Toimittajariskien hallinta on keskeinen osa nykyaikaista tietoturvastrategiaa. Se varmistaa, että toimittajat ja yhteistyökumppanit toteuttavat vaadittuja tietoturvakäytäntöjä ja suojaa liiketoimintaa ulkopuolisilta uhilta. Erityisesti kriittisten kumppanien kohdalla kolmannen osapuolen riskienhallinta on välttämätöntä, sillä heidän toimintansa voi suoraan vaikuttaa organisaation turvallisuuteen ja liiketoiminnan jatkuvuuteen.
Mitä on toimittajariskien hallinta ja mitä hyötyä siitä on tietoturvan kannalta?
Toimittajariskien hallinta tarkoittaa toimia, joilla organisaatio tunnistaa, arvioi ja hallitsee toimittajien, kuten IT-kumppanien, pilvipalveluiden tai muiden alihankkijoiden aiheuttamia riskejä. Riskit voivat liittyä esimerkiksi tietoturvauhkiin, tietosuojaloukkauksiin, toimitushäiriöihin tai ongelmiin lainsäädännön noudattamisessa. Tavoitteena on suojata liiketoimintaa ja varmistaa toimittajien tietoturvallisuus ja luotettavuus.
Hyvä toimittajariskien hallinta hyödyttää tietoturvaa muun muassa seuraavilla tavoilla:
- Liiketoiminnan jatkuvuuden turvaaminen. Varmistat, että toimittajalla on asianmukaiset varautumis- ja palautumissuunnitelmat palveluun kohdistuvien kyberhyökkäysten tai muiden häiriöiden varalle.
- Taloudellisten tappioiden ehkäisy. Pienentämällä riskejä etukäteen ja valitsemalla toimittajat viisaasti, voit pienentää riskejä liiketoiminnan keskeytyksille ja jälkikäteiskorjauksille.
- Maineen suojeleminen. Toimittajan tietoturvaongelmat voivat vaikuttaa haitallisesti myös asiakasorganisaation maineeseen.
- Tieto-omaisuuden suojaaminen. Varmistat, että toimittaja käsittelee ja suojaa luottamuksellisia tietoja asianmukaisesti.
- Yhteensopivuus vaatimusten, säädösten ja standardien kanssa. Varmistat, että toimittaja täyttää organisaatiosi ja asiakkaidesi tietoturvavaatimukset sekä noudattaa lainsäädännön vaatimuksia ja toimialan viitekehyksiä.
- Luottamuksen rakentaminen. Huolehtimalla toimittajariskien hallinnasta osoitat asiakkaillesi ottavasi tietoturvan vakavasti.
Millaisten organisaatioiden tulisi tehdä toimittajariskien hallintaa?
Toimittajariskien hallinta on tärkeää kaikille organisaatioille, joilla on ulkoistettuja toimintoja, kuten esimerkiksi pilvipalveluita, IT-tukea, asiakaspalveluita tai vaikkapa logistiikkaa. Erityisen tärkeää toimitusketjun riskienhallinta on liikesalaisuuksia, henkilötietoa, taloudellista tai turvallisuuteen liittyvää tietoa käsitteleville organisaatioille, sillä toimittajien tietoturvarikkomukset voivat johtaa kriittisten tietojen vuotamiseen. Toisaalta esimerkiksi pienet firmat tai kasvuyritykset voivat olla hyvin riippuvaisia toimitusketjustaan, jolloin toimittajan palvelun häiriöt tai resurssipula voivat pysäyttää liiketoiminnan.
Joillain aloilla toimialakohtainen sääntely vaatii kolmannen osapuolen riskienhallintaan panostamista. Esimerkiksi finanssialaa koskeva Digital Operational Resilience Act (DORA) edellyttää kolmansiin osapuoliin liittyvää ICT-riskienhallintaa. Niin ikään kriittisiä toimialoja koskeva NIS2-direktiivi asettaa vaatimuksia toimitusketjun turvallisuuden ymmärtämisestä ja arvioinnista. Tietoturvallisuuden hallinta toimittajasuhteissa on osa myös ISO/IEC 27001 –standardia.
