskit.

NIS2:n artiklassa 21 mainitaankin, että ”[tietoturvan] toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ”.

Nykyisessä monitoimittaja- ja hybridiympäristössä riskiarviolla voidaan selvittää eri toimijoiden tietoturvatasoja sekä etsiä tietoturvan heikoimpia lenkkejä.

2NS:llä on tarjota tähän tarpeeseen räätälöityä palvelua, jonka nimenomaisena tavoitteena on tunnistaa organisaation nykytila siten, että myös toimitusketju huomioidaan. Erityisesti katsottavia osa-alueita ovat tässä arviossa:

  • Hallinnollinen tietoturva
  • Tekninen toteutus ja korkean tason arkkitehtuuri
  • Ohjelmistokehityksen tietoturva.

Analyysin tuloksena kultakin eri osa-alueelta saadaan kattava analyysi riskiarvioineen sekä suositukset priorisointeineen siihen, kuinka havaittuja riskejä voidaan mitigoida.

2NS on jakanut toimitusketjun kolmeen eri kategoriaan:

  • Asiakas, eli toimeksiantaja itse, joka on vastuussa tarjoamistaan palveluista ja sovelluksista.
  • Yleistoimittaja, joka tarjoaa palveluitaan usealle eri järjestelmä- tai sovellustoimittajalle. Tällaisia yleistoimittajia ovat esimerkiksi palvelukeskuksen hallinnointi, käyttövaltuushallinta, integrointipalvelut ja vastaavat.
  • Sovellustoimittaja, joka tarjoaa yhtä tai useampaa sovellusta, joka keskittyy omaan erityiseen palveluun asiakkaan sovellusportfoliossa.

Ajantasainen tieto ja vastuut ovat tärkeitä

Käymme asiakkaan uhkamallinnuksen läpi yleistoimijoiden ja sovellustoimittajien kanssa. Näin saadaan rakennettua kattava ajan tasainen kuva asiakkaan toimitusketjun tietoturvasta, jonka mukaisesti havaittuja riskejä voidaan hallinnoida. Näissä toimijoiden kanssa pidettävissä työpajoissa voidaan samalla tarkistaa, että asiakkuuden vastuut, eli RACI -malli on ajan tasalla ja harmaat alueet voidaan yhteistuumin poistaa.

Tietoturva on osa elävää maailmaa ja tämän päivän turvallinen toimintamalli tai sovellus saattaa olla huomenna muuttunut haavoittuvaksi. Tämän vuoksi ideaalinen tapa käyttää 2NS:n toimittaja-arviointia on sitoa sen arvioinnit osaksi tietoturvan vuosikelloa.

Vuosikelloon liitettynä analyyseistä tulee osa jatkuvaa tietoturvan hallintaa. Sovelluksissa ja järjestelmäympäristöissä tapahtuvat muutokset käynnistävät tarvittaessa arvioinnin, joka saadaan kierros kierrokselta kattavammaksi.

2NS:n toimittaja-arviointi, NIS2 ja ISO/IEC 27001 kootusti

  • ISO/IEC 27001 tarjoaa yritykselle hyvän viitekehyksen tietoturvaan.
  • NIS2 tuo mukaan vaateen toimittajien ja toimitusketjun tietoturvan huomioinnista ja varmistamisesta.
  • Toimittajan asema ketjussa on ymmärrettävä, jotta riskianalyysi voidaan tehdä käyttäen oikeaa uhkakuvatasoa.
  • Erilaiset toimijat (yleistoimittaja vs. sovellustoimittaja) on huomioitava asemansa mukaisesti.
  • Vuosikelloon sidottuna toimittaja-arviointi tarjoaa työkalun jatkuvaan ja kestävään riski- ja uhka-analyysiin.

Olemme kertoneet NIS2-direktiivistä aiemmin kahden blogin verran.

Lue: NIS2 -direktiivi laittaa useammat yritykset kehittämään ja seuraamaan tietoturvaa

Lue: Mitä NIS2-direktiivin täyttäminen vaatii

2NS toteuttaa tietoturvan tason arviointeja ja toimii kumppanina tietoturvan hallintajärjestelmien perustamisessa sekä kehittämisessä. Tutustu vaihtoehtoihin, joilla voit lähtökartoittaa organisaatiosi tietoturvan. Hallintajärjestelmää kohti kannattaa lähteä tutustumalla ISO/IEC 27001 -standardiin. Saat helposti lisätietoa ottamalla meihin yhteyttä.

Tutustu palveluihimme
2NS, Direktiivi, kyberturallisuusdirektiivi, NIS, NIS 2, Tietoturva, toimitusketjujen hallinta, toimitusketjut
Edellinen artikkeli
World Backup Day 31.3.2023 – Miten suojata varmuuskopiot ja todentaa niiden toiminta?
Seuraava artikkeli
Tietoturva ei ole kertakuluerä tai IT:n sivujuonne, vaan resillienssiä kasvattava osa yrityksen strategiaa