Kun puhutaan kriittisen infrastruktuurin suojaamisesta, moni ajattelee sähköverkkoja, vesihuoltoa tai teleoperaattoreita. Käytännössä aihe koskee myös pk-yrityksiä, jotka toimivat osana toimitusketjua, ylläpitävät keskeisiä järjestelmiä tai käsittelevät palveluita, joiden häiriö pysäyttää asiakkaan liiketoiminnan tunneissa.
ISO 27001 tarjoaa tähän selkeän rungon. Tässä artikkelissa käymme läpi, mitä kriittinen infrastruktuuri tarkoittaa tietoturvan näkökulmasta, miksi standardi sopii sen suojaamiseen ja miten voit edetä käytännössä vaihe vaiheelta ilman, että työ jää pelkäksi dokumentoinniksi.
Mitä kriittinen infrastruktuuri tarkoittaa yrityksen arjessa?
Kansallisessa keskustelussa kriittinen infrastruktuuri tarkoittaa yhteiskunnan toiminnan kannalta välttämättömiä palveluita ja rakenteita. Yrityksen arjessa määritelmä kannattaa tuoda lähemmäs käytäntöä: mikä järjestelmä, palvelu, toimittaja tai tieto aiheuttaisi merkittävän häiriön, jos se olisi poissa käytöstä 4–24 tuntia?
Monelle pk-yritykselle kriittisiä voivat olla esimerkiksi pilvipalvelut, etäyhteydet, asiakasportaali, tuotannon ohjausjärjestelmä tai varmuuskopiointi. Jos yksikin näistä pettää, seurauksena voi olla toimituskatko, sopimussakko tai mainehaitta.
Tyypillisiä kriittisiä kohteita ovat:
- asiakas- ja tuotantodatan säilytys
- identiteetin- ja käyttöoikeuksien hallinta
- verkkoyhteydet ja palomuurit
- varmuuskopiot ja palautuskyky
- avaintoimittajat, kuten konesali- tai SaaS-kumppanit
- henkilöt, joiden osaaminen on yhden varassa
Huomio
Kriittinen infrastruktuuri ei tarkoita vain fyysisiä verkkoja tai laitoksia. Monessa pk-yrityksessä kaikkein kriittisin kohde on digitaalinen palveluketju: käyttäjätunnukset, pilvipalvelut, integraatiot ja toimittajariippuvuudet.
Jos haluat tunnistaa oman organisaatiosi kriittiset kohteet nopeasti, aloita kolmella kysymyksellä:
| Kysymys | Mitä selvität | Esimerkki mittarista |
|---|---|---|
| Mikä ei saa pysähtyä? | Liiketoiminnan kannalta välttämättömät palvelut | Sallittu käyttökatko max 8 h |
| Mitä tietoa ei saa vuotaa? | Luottamuksellinen tieto ja henkilötiedot | Ilmoitus poikkeamasta 24 h sisällä |
| Kenen varassa toiminta on? | Toimittaja- ja henkilöriskit | Vähintään 1 varahenkilö per kriittinen rooli |
Miksi ISO 27001 sopii kriittisen infrastruktuurin suojaamiseen?
Hallintajärjestelmä tarkoittaa käytännössä sovittua tapaa johtaa, seurata ja parantaa tietoturvaa. ISO 27001 ei ole yksittäinen tekninen ratkaisu, vaan malli, jolla varmistetaan, että riskit tunnistetaan, vastuut määritellään ja kontrollit eli suojaavat toimenpiteet valitaan perustellusti.
Kriittisen infrastruktuurin suojaamisessa tämä on olennaista, koska suurin ongelma ei yleensä ole yhden työkalun puute. Ongelma on se, että kokonaiskuva puuttuu: mitä suojataan, miksi juuri sitä suojataan ja kuka reagoi, jos jotain tapahtuu.
ISO 27001 auttaa erityisesti näissä asioissa:
- tunnistamaan 3–5 keskeistä riskiä liiketoiminnan näkökulmasta
- määrittämään soveltamisalan, eli mitä toimintoja, järjestelmiä ja tietoja hallintajärjestelmä kattaa
- valitsemaan kontrollit riskien perusteella, ei arvailulla
- dokumentoimaan vastuut, poikkeamat ja päätökset auditointikelpoisesti
- rakentamaan jatkuvan parantamisen mallin, jossa tilannetta katsotaan esimerkiksi kvartaaleittain
Käytännön esimerkki: jos yrityksesi ylläpitää asiakkaalle valvontajärjestelmää, ISO 27001 ohjaa varmistamaan ainakin käyttöoikeuksien hallinnan, lokituksen, varmuuskopioinnin, toimittajahallinnan ja poikkeamien käsittelyn. Ilman tätä rakennetta moni organisaatio huomaa puutteet vasta häiriötilanteessa.
Mitkä riskit korostuvat kriittisessä infrastruktuurissa?
Kriittisen infrastruktuurin tietoturvassa kaikki riskit eivät ole samanarvoisia. Olennaista on tunnistaa ne tilanteet, joissa vaikutus on suuri, vaikka todennäköisyys olisi kohtalainen. Juuri siksi riskien arviointi kannattaa tehdä vaikutus edellä.