Arvioi toimittajan aiheuttamat riskit
Millaiseen tietoon ja mihin toimitiloihin alihankkijamme pääsevät? Entä jos palvelutoimittajamme ylläpitämän pilvipalvelun tiedot vuotavat? Jos palveluntarjoajamme joutuu tietomurron kohteeksi, voiko sitä kautta hyökätä myös meihin? Entä jos toimittaja menee konkurssiin? Muun muassa tällaisten kysymyksien kautta voi lähteä liikkeelle arvioimaan toimitusketjun aiheuttamia riskejä. Riskit tulisi arvioida sekä uusia toimittajia valittaessa että säännöllisesti nykyisille toimittajille.
Riskiarvion avulla päätetään, miten riskit saadaan hyväksyttävälle tasolle. Toimittajalle voidaan esimerkiksi asettaa tietoturvan raportointivelvoitteita tai tehdä useammin tietoturvatarkastuksia, joilla varmistetaan tietoturvavaatimusten täyttyminen. Myös tietojen pääsyyn rajaaminen tiukemmin, automaattisesti vanhentuvat käyttäjätunnukset ja muut tekniset tietoturvatoimet sekä toimittajan henkilöstön tietoturvakoulutus voivat auttaa riskien pienentämisessä.
Valitse toimittaja fiksusti kriteeristön avulla
Toimittajaa valitessa vaakakupissa painaa usein hinta. Fiksussa toimittajavalinnassa olisi syytä miettiä myös toimittajan tietoturvakäytäntöjä sekä kapasiteettia toimittaa haluttuja palveluita.
Valintakriteerit kannattaa kirjoittaa ylös mahdollisimman yksiselitteisiksi vaatimuksiksi, joihin etsitään vastaus hankintaprosessin aikana. Kriteerejä voi olla sekä toimittajaorganisaatiolle että toimittajan tarjoamalle palvelulle. Esimerkiksi toimittajasta voidaan haluta varmistaa, että toimittajalla on valmius skaalata palveluitaan organisaation tarpeiden mukaan ja että toimittaja noudattaa selkeitä ja dokumentoituja prosesseja esimerkiksi palvelun muutostenhallinnan, turvallisen ohjelmistokehityksen ja häiriönhallinnan osalta. Pilvipalvelusta puolestaan voidaan haluta varmistaa esimerkiksi, että käyttäjien on mahdollista kirjautua organisaation omalla kertakirjautumisella, pääsynhallintaratkaisu mahdollistaa tietojen näkyvyyden rajaamisen, varmuuskopioiden säilytysaika on riittävän pitkä, palvelu voi jatkua katkeamatta alueellisista häiriöistä riippumatta tai että palvelun tietoturvaa arvioidaan säännöllisesti riippumattoman tahon tekemällä testauksella.
Tulivatpa vastaukset toimittajalta itseltään tai tietoturva-asiantuntijan arvion perusteella, tulisi vaatimuksiin olla arviointiperusteet ja hyväksyntäkriteerit. Joskus myös toimittaja-arvio, auditointi sopivaa viitekehystä vasten tai ohjelmiston tai IT-järjestelmän tekninen tietoturvatestaus voi olla paikallaan, jotta valinta voidaan tehdä turvallisin mielin.
Toimittajariskien hallinta on jatkuva prosessi
Toimitusketjun riskienhallinta on jatkuva prosessi. Kertaluontoinen riskiarvio tai tietoturvatarkastus ei riitä, vaan tavoitteena on varmistaa, että toimittajat ja alihankkijat noudattavat tietoturvavaatimuksia myös jatkossa. Esimerkiksi säännöllisissä palvelun seurantapalavereissa voidaan keskustella palvelun laatutason lisäksi myös tietoturvaan vaikuttavista mahdollisista muutoksista, tapahtuneista tietoturvahäiriöistä ja tietoturvariskeistä.
Lisäksi toimittajan tietoturva-arvio kannattaa uusia säännöllisesti toimittajan kriittisyyden perusteella. Vähemmän tärkeille palveluille voi riittää itsearvio tai lyhyt tietojen ajantasaisuuden tarkistus. Kriittisille palveluille voi olla aiheellista tehdä perusteellisempi toimittaja-arvio tai tietoturvatestaus.
