Euroopan unioni pyrkii luomaan säännösten avulla turvallisemman ympäristön digitaalisemmaksi muuttuvalle liiketoiminnalle. NIS2-direktiivi tuo lisää kyberturvaan liittyviä vaatimuksia ja velvollisuuksia ensisijaisesti keskisuurille ja suurille organisaatioille.
Käytännössä tämä tarkoittaa sitä, että yritysten on tunnistettava verkkoihin, tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvia riskejä sekä määriteltävä keinot, joiden avulla näiltä suojaudutaan. Direktiivin soveltaminen alkaa 18.10.2024.
Aiempi NIS koski kahdeksaa toimialaa, nyt mukana on jo 18 yhteiskunnan sektoria, joista uusia ovat esimerkiksi tutkimustoiminta, jätehuolto ja julkishallinto. Käytännössä NIS2 kattaa suuren osan suomalaisista yrityksistä ja julkisista organisaatioista.
Yritysten tulee itse hahmottaa, koskeeko NIS2 niitä. Lisäksi yritysten tulee ilmoittautua valvovalle viranomaiselle, joka määräytyy toimialan mukaan. Pääsääntöisesti NIS2 koskee yrityksiä, joiden liikevaihto ylittää 10 miljoonaa euroa ja joissa on yli 50 työntekijää. Kaikista kriittisimmillä toimialoilla kokorajoitusta ei kuitenkaan ole.
Tarkista Kyberturvallisuuskeskuksen Kriittiset toimialat -taulukosta kuuluuko yrityksesi keskeisiin ja tärkeisiin toimialoihin, jota NIS2-direktiivin soveltaminen koskee. Ja tutustu aiheeseen myös Kyberturvallisuuskeskuksen sivulta NIS2 - Euroopan unionin kyberturvallisuusdirektiivi.
Se ei riitä, että IT-osasto hoitaa tietoturvan teknisesti kuntoon. Yrityksellä on oltava toimintamallit kyberriskien hallintaan ja niiden käytännön toteutus tulee myös pystyä näyttämään valvovalle viranomaiselle.
Luonnollisesti myös raportoinnin vaatimukset kasvavat. Merkittävästä poikkeamasta on ilmoitettava 24 tunnin kuluessa sen havaitsemisesta. Yksityiskohtaisempi jatkoilmoitus tulee tehdä kolmen vuorokauden kuluessa ja loppuraportin tulee olla valmis kuukauden kuluessa. Traficomin sivuille tulee sähköinen asiointipalvelu näitä ilmoituksia varten.
NIS2:ssa tämä määritellään tapahtumana, joka on aiheuttanut tai voinut aiheuttaa yritykselle palvelujen vakavan toimintahäiriön tai taloudellisia tappioita. Raportointia edellyttää myös toisille osapuolille aiheutunut huomattava aineeton tai aineellinen vahinko tai sellaisen mahdollisuus.
Alkuvaiheessa näitä ilmoituksia tehdään todennäköisesti varmuuden vuoksi, sillä sanktiot ovat merkittäviä. Sanktiot ovat enimmillään 10 miljoonaa euroa tai kaksi prosenttia yrityksen liikevaihdosta sen mukaan, kumpi summa on suurempi. Tämän lisäksi yrityksen ylin johto voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.
Osa suomalaisista yrityksistä on ollut aktiivisia ja hoitanut asiat ajoissa kuntoon, mutta monet yritykset tulevat heräämään asian äärelle vasta määräpäivän lähestyessä.
Jos yrityksellä ei ole ollut tietoturvan johtamisjärjestelmää, edessä tulee olemaan iso työ. Tietoturvaan liittyvien toimintojen ja käytäntöjen omaksuminen organisaatiossa vie aikaa. Tässä on kyseessä toiminto, jota pitää johtaa määrätietoisesti ja aktiivisesti.
Minkälaiseen aikatauluun NIS2:n kohdalla kannattaa sitten varautua? Esimerkiksi ISO 27001 –tietoturvastandardin käyttöönottoon kuluu aikaa vähintään 9–12 kuukautta. Se antaa vähän osviittaa myös NIS2:n aikataulun hahmottamiselle.
NIS2-direktiivin vaikutukset yrityksiin ja organisaatioihin ovat merkittäviä. Direktiivi asettaa uusia vaatimuksia ja velvoitteita, jotka voivat vaatia huomattavia resursseja ja investointeja. Tässä muutamia keskeisiä vaikutuksia:
Yritysten on kehitettävä kattavat riskienhallintasuunnitelmat ja tietoturvapolitiikat, jotka kattavat kaikki mahdolliset kyberuhat. Tämä voi sisältää esimerkiksi säännölliset turvallisuusauditoinnit, haavoittuvuustestaukset ja henkilöstön koulutuksen.
Direktiivi edellyttää, että yritykset toteuttavat teknisiä toimenpiteitä kyberuhkien torjumiseksi. Tämä voi tarkoittaa esimerkiksi palomuurien, haittaohjelmien torjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien käyttöönottoa. Lisäksi yritysten on varmistettava, että niiden järjestelmät ja ohjelmistot ovat ajan tasalla ja suojattuja.
Yritysten on luotava selkeät raportointikäytännöt turvallisuuspoikkeamien ja -uhkien varalta. Direktiivi edellyttää, että yritykset raportoivat tietoturvaloukkauksista ennalta määritellyissä määräajoissa, mikä voi vaatia nopeaa reagointia ja tehokasta tiedonhallintaa.
