Ethän ole toimitusketjun heikoin lenkki?

Kukaan ei varmasti halua olla toimitusketjun heikoin lenkki, enkä usko, että monikaan on sellainen tarkoituksella. Toimitusketjujen turvallisuus on mielestäni kyberturvallisuuden osalta yksi kuumimmista perunoista. Keskeinen syy tässä ovat kriittiseen infrastruktuuriin kohdistuneet kyberhyökkäykset, joissa yhtenä tekotapana ovat hyökkäykset toimitusketjujen kautta. Hyökkäyksiä tehtailevat toimijat selvittävät ja kartoittavat kohteen suojauksien tasoa, sekä siten millä tavoin kohteet reagoivat hyökkäyksiin, vai reagoivatko niihin ensinkään. Useinmiten hyökkäys tapahtuu siten, että pahantahtoinen toimija pääsee tunkeutumaan toimittajan järjestelmiin ja saastuttaa toimitusketjussa tavalla tai toisella mukana olevan osan omalla haittakoodillaan, jonka jälkeen se leviää normaalia tuotteen jakelu- tai käyttökanavaa pitkin yhteistyö- ja asiakasorganisaatioihin.

Toimitusketjun turvallisuus ei ole enää vain suurten kansainvälisten toimijoiden huoli vaan myös sosiaali- ja terveydenhuollon organisaatiot sekä pienet yritykset kantavat ratkaisevaa vastuuta omasta toiminnastaan ja tietojenkäsittelyn kokonaisuuden turvaamisesta. Yhden pienen toimijan tietoturvapoikkeama tai toimituskatkos voi horjuttaa koko toimitusketjua ja pahimmillaan vaarantaa ihmisten terveyden, turvallisuuden, yksityisyyden ja luottamuksen. Turvallinen toimitusketju on yhteinen etu, ja sen rakentaminen alkaa pienistä mutta määrätietoisista teoista.

Turvallisuudesta huolehtiminen ei ole vain suurten toimijoiden vastuulla

Suomessa pienet- ja keskisuuret yritykset muodostavat valtaosan yksityisen sektorin työpaikoista ja siten merkittävän osan koko kansantaloudestamme. Monesti ajatellaan, että riskienhallinta on vain suurten konsernien ja kansainvälisten toimittajien asia. Todellisuudessa ketju voi katketa ja on katkennutkin juuri siellä, missä resursseja on vähiten. Pienet sosiaali- ja terveyspalveluiden tuottajat sekä muut esimerkiksi kriittiselle infralle palveluita tuottavat pk-yritykset ovat ratkaisevia palasia toimitusketjussa. Samalla ne ovat usein myös haavoittuvimpia sillä pienten yritysten varautuminen kyberhyökkäyksiin ja niistä
selviytyminen on usein vielä paikoin puutteellista. Yksi syy taustalla resurssien lisäksi on riittävän tietoisuuden ja puuttuvan tilannekuvan aiheuttama aukko nykyisessä turvallisuuskulttuurissa. Saatetaan olla pienuuden luomassa harhassa, jossa ajatellaan etteivät kyberrikolliset ole kiinnostuneita pienistä toimijoista.

Yksikin suojaamaton järjestelmä, vuotaneet tiedot, virheellinen toimitus tai viivästynyt palvelu voi aiheuttaa suuria taloudellisia menetyksiä ja heikentää asiakkaiden luottamusta. Pahimmassa tapauksessa seuraukset voivat ulottua suoraan asiakkaiden ja potilaiden hyvinvointiin ja yksityisyyteen.

Miksi sote-alan toimijat ovat erityisen haavoittuvia?

Sosiaali- ja terveydenhuollossa toimitusketjun turvallisuus on kriittistä, sillä kyse ei ole pelkästään liiketoiminnasta, vaan ihmisten arjesta, hyvinvoinnista ja terveydestä.

