Turkulainen Weasel Software toimittaa järjestelmiä ja palveluja yhteiskunnan kannalta kriittiseen infrastruktuuriin — satamiin, Väylävirastolle ja Puolustusvoimille. Asiakkaiden tietoturvavaatimusten tiukentuessa ja uhkaympäristön nopeiden muutosten vuoksi Weasel Software päätti viedä ISO 27001 -projektin rivakasti maaliin. Projekti vietiin läpi alle puolessa vuodessa Inton toimiessa auditoijana.
Kansallinen infrastruktuuri asettaa riman korkealle
Weasel Software ei ole tavanomainen ohjelmistotalo. Yhtiön järjestelmät ohjaavat toimintaa Suomen satamissa ja liikenneväylillä, ja asiakaskuntaan kuuluvat muun muassa Helsingin satama, Turun satama, Fintraffic, Väylävirasto, Traficom ja Puolustusvoimat.
Kun asiakkaat operoivat kansallisesti merkittävää infrastruktuuria, ohjelmistotoimittajan korkea tietoturva on ehdoton edellytys.
Weasel Softwarella tietoturvakäytännöt olivat olleet osa arkea toiminnan alusta saakka. Julkisen sektorin asiakkaat edellyttävät huolellisuutta, ja sitä oli noudatettu. Sertifiointiin ryhtymistä vauhditti osaltaan Turun sataman kilpailutus, joka asetti ISO 27001 -sertifioinnin ehdottomaksi vaatimukseksi, ja päätös rakentaa tietoturvan hallintajärjestelmä (ISMS) tehtiin nopeasti.
”Sertifiointia oli harkittu jo jonkin aikaa. Syksyllä tuli sopiva hetki toteuttaa se — merkittävä kilpailutus edellytti sertifiointia, ja tiesimme että asiakkaillemme tämä on kriittistä.”
— Jussi Suutala, projektipäällikkö ja tietoturvavastaava, Weasel Software
Taustalla vaikutti myös huhtikuussa 2025 voimaan tullut kyberturvallisuuslaki, joka toimeenpanee NIS2-direktiivin vaatimukset ja ulottaa tietoturvavaatimukset toimitusketjuun. Kriittisen infrastruktuurin operaattorien on varmistettava myös toimittajiensa tietoturva, ja tässä alihankkijan sertifiointi helpottaa kaikkien työtä.
Hallintakeinoja käytössä, ohjaava rakenne puuttui
Ohjelmistoyrityksissä ISO 27001 -projektin lähtötilanne on usein erilainen kuin muilla toimialoilla, sillä monet kontrollit — kuten pääsynhallinta, lokitus, varmuuskopiointi — ovat tyypillisesti jo käytössä, ja Weasel Software ei ollut poikkeus.
Itse hallintajärjestelmän rakentaminen alkoi prosessien kuvaamisella, riskienhallinnan järjestelmällistämisellä ja dokumentaation tuottamisella. Weasel Softwarella on alusta asti panostettu tietoturvaan ja paljon hyviä käytäntöjä oli paikoillaan, mutta niiden kytkeminen yhtenäiseksi hallintamalliksi vaati uudenlaista ajattelua.
”Me teimme näitä asioita jo käytännössä — pääsynhallintaa, lokitusta ja vastaavia kontrollikäytäntöjä. Mutta sitä ei ollut riittävästi dokumentoitu eikä mietitty, mitä riskejä näillä oikeasti hallitaan. Se oli ehkä suurin oivallus koko prosessin aikana.”
Projekti käynnistyi alkusyksystä: ensin kartoitettiin lähtötilanne ja mahdolliset puutteet, kuvattiin prosessit ja sitten rakennettiin hallintajärjestelmää. Inton toteuttama esiauditointi asettui loppusuoralle, ja varsinainen sertifiointiauditointi seurasi sen jälkeen.
Hallintajärjestelmään dokumentoitiin lukuisia prosesseja sekä riskienhallintamalli. Sertifioinnin laajuus rajattiin tällä ensimmäisellä kerralla satamaliiketoimintaan ja yleiseen hallintoon. Rajaus mahdollisti nopean etenemisen ja hallintamalli on myöhemmin laajennettavissa muihin liiketoiminta-alueisiin.
