Toimitusketjun tietoturvariskien kartoitus – näin varaudut kumppaneihin kohdistuviin hyökkäyksiin

Yritysten toimitusketjut ovat tiiviisti sidoksissa toisiinsa. Kun yksi toimija joutuu kyberhyökkäyksen kohteeksi, seuraukset voivat nopeasti heijastua koko ketjuun.
Viime vuosina on nähty useita esimerkkejä tilanteista, joissa kokonaisia palveluja ja liiketoimintoja on jouduttu keskeyttämään toimittajahyökkäysten vuoksi. Ruotsalaisen HR-järjestelmätoimittajan tietovuodolla on ollut merkittäviä vaikutuksia satojen kuntien, valtionhallinnon toimijoiden ja yksityisten yritysten toimintaan puhumattakaan siitä, että yli miljoonan ruotsalaisen tiedot julkaistiin tietovuodon jälkeen pimeässä verkossa. Vastaavasti brittiläinen vähittäiskauppa kärsi miljardiluokan tappioita, kun sen logistiikkaketju pysähtyi toimittajayrityksen tietomurron seurauksena.
Nämä tapaukset osoittavat, että toimitusketjun heikoin lenkki voi vaarantaa organisaation toimintakyvyn, vaikka organisaation oma tietoturva olisi kunnossa.
Mitä NIS2 edellyttää toimitusketjujen tietoturvalta?
EU:n uusi, voimaan astunut kyberturvallisuusdirektiivi NIS2 korostaa, että tietoturvasta ei voida huolehtia vain oman organisaation rajojen sisällä. Direktiivin soveltamisala on varsin laaja ja se koskee 15 eri toimialaa. Näin ollen on todennäköistä, että myös toimittajasi on NIS2-direktiivin alainen, ja myös heitä ja heidän toimitusketjuaan koskevat samat kartoitus- ja raportointivelvollisuudet.
NIS2 velvoittaa osoittamaan, että tietoturvaa on arvioitu ja kehitetty myös toimitusketjun osalta. Käytännössä tämä tarkoittaa, että tietoturva otetaan esille jo sopimusvaiheessa ja sen toteutumista seurataan yhteistyön aikana.
Lainsäädännön tiukkeneminen on yksi syy pitää huolta toimitusketjun tietoturvallisuuden korkeasta tasosta. Turvallisesta toimitusketjusta huolehtiminen tuo kuitenkin myös selkeitä hyötyjä liiketoiminnan jatkuvuuden turvaamisen ja mainehaittojen torjumisen näkökulmasta. Riittävällä varautumisella torjutaan mahdollisia taloudellisia tappioita, joita väistämättä koituu kyberturvaloukkauksen osuessa toimitusketjuun.
Näin varmistat toimitusketjusi tietoturvallisuuden:
1. Kartoita toimitusketju ja järjestelmäriippuvuudet
Ensimmäinen askel toimitusketjun tietoturvallisuuden varmistamisessa on kartoittaa ylipäänsä toimitusketju ja yrityksen erilaiset toimittajat. Toimitusketjun kartoittaminen aloitetaan toimitusketjun ymmärtämisestä – mitä prosesseja ja toimijoita liittyy siihen, että tuotteet ja palvelut saadaan toimitettua asiakkaille? Minkälaisia vaiheita ja toimijoita taas liittyy yrityksen omiin hallinnollisiin prosesseihin?
Toimitusketjun kartoittaminen auttaa tunnistamaan erilaiset toimittajat. Näitä voivat olla esimerkiksi palveluiden tai raaka-aineiden toimittajat, valmistajat, tuotteiden jakelijat ja niin edelleen. Tietoa erilaisista toimittajista voi saada tarkastelemalla esimerkiksi tietokantojen, ostojen ja ostolaskujen tai sopimusten tietoja.
Monissa yrityksissä toimittajien kartoitusta tehdään jo nyt säännöllisesti, esimerkiksi kerran vuodessa, jolloin toimitusketjun hahmottaminen ja toimittajien kartoittaminen on myös kyberturvallisuuden näkökulmasta helpompaa.
Kun toimitusketju on kartoitettu, analysoidaan siihen liittyviä riippuvuussuhteita ja riskejä. Riskianalyysissä otetaan huomioon luonnollisesti yrityksen liiketoimintaan liittyvät riskit, esimerkiksi palveluiden tai raaka-aineiden saatavuus, mutta myös tietoturvaan ja kyberturvallisuuteen liittyvät riskit. Tällaisia voivat olla esimerkiksi yhteisesti käytössä oleva järjestelmät tai toimittajan käyttämät järjestelmät ja toimittajayrityksen järjestelmäarkkitehtuuri. Huomionarvoista on, että tänä päivänä liiketoiminnan kannalta olennaisen kriittisiä toimittajia löytyy myös järjestelmätoimittajista.
2. Varmista järjestelmien turvallisuus ja tarkista toimittajan taustat
Toimittajien riskikartoituksessa voidaan hyödyntää niin yrityksiltä itseltään saatavaa tietoa kuin avoimista lähteistä, kuten internetissä, vapaasti jaossa olevaa tietoa.
Jos toimittajalla on ollut ongelmia tietoturvansa kanssa aiemmin, ja sen järjestelmistä on vaikkapa onnistuttu viemään esimerkiksi asiakkaiden henkilötietoja tai asiakasyritysten tietoja, tapahtumasta löytyy todennäköisesti tietoa avoimien lähteiden kautta. Toimittajien taustoja voidaan tarkastella vaikkapa sosiaalisen median keskusteluista tai uutisarkistoista.
Kun tarkastellaan toimittajan käyttämiä järjestelmiä, voidaan turvautua myös erilaisiin järjestelmiin liittyviin tietoturvastandardeihin ja parhaisiin käytäntöihin. Näitä ovat julkaisseet ainakin Open Web Application Security Project (OWASP), CIS (Center for Internet Security) Benchmarks sekä ISO-standardit. Myös kotimainen, Kyberturvallisuuskeskuksen luoma Kybermittari on hyvä työkalu organisaatioiden ja siten myös toimittajien kyberturvan tason arviointiin.
3. Pyydä toimittajalta riskiarviointi
Myös toimittajalta itseltään voidaan saada tietoa ja arvioita kyberturvallisuuden tasosta, ja se onkin tehokas tapa huolehtia toimitusketjun turvallisuudesta. Kun riskit ja heikot kohdat ovat tiedossa, ja myös vaikutukset ovat skenaarioissa mukana, saadaan toimitusketjuun ja toimittajien prosesseihin läpinäkyvyyttä ja hallittavuutta.
Toimittajalta voidaan myös edellyttää tietoturvaraportointia asiakkuuden ehtona. Edellytettävän raportoinnin laajuus voi vaihdella yrityksen koosta ja toimitusketjun tärkeydestä riippuen.
Tarvitsetko apua tietoturvakartoituksen tekemiseen tai organisaatiosi kyberturvallisuuden arviointiin? Lue täältä, kuinka voimme auttaa.
