Instan Senior Cyber Consultant Ville Rantamäki

23 - 8 - 2023 - Asiantuntijablogit

Hankintojen tietoturva, osa 2: Minkälaisia haasteita eteesi voi tulla, ja miten ne voitetaan

Senior Cyber Consultant Ville Rantamäki jatkaa blogisarjaansa hankintojen tietoturvasta tarkastelemalla tällä kertaa niihin liittyviä haasteita ja kuinka ne ratkaistaan.

KyberkonsultointiKyberturvallisuus

Ensimmäisessä osassa kirjoitin lyhyen katsauksen siihen, minkälaisia asioita kannattaa huomioida tietoturvatyöskentelyssä, kun suunnitellaan ja toteutetaan erilaisia hankintoja. Joskus kuitenkin käy niin, että vaikka itse suorittaisi hyvinkin kattavan suunnittelun ja valmistelun, kaikki ei suju niin kuin odottaisi. Joku muu on unohtanut lukea huolella kirjoittamasi ohjeen, kopioit ”lähes samanlaisesta” hankinnasta vaatimukset toiseen ajattelematta asiaa tarkemmin, tai toimittaja ilmoittaa haluamillasi vaatimuksilla tuotettavan järjestelmän hinnaksi kolme kertaa sen, mitä hankkiva taho on valmis maksamaan. Deadline oli kaiken lisäksi eilen.

Mistä niitä haasteita oikein tulee?

Haasteiden alkuperän voisi jaotella karkeasti kolmeen osaan:

  • itse aiheutetut,

  • organisaation sisäiset ja

  • organisaation ulkopuoliset.

Ensimmäiseen ei kannata uhrata liikaa ajatusta - aina voi mokata, ja jokainen mokaa joskus. Tekemällä oppii. Sen sijaan asioita, joihin ei itse pysty juurikaan valmistautumisella tai suunnittelulla vaikuttamaan, kannattaa miettiä jo hieman etukäteen. Edellisessä osassa haastavimmaksi osa-alueeksi todettiin loppujen lopuksi kommunikaatio, ja erityisesti oman organisaation sisällä tämän merkitys korostuu. Vaikka hankinta menisikin hankalaksi, työyhteisön on säilyttävä ehjänä siitä huolimatta.

Ville Rantamäki

Sisäiset haasteet

Sisäisiä haasteita voi tulla eteen useista eri syistä. Tyypillisimpiä syitä lienevät kiire, tietoturvan koettu hankaluus ja hitaus, ja taloudelliset rajoitteet. Kiireen syntyminen on usein merkki huonosta suunnittelusta, mutta sen syitä ei kannata alkaa ratkomaan, ennen kuin hankinta on saatu valmiiksi. Joskus syynä voi olla se, että aikaisempi sopimus umpeutuu hyvin lyhyen ajan sisällä, ja joskus taas kukaan ei vaan muistanut pyytää sinua laatimaan tietoturvallisuusvaatimuksia hankinnalle, paitsi viime tingassa ennen tarjouspyynnön lähettämistä. Tällöin usein ainoa ratkaisu on käydä jonkinlainen neuvottelu molempien tahojen välillä siitä, onko todella tarpeen hylätä kaikki muut työt, ja tuottaa tietoturvavaatimukset päivän loppuun mennessä (usein on, vaikka se onkin hyvin epämiellyttävä tilanne).

Hankinta voidaan kokea myös jo itsessään kohtalaisen raskaana prosessina, jos palvelua tai tuotetta hankkiva taho ei tee sitä kovinkaan usein. Tällöin saattaa käydä niin, että halutaan minimoida siihen käytettävän työn määrä, ja tietoturva kattavine vaatimuksineen on usein ensimmäisenä karsittavien listalla. Tämä johtaa usein edellä mainittuun kiireeseen, kun hankinnan aikataulu on suunniteltu siten, että tietoturvaa ei otettaisi mukaan lainkaan. Joskus myös hankintaan allokoitu taloudellinen resurssi saattaa olla täysin riittämätön suhteessa siihen, kuinka tarkaksi sen tietoturva haluttaisiin rakentaa. Tällöin joudutaan tekemään kompromisseja ja hyväksymään riskejä, ja silloin tietoturvahenkilönä on erittäin tärkeää kommunikoida syntyvistä riskeistä hankinnan vastuuhenkilöille. Näin voidaan valmistautua siihen, että nämä riskit saattavat toteutua, ja niiden syntyyn voidaan usein vaikuttaa myös erilaisin toimenpitein myös hankinnan jälkeen.

