NIS2-direktiivi tuo mukanaan uudenlaisia tietoturvavaatimuksia useille toimialoille. Se herättää kysymyksiä: Miten voimme tehokkaasti täyttää nämä vaatimukset? Miten osoitamme vaatimustenmukaisuutemme yhteistyökumppaneillemme tai viranomaisille?
Tietoturva-auditoinnit tarjoavat konkreettisen työkalun NIS2-vaatimustenmukaisuuden saavuttamiseen sekä osoittamiseen. Tarkastelen seuraavassa, miten auditoinnit tukevat keskeisiä NIS2-vaatimuksia.
NIS2:n kulmakivi on tietoturvallisuuden riskienhallinta
NIS2-direktiivin ytimessä on tietoturvallisuuden riskien hallinta. Tehokas ja merkityksellinen ulkopuolisen tekemä tietoturvallisuuden auditointi voi paljastaa sellaisia tietoturvariskejä, joita organisaatio ei ole vielä itse tiedostanut.
Auditoinnissa tunnistettujen riskien ja havaintojen avulla organisaatio saa konkreettiset keinot riskien hallitsemiseen, esimerkiksi tarvittavien tietoturvaparannusten toteuttamiseen.
Auditointi tuo myös lisää varmuutta riskienhallinnan toimivuudesta. Tähän luonteva vaihtoehto on ISO 27001 -standardin noudattaminen sekä sertifiointiauditointi.
Toimitusketjun turvallisuus – ei riitä, että oma talo on kunnossa
NIS2 edellyttää, että tietoturvallisuus huomioidaan myös osana toimitusketjuja ja alihankintaa. Nykyään saamme usein lukea onnistuneista tietoturvahyökkäyksistä, joissa toimitusketjun haavoittuvuus on ollut heikoin lenkki.
Toimittaja-auditoinnit ovat erinomainen työkalu toimitusketjujen riskien tunnistamiseen ja hallitsemiseen. Kun organisaatio on ensin – mahdollisesti osaavan konsultin avustuksella – tehnyt turvallisuussopimukset toimittajan kanssa, voidaan auditoinneilla mitata toimituksen riskitasoa sekä tietoturvavaatimusten noudattamista.
Toimittaja-auditoinneilla voidaan myös tunnistaa kehityskohteita, jotka hyödyttävät sekä tilaajaa että toimittajaa. Toimittaja-auditointeihin kannattaa laatia pidemmän aikavälin suunnitelma sekä määritellä riskipohjaisesti merkittävimmät toimijat.
Tietoturva-auditointi tietoisuuden lisääjänä
Kattava tietoturva-auditointi, kuten ISO 27001 -sertifiointiauditointi, käy syvällisesti läpi auditoitavan organisaation toiminnan ja sisältää keskusteluja monien organisaation edustajien kanssa.
Tietoturva-auditointi on oppimistilanne, jossa tietoturvatietoisuutta saadaan levitettyä koko organisaatioon. Lisäksi tietoturva-auditointi tekee työntekijän merkityksen tietoturvallisuudelle näkyväksi. Tämä lisää motivaatiota tietoturvatyön tekemiseen ja samalla osaaminen kasvaa!
Auditointitilanteissa syntyy usein sekä auditoijalle että auditoitavalle uusia ideoita siitä, miten tietoturvallisuutta voidaan toteuttaa. Win-win!
Tekniset tietoturva-auditoinnit tuovat varmuutta
NIS2-direktiivi sisältää teknisiä vaatimuksia verkkojen ja tietojärjestelmien turvaamiselle, aina hankinnasta kehittämiseen ja ylläpitoon.
Tekninen tietoturva-auditointi antaa näkymän järjestelmien nykytilaan ja kattavasti suosituksia niiden parantamiseksi. Teknistä tietoturva-auditointia tai vaatimusmäärittelyä kannattaa myös hyödyntää uuden järjestelmän hankinnassa. Näin organisaatiolle tärkeät tietoturvakontrollit tulevat huomioiduksi jo hankintavaiheessa.
Penetraatiotestauksen, tietoliikenneanalyysin tai haavoittuvuuskartoituksen avulla voidaan taasen tunnistaa korkeariskisiä tietoturvallisuushaavoittuvuuksia tai tarpeettomia tietoverkkoavauksia, jotka muutoin olisivat voineet jäädä pimentoon – tai pahimmassa tapauksessa pahantahtoisen toimijan löydettäväksi. Teknisen auditoinnin kautta ne saadaan näkyville ja korjattaviksi.
Miten osoittaa NIS2-vaatimustenmukaisuus?
