Havainnot NIS2 -direktiiviin liittyen – terveiset kentältä
Tietoturvan säädösten kentällä käy kova kuhina. Horisontissa häämöttää lokakuussa voimaan tuleva NIS2 –direktiivi. Olemme havainneet kolme selkeää toistuvuutta direktiivin voimaantuloon liittyvissä keskusteluissa kentällä. Tässä blogissa kerromme havainnoista lisää sekä siitä, millaisia ratkaisuja havaintoihin liittyen on kauttamme saatavilla.
1. Tietoturva käytäntöjen dokumentointi, tietohallinnon iso mörkö
Yksi keskeinen löydös ja tunnistettu toistuvuus organisaatioiden valmistautumisessa tietoturvan direktiivin voimaantuloon on se, että että tietoturvakäytäntöjä on organisaatioissa tunnistettu, sovittu ja niitä sovelletaan, mutta usein vain suusanalllisesti. Dokumentointi saatetaan nähdä pelottavana ja pakollisena mörkönä tietohallinnossa, jota ei aina haluta kohdata silmästä silmään. NIS2 –direktiivin kannalta tietoturvaan liittyvät käytännöt tulee kuitenkin olla selkeästi kuvattuna, suunniteltuna ja dokumentoituna. Unohtamatta käytäntöjen päivittämistä sekä ylläpitoa.
Dokumentoinnin taso vaihtelee hurjasti organisaatioiden välillä ja mörön läsnäolo on selkeästi nähtävillä. Taisteluvalmiudessa tuota dokumenttimörköä kohtaan on valtavasti puutteita eikä tietoturvallisuuden käytäntöjä ole juurikaan dokumentoitu. Oman haasteen tuo se, että NIS2 –direktiivi ei aina ota tarkalleen kantaa siihen, miten tietoturvan erilaisia käytäntöjä on toteutettava konkreettisesti. Direktiivi vaatii esimerkiksi, että pääsynhallinnan tulee olla kunnossa – mutta ei kerro tarkalleen, että miten se olisi hyvien käytäntöjen mukaisesti syytä toteuttaa. Direktiivi kertoo, että kakku pitää leipoa, mutta ei kerro miten ja minkä makuinen.
Ei kuitenkaan syytä huoleen. Autamme kokeneiden asiantuntijoidemme voimin luomaan organisaatiollenne NIS2-direktiivin vaatimusten ja hyvien käytäntöjen mukaisia toiminnan jatkuvuuteen liittyviä suunnitelmia sekä politiikoita. Esimerkkeinä mainittakoon liiketoiminnan jatkuvuus-/varautumissuunnitelma, IT:n elpymis-/palautumissuunnitelma, tietoturvapoikkeamien ja haavoittuvuuksien hallinnan suunnitelma. Laatimissamme työpajoissa haastattelemme asiakkaan nykyisiä käytäntöjä, jotka kirjataan dokumentoitaviin suunnitelmiin ja politiikoihin ja täydennetään hyvien tietoturvakäytäntöjen mukaisiksi.
Työpaja toimii yksinkertaisella kysymys – vastaus –mallilla. Tuodaan dokumentoinnin mörkö rohkeasti kirkkaaseen päivänvaloon. Mikäli näin ei toimita, on myös riskinä, että organisaatiolle arvokas hiljainen tieto tietoturvaan liittyen poistuu samalla kun työntekijät astuvat ovesta ulos esimerkiksi työpaikkaa vaihtaessaan. Hyvät käytännöt on dokumentoitava, jotta voidaan vastata NIS2 –direktiivin vaatimuksiin sekä hyödyntää hyväksi havaittuja käytäntöjä.
2. Lahjattomat treenaa – vai miten se meni?
Lahjattomat treenaa väite ei pidä tässä tapauksessa alkuunkaan paikaansa. NIS2 –direktiivi vaatii organisaatioita olemaan valmistautuneita tietoturvakriisejä varten. Liian harva organisaatio kuitenkaan tähän mennessä on harjoitellut tietoturvapoikkeamia vastaavia tilanteita.
On tärkeää tietää, kuinka toimia, kun kyberuhka toteutuu. Huomathaan, että puhun tästä konjuktiolla kun, ei jos. Tositilanteiden harjoittelut voi jakaa karkeasti kahteen ryhmään.
Ensimmäisenä on pienimuotoisemmat ja arkisemmat harjoittelut. Esimerkkinä voidaan tehdä työpöytäharjoituksia, jossa käydään yhdessä tiimin kanssa läpi eri skenaarioita, kuten ransomware eli kiristyshaittaohjelma. Miten toimitaan, keneen ollaan yhteydessä, kenelle tiedotetaan, mitä tiedotetaan, kuinka huolehtia ilmoittamisvelvollisuuden täyttämisestä, kuka tekee päätöksiä ja mitä päätöksiä, mikä on tehtävien toimenpiteiden marssijärjestys ja niin edelleen. Kun kyberhyökkäys iskee, aikaa ei ole hukattavaksi. On hallittava koko prosessi.