On oleellista huomata, että toimitusketjun riskienhallinta ei ole pelkästään tietoturvan tai sopimusjuristien harteilla. Liiketoimintayksiköillä on paras ymmärrys toimittajien tärkeydestä ja millaisia riskejä häiriöt palvelussa tai tietoturvaongelmat voisivat aiheuttaa. Myös tietosuojaosaamista vaaditaan, jotta henkilötietojen asianmukainen käsittely ja tietosuojalainsäädännön noudattaminen varmistetaan. Mikäli palvelu integroituu muihin järjestelmiisi, kaivataan IT-tiimin osaamista.
Sujuva toimittajayhteistyö auttaa häiriötilanteissa
Kun palvelutoimittaja on liiketoiminnan kannalta kriittisessä roolissa, myös yhteistoimintaa toimittajan kanssa kannattaa tarkastella. Miten toimitaan, jos toimittaja joutuu tietomurron kohteeksi tai palveluissa on toimintahäiriö? Koskeekohan Kyberturvallisuuskeskuksen ilmoittama kriittinen haavoittuvuus myös meidän palvelutoimittajaamme?
On hyvä sopia ja dokumentoida etukäteen, kenelle viestitään, kuka tekee päätöksiä sekä mistä toimenpiteistä vastaa palvelutoimittaja ja mistä asiakasyritys. Sen lisäksi, että häiriönhallinta- ja jatkuvuussuunnitelmat ovat kunnossa paperilla, kannattaa katastrofinhallintakykyjä koeponnistaa käytännössä yhteisen kyberharjoituksen avulla. Toimittajan mukaan ottamista harjoitukseen ei kannata jännittää – aluksi voi lähteä liikkeelle pienimuotoisemmasta työpöytäharjoituksesta ja yksinkertaisesta skenaariosta ja sen jälkeen edetä monimutkaisempiin kyberharjoituksiin.
Miten lähteä liikkeelle toimittajariskien hallinnassa?
Toimittajariskien hallinta on hyvä aloittaa toimitusketjun tunnistamisesta, riskien arvioinnista ja toimittajan kriittisyyden ymmärtämisestä liiketoiminnalle. Seuraavilla askelilla pääset alkuun:
- Luetteloi nykyiset toimittajat, alihankkijat ja muut kumppanit. Kuvaa lyhyesti toimittajan tarjoama palvelu: toimittavatko he ohjelmistoa, pyörittävät pilvipalvelua vai kenties vuokraavat organisaationne tarvitsemia toimitiloja?
- Mieti, mitkä toimittajista ovat kriittisiä liiketoiminnallenne tai käsittelevät luottamuksellisia tietoja. Dokumentoi arviosi toimittajan tärkeydestä.
- Selvitä, mitä jo tiedät toimittajien tietoturvan tasosta. Onko toimittajilla esimerkiksi tietoturvasertifikaatteja tai onko heidän palvelunsa riippumattoman tahon tietoturvatestaama? Kysy tietoturvasta toimittajilta seuraavassa tapaamisessa.
Tämän jälkeen voit lähteä muodostamaan arviointikriteerejä eri kriittisyysluokituksen toimittajille, arvioimaan toimittajien tietoturvan kypsyystasoa esimerkiksi itsearviointilomakkeiden ja haastatteluiden avulla, arvioimaan riskejä, tarkastelemaan toimittajasopimusten kattavuutta tietoturvan näkökulmasta ja muodostamaan toimittajariskien hallintaohjelmaa, jolla muodostetaan ajantasainen kuva toimitusketjun riskeistä ja jonka avulla riskeistä voidaan raportoida esimerkiksi ylemmälle johdolle tai asiakkaille.
Onko organisaatiollanne tarvetta toimittajariskien hallinnan kehittämiselle? 2NS:llä on laaja kokemus toimittaja-arviointien ja toimitusketjun riskienhallintaohjelmien toteuttamisesta osana tietoturvallisuuden hallintajärjestelmäkehitystä sekä erillisinä projekteina. Kerromme mielellämme lisää palveluistamme, ota yhteyttä!