NIS2-direktiivi sisältää sanktioita yrityksille, jotka eivät noudata sen vaatimuksia. Tämä voi tarkoittaa esimerkiksi huomattavia taloudellisia seuraamuksia tai liiketoiminnan keskeytyksiä. Jäsenvaltioiden on myös perustettava valvontaviranomaiset, jotka varmistavat direktiivin noudattamisen ja valvovat yritysten toimintaa.
NIS2-direktiivi on merkittävä edistysaskel Euroopan unionin kyberturvallisuuspolitiikassa. Se asettaa uusia vaatimuksia ja velvoitteita yrityksille ja organisaatioille, mutta samalla se parantaa kriittisten infrastruktuurien ja palvelujen suojelua yhä monimutkaisemmissa kyberuhkien ympäristöissä.
Vaikka direktiivin noudattaminen voi vaatia huomattavia resursseja ja investointeja, sen tavoitteet ovat selkeät:
NIS2-direktiivi edustaa uutta aikakautta kyberturvallisuuden hallinnassa Euroopassa, ja sen vaikutukset tulevat olemaan kauaskantoisia.
Tutustu aiheeseen ja Marskidatan NIS2 Tietoturvakartoitukseen nettisivuiltamme Oletko valmis NIS2-direktiiviin? Tietoturvakartoituksessa Marskidatan asiantuntijat kartoittavat yrityksesi kyberturvallisuuden nykytilan ja vertaavat tätä NIS2-direktiivin velvoitteisiin. Saat tämän jälkeen esityksen tarvittavista kehitystoimenpiteistä ja dokumentointitarpeista.
Autamme mielellämme kartoittamaan tilanteenne, ota yhteyttä myynti@marskidata.fi.
Moni on varmasti törmännyt viimeaikojen uutisointiin Microsoftin yleisimmän käyttöjärjestelmän tuen lakkaamiseen ensi vuonna. Tämä on myös herättänyt huolta siitä, miten tämä vaikuttaa oman IT-ympäristön toiminnan jatkuvuuteen sekä tietoturvaan. Tilanne saattaa herättää pelkoja sekä huonoja muistoja edellisestä kerrasta, kun vastaava tapahtui Windows 7 -käyttöjärjestelmän osalta. Osalla meistä ei välttämättä ole ymmärrystä siitä, mitä tämä voisi tarkoittaa. Tilannetta voi verrata siihen, että jokainen meistä törmää päivityksiin lähes viikoittain, milloin matkapuhelin pyytää päivittämään ohjelmiaan, milloin uudehko auto pyytää päivittämään hallintajärjestelmänsä uuteen versioon.
Yleensähän päivitys tulee juuri silloin, kun on mahdollisimman kiire ja päivitystä pitää vain ärsyttävänä asiana. Moni ei kuitenkaan tule ajatelleeksi seurauksia siitä, kun päivitykset kyseiseen tuotteeseen lakkaavat. Vaikuttaa vain näennäisesti mukavalta, ettei laite vähän väliä pyydä sinua odottelemaan päivityksien valmistumista. Tilanne antaa valheellisen mukavuuden tunteen, sillä ulkopuolisen tunkeutujan tai haittaohjelman on helpompi juuri silloin ottaa laitteesi haltuun. Käyn blogissani läpi sitä, mitä muutos tuo tullessaan ja miten siihen voi varautua.
Microsoft on ilmoittanut antavansa tukea sekä tietoturvapäivityksiä Windows 10 -käyttöjärjestelmälle 14. lokakuuta 2025 asti (Windows 10 Home and Pro - Microsoft Lifecycle | Microsoft Learn). Tämän jälkeen kyseiselle käyttöjärjestelmälle ei enää julkaista tietoturvaa parantavia tai korjaavia päivityksiä. Kyseisen päivämäärän jälkeen ei työkoneissa enää pidä kyseistä käyttöjärjestelmää käyttää. Monelle tämä tarkoittaa pakollista siirtymistä Windows 11 -käyttöjärjestelmän käyttöön, vaikka se ei olekaan ottanut tuulta alleen kuten Microsoft oli toivonut.
Microsoft tarjoaa monelle Windows 10 -käyttäjälle mahdollisuutta ilmaiseen päivitykseen Windows 11 -käyttöjärjestelmään. Uudehkon koneen käyttäjälle tämä onkin oiva vaihtoehto. Käyttöjärjestelmän annetaan päivittää itsensä uuteen versioon ja sen jälkeen asia on kunnossa. Lähes poikkeuksetta päivitys onnistuu suoraan Windows 10 -käyttöjärjestelmän päälle, jolloin käyttäjän profiili tiedostoineen ja asetuksineen pysyy käytössä myös Windows 11:sta.
Useilla yrityksillä on kuitenkin mahdollisesti käytössään eri lisenssointiratkaisuja Microsoftilta, jolloin automaattinen päivitys ilmaiseksi ei onnistukaan, vaan lisenssit on mahdollisesti hankittava Windows 11 varten erikseen. Näissä asioissa Marskidata auttaa mielellään ja selvittää esimerkiksi sen, mitä päivityksen mahdollistaminen vaatii.
Kannattaa ottaa huomioon myös se, että vanha laitekanta saattaa estää päivityksen. Tilanne voi vaatia vanhojen koneiden uusimista, jotta työntekoa voidaan jatkaa tietoturvallisesti. Uusien koneiden mukana tuleekin jo Windows 11, joten kun kone otetaan käyttäjälle käyttöön, ovat asiat sen jälkeen kunnossa. Koneiden vaihdon yhteydessä hyvin toteutettu Microsoft 365 -palvelu ja käyttäjän tietojen tallennus OneDriven kautta pilveen tai omalle palvelimelle helpottaa käyttäjän siirtymistä vanhalta koneeltaan uuteen.
