Kyberuhat hankintaketjussa : Arviointimalli laitehankintojen tueksi
Rissanen, Elisa (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060319512
https://urn.fi/URN:NBN:fi:amk-2025060319512
Tiivistelmä
Tämän opinnäytetyön tarkoituksena oli selvittää, miten organisaatiot voivat arvioida laitehankintoihin liittyviä kyberturvallisuusriskejä ja tunnistaa niihin kohdistuvia riskejä ja haavoittuvuuksia. Toimitusketjut ovat muuttuneet yhä monimuotoisemmiksi, ja samalla on tullut esiin useita esimerkkejä globaaleista toimitusketjujen haavoittuvuuksista. Näitä tapauksia on tuotu esiin myös tässä työssä kuvaamaan hyökkäyksien kirjoa. Geopoliittinen tilanne on osaltaan tuonut aiheen esille myös poliittisessa keskustelussa.
Työssä pyrittiin tunnistamaan menetelmät, joiden avulla organisaatiot voivat arvioida fyysisten IT-laitteiden kyberturvallisuutta koko hankintaprosessin ajan. Samalla selvitettiin, millä tavoin kansalliset ja kansainväliset kyberturvallisuusstandardit voivat toimia arviointien tukena ja edistää turvallisuusvaatimusten sisällyttämistä käytännön hankintatoimintaan.
Keskeiseksi puutteeksi nousi ymmärrettävät, kustannustehokkaat työkalut ja resurssit, joilla myös pienemmät yritykset voivat kehittää kyberturvallisuuttaan. Kehittämistyön tuloksena laadittiin vaatimuksenmukaisuusarviointi, jota organisaatiot voivat hyödyntää tarkastellessaan omaa hankintaprosessiaan. Arvioinnin perustana on kyberturvallisuusstandardit ja viitekehykset.
Työssä esiteltiin lisäksi konkreettisia keinoja hankintojen riskien vähentämiseksi ja komponenttien turvallisuuden varmistamiseksi toimitusketjuissa. Kolmen erillisen hyökkäysskenaarion avulla havainnollistettiin, miten uhat syntyvät ja mitä keinoja organisaatiolla on niiden torjