Kokkolalainen Vitec ALMA toimittaa teollisuuden tuotannonohjausjärjestelmiä asiakkaille, jotka toimivat Suomen kriittisimmillä toimialoilla. ISO 27001 -sertifiointi oli vastaus asiakkaiden kiristyneisiin vaatimuksiin — ja samalla osoitus siitä, että ohjelmistotalo tunnistaa vastuunsa toimitusketjussa.
Neljä vuosikymmentä kriittisen teollisuuden palveluksessa
Vitec ALMA on toimittanut ALMA®-toiminnanohjausjärjestelmää suomalaiselle teollisuudelle jo neljä vuosikymmentä, vuodesta 1986 lähtien. Yhtiön ensimmäinen asiakas on edelleen asiakkaana — se kertoo jotain olennaista sekä järjestelmästä että asiakassuhteista.
Vitec ALMAn asiakaskuntaan kuuluu kansallisen turvallisuuden ja huoltovarmuuden kannalta kriittisiä toimijoita: energiayhtiöitä, vesilaitoksia, kemianteollisuutta, kaivosteollisuutta, elintarviketuotantoa sekä tietoverkkoja operoivia yrityksiä. Monille näistä toimialoista tuotantokatkos tai pitkäkestoinen häiriö olisi kriittinen.
Vitec ALMA on paraikaa siirtymässä kolmannen sukupolven pilviarkkitehtuuriin, Cloud ALMAan, ja vastuu asiakkaiden tiedosta ja järjestelmien toiminnasta painottuu entistä vahvemmin ohjelmistotalolle itselleen. Tämä oli yksi monista tekijöistä, jotka vaikuttivat sertifikaatin hankkimiseen. Yhtiön pilviympäristö sijaitsee Suomessa — se oli asiakkaiden toive ja myös Vitec ALMAn tietoinen valinta.
Vastaamo herätti, geopolitiikka kiihdytti
Tietoturvallisuudesta Vitec ALMAlla on luonnollisesti aina huolehdittu. Yhtiö halusi kuitenkin vahvistaa sitä entisestään. Tuotekehitysjohtaja ja tietoturvavastaava Toni Penttilä tuo mukanaan vuosien kokemuksen teollisuuden turvallisuuskulttuurista, jossa fyysinen tietoturva — verkkojen erottelu, fyysinen suojaus ja kerroksellisuus — on ollut arkea jo pitkään.
Ensimmäinen voimakas sysäys ISO 27001 -sertifioinnin hankkimiseen tuli ulkoapäin. Vuoden 2020 Vastaamo-tapaus näytti koko toimialalle, mitä tietomurto pahimmillaan tarkoittaa. Kuten muidenkin ohjelmistotalojen kohdalla, myös Vitec ALMAn asiakaskunnassa asia herätti välittömän kysymyksen: miten tietoturvallisuus on hoidettu?
Ukrainassa vuonna 2022 alkanut sota kiihdytti kehitystä entisestään. Asiakkaat alkoivat teettää penetraatiotestauksia, tietoturvaselvityksiä ja itsearviointeja. Tietoturvavaatimukset nousivat sopimuspäivityksiin ja tarjouspyyntöihin. Vitec ALMAn kaltaiselle toimittajalle viesti oli selvä: pelkkä lupaus ei riitä, vaan tietoturvan taso pitää pystyä todentamaan riippumattomasti.
→ ”Pilvisiirtymän myötä vastuu asiakkaiden tiedosta ja järjestelmistä painottuu entistä vahvemmin ohjelmistotoimittajalle eli meille. Tiedostamme sen ja otamme asian tosissamme — varsinkin kun asiakkaamme toimivat huoltovarmuuden kannalta kriittisillä aloilla.” — Toni Penttilä, tuotekehitysjohtaja ja tietoturvavastaava, Vitec ALMA
Kumppani joka ymmärtää ohjelmistotalon arkea
Vitec ALMA vertaili useita vaihtoehtoja sertifiointikumppaniksi. Ratkaiseva tekijä Inton valinnassa oli kokemus ohjelmistoliiketoiminnasta ja vahva osaaminen nimenomaan ISO 27001 -sertifioinneista.
→ ”Evaluoimme vaihtoehtoja laajasti. Ratkaisevaa oli, että Into ymmärtää ohjelmistotoimialaa ja on vahva toimija ISO 27001 -sertifioinneissa. Vaikka sertifiointiprosessi on säännelty, halusimme kumppanuuden pelkän auditoinnin sijaan. Inton kanssa koimme saavamme yhteistyöstä enemmän kuin sertifikaatin.” — Toni Penttilä
Vitec ALMA valitsi itselleen – Tonin sanoin – “sopivan kokoisen toimijan”, jolla on syvä substanssiosaaminen ja jolle asiakas on oikeasti tärkeä. Inton Ville Koskinen toimi pääauditoijana ja toteaa lähtötilanteesta:
→ ”Vitec ALMAlla oli hyvä lähtötilanne — tietoturvaa oli mietitty pitkään, ja tekninen perusta oli kunnossa. Silloin auditoinnissa päästään nopeasti olennaiseen eikä käytetä liikaa aikaa perusasioiden selvittämiseen. Se näkyi myös aikataulussa.”