Marskidatalla haluamme helpottaa päätelaitteiden elinkaaren seurantaa ja järjestelmien ylläpitoa. Meiltä saat yrityksellesi päätelaitteet palveluna, tarkoittaen muun muassa läppäreitä, älypuhelimia ja tabletteja. Kaikki ne laitteet, jotka tarvitset työskentelyyn, saat ne meiltä valmiiksi asennettuina ja ylläpidolla. Lue lisää aiheesta nettisivultamme IT-laitteet ja ohjelmistot.
Monesti laitekanta käyttöjärjestelmineen on ostettu eri aikaan ja välttämättä aivan tarkkaa kuvaa laitteiden iästä tai niiden päivitettävyydestä Windows 11 -käyttöjärjestelmään ei ole. Lisäksi monesti käytössä on ohjelmistoja, joiden yhteensopivuudesta Windows 11 kanssa ei ole täyttä varmuutta. Tässä tilanteessa Marskidata onkin oiva yhteistyökumppani, jonka kanssa käydä läpi laitteistot, ohjelmistot sekä lisenssointi Windows 11 osalta. Kartoitamme tilanteen ja käymme asiakkaan kanssa läpi, mitä ympäristön saattaminen Windows 10:stä Windows 11 kohti vaatii.
Kun suunnitelma on tehty hyvin, aikataulut määritetty ja itse prosessi käynnistetty, voidaan laitekanta uusia hallitusti ja päivitykset tehdä oikeaoppisesti. Näillä keinoilla valmistaudutaan ja pidetään käyttökatkot tai muut haittaavat vaikutukset asiakkaan tuotantoympäristöön minimissään.
Lopputuloksena olemme saaneet ympäristön hyvissä ajoin kuntoon ennen lokakuun 14. päivää vuonna 2025 ja tuen lakkaamisesta ei tarvitse murehtia lainkaan.
Ole siis ajoissa liikkeellä ja valmistaudu, me autamme! Tekninen asiantuntija tarkistaa IT-ympäristön tilanteenne, jotta ikäviä yllätyksiä ei tule vastaan. Ota siis yhteyttä myyjiimme myynti@marskidata.fi, niin tarkistetaan yrityksesi tilanne kuntoon.
Koneäly ja tekoälyn tuomat innovaatiot ovat mullistaneet tapamme työskennellä ja kommunikoida. Kaksi merkittävää peluria näillä markkinoilla ovat OpenAI:n ChatGPT ja Microsoftin 365 Copilot. Mutta kumpi näistä on parempi? Tarkastellaanpa näiden kahden tehokkaan työkalun ominaisuuksia, vahvuuksia ja heikkouksia.
ChatGPT on OpenAI:n kehittämä koneoppimismalli, joka on suunniteltu käymään ihmismäisiä keskusteluja. Se perustuu GPT-3-malliin, joka sisältää jopa 175 miljardia parametria, ja pystyy vastaamaan monenlaisiin kysymyksiin, antamaan neuvoja ja jopa luomaan sisältöä. Se käynnisti generatiivisen tekoälyn huuman vuonna 2022 ja sillä on elokuussa 2024 yli 200 miljoonaa viikottaista käyttäjää. Microsoft on sijoittanut 13 miljardia dollaria OpenAI:hin, mikä on mahdollistanut ChatGPTn mallien käytön Microsoftin tuotteissa.
ChatGPT soveltuu parhaiten organisaatioihin, joissa ei käytetä aktiivisesti Wordia, Exceliä tai PowerPointia tai muita Microsoftin työkaluja. Sen ominaisuuksiin kuuluvat muun muassa kuvien generointi, data-analyysi sekä puhelin- ja työpöytäapplikaatiot.
Microsoft 365 Copilot tuli yleiseen käyttöön tammikuussa 2024 ja se alkoi tukea suomen kieltä vappuna 2024. Microsoft 365 Copilot on suunniteltu erityisesti työelämää varten. Se integroituu suoraan Microsoft 365 -sovelluksiin, kuten Wordiin, Exceliin ja Teamsiin, joita käyttää yli 1,2 miljardia ihmistä maailmanlaajuisesti. Copilot auttaa käyttäjiä automatisoimaan tehtäviä, analysoimaan dataa ja luomaan sisältöä.
Copilot soveltuu parhaiten organisaatioihin, jotka käyttävät Microsoftin sovelluksia.
Yrityskäytössä molemmilla työkaluilla on omat selkeät etunsa. ChatGPT voi olla erityisen hyödyllinen asiakaspalvelussa, markkinointikampanjoiden suunnittelussa ja sisällöntuotannossa. Sen kyky simuloida ihmismäisiä keskusteluja tekee siitä arvokkaan työkalun, kun tarvitaan luovia ja monipuolisia ratkaisuja. Microsoft 365 Copilot puolestaan sopii erinomaisesti liiketoiminnan prosessien tehostamiseen, datan analysointiin ja raportointiin. Copilotin avulla yritykset voivat nopeuttaa työtehtäviä, vähentää inhimillisten virheiden määrää ja parantaa yleistä tehokkuutta.
Valinta ChatGPT:n ja Microsoft 365 Copilotin välillä riippuu suuresti käyttäjän tarpeista. Jos etsit työkalua, joka voi auttaa sinua luomaan luovaa sisältöä, käymään monipuolisia keskusteluja ja tarjoamaan laajaa tietoa eri aiheista, tai jos käytät työssäsi esimerkiksi vain Googlen työkaluja, ChatGPT on sinulle oikea valinta. Sen monipuolisuus ja keskustelutaito tekevät siitä erinomaisen apurin niin henkilökohtaisessa kuin ammatillisessakin käytössä.
