Kyberhyökkäykset eivät kohdistu enää vain suoraan yrityksiin – ne iskevät sinne, missä suoja on heikoin: toimitusketjuihin. Toimitusketjujen turvallisuus on ajankohtainen ja usein aliarvioitu uhkakuva, jonka vaikutukset voivat ulottua laajalle.

Jakson isäntänä toimi CGI:n tietoturvavalvomosta tuttu erityisasiantuntija Tomi Hasu, ja vieraana oli erityisasiantuntija Cristian Niemi CGI:n kyberturvallisuuspalveluista.

🎧 Katso tai kuuntele jakso:

Cristian Niemi on erikoistunut operatiiviseen teknologiaan (OT) ja korkean turvallisuuden omaaviin yhteiskuntakriittisiin ympäristöihin. Hänen mukaansa toimitusketjuturvallisuus ei ole vain tekninen kysymys, vaan koskee koko organisaation toimintaa – ja kaikkia sen käyttämiä ohjelmistoja, laitteita ja palveluita.

"Toimitusketjuturvallisuudessa kyse ei ole vain siitä, että hyökkääjä murtaa oven. Nyt hän tulee sisään siivousfirman mukana takaovesta – ja avain on annettu sopimuksessa", Niemi kiteyttää.

Ehkä tunnetuimpia toimitusketjuhyökkäyksiä ovat ne, joissa hyökkääjät ovat onnistuneet ujuttamaan haittakoodia ohjelmistopäivityksiin tai pääsemään ulkoistuskumppanien kautta sisään asiakkaan järjestelmiin.

Yksi esimerkki on Solarwindsin tapaus, jossa valtiollinen toimija onnistui saastuttamaan laajalti käytetyn Orion-ohjelmiston päivityspaketit. Haittaohjelma piiloutui päivityspakettiin, aktivoitui viiveellä ja käytti hyväkseen normaaliin liikenteeseen sulautuvaa viestintää – tavoittaen yli 18 000 organisaatiota.

Valtiolliset toimijat ovat usein kärsivällisempiä ja pitävät matalampaa profiilia päästessään käsiksi järjestelmiin, jotta eivät jäisi helposti kiinni. Suurempien resurssien ansiosta he voivat odottaa jopa kuusi kuukautta ennen kuin nostavat toiminnallaan suurempaa kohua.

"Yksi kohde, mutta kymmenet sivulliset uhrit – aivan kuten sodassa", Hasu muistuttaa.

Kumppanit, sopimukset ja koko elinkaaren mittainen valvonta

Hyökkäystekniikat ovat entistä kehittyneempiä. Haittaohjelmat voivat odottaa viikkoja tai kuukausia ennen aktivoitumista, piilottavat liikenteensä normaalin verkkoliikenteen sekaan naamioitumalla ja hyödyntävät toiminnassaan satunnaistettuja ajoituksia haittaohjelmien havainnointiin käytettävän analytiikan huijaamiseksi. Niiden havaitseminen on vaikeaa – etenkin jos perustiedot omasta ympäristöstä ovat puutteelliset.

”Vaikea on suojata sitä, mitä ei tunne”, Niemi toteaa. "Kun kartoitamme asiakkaiden verkkoja, usein vasen käsi ei tiedä, mitä oikea tekee."

Turvallisuus ei pääty siihen, kun järjestelmä on asennettu. Sen on jatkuttava koko elinkaaren ajan – erityisesti valmistavassa teollisuudessa, jossa verkot ja järjestelmät ovat usein monitoimittajaympäristöjä.

Niemi nostaa esiin myös hallinnollisen näkökulman: kumppaneilta on vaadittava vastuullisuutta ja konkreettista turvallisuustyötä. “Ei riitä, että laitteen mukana tulee käyttöohje. Sen mukana pitäisi tulla myös tietoturvasuunnitelma.”

Johto on vastuussa eikä vastuu vanhene

Toimitusketjujen suojaaminen ei ole vain IT:n vastuulla. Se on koko organisaation, johdon ja hallitusten yhteinen tehtävä.

Vinkit alkuun:

  • Tee ympäristökartoitus: Mitä järjestelmiä ja palveluja käytät – ja keiltä ne tulevat?
  • Vaadi sopimuksissa turvallisuustason määrittelyä ja ylläpitoa koko elinkaaren ajan.
  • Valvo käytäntöjä: Onko aliurakoitsijalla edelleen pääsyoikeudet, vaikka työt päättyivät kaksi vuotta sitten?
  • Suunnittele ja harjoittele: Entä jos huomenna tulee kriisi? Miten reagoit – ja kuka reagoi?

"Toimitusketjuturvallisuus ei ole vain teknistä turvallisuushygieniaa – se on myös johdon vastuuta, sopimuksia ja yhteistyötä. Ja viime kädessä: toimintakyvyn ja maineen suojaamista", Hasu kiteyttää.

Uusi kyberturvallisuuslaki ja CRA velvoittavat varautumaan

NIS2-direktiivi edellyttää, että organisaatioiden on nimenomaisesti huomioitava toimitusketjujen turvallisuus ja varauduttava niihin kohdistuviin hyökkäyksiin. Lue lisää: Traficom – Huomio hankintojen ja toimitusketjujen turvallisuuteen NIS2-direktiivissä

Cyber Resilience Act (CRA) puolestaan ulottaa vaatimukset myös ohjelmistojen ja laitteiden käyttäjiin, ei vain valmistajiin. Jokainen organisaatio, joka käyttää IT-ratkaisuja, on tämän säädöksen piirissä. Traficom – Kyberkestävyysasetus (CRA)