Ulkoiset haasteet

Ulkoiset haasteet hankintojen tietoturvassa ovat oma maailmansa, johon on hieman vaikeampi vaikuttaa omin toimenpitein. Hinta on yksi haaste, johon vaikuttavat sekä sisäiset että ulkoiset toimijat yhdessä, jolloin voi joskus olla tarpeen kartoittaa erilaisia vaihtoehtoja ja arvioida niiden riskejä, ennen kuin lataa täyslaidallisen vaatimuksia hankintailmoitukseen. Riskinottohalukkuus voi organisaation sisällä olla hyvinkin suoraan verrannollinen riskien pienentämisen edellyttämään rahamäärään.

Toinen merkittävä haaste saattaa nousta esiin vaatimusten tulkinnassa. Jos vaatimuksissa ei ole erikseen ilmaistu vastuullisia tahoja, tai ne mahdollistavat pienen liikkumavaran toteutuksessaan, niissä voi olla tarpeen suorittaa syvällisempää arviointia kuin tarjoajan vastaama ”kyllä” tai ”ei”. Jos toimittajalta edellytetään tiettyjen kehysten tai standardien mukaista toimintaa, mutta ei sertifikaatin esittämistä, voi toteutus usein olla mitä tahansa varsinaisesta vastauksesta riippumatta. Tällöin voi olla tarpeen suorittaa tarkennuksia mm. haastatteluin tai kyselyin toteutuksen takaamiseksi. Ei ole lainkaan epäkohteliasta tai haitallista pyytää jonkinlaista todistusaineistoa vastausten tueksi, vaan sen tulisi usein olla täysin normaali vaihe hankintaprosessia.

Uudet ja suunnitteilla olevat määräykset niin Suomen viranomaisten kuin EU:n tasolta ovat omalta osaltaan ulkoinen haaste hankinnoissa. Näihin on kuitenkin merkittävästi helpompaa vaikuttaa hyvällä ennakkovalmistautumisella ja määräysten luonnoksiin tutustumalla. GDPR toi omat, uudet mausteensa hankintojen tietosuoja-asioihin vuonna 2016, laki julkisen hallinnon tiedonhallinnasta uudisti julkisen puolen hankintoja vuonna 2019 ja tällä hetkellä on pinnalla EU:n laatima NIS2-direktiivi, joka tuli voimaan 2023, ja päivittyy kansalliseen lainsäädäntöön syyskuuhun 2024 mennessä. NIS2 kannattaakin ottaa jo nyt haltuun, mikäli tunnistaa oman yrityksensä sijoittuvan sen soveltamisalaan kuuluville toimialoille – ja jos ei ole varma asiasta, niin kannattaa kysyä vaikka meiltä!

Mitä minä voin tehdä asialle? Miten haasteet selätetään?

Yllä on lista erilaisia haasteita, joihin hankintoja tehdessä saattaa törmätä. Lista ei ole kattava, mutta sitä voi käyttää apuvälineenä siinä mainittujen tilanteiden ennaltaehkäisemiseen. Yksi varmimpia toimenpiteitä on kuitenkin varmistaa, että hankintoihin liittyvästä tietoturvasta on saatavilla riittävästi tietoa kaikille sitä tarvitseville. Lähes jokaisella organisaatiolla on olemassa jonkinlaiset ohjeet hankinnoista ja jonkinlaiset ohjeet tietoturvasta. Yllättävän usein näissä kahdessa ei kuitenkaan ole mainintoja toisistaan, vaikka ne kulkevat hyvin kiinteästi käsi kädessä. Usein tietoturvan tekijänä kannattaa varmistua siitä, että saa oman sanomansa näkyviin riittävän selkeästi nimenomaan hankintojen yleisiin ohjeisiin, koska valtaosa hankintoja tekevistä tahoista lukee vain sen, eikä lähde etsimään tietoturvaohjeista sitä, miten se tulisi huomioida hankinnoissa.

Toinen suositukseni on se, että kannattaa seurata lainsäädännössä ja määräyksissä tapahtuvia muutoksia aktiivisesti ja oma-aloitteisesti. Mikäli alkaa perehtyä uuteen määräykseen vasta silloin, kun se astuu voimaan ja ensimmäisen hankinnan deadline kolkuttelee jo ovella, voi ajaa itse itsensä melkoiseen loukkuun. Esimerkiksi NIS2 on liitteineen 73 sivua pitkä, ja hyvin lainsäädäntöhenkisesti kirjoitettu – ei mikään pikaluettava opas – ja sekään ei tarjoa suoria vastauksia siihen, miten asioita tulisi juuri teidän organisaatiossanne huomioida. Tällöin kannattaa tukeutua jo hyvissä ajoin etukäteen myös erilaisiin työryhmiin ja osaajayhteisöihin, tai tarvittaessa ulkoiseen tukeen.

Haluaisitko tietää, miten itse päädyin Installe?

Lue lisää uratarinastani

Kiinnostus käytännön kyberiin vei upseerista konsultiksi

Ville Rantamäki
Kirjoittaja

Ville Rantamäki

Kirjoittaja työskentelee Instassa kyberturvallisuuskonsulttina.

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.