Toisaalta, jos työskentelet yritysmaailmassa ja organisaatiossasi on käytössä Microsoft 365 -työkalut, on valintasi ehdottomasti Copilot. Jos siis tarvitset tehokasta apuvälinettä, joka integroituu Microsoft 365 -sovelluksiin ja auttaa sinua automatisoimaan tehtäviä, analysoimaan dataa ja luomaan ammattimaisia raportteja, Microsoft 365 Copilot on parempi vaihtoehto. Sen kyky parantaa työtehoa ja tarkkuutta tekee siitä korvaamattoman työkalun monille ammattilaisille.
On varmasti monia esteitä siihen, ettei myyjän ja asiakkaan välinen vuorovaikutuksellinen ja luottamuksellinen keskustelu synny tai vaikkapa tietoturvaan liittyvistä asioista keskustelu ei vain saa tuulta purjeiden alle. Kokemuksesta väittäisin usein syyksi yhden merkittävän haitan keskustelussa. Vaikka myyjä haluaa myydä, ei keskustelu sido asiakasta ostamaan mitään. Mutta keskustelu myyjän kanssa voi olla asiakkaan kannalta monin verroin merkityksellisempää, mitä aluksi voisi luulla. Lue siis eteenpäin, niin kerron mikä on tämä yksi merkittävä haitta keskustelussa.
Lähdetään liikkeelle tarinalla myyntinaisesta nimeltä Tiina ja hänen asiakastaan Ismosta. IT-päällikkö Ismo tapasi IT-myyjä Tiinan toimistollaan. Tiina yritti keskustella Ismon kanssa tietoturvan tilasta, mutta Ismo torppasi keskustelun useaan otteeseen todeten, että ”kaikki on meillä kunnossa. Meillä on IT-palveluille toimittaja, joka hoitaa myös tietoturvan ja kaikki on täysin kunnossa”. Keskustelut jäivät ”torsoksi”, mutta myyjän kanssa hierottiin lopulta kauppaa työasemien elinkaaripalvelusta.
Tiinan myymä elinkaaripalvelu otettiin käyttöön Ismon työpaikalla, mutta samoihin aikoihin yhtiön toiminta lamaantui yllättäen. Yhtiön palvelimet kryptattiin ja yhtiön sähköpostiosoitteista alkoi virrata sidosryhmille sekä asiakkaille kalasteluviestejä ja asiattomia ”törkyviestejä”. Mainehaitta alkoi kasvaa tunti tunnilta. Yrityksen johto vaikutti hätääntyneeltä ja tunnelma töissä kaoottiselta.
Ismo soitteli toistuvasti IT-palveluntarjoajalleen, mutta apua ei tuntunut tulevan helpolla. Ismo vaati apua vasteajalla ”heti”. Lopulta useamman tunnin jälkeen palveluntarjoaja teki selväksi, että he ovat toimittaneet palomuurit ja tietoturvalisenssejä Ismon edustamalle firmalle, mutta ei sen kummempaa. Ismo alkoi ymmärtää, että tosipaikan tullen ei ollut vasteaikaa mihin tukeutua. Palveluntarjoajan kanssa oli toki sovittu perustason IT-tuesta neljän tunnin vasteajalla, mutta tietoturvaan liittyvä reagointi oli tämän ulkopuolella. Toimittajalta toki sai sitä, mutta ilman sitoumusta nopeaan vasteaikaan.
Tietoturva Ismon työpaikalla osoittautui olevan sitä luokkaa, että lisenssejä oli asennettu työasemille ja palomuurit löytyivät. Juuri muuta ei oltukaan tehty, eikä aitoon hätään varauduttu. Tietoturvapuolelle ei ollut hankittu reagointipalvelua kireällä vasteajalla. Ismo ymmärsi, että kun tästä todella isolla rahamäärällä selviydytään ja suuren liiketoimintahaitan kautta, niin johtoryhmä haluaa selityksen yrityksen tietoturvan tasosta. Silloin Ismo muisti keskustelunsa Tiinan kanssa. Tiina halusi puhua tietoturvasta ja hänellä olisi selvästi ollut ratkaisuja tietoturvan kehittämiseen. Aitoa reagointia ja suojautumista.
Olettamus ja olettamisen mukanaan tuoma pettymys tai suoranainen epäonnistuminen. Tässä tarinassa olettaminen on johtanut olettajaa harhaan; Ismo oletti tietoturva-asioiden olevan kunnossa. Olisiko paremmin sujunut keskustelu tietoturvasta voinut estää epäonnistumisen, mainehaitan ja rahallisen tappion? Väitän, että vuorovaikutteisella keskustelulla olisi voitu välttyä jopa tämän kaltaiselta tilanteelta. Keskustelun jälkeen Ismon ratkaistavaksi olisi jäänyt joko kiristää vaatimuksia nykyisen palvelutuottajan suuntaan tai vaihtaa Tiinan edustamaan yritykseen, joka jo ensi metreillä osoitti aitoa halua auttaa asiakastaan ja varmistaa Ismon yrityksen hyvän tietoturvan tason.
Olen tehnyt yli 14 vuotta B2B-myyntiä ja huomannut olettamisen olevan läsnä loppujen lopuksi myynnin kaikissa vaiheissa. Esimerkiksi myyntisyklin alkupäässä kuulemme usein keskustelua kylmäsoittojen ja asiakaskontaktoinnin vaikeudesta, koska myyjä olettaa: ”ei se asiakas kuitenkaan vastaa” tai ”ei se asiakas tällaiseen ’spiikkiin’ lämpene”. Myyjän on luotettava ammattitaitoonsa ja siihen, että halu auttaa asiakasta hänelle merkityksellisissä haasteissa, tuottaa kyllä tulosta. Ei aina, mutta tarkka asiakas kyllä tunnistaa sen hyvän kaverin, jonka kanssa kannattaa tehdä yhteistyötä. Myyjän ei kannata myöskään olettaa, että asiakas muistaa kaiken palaverissa käydyn asian. Asioita täytyy käydä läpi aika ajoin uudestaan ja myyntityö on erityisen vahvasti laji, jossa perusasioista kiinnipitäminen johtaa menestykseen.