Tyypillisesti korostuvat seuraavat riskiluokat:
- käyttökatkot ja palvelunestot
- kiristyshaittaohjelmat ja palautumisen epäonnistuminen
- väärät tai liian laajat käyttöoikeudet
- toimittajaketjun häiriöt
- fyysisen ympäristön häiriöt, kuten sähkökatkot tai laiteviat
- inhimilliset virheet, esimerkiksi väärä konfiguraatio tuotantoon
Alla yksinkertainen pisteytysmalli, jota voi käyttää ensimmäisessä työpajassa:
| Riski | Todennäköisyys 1–5 | Vaikutus 1–5 | Riskitaso | Ensitoimi |
|---|---|---|---|---|
| Ylläpitotunnus jää aktiiviseksi työntekijän lähdettyä | 3 | 5 | 15 | Poista tunnukset 24 tunnin sisällä |
| Pilvipalvelun käyttökatko | 2 | 5 | 10 | Määritä varamenettely 1 viikon sisällä |
| Varmuuskopioita ei saada palautettua | 2 | 5 | 10 | Testaa palautus 2 kertaa vuodessa |
| Toimittajan tietoturvapoikkeama | 3 | 4 | 12 | Lisää toimittaja-arviointi sopimusprosessiin |
| Virheellinen palomuurimuutos | 3 | 4 | 12 | Ota käyttöön kahden henkilön hyväksyntä |
Varoitus
Yleinen virhe on arvioida vain teknisiä uhkia. Monessa tapauksessa suurin riski liittyy riippuvuuksiin: yhteen toimittajaan, yhteen pääkäyttäjään tai yhteen palautusmenettelyyn, jota ei ole koskaan testattu.
Mitä kontrollit tarkoittavat käytännössä?
Kontrollit ovat käytännön keinoja, joilla riskiä pienennetään. Ne voivat olla teknisiä, hallinnollisia tai fyysisiä. Kriittisen infrastruktuurin suojaamisessa hyvä kontrolli on sellainen, jonka toteutumista voidaan mitata eikä vain olettaa.
Esimerkiksi käyttöoikeuksien hallinta ei tarkoita vain sitä, että tunnuksia luodaan tarvittaessa. Se tarkoittaa, että oikeudet hyväksytään roolipohjaisesti, tarkistetaan säännöllisesti ja poistetaan nopeasti, kun tarve päättyy.
Hyviä mitattavia kontrolliesimerkkejä ovat:
| Kontrolli | Käytännön toteutus | Mittari |
|---|---|---|
| Käyttöoikeuksien hallinta | Esihenkilö hyväksyy oikeudet, IT toteuttaa, poistot lähtötilanteissa | Tunnukset poistetaan 24 h sisällä |
| Varmuuskopiointi | Päivittäinen varmistus kriittisille järjestelmille | Palautustesti onnistuu 2/2 kertaa vuodessa |
| Lokien seuranta | Kriittiset tapahtumat kerätään keskitetysti | Hälytykset käsitellään 1 työpäivässä |
| Muutoksenhallinta | Tuotantomuutoksille hyväksyntä ja dokumentointi | 100 % kriittisistä muutoksista hyväksytty etukäteen |
| Toimittajahallinta | Arvioi kriittiset toimittajat vuosittain | 1 arviointi/vuosi per kriittinen toimittaja |
Jos mietit, mistä aloittaa, valitse ensin ne kontrollit, jotka suojaavat sekä saatavuutta että palautumista. Kriittisessä infrastruktuurissa kysymys ei ole vain siitä, estetäänkö hyökkäys, vaan myös siitä, palaudutaanko häiriöstä hallitusti.
Miten aloittaa ISO 27001 -työ kriittisen infrastruktuurin näkökulmasta?
Moni organisaatio jumittuu alkuun, koska standardi tuntuu laajalta. Käytännössä eteneminen helpottuu, kun työ sidotaan liiketoiminnan kannalta kriittisiin palveluihin eikä koko yrityksen kaikkeen tekemiseen kerralla.
Rajaa kriittiset palvelut ja riippuvuudet
Listaa ensin 3–5 palvelua tai prosessia, joiden häiriö pysäyttäisi toiminnan tai aiheuttaisi merkittävän asiakasvaikutuksen. Kirjaa jokaisesta omistaja, keskeiset järjestelmät, tärkeimmät toimittajat ja suurin sallittu käyttökatko, esimerkiksi 4 h, 8 h tai 24 h.
Tee riskityöpaja päätöksenteon pohjaksi
Kokoa mukaan liiketoiminta, IT ja tarvittaessa laatu tai tietosuoja. Käykää jokaisesta kriittisestä kohteesta läpi vähintään yksi saatavuusriski, yksi luottamuksellisuusriski ja yksi toimittajariippuvuus, ja pisteyttäkää ne samalla mallilla, jotta priorisointi on vertailukelpoinen.
