Auditoinnissa selviää nopeasti, onko organisaation tietoturva kunnossa. Jos tarvittavat politiikat ovat kauniisti paikallaan, kontrollit toimivat moitteetta ja henkilöstökin on koulutettu – mahtavaa! Muutamia korjauksia listataan ja kaikki ovat tyytyväisiä. Sitten kysyn, entä toimittajanne? Hiljaista tulee.
Huoltovarmuuskeskuksen tuore kyberkypsyysselvitys vahvistaa sen, mitä kentällä tulee vastaan. Tietoturvavaatimukset kumppaneille ja toimittajille jäävät turhan usein yleisluontoisiksi, eikä niiden toteutumista valvota. NIS2:n voimaantulon jälkeen kumppaniriskien hallinta on noussut kehityskohteeksi lähes jokaisella toimialalla.
Alla lyhyet vinkkini, miten taklata tämä vaatimus, myös sopimuksellisesti.
Ota haltuun seuraavat kolme tasoa
Ensimmäinen on perinteinen IT-toimittajakenttä eli pilvipalvelut, järjestelmätoimittajat ja ylläpitokumppanit. Useimmat tunnistavat jo tämän, vaikka käytännön hallinta ei olisikaan vielä 100% kunnossa.
Toinen taso on ohjelmistojen toimitusketju. Tällä tarkoitan avoimen lähdekoodin komponentteja, kirjastoja ja kaikenlaisia riippuvuuksia. Esimerkkinä on Log4Shell, joka osoitti, miten yksi haavoittuvuus syvällä ketjussa voi lamauttaa koko ekosysteemin.
Kolmas on uusin ja vähiten ymmärretty tekoälyn toimitusketju. Kun organisaatio ottaa käyttöön Copilotin, ChatGPT:n tai jonkin muun tekoälypalvelun, se ei osta pelkkää ohjelmistoa. Se ostaa pääsyn malleihin, joiden koulutusdataa, toimintalogiikkaa ja päivityssykliä se ei voi kontrolloida. Samalla syntyy riippuvuuksia laitteistoon ja palveluntarjoajiin, joita perinteiset tietoturvamallit eivät kata.
Lääke CISOn päänsärkyyn
Toimitusketjun tietoturva on alue, jossa CISO:n vaikutusvalta on usein rajallinen. Onhan se aika vaikea sivusta pakottaa toimittajaa parantamaan käytäntöjään. Se, mitä tässä kohtaa voi ja kannattaa tehdä, on valita sellaiset toimittajat, jotka ottavat asian vakavasti, ja laatia sopimustekstit niin, että vastuut ovat selvät.
On liian tavallista, että sopimuksissa tietoturva kuitataan tyyliin ”Toimittaja sitoutuu noudattamaan hyviä tietoturvakäytäntöjä.” Jokainen ymmärtää, ettei tämä riitä.
Konkreettisia asioita, joita sopimukseen kannattaa sisällyttää/vaatia, ovat auditointioikeus, häiriöilmoitusvelvoite ja sen aikarajat, alihankkijoiden ketjutuksen rajoitukset, tiedon sijainti ja käsittely sekä selkeä vastuunjako tietoturvaloukkauksissa. NIS2 teki osan näistä pakolliseksi.
Vähänkään monimutkaisemmissa yhteistyömalleissa voi olla paikallaan pitää yhteinen uhkamallinnustyöpaja tilaajan ja ehkä jopa alihankkijan kanssa. Visuaalinen uhkamalli, jossa kuvataan, mitä voisi mennä pieleen ja miten tätä riskiä on rajattu, auttaa synnyttämään tarvittavaa tietoturvatietoutta organisaation eri tasoilla.
Uskallan veikata, että tulemme Suomessa näkemään isomman tietoturvaloukkauksen, joka iskee toimitusketjun kautta.
Ville
Inspiraationa tälle kirjoitukselle olivat:
– Huoltovarmuuskeskus: Toimialojen kyberkypsyysselvitys 2025 (PDF)
– Niki Klausin blogikirjoitus HVK:n raportista: https://intosecurity.fi/blogi/hvk-kyberkypsyysraportti-2025-mika-erottaa-kyberturvan-edellakavijat-muista/
– Harvard Business Review -lehden 9.1.2026 julkaistu artikkeli ”Research: Conventional Cybersecurity Won’t Protect Your AI”