Toinen harjoittelumuoto on enemmän tekninen. Teknisessä harjoitteessa simuloidaan, mitä pellin alla tapahtuu ja kuinka tulee teknisesti toimia. Kyseessä voi olla harjoitus, jossa esimerkiksi simuloidaan liiketoiminnan lamaantumista. Parempi harjoitella etukäteen, ennekuin kyseessä on aito haitallinen hyökkäys, joka pahimillaan lamaannuttaa liiketoiminnan. Mainehaitoista puhumattakaan.
Tunnista, havannoi, dokumentoi ja harjoittele
Huoltovarmuuskriittisille toimijoille, niin julkisille kuin yksityisillekin, on tarjolla loistavia esimerkkejä kansallisista yhteisharjoituksista. Huoltovarmuuskriittisten toimijoiden on pakko harjoitella. Joillakin organisaatioilla voi olla kontrolleja, prosesseja mutta näitä ole kirjattu tai käydä säännöllisesti tietyn väliajoin läpi.
Ei paniikkia. Kokemustemme perusteella harjoittelun puutteseen olemme luoneet palvelun, jonka avulla voidaan harjoitella uhkailmiöitä vastaan. Kriisisimuloinnissa käydään yhdessä läpi koko prosessi, dokumentoidaan ja harjoitellaan. Joko te olette harjoitelleet, kuinka toimia, jos organisaationne verkossa on pahat mielessä oleva kräkkeri tai haittaohjelma, joka uhkaa lamauttaa tuotannon? NIS2 –direktiivi ei itsessään vaadi harjoituksia mutta vaatii, että kriisinhallinta on kunnossa, hyvien tietoturvakäytäntöjen mukaisesti ja liiketoiminnan jatkuvuus varmistettu.
3. Toimitusketju on yhtä vahva kuin sen heikoin lenkki
NIS2-direktiivi vaatii toimitusketjun turvallisuuden varmistamista. Organisaation kumppaneiden ja sidosryhmien verkoston muodostama kokonaisuus sisältää useita tiedon välityskanavia.
Mitä suurempi organisaatio, sitä useampi henkilö on vastuussa tiedonvälityksen ketjusta. Mitä tietoa jaetaan ja kenen kanssa, mitä kanavaa käytetään ja missä välitettyä tietoa säilytetään. Kuka kumppanin edustaja pääsee organisaationne tiloihin, mihin tiloihin hänellä on pääsy, mitä verkkoa hän käyttää, mihin tietoon verkon kautta on mahdollista päästä käsiksi. Mitä tapahtuu, jos kumppanuus päättyy, kuinka huolehditaan pääsyoikeuksien päättymisestä.
Tässä vain pintaraapaisu esimerkeistä, joita tulee ottaa NIS2 –direktiivin mukaisessa toimitusketjun turvallisuuden varmentamisessa huomioon. Jotta toimitusketjun turvallisuus voidaan taata, on käytännöistä sovittava ja dokumentoitava pääsyoikeuksiin liittyen niin organisaation sisäisesti kuin kumppaniverkoston kanssa.
Dokumentoinnin mörkö voi jälleen nostaa päätään. Dokumentoi vaatii paljon organisaation resursseja useilta eri osastoilta. Mukaan tarvitaan orgaanisaatiosa riippuen niin laki-ihmisiä, osto- ja hankintaosastoa, IT:tä sekä tietoturvasta vastaavia – unohtamatta kumppaniverkoston edustajia. Pelkästään kumppanisopimuksia voi olla kymmeniä, ellei satoja, jotka kaipaavat läpikäyntiä.
Prosessi on työläs, sitä ei käy kiistäminen. Me haluamme auttaa, tässäkin. Olemme toteuttaneet asiakkaillemme toimitusketjun tietoturvallistamisen työpajoja. Työpajoissa käydään yhdessä läpi hyvät käytänteet ja käytännön. Työpajan tarkoitus on tunnistaa yhdessä asiakkaan kanssa hyvät käytännön sekä havainnoida ja tunnistaa toimistuketjun kiemurat. Lopputuloksena syntyy dokumentoinnin mörön taltuttava opastus, jolla toimitusketjun varmentaminen hoituu. NIS2-direktiivin vaatimusten täyttäminen voi tuntua haastavalta, mutta asianmukaisilla resursseilla ja oikealla osaamisella siitä voi tehdä hallittavan osan organisaation riskienhallintaa. Meillä on kattava kokemus näiden vaatimusten käytännön soveltamisesta ja tarjoamme tukea kaikissa NIS2 mukanaan tuomissa haasteissa.
Jos organisaatiosi kaipaa apua NIS2 vaatimusten ymmärtämisessä, käytännön soveltamisessa tai muissa kyberturvallisuuden kysymyksissä, älä epäröi ottaa meihin yhteyttä. Olemme täällä auttamassa ja valmiina tukemaan sinua matkallasi kohti turvallisempaa ja säädöstenmukaista toimintaympäristöä.
Ota rohkeasti yhteyttä – rakennetaan yhdessä vahvempi ja turvallisempi tulevaisuus!