Asiakkaan ei myöskään kannata olettaa liikaa asioita. Kun tehdään tarjouspyyntöjä ja kilpailutuksia, jotka johtavat täysin päättömiin tai vertailukelvottomiin tarjouksiin toimittajilta, niin kaikki tuhlaavat aikaansa. Todennäköisesti jokainen osapuoli lopulta pettyy. Lisäksi voidaan sanoa, että kun jonkin osa-alueen oletetaan olevan kunnossa (mutta ei kuitenkaan oikeasti tutkita onko), niin huomiota ei keskitetä asiaan, johon ehkä kannattaisi. Pitää olla luotettava IT-kumppani ja osaava kaveri kertomaan, mitä kannattaisi harkita tai mitä olisi syytä ottaa huomioon.
Vuosien varrella olen nähnyt itse tietoturvan suhteen järkyttävässä kunnossa olevia ympäristöjä. Esimerkiksi palveluita, joista asiakkaat maksavat, mutta jotka eivät sitten tosipaikassa kuitenkaan toimi. Olen nähnyt tehtaan, joiden liukuhihnat voisi pysäyttää tien toiselta puolelta perustasoisen teini-ikäisen hakkerin toimesta. Olen nähnyt toimistohotellin, jonka asiakasyhtiöiden verkot olivat täysin avoimia kaikille. Olen nähnyt finanssialan toimijan, jonka asiakasrekisterit olivat suojaamatta avoimessa verkossa ja vielä pahan tietomurron, sekä sitä seuranneen mainehaitankin jälkeen ”kaikki oli kunnossa: ei tarvitse edes keskustella tietoturvasta”. Kaikissa näissä tapauksissa kaiken takana on ollut ihmisiä, jotka ovat olettaneet kaiken olevan niin kunnossa, ettei kannata edes keskustella aiheesta.
”Älä oleta ja tee tätä virhettä, vaan keskustele! Tarkistamalla asiat selviävät.”
Mikä olisi mielestäni oikea ratkaisu tähän koko teemaan? Kiteytän sen tähän. Asiakas: älä oleta, vaan selvitä ja keskustele. Ole utelias ratkaisujen ja muuttuvan maailman suhteen. Myyjä: älä oleta, vaan toimi, toista ja pidä perusasioista kiinni.
Meillä ei ole mahdollisuutta höllätä tietoturvan suhteen, vaan on varmistettava asioiden oikea laita. Edelleen asiakas päättää ja myyjä kuuntelee, sekä osoittaa asiantuntijuutta tarjoamalla asiakkaan IT-ympäristöön tai asiakkaan kulloinkin olevaan tarpeeseen järkeviä ja kustannustehokkaita ratkaisuja. Niin hyvä ja asiantunteva IT-kumppani toimii.
PS. Sinua saattaa kiinnostaa myös kollegani Arton blogit Tietoturva päättäjän näkökulmasta, osa 1 ja osa 2. Lue lisää Marskidatan palveluista Tietoturva ja IT-palvelut yrityksille. Tutustu myös asiakastarinaan Arbonaut valitsi Marskidatan tietoturvansa vahvistajaksi ja Mastsystem on tyytyväinen kokonaisvaltaisen IT-kumppanin palvelualttiuteen.
Niin ja ole yhteydessä meidän hyviin tyyppeihin myyntitiimissä myynti@marskidata.fi.
Veeam Backup & Replication varmistusohjelmistossa v12 on havaittu haavoittuvuuksia, joista osa on vakavia. Korjauksena on päivittää ohjelmisto uusimpaan v.12.2. versioon.
KB4649: Veeam Security Bulletin (September 2024)
Edellisessä blogissani Tietoturva päättäjän näkökulmasta, osa 1 käsittelin sitä, että tietoturvaa ei voida enää tänä päivänä sivuttaa tai toteuttaa välttämättömänä pahana, vaan yritysjohdon tulee herätä todellisuuteen. Keskisuurissa ja suurissa yrityksissä tietoturva vieritetään usein IT-osaston vastuulle. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Vastuu on aina kuitenkin johdolla ja tietoturvauhat koskevat kaiken kokoisia yrityksiä. Blogin tässä osassa mietimme, ovatko tietoturvan resurssit riittävät? Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
Mikä sitten on tämän sisäisen IT-osaston tai ulkoisen kumppanin kompetenssi vastata tietoturvasta? Samaisten viimeisen kymmenen vuoden aikana olen Account Managerina toimiessani tavannut satoja yritysten IT-vastaavia, joiden kaikkien tehtävänä on yksiselitteisesti pitää yrityksen IT-ympäristö toimintakykyisenä. He vaihtavat patterit hiireesi, ottavat sähköpostin käyttöön uuteen puhelimeesi, palauttavat unohtuneet salasanasi ja niin edelleen. Päivittäinen työkuorma on yleisesti sillä tasolla, ettei osaamisen kehittämiseen esimerkiksi tietoturvan saralla jää aikaa. Vajaan 18 vuoden aikana olen törmännyt vain kahteen IT-vastaavaan, jolla on ollut voimassa oleva sertifikaatti käytössä olevan tietoturvasovelluksen asiantuntijuuteen.
