Yritysten ja organisaatioiden digitaalisen turvallisuuden edistämiseksi meidän on tehtävä tarvittavat toimet kuroaksemme umpeen yritysten välistä tietoturvakypsyyskuilua. Tämä edellyttää konkreettisia tukitoimia, kirjoittaa Johan Malmliden, Omegapointin toimitusjohtaja.

Tietoturvahaavoittuvuudet pienissä ja keskisuurissa yrityksissä

Epävarmoina sodan aikoina Euroopassa ja Lähi-idässä, missä järjestäytyneestä kybersodankäynnistä on tullut yhä yleisempää, Ruotsi ei voi jäädä toimettomaksi, kirjoittaa. Johan Malmliden, Omegapointin toimitusjohtaja.

Uusia lukuja Ruotsin tietoturvaindeksistä vuodelta 2025, IT-tietoturvayrityksenä Omegapoint helmikuussa julkaistu tutkimus paljastaa merkittäviä tietoturva-aukkoja pienissä ja keskisuurissa ruotsalaisissa yrityksissä. 59 prosentilla ei ole toimivaa toimittajanhallintapolitiikkaa ja 41 prosenttia luottaa ulkoisiin sertifiointeihin toimittajiensa tietoturvariskien hallinnassa. Kybersodankäynnin aikakaudella, jossa pienemmillä ja erikoistuneilla IT-yrityksillä on keskeinen rooli yritysten toimitusketjuissa, meidän on nyt omaksuttava kokonaisvaltainen lähestymistapa, jossa keskitytään koko ketjun sietokykyyn.

Mainos

Digitaalisiin toimitusketjuihin kohdistuvat uhat

Yritysten ulkoistaminen ja laajalle levinnyt riippuvuus alihankkijoista luovat nykyään pitkiä ja monimutkaisia toimitusketjuja. MSB:n raportti Digitaalisten toimitusketjujen uhat Tämä koskee erityisesti tiedonkulkua, pehmeä– sekä laitteisto- ja digitaaliset palvelut. Alihankinta ja IT-toimittajien lisääntynyt erikoistuminen ovat luoneet maiseman, joka MSB kuvailee sitä ”niche-toimijoiden verkostoksi” – jossa eri IT-yritykset tuovat mukanaan ainutlaatuista asiantuntemusta, joka luo mahdollisesti vaarallisia riippuvuuksia.

Jos yrityksesi hankkii IT-järjestelmän tänään, voit odottaa useiden erikoisosaamista omaavien toimittajien suunnittelevan järjestelmän eri osia. Jos yksi näistä toimijoista, esimerkiksi pienempi toimittaja, jolla on rajalliset resurssit ja riittämättömät turvamenettelyt, altistuu kyberhyökkäykselle, se voi tarkoittaa koko toimitusketjun IT-järjestelmän romahdusta.

Solarwinds-hakkerointi 2020 on pelottava esimerkki. Siellä uhkatoimija onnistui sijoittamaan haitallista koodia amerikkalaiseen IT-yritys Solarwinds valvontatyökalu Orion. Tämän seurauksena jopa 18 000 sen käyttäjää, mukaan lukien useita Yhdysvaltain hallituksen virastoja ja suuryrityksiä, vaarantuivat digitaalisten verkkojensa tuhoutumisesta ladattuaan haitallista koodia sisältävän ohjelmistopäivityksen.

Kotona Ruotsi Näimme samankaltaisen. välikohtaus Tietoevryssä viime vuonna. IT-palveluntarjoaja, joka käsittelee arkaluonteisia tietoja ja digitaalisia palveluita useille ruotsalaisille yrityksille, joutui kiristysohjelmahyökkäyksen kohteeksi, joka aiheutti useita käyttökatkoksia ja mahdollisia tietovuotoja heidän asiakkailleen, mukaan lukien Rusta, Filmstaden, Region Uppsala ja Systembolaget.

Pienten ja suurten yritysten välinen tietoturvakypsyysero

Digitaalisten toimitusketjujen haavoittuvuusriski ei siis ole uusi ongelma. Toimitusketjujen pitenemistä ja monimutkaisuutta voidaan pitää välttämättömänä pahana, kun moderni talous edistää erikoistumista ja ulkoistamista. Kuitenkin se, mitä näemme... Ruotsin turvallisuusindeksi 2025 on, että pienten ja suurten toimijoiden välinen tietoturvakypsyysero on yhä selvempi. Suuremmilla yrityksillä on resursseja auditoida toimittajiaan, asettaa vaatimuksia ja ottaa käyttöön turvallisia rutiineja.

Pienemmät yritykset, joilla on rajalliset budjetit ja asiantuntemus, joutuvat usein turvautumaan sertifikaatteihin – jotka eivät välttämättä riitä. Ruotsin turvallisuusindeksi 2025 osoittaa, että 41 prosenttia pk-yrityksistä liiketoiminta suosivat sertifiointeja kolmansien osapuolten riskien hallitsemiseksi, kun taas suurempien yritysten vastaava luku on 30 prosenttia. Näiden ryhmien välinen kuilu kasvaa, mikä luo merkittäviä eroja toimitusketjun turvallisuuden suojaamisessa.

Kokonaisvaltaisen lähestymistavan tarve kyberturvallisuuteen

Uhkatoimijat ovat tästä tietoisia. Hyökkäämällä pienen toimitusketjun toimijan kimppuun he saavat pääsyn suurempiin toimintoihin muutaman askeleen alempana ketjussa. Seurauksena on, että pienten yritysten on puolustettava itseään uhkia vastaan, jotka on itse asiassa suunnattu heidän asiakkailleen. Tämä ei ole kestävää. Siksi meidän on lakattava näkemästä turvallisuustyötä erillään omista toiminnoistamme ja sen sijaan alettava pitää koko toimitusketjun sietokykyä ratkaisevan tärkeänä.

Turvallisuuslain ja tulevan Kyberturvallisuuslaki Ruotsi on ottanut tärkeitä askelia oikeaan suuntaan. Nämä määräykset voivat olla parannusten liikkeellepaneva voima, mutta vain jos ne pannaan täytäntöön ja niitä seurataan oikein. Turvallisuuden parantamiseksi käytännössä tarvitaan kokonaisvaltainen strategia, jossa jokainen toimitusketjun osa voidaan tarkistaa ja suojata. Jotta voidaan varmistaa, että jopa ketjun pienimmät IT-toimittajat täyttävät turvallisuusvaatimukset, tarvitaan seuraavaa:

• Yritysten ja organisaatioiden on asetettava selkeät vaatimukset hankintoja tehdessään IT-palvelut, ja tee omat due diligence -tarkastuksesi valitessasi toimittajia.
• Viranomaiset ja suuremmat yritykset on varmistettava, että pienemmät toimittajat saavat tarvittavat ohjeet ja resurssit turvallisuusrutiiniensa rakentamiseen.

Epävarmoina sodan aikoina Euroopassa ja Lähi-idässä, missä järjestäytyneestä kybersodankäynnistä on tullut yhä yleisempää, Ruotsi ei voi jäädä toimettomana sivustakatsojaksi. Digitaalisen turvallisuuden edistämiseksi liiketoiminta Yksilöinä ja organisaatioina meidän on tehtävä tarvittavat toimet yritysten välisen tietoturvakypsyyskuilun umpeen kaventamiseksi. Tämä edellyttää konkreettisia tukitoimia.

Vaihtoehto on jatkaa venäläisen ruletin pelaamista Ruotsin kyberturvallisuudella. Kysymys kuuluu: onko meillä varaa ottaa tuo riski?