Organisaatiot tarjoavat usein palveluita toisille organisaatioille tai kuluttajille. Erityisesti toimitusketjuissa NIS2-vaatimustenmukaisuutta edellytetään koko toimitusketjulta. On siis mahdollista, että organisaatiosi toimii osana tällaista ketjua.
ISO 27001 -standardin vaatimukset ovat erittäin lähellä NIS2-vaatimuksia sekä kyberturvallisuuslakia (eli Suomen kansallista ”NIS2-lakia”). ISO 27001 -sertifioinnilla voi siis osoittaa jo hyvin pitkälle, että organisaatio on huomioinut NIS2-vaatimukset. Moni tilaaja hyväksyy ISO 27001 -sertifikaatin suoraan tai lähes suoraan osoituksena täytetyistä vaatimuksista.
ISO 27001 ei suoraan sisällä viranomaisraportoinnin vaatimuksia tai hätäviestintäkanavien käyttöä, mutta nämäkin voidaan sisällyttää osaksi tietoturvallisuuden hallintajärjestelmää, esimerkiksi sidosryhmien vaatimusten kautta sekä poikkeamahallintaprosessein.
Myös muilla sertifioinneilla ja auditoinneilla voidaan osoittaa tietoturvallisuuden toteutumista omalla alallaan. Esimerkiksi maksukorttialalla PCI DSS -sertifiointi on hyvin relevantti, ja kansallisen turvallisuuden ympäristöissä Katakri 2020 on kovaa valuuttaa.
Bonus: onnistunut NIS2-vaatimustenmukaisuustyö
Vaikka nämä seuraavat eivät olekaan suoranaisesti auditointia, haluan jakaa vielä pari tärkeää ajatusta, joiden avulla NIS2-vaatimustenmukaisuustyöstä tulee sujuvampaa. (Näitäkään ei tarvitse tehdä yksin, vaan Into Security voi tarjota näissä apua.)
1. Tietoturvapoikkeamat
NIS2 edellyttää tietoturvapoikkeamilta määrämittaista käsittelyä, sisältäen hyvin tiukat viranomaisraportointiajat sekä vaatimukset tietoturvapoikkeamien käsittelyyn.
Jotta tositilanteessa voidaan onnistua poikkeaman käsittelyssä, on erittäin tärkeää, että poikkeamien käsittelyyn on olemassa tehokas prosessi ja että henkilöstö on siitä tietoinen.
Siksi tietoturvapoikkeamien hallinnan prosessin paperille kirjaaminen ei riitä, vaan sitä on syytä testata sekä harjoitella säännöllisesti. Näin havaitset mahdolliset puutteet suunnitelmassa, ja voit myös kehittää omaa osaamista poikkeamien käsittelyssä.
Näin toimittaessa, tosipaikan tullen prosessi tulee selkäytimestä, tehdään harkittuja ja harjoiteltuja toimenpiteitä poikkeaman korjaamiseksi mahdollisimman ripeästi ja turvallisesti.
2. Jatkuvuus sekä palautuminen
NIS2 sisältää vaatimuksia jatkuvuuden hallintaan sekä toiminnan palauttamiseen jatkuvuutta vaarantavista tilanteista tai poikkeamista.
Tällöin on yleensä paikallaan tehdä jatkuvuussuunnitelmat sekä palautumissuunnitelmat sekä organisaatiolle että yksittäisille tietojärjestelmille.
Mitä asioita palautamme ensin? Mikä on kriittinen palvelu, jota ilman organisaatiomme ei toimi?
Kuten tietoturvapoikkeamien kohdalla, myös jatkuvuus- ja palautumissuunnitelmia on syytä säännöllisesti testata ja harjoitella. Jokin palautumiskeino, tietyssä tietojärjestelmässä, ei välttämättä arkkitehtuurimuutoksen jälkeen toimi, ja suunnitelmakin on saattanut unohtua päivittää.
Säännöllisen testauksen kautta tällaiset unohdukset saadaan tunnistettua sekä suunnitelmat harjoiteltua tosipaikan varalta.
Myös erilaiset simulaatioharjoitukset ovat erinomainen keino testata tositilannetta sekä organisaation toimintaa jatkuvuutta vaarantavassa tilanteessa.
”NIS2-direktiivi tuo velvoitteita, mutta se on organisaatiolle myös mahdollisuus kehittää omaa tietoturvallisuuttaan kokonaisvaltaisesti. Auditoinneilla varmistetaan, että emme pelkästään täytä vaatimuksia paperilla, vaan toimimme aidosti turvallisella tavalla – hyödyttäen koko toimitusketjua.”
Ville Koskinen