Riskien minimoimiseksi tietoturva tulisi rakentaa ja kehittää asianmukaisen mallin avulla. Tässä mallissa yritysten tietoturva rakentuu yleisesti kumppaneiden sertifioitujen asiantuntijoiden osaamisen hyödyntämiseen. Tällöin kumppanin verkkoasiantuntijat asentavat uuden palomuurin ja vastaavat ohjelmiston päivittämisestä palomuuripalvelun mukaisesti, päätelaitesuojaukseen on hankittu lisenssit kumppanilta, joissa asennuksen ja käyttöönoton hoitaa päätelaitesuojausohjelmistoon sertifioitu asiantuntija. Yrityksen IT- vastaavasta tulee pääkäyttäjä, jolle kumppani toimittaa korkeintaan raportit sovellusten keräämistä tapahtumista, ellei muuta ole sovittu.
Tekniseen tietoturvaan sertifioidut asiantuntijat pitävät osaamistaan yllä jatkuvasti, mihin yritysten IT-vastaavilla ei yksinkertaisesti ole mahdollisuutta. Teknisessä tietoturvassa vuosi on pitkä aika. Ratkaisuja tulee päivittää jatkuvalla syötöllä uhkien muuttuessa kiihtyvällä vauhdilla.
Tässä päästään yrityksissä yhden ongelman ytimeen: Tietoturvaa ei saada kerralla kuntoon, projektinomaisesti. Yrityksen tulisi prosessinomaisesti kehittää tietoturvaansa jatkuvasti ja sen tulisi olla osa yrityksen kulttuuria.
Miten päättäjän sitten tulisi toimia vastuullaan olevan tietoturvan suhteen? Tietoturvan teknisiin yksityiskohtiin on turha käyttäjätason osaamisella keskittyä, sen sijaan tulisi keskittyä kysymykseen riskistä. Mitä nämä yrityksen toimintaan liittyvät riskit voisivat olla?
Yrityksen johto vastaa siitä, että yritys toimii liikeidean mukaisesti ja toimitusjohtaja vastaa toiminnan tuloksesta. Jos yhden hiiren klikkaus johtaa 2–3 päivän tuotannon pysähdykseen, menetetään noin 1 % vuotuisesta liikevaihdosta ja tuloksesta, menetettyinä työpäivinä. Mikäli yrityksen arkaluontoisia tietoja päätyy esimerkiksi mediaan, voiko tämä maineen menetys johtaa tärkeimmän asiakkaan tai kumppanin menettämiseen ja mikä vaikutus sillä on yrityksen liikevaihtoon? Muistutan vielä, että GDPR- ja NIS2-sääntöjen rikkominen voi johtaa oikeudellisiin seurauksiin.
Liiketoimintariskin kannalta yritysjohdon tulee huolehtia omanaan siitä, että hallinnollinen tietoturva on kunnossa. Hallinnollinen tietoturva kattaa politiikan, menettelytavat ja toimintatavat, joita yritys toteuttaa tietoturvan parantamiseksi. Se sisältää esimerkiksi tietoturvapolitiikan, tietoturvasuunnitelman, riskienhallinnan, palautumissuunnitelman ja käyttöoikeuksien hallinnan. Järeimmillään yritys voi standardoida tietoturvansa osaksi kaikkea toimintaa, kansainväliseen tietoturvanhallinta standardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja). Tietoturva on niin vahva, mitä sen heikoin linkki on.
Siksi onnistunut tietoturva huomioi kaikki osa-alueet:
IT ja tietoturva mielletään helposti samaksi asiaksi, mutta eivät ne sitä ole, vaan kulkevat hyvin käsi kädessä ja päällekkäin, esimerkiksi ohjelmistopäivitykset ovat osa toimivaa IT- ympäristöä käytännön tasolla ja todella merkittävä osa tietoturvaa. Yritysjohdon olisi kuitenkin hyvä käsitellä näitä kahtena eri aiheena ainakin budjetoinnissa, hyvin usein tietoturvabudjetti on osa IT-hankintoja.
Mikä tietoturvassa sitten maksaa? Tietoturva ja siihen liittyvät palvelut vaativat aina korkeimman tason asiantuntijaosaamista. Tehty työ taas ei näy loppukäyttäjälle. Ensimmäisessä blogin osassa alussa mainitsemani epäilyttävä sähköposti on merkki siitä, ettei tekniset tietoturvaratkaisut toimi optimaalisesti, toimivassa ratkaisussa loppukäyttäjä ei edes saa epäilyttävää sähköpostia Saapuneet-kansioonsa. Tämän pienen näkyvän muutoksen eteen on mahdollisesti jouduttu hankkimaan uutta tekniikkaa ja sen käyttöönottoon tehty useampi päivä töitä. Korkean teknisen tietoturvatason ratkaisuissa nähdään, mitä kaikkialla yrityksen verkossa tapahtuu reaaliaikaisesti, mahdollisiin lauenneisiin uhkiin pystytään vastaamaan minuuteissa ja valvonta tapahtuu 24/7.
Tämän kaltaisten täyden valvonnan ja reagointipalveluiden kustannus on laajuudesta huolimatta keskimäärin vähemmän kuin yhden uuden työntekijän palkkakulut kuukausitasolla ja todennäköisesti paljon vähemmän kuin vaihtoehtoinen kustannus 1 % liikevaihdosta, mikäli tuotanto pysähtyy.
Marskidatan asiantuntijat auttavat yrityksen tietoturvan parantamisessa, tietoturvan alkukartoituksesta aina hallinnon konsultointiin, jolla luomme asiakaskohtaisen tietoturvapolun kehittyvälle tietoturvaprosessille. IT-kumppanina meillä on mahdollista täydentää palveluitamme kattavilla teknisillä tietoturvaratkaisuilla, jotka täyttävät myös NIS2-vaatimukset.
Tutustu asiakastarinaan Lakan Betoni sai tietoturvan kehityssuunnitelman Health Checkin myötä. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? ja tutustu palveluihimme Tietoturva.
Ota meihin yhteyttä, me autamme sinua!
Yritysjohdon, johtoryhmän jäsenten tai yksittäisen toimitusjohtajan ymmärrys tietoturvasta tulisi olla käyttäjän tasoa ylemmällä tasolla. Käyttäjä esimerkiksi ymmärtää olla avaamatta epäilyttävän näköisen sähköpostin, ehkä, mikäli sellainen sähköpostilaatikon Saapuneet-kansioon ilmestyy. Yritysjohdon tulee hallita erittäin monimutkaista kokonaisuutta nimeltä Yrityksen tietoturva. Jos ymmärrys tietoturvasta on käyttäjän tasolla, kuinka päättäjä osaa tehdä oikeat hankintapäätökset tarvittavista tietoturvatekniikoista tai muodostaa yrityksen säännöistä ja käytänteistä tietoturvapolitiikan, jota yritys noudattaa kaikessa tekemisessään?
Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen oma IT-osasto tai IT-kumppani ei ole vastuussa tietosuojaloukkauksista tai tietomurroista. NIS2-direktiivin ja tulevan lain mukaan yrityksen johto vastaa kyberturvallisuuden riskienhallinnan valvonnan ja toteuttamisen järjestämisestä. Se myös hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Yrityksen johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.
Harmillista onkin todeta, että kokemukseni mukaan suhtautuminen NIS2-direktiiviin on vieläkin suurella osalla yrityksiä varsin välinpitämätöntä. Kysyttäessä, miten asiaan on valmistauduttu, vastaus on hyvin usein:
”Tulkintamme mukaan, se ei koske meitä.”
Vastaus on jokseenkin hämmentävä, sillä eikö tietoturvan parantaminen aiheuta toimenpiteitä, ellei se koske kyseistä yritystä suoraan lainsäädännön puitteissa?
NIS2-direktiiviin kuuluvien yrityksien vastuu toimitusketjun tietoturvasta tulee huomioida. Marskidata on esimerkiksi saanut useita yhteydenottoja koskien asiakkaidemme kumppanien lähettämiä selvityspyyntöjä koskien asiakkaidemme tietoturvaa. Lähettäjien joukossa on esimerkiksi suuria vähittäiskauppaketjuja, kuntahankinta yhteenliittymiä tai suuria metsä- ja metallialan yrityksiä. Kyselyt pohjautuvat usein kansainväliseen tietoturvanhallintastandardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja) tai Yhdysvaltain standardisointi- ja teknologiainstituutin (NIST) standardeihin. On pääteltävissä, että kaikki kyseisten tahojen kumppanit saavat samaisen kyselyn täytettäväksi, sillä vastaanottajaorganisaatioiden koot voivat vaihdella muutamasta hengestä satoihin työntekijöihin.
Mitä tapahtuu, mikäli yritys ei täytä kyselyn mukaista ”tietoturvatasoa”?
Esimerkiksi yhdessä tapauksessa 25 kohdan kyselyssä viisi kohtaa oli asetettu pakolliseksi ehdoksi edetä tarjouskilpailuun ja näiden kohtien toteutuminen tulee pystyä näyttämään toteen. Tietoturva tai sen asianmukainen hallinta muodostavat näin ollen liiketoimintariskin yrityksen toiminnalle. Standardisoitu ja jatkuvan kehityksen prosessissa oleva yrityksen tietoturva toimii varmasti yrityksen kilpailuetuna.
Viimeisen kymmenen vuoden aikana moni yritys on pohtinut vaikutustaan ympäristöön ja omaa vastuullisuuttaan. Tämä on johtanut valtaisaan aaltoon standardoida yrityksen toiminta ympäristöjohtamisen standardin ISO 14001 täyttäväksi (ISO 14000 Ympäristöjohtamisen standardisarja). Tämä on johtunut osittain julkisesta sekä sisäisestä paineesta vihreän siirtymän aikakaudella. Vastaavaa ei ole tapahtunut yrityksissä tietoturvan puolella, vaikka kuukausittain saamme lukea mediasta hakkeroiduista yrityksistä tai yhteisöistä. Kansalaisia kehotetaan varovuuteen tiettyjen tahojen viestejä avatessa, koska hakkereiden on kerrottu ottaneen yrityksen viestinnän haltuun. Tapauksia on jatkuvasti enemmän, ne ovat yhä suurempia ja kohdistuvat yhä lähemmäksi suomalaisia yrityksiä ja yhteisöjä.
Mikäli päättäjien päässä ajatus on edelleen tasolla, ”olemme pärjänneet näillä ratkaisuilla kymmenen vuotta” tai ”miksi kukaan nyt meidät haluaisi hakkeroida”, on vain ajan kysymys koska näin tapahtuu omalle kohdalle.
Ottaen huomioon NIS2-direktiivissä mainitut vastuut, Account Managerina olen kohdannut viimeisen kymmenen vuoden aikana vain kourallisen päättäjiä, jotka ovat osoittaneet mielenkiintoa oman yrityksensä tietoturvaan. Keskisuurissa ja suurissa yrityksissä päättäjät yleisesti kertovat yrityksen tietoturvan olevan IT-osaston vastuulla. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille. Päinvastoin pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille todennäköisesti helpompana kohteena tai reittinä ison kumppanin järjestelmiin. Yksinkertaisena ohjeena päättäjän tulisi kysyä omalta IT-osastolta tai kumppanilta:
”Onko meillä tietoa tai näkymää siitä, mitä meidän verkossamme tapahtuu tai on tapahtunut?”