Pieteetillä läpi, alihankintaverkoston hallinta yllätti
Inton Ville Koskinen vastasi auditoinnista ja sen jokaisesta osa-alueesta. Vitec ALMAn viiden hengen ydintiimi valmisteli sertifiointia, mutta prosessi ulottui laajasti koko organisaatioon: henkilöstölle rakennettiin tietoturvakoulutuksia, laadittiin dokumentaatiota ja otettiin käyttöön uusia toimintatapoja. Henkilöstöä osallistettiin laajasti, eli heitä koulutettiin ja valmisteltiin auditointiin.
Sertifiointiprosessi vei kokonaisuudessaan alle puoli vuotta, sillä perusta oli hyvässä kunnossa ja pohjatyötä oli tehty paljon.
Yksi asia yllätti. Alihankintaverkoston hallinta vaati enemmän työtä kuin Penttilä oli odottanut. Kun vastuu tietoturvasta ulottuu omaa organisaatiota pidemmälle, jokaisen kumppanin ja alihankkijan tietoturvatason pitää olla arvioitavissa ja dokumentoitavissa. Se on työlästä, mutta välttämätöntä — varsinkin kun asiakkaat toimivat huoltovarmuuskriittisillä aloilla.
→ “Villen vetämä auditointi kävi läpi kaikki osa-alueet todella pieteetillä. Toteutus ylitti odotukset positiivisesti. Alihankintaverkoston hallinta vaati meiltä enemmän työtä kuin olimme ajatelleet — se oli yksi harvoista yllätyksistä.”
Vahva tietoturvakulttuuri ja yhteinen kieli
Yksi sertifioinnin näkyvin tulos on kulttuurinmuutos. Vitec ALMAn henkilöstö puhuu tietoturvasta arjessa matalalla kynnyksellä: kysytään pääsynhallinnasta, reagoidaan kalasteluviesteihin nopeasti ja nostetaan havaintoja aktiivisesti esiin.
→ ”Muutos näkyy arjen keskusteluissa. Ihmiset ovat selvästi valveutuneempia — meillä tullaan nyt oma-aloitteisesti kysymään, miten pääsynhallinta pitää hoitaa tai kuka saa pääsyn mihinkin. Kalasteluviesteihinkin reagoidaan matalalla kynnyksellä.”
→ “Suurin positiivinen vaikutus on juuri se, että tietoturvasta keskustellaan arjessa aiempaa enemmän. Tiimi sai prosessin aikana yhteisen kielen sekä vahvan ymmärryksen tietoturvan tärkeydestä.”
Tietoturvakulttuuri näkyy myös siinä, miten Vitec ALMA suhtautuu uusiin teknologioihin. Tekoälykielimalleja hyödynnetään ohjelmistokehityksessä, mutta niillekin asetetaan tiukat tietoturvakehykset ja vaatimukset — sekä koodia tuotettaessa että katselmoitaessa.
Sertifiointi tuo myös liiketoimintahyötyjä
Sertifioinnin vaikutus liiketoimintaan on konkreettinen. Uusmyynnissä sertifikaatti on otettu vastaan myönteisenä signaalina, ja nykyiset asiakkaat ovat olleet tyytyväisiä siihen, että Vitec ALMA on hankkinut sertifikaatin.
Ohjelmistoalalla ISO 27001 on pk-kokoluokassa vielä suhteellisen harvinainen — Vitec ALMA kuuluu edelläkävijöihin. Penttilä muistuttaa, että sertifioinnin vaatimukset skaalautuvat yrityksen koon mukaan. Kyse ei siis ole vain suurten toimijoiden asiasta, vaan myös eri kokoiset toimijat hyötyvät tästä.
”Se istui yllättävän luontevasti arkeen”
Toni Penttilä kannustaa muita ohjelmistotaloja, jotka harkitsevat ISO 27001 -sertifiointia – työmäärää on turha pelätä – prosessi on positiivinen kokemus.
→ ”Sertifioinnin vaatima työmäärä mietitytti etukäteen ja osittain aiheellisestikin. Mutta positiivinen yllätys oli se, miten helposti sertifiointi istuu osaksi päivittäistä toimintaa. Kyse ei ole mistään normaalitoiminnasta irrallisesta projektista — uudet käytännöt voi jalkauttaa osaksi arkea.”
Into Securityn Ville Koskinen tunnistaa saman ilmiön.
→ ”Ohjelmistoalalla ISO 27001 on vielä liian harvinainen siihen nähden, miten keskeisessä roolissa ohjelmistotoimittajat ovat asiakkaidensa tietoturvassa. Vitec ALMAn kaltaiset edelläkävijät näyttävät suuntaa — ja samalla osoittavat, että sertifiointi on pk-kokoluokassakin täysin toteutettavissa.”
Vitec ALMA Oy on kokkolalainen, vuonna 1986 perustettu teollisuuden toiminnanohjausjärjestelmien toimittaja, joka palvelee Suomen kriittisiä toimialoja: energia-, vesi-, kemianteollisuus-, kaivosteollisuus-, elintarviketeollisuus- ja tietoverkot. Yhtiö on osa ruotsalaista Vitec Software -konsernia. ISO 27001 -sertifioinnin toteutti Into Securityn tytäryhtiö Into Certification.