Valitse kontrollit ja määritä vastuut
Päätä jokaiselle merkittävälle riskille konkreettinen toimenpide, vastuuhenkilö ja määräaika. Hyvä nyrkkisääntö on, että ensimmäisessä vaiheessa toteutetaan ne toimet, jotka voidaan saada käyttöön 30–60 päivässä, kuten käyttöoikeusprosessi, palautustestit ja kriittisten toimittajien arviointi.
Dokumentoi minimitaso auditointia ja arkea varten
Kirjaa vähintään soveltamisala, riskienarvioinnin tapa, valitut kontrollit, vastuut ja poikkeamien käsittely. Dokumentoinnin tavoite ei ole paperin määrä, vaan se, että kuka tahansa vastuuhenkilö tietää, mitä tehdään normaalitilanteessa ja mitä tehdään häiriössä.
Harjoittele ja seuraa toteutumista säännöllisesti
Pidä vähintään 2 harjoitusta vuodessa: esimerkiksi varmuuskopioiden palautus ja käyttökatkotilanteen viestintä. Seuraa kuukausittain muutamaa mittaria, kuten poistettujen tunnusten viivettä, avoimia poikkeamia ja kriittisten toimittajien arviointien tilaa.
Vinkki
Varaa kalenteriin 45 minuuttia kuukaudessa kriittisten riskien katselmointiin. Kun sama rytmi toistuu, ISO 27001 ei jää projektiksi vaan muuttuu johtamisen käytännöksi.
Yleisimmät virheet, jotka hidastavat suojaamista
Kriittisen infrastruktuurin suojaamisessa kompastutaan usein samoihin asioihin. Tunnistatko näistä jonkin omasta organisaatiostasi?
Yleisimmät virheet ovat:
- soveltamisala rajataan liian laajaksi heti alussa
- riskienarviointi tehdään kerran, mutta sitä ei päivitetä muutosten jälkeen
- kontrollit kopioidaan mallista ilman yhteyttä todellisiin riskeihin
- toimittajia ei arvioida, vaikka palvelu olisi liiketoimintakriittinen
- palautumiskyky oletetaan hyväksi ilman testejä
- vastuut jäävät IT:lle, vaikka omistajuus kuuluu myös liiketoiminnalle
Näiden välttämiseksi voit käyttää yksinkertaista tarkistuslistaa:
| Tarkistuskohta | Hyvä taso | Hälytysmerkki |
|---|---|---|
| Soveltamisala | Rajattu kriittisiin palveluihin | "Kaikki mukaan heti" |
| Riskienhallinta | Päivitys vähintään kvartaaleittain | Viimeisin arvio yli 12 kk vanha |
| Toimittajahallinta | Kriittiset toimittajat arvioitu | Sopimus on, mutta vaatimuksia ei tunneta |
| Palautuminen | Testattu käytännössä | Varmuuskopioista ei ole palautusnäyttöä |
| Vastuut | Omistaja nimetty per palvelu | "IT hoitaa" ilman liiketoimintavastuuta |
ISO 27001 osana laajempaa johtamista
Jos organisaatiossasi on jo ISO 9001 tai muu johtamisjärjestelmä, ISO 27001:n käyttöönotto helpottuu huomattavasti. Samat perusperiaatteet toistuvat: tavoitteet, vastuut, poikkeamien käsittely, sisäinen auditointi ja jatkuva parantaminen.
Tämä on pk-yritykselle hyvä uutinen. Sinun ei tarvitse rakentaa kaikkea alusta, vaan voit liittää tietoturvan osaksi olemassa olevia johtamiskäytäntöjä. Esimerkiksi johdon katselmuksessa voidaan käsitellä samassa rytmissä laatupoikkeamat, tietoturvapoikkeamat ja kriittiset toimittajariskit.
Jos käytössä on digitaalinen työkalu ja asiantuntijatuki, työ nopeutuu selvästi. Tietoturvapankki on rakennettu juuri tähän: se auttaa viemään ISO 27001 -vaatimukset käytännön tehtäviksi, vastuiksi ja seurannaksi ilman, että kokonaisuus jää irrallisiksi dokumenteiksi. Softapankki Oy:n ja QMClouds Oy:n tausta näkyy siinä, että ratkaisu on suunniteltu pk-yrityksen arkeen samalla tavalla kuin Laatupankki — Konsernin laadunhallinnan tuotemerkki.
Yhteenveto
- Kriittinen infrastruktuuri tarkoittaa pk-yrityksessä usein digitaalisia palveluketjuja, toimittajia ja järjestelmiä, joiden häiriö näkyy nopeasti liiketoiminnassa.
- ISO 27001 tuo rakenteen riskienhallintaan, vastuisiin, kontrollien valintaan ja jatkuvaan parantamiseen.
- Aloita rajaamalla 3–5 kriittistä palvelua, arvioi riskit vaikutus edellä ja valitse mitattavat kontrollit.
- Seuraa konkreettisia mittareita, kuten tunnusten poistoa 24 tunnin sisällä, palautustestejä 2 kertaa vuodessa ja toimittaja-arviointeja vuosittain.
- Suojaaminen onnistuu parhaiten, kun tietoturva liitetään osaksi normaalia johtamista eikä erilliseksi projektiksi.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.