• Potilastietojen ja asiakastietojen suoja: sekä terveydenhuollossa että sosiaalihuollossa käsitellään erittäin arkaluontoisia tietoja. Tietovuoto voi vaarantaa yksityisyyden ja luottamuksen.
• Palvelujen jatkuvuus: palvelukatkos voi vaarantaa asiakkaiden turvallisuuden ja toiminnan jatkuvuuden edellytykset varsin nopeasti.
• Resurssien rajallisuus: monet sote-alan toimijoista ovat pieniä yksiköitä, joilla ei ole omaa IT-osastoa tai kriisivarautumista, silti ne ovat elintärkeä osia yhteiskunnan turvaverkkoa ja sote-alan palvelutuotantoa, jota usein tehdään yhteistyössä esimerkiksi hyvinvointialueiden kanssa.

Siksi sekä sosiaali, että terveydenhuollon toimitusketjun turvallisuuden pettäminen voi johtaa vakaviin seurauksiin, jotka eivät ole mitattavissa pelkästään talouteen liittyvillä mittareilla.

Mitä kautta toimitusketjuihin isketään?

Yksi tapa iskeä ovat iskut henkilöstön tai käytössä olevien laitteiden kautta. Kohteeseen voidaan kohdistaa esimerkiksi tietojenkalastelu kampanjoita, joiden avulla pyritään saamaan haltuun esimerkiksi henkilöstön käyttäjätunnuksia ja salasanoja tai muita käyttäjätilejä. Samoin pääsyjä koitetaan saada henkilöstön käytössä olevien laitteiden kautta.

Iskuja tehdään myös haittaohjelmia hyödyntämällä esimerkiksi infostealer- haittaohjelmilla. Tämän haittaohjelmatyypin tarkoituksena on varastaa uhrin tietokoneelta tai muusta käytössä olevasta laitteesta erityyppistä arvokasta tietoa. Haittaohjelma voi siis kerätä ja lähettää rikollisille kirjautumistietoja, evästeitä ja istuntotietoja, joiden avulla on mahdollista ohittaa kirjautumisvaatimukset, luottokorttitietoja, asiakirjoja ja tiedostoja tai koneen järjestelmätietoja.

Ei ole myöskään mitenkään tavatonta, että toimitusketjuhyökkäyksiä valmistellaan etsimällä toimitusketjun heikoimpia lenkkejä. Tällöin hyökkäys pääkohteeseen tehdään esimerkiksi jonkin alihankkijan tai muun palveluntarjoajan kautta. Tällöin rikollinen voi esimerkiksi murtaa alihankkijan ohjelmiston päivitysjärjestelmän ujuttamalla haittakoodia päivityksiin. Järjestelmän käyttäjän asentaessa päivitystä, haitta leviää eteenpäin automaattisesti. Erilaisten palveluiden tuottamisen yhteydessä on myöskin saatettu saada pääsy asiakkaan verkkoon tai järjestelmiin esimerkiksi pilvipalveluiden tai IT-ylläpidon kautta. Ei ole myöskään tavatonta, että hyökkääjät käyttävät täysin fyysisiä keinoja hyökkäyksen tehtailuun. Tällöin tekijä voi pyrkiä pääsemään alihankkijan toimitiloihin jättäen tilaan esimerkiksi vakoilulaitteen.

Valitettavasti myöskään muita hyökkäys tyylejä ei voida unohtaa. Terveydenhuoltoon kohdistetaan edelleen etenkin palvelunestohyökkäyksiä sekä kiristyshaittaohjelmahyökkäyksiä. Tämän lisäksi
myös työntekijöiden väärinkäytökset ja tietosuojarikkomukset ovat yhä edelleen huomioitavia potentiaalisia kyberuhkia. Sosiaali- ja terveydenhuollon kyberturvallisuudesta hankalan kokonaisuuden tekeekin sekä laaja kirjo potentiaalisia uhkia, että eri motiivein varustettuja uhkatoimijoita.