Into on tarkka ja joustava kumppani
Into Securityn tytäryhtiö Into Certification Oy valikoitui auditoijaksi ulkopuolisen konsultin suosituksesta. Inton kokemus erityisesti IT- ja ohjelmistoyritysten sertifioinneista painoi vaakakupissa.
Inton auditoijalle ohjelmistoyritysten toimintamallit olivat hyvin tuttuja, ja tämä nopeutti osaltaan projektia. Yhteistyö Inton auditoijan kanssa oli tiivistä projektin ajan. Suutala kuvaa yhteistyötä lähes päivittäiseksi. Kysymyksiin sai vastauksia nopeasti ja havaitut poikkeamat esitettiin selkeästi ja perustellusti. Se auttoi Weasel Softwaren tiimiä löytämään omaan toimintaansa sopivat ratkaisut.
Loppusyksystä Suutalan työlista oli pitkä, mutta auditoijan selkeä ja johdonmukainen lähestymistapa auttoi pysymään raiteilla.
“Into ymmärsi hyvin yrityksemme tilanteen ja huomioi sen sekä aikataulussa että koko auditointiprosessin läpiviennissä. Auditointia valmistelevat istunnot olivat erittäin hyviä, jotta fokus ja käsitys vaatimustasosta asioiden suhteen olisivat molemmilla osapuolilla samalla tasolla. Yhteistyö auditointia vetäneen Matti Leinosen kanssa toimi hyvin ja hän antoi läpi prosessin hyvin realistisen kuvan asioiden etenemisestä”, kuvaa Jussi Suutala.
Tukea tietoturvavastaavan työhön, myyntiin ja kansainvälistymiseen
Weasel Software voitti Turun sataman kilpailutuksen, ja toisenkin satama-asiakkaan ensimmäinen kysymys oli, onko ISO 27001 -sertifikaatti taskussa. Weaselin myyntitiimi on ottanut sertifioinnin aktiivisesti osaksi asiakaskeskusteluja ja sen on koettu parantavan kilpailukykyä.
Sisäisesti sertifiointi toi rakenteen, joka helpottaa tietoturvavastaavan työtä. Kun prosessit on kuvattu ja vastuut määritelty, tietoturva ei enää tunnu olevan yhden ihmisen harteilla.
Yhtiö toimii jo Pohjoismaissa ja sen Weasel Port Solutions -ratkaisu on käytössä esimerkiksi Helsingin, Tukholman ja Maarianhaminan satamissa.
Weaselillä on jatkossa kansainvälisiä kasvusuunnitelmia. ISO 27001 -sertifiointi on kansainvälisesti tunnettu standardi, ja se avaa keskusteluja markkinoilla, joilla yhtiötä ei vielä tunneta.
Riskienhallinta ja yhtiön maine
Riskienhallinnan merkitys ohjelmistoalalla on kasvanut toimintaympäristön muutosten myötä.
”Tämä parantaa toimintaamme ja antaa meille työkalun hallita kyberturvallisuutta järjestelmällisesti. Kun ottaa huomioon asiakkaidemme toimialan, toimintaympäristön muutokset ja maailmantilanteen, tämä on yksinkertaisesti perusteltua.”
Suutala nostaa esiin myös maineenhallinnan.
“Ohjelmistoyrityksen, jonka järjestelmät ohjaavat kriittistä infrastruktuuria, ei parane päätyä otsikoihin tietoturvapuutteista. ISO 27001 -sertifiointi antaa rakenteen riskienhallintaan ja se on samalla todistus hyvästä tietoturvan tasosta meidän sidosryhmille.”
Tietoturvavastaavan näkökulmasta arki helpottui monella tapaa. Suutalan mukaan projekti eteni nopeasti ja käytännönläheisesti. Hän suosittelee Intoa erityisesti ohjelmistoyrityksille, varsinkin jos monet käytännöt ovat jo kunnossa ja tarvitaan hallintamallin toteutus niiden rinnalle.
Kun tietoturvallisuuden hallintajärjestelmä on paikallaan, päätöksenteko selkeytyy ja aikaa vapautuu.
Suutalan sanoin: nyt nukutaan yöt paremmin.
Organisaatio: Weasel Software Oy
Toimiala: Ohjelmistokehitys, liikenteen ja satamien järjestelmät
Henkilöstö: 50+ henkilöä
Projekti: ISO 27001 -sertifiointi
Aikataulu: Alle 6 kuukautta