Mikäli vastaus on ei tai osittain, yritys ei voi NIS2-direktiivin mukaisesti ilmoittaa tietoturvapoikkeamasta, se ei tällöin myöskään täytä direktiivin vaatimuksia ja tärkeimpänä, yritys ei voi tehdä korjausliikkeitä ehkäistäkseen saman asian toistumista uudestaan. Miten asia voidaan korjata, mikäli ei tiedä mikä on rikki?
Vielä ei ole myöhäistä pistää asioita kuntoon, mutta se on ensin aloitettava omasta asenteesta ja asennoitumisesta yrityksen tietoturvaa kohtaa.
Vastuu on sinulla, Päättäjä! Marskidata auttaa.
Marskidata IT-kumppanina auttaa sinua, jotta voit olla varma yrityksesi asianmukaisesta tietoturvan tasosta. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? Tutustu palveluihimme Tietoturva ja IT-palvelut yrityksille. Seuraavassa blogin osassa tulen pohtimaan sitä, ovatko yrityksen tietoturvaresurssit riittävät. Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
Mistä koostuu onnistunut asiakaspalvelutilanne? Onnistunut asiakaspalvelutilanne on tapahtuma jossa, sekä asiakas kuin ServiceDeskin asiakaspalvelija päättävät tapahtuman positiivisissa merkeissä. Tiivistetysti tarkoittaen tällä sitä, että asiakkaan tukipyyntöön on vastattu ripeästi, ongelma on saatu ratkaistua ja asiakkaalle on jäänyt palvelutilanteesta hyvä ja positiivinen mielikuva:
’Kyllähän tänne uskaltaa uudestaankin soittaa’
Kysymys kuuluukin: Kuinka saamme luotua ServiceDeskissä onnistuneen asiakaspalvelutilanteen? Yksi ServiceDesk-tiimin peruspilari koostuu asiakaspalvelusta, jossa vuorovaikutustaidot merkkaavat eniten. Luodessa positiivista asiakaspalvelutilannetta, mitä vuorovaikutustaidot pitävät ServiceDesk-tiimin mielestä silloin sisällään? Mitä asiakaspalvelijalta vaaditaan onnistumiseen, kun samaan aikaan käsittelyssä voi olla haastavia tilanteita liittyen laajalla skaalalla erilaisiin IT-ongelmiin? Nämä ongelmat liittyvät mm. tietokoneeseen, käytettävään ohjelmistoon, tietokoneeseen ulkoiseen laitteeseen tai johonkin muuhun asiakkaan omistamaan päätelaitteeseen. Miten ihmeessä positiivinen kokemus saadaan aikaiseksi tilanteessa, joka helposti jo valmiiksi kiristää asiakkaan hermoja?
Pilkotaan onnistunutta tilannetta pienempiin osiin ja katsotaan, että mistä onnistuneessa asiakaspalvelutilanteessa on kyse silloin, kun asiakas ottaa yhteyden Marskidatan ServiceDeskiin.
Järjestelmät ja teknologiat kehittyvät nopeaa vauhtia. Jotta asiakaspalvelijat kykenevät konsultoimaan tilanteissa ja ratkaisemaan asiakkaiden palvelupyyntöjä, vaatii se ajanhermolla olemista. ServiceDeskin osalta tähän on otettu avustavaksi työkaluksi Microsoft sertifikaattien suorittaminen. ServiceDeskissä lähes jokaisella työntekijällä on jo suoritettuna vähintään yksi Microsoftin perustason sertifikaatti. Tavoitteena onkin, että jokaisella työntekijällä on käytynä aluksi kaikki perustason sertifikaatit, jonka jälkeen asiakaspalvelija syventyy haluamaansa aihealueeseen vielä enemmän. Tällä tavalla tiimin asiakaspalvelijat saavat vietyä omaa osaamista eteenpäin ja ennen kaikkea palveltua asiakkaitamme nykyaikaisesti ja ammattitaitoisesti.
Tutustu ensisijaisen palvelukanavan hyötyihin Rejlers Finland Oy:n asiakastarinan myötä Rejlers valitsi Marskidatan kilpailutuksessa: Oma IT-tiimi sai keskittyä kehitystyöhön.
ServiceDesk toimii lähtökohtaisesti asiakkaan ensimmäisenä yhteydenottokanavana ongelman ilmetessä, joten pyrkimällä luomaan positiivisen kokemuksen annamme hyvät askelmerkit jatkolle. ServiceDeskissä tuotettu positiivinen asiakaspalvelutilanne on onnistunut asiakaskohtaaminen. Kohtaaminen muotoutuu onnistuneen vuorovaikutuksen ja hyvien teknillisten taitojen pohjalta. Kumpiakin edellä mainittuja taitoja voi ja täytyy kehittää, jotta voimme tuottaa mahdollisimman hyvää, sekä nykyaikaista palvelua. Näillä keinoilla jätämme asiakkaalle varmasti mieluisan kuvan asioidessa Marskidatan ServiceDeskin parissa.
Kiinnostuitko palvelustamme? Lue lisää nettisivuiltamme ServiceDesk ja IT-tukipalvelut ja tutustu kollegani Tuomaksen blogiin ServiceDeskin viisi yleisintä tukipyyntöä - Rooli ja toimintamme tukipalveluna.
Kerromme mielellämme lisää tavastamme toimia ServiceDeskillä, joten otathan yhteyttä!