Pienyritysten suuri vastuu

Kuten aiemmin blogissa todettiinkin on harhaluulo, että pienet yritykset olisivat liian mitättömiä kiinnostaakseen kyberrikollisia. Usein juuri näitä yrityksiä käytetään väylänä suurempien organisaatioiden järjestelmiin, sillä näissä yrityksissä tietojen suojaus ei ole useinmiten yhtä vahvaa, kuin isommissa organisaatioissa. Toimitusketjujen turvallisuudessa ei ole merkitystä toimijan koolla, jokaisen on kannettava vastuunsa. Tämän lisäksi sote-alaan kohdistuvaa riskiä on viime vuosina kohottanut hyvinvointialueuudistus, jossa alueilla integroidaan lukuisia tietojärjestelmiä, toimintakulttuureja ja yhteyksiä valtakunnalliseen tietovarantoon, Kanta-Palveluun.

Miten pienyritykset ja pienemmät palveluntuottajat voivat lähteä parantamaan varautumistaan?

Alla esimerkkejä, jotka ovat tärkeitä näkökulmia myös pienemmille toimijoille:

• varmista ajantasaiset tietoturvakäytännöt
• mahdollista henkilöstön säännölliset koulutukset
• muista kouluttautua myös yrittäjänä ja varmista sopimuksien velvoitteet tietoturvasta ja riskienhallinnasta
• varaudu toimituskatkoksiin ja häiriötilanteisiin
• säännöllinen vuoropuhelu toimitusketjussa palveluiden hankkijan kanssa, jossa ongelmat nostetaan esiin ajoissa

Kannatta aina muistaa, että turvallisuuteen sijoittaminen ei ole vain pelkkä kustannus, vaan vakuutus omaa toimintaa, asiakkaita ja koko verkostoa varten. Turvallista toimitusketjua ei voi rakentaa yksin. Tällöin toimijoiden välinen avoin viestintä ja selkeät pelisäännöt auttavat varmistamaan, että jokainen tietää roolinsa ja vastuunsa toimitusketjuen jäseninä.

Mitä pieni toimija voi käytännössä tehdä?

Turvallisuus ei edellytä valtavia investointeja, vaan usein kyse on perusasioiden huolellisesta ja säännöllisestä hoitamisesta:

1. Tunnista riskit: kartoita, missä kohtaa toimitusketjua oma toimintasi on kriittinen.
2. Panosta perusasioihin: pidä ohjelmistot ajan tasalla, käytä vahvoja salasanoja ja huolehdi varmuuskopioista.
3. Kouluta henkilöstöä: suurin osa tietoturvapoikkeamista johtuu inhimillisistä virheistä.
4. Harjoittele häiriötilanteita: mitä tapahtuu, jos palvelusi on poissa käytöstä päivän tai viikon ajan?
5. Huolehdi asiakkaiden turvallisuudesta: erityisesti sote-alalla on arvioitava, miten palvelukatkos vaikuttaa asiakkaiden arkeen ja miten heidän hyvinvointinsa ja terveytensä turvataan myös häiriötilanteissa.

Toimitusketjun turvallisuus on kuin ketju, sen vahvuus määrittyy heikoimman lenkin mukaan. Sote-alan toimijat ja pienyritykset eivät ole ketjun reunoilla, vaan sen keskiössä. Kun jokainen huolehtii omasta osuudestaan, lopputulos on luotettava, kestävä ja ennen kaikkea turvallinen kokonaisuus.

Älä jää yksin kyberturvaan, tietoturvaan ja tietosuojaan liittyvien asioiden kanssa. Me olemme erikoistuneet sote-alan tietoturvaan ja tietosuojaan ja voimme auttaa teitäkin, neuvonnan ja koulutuksien avulla. Ota siis yhteyssä: heidi.ilmonen@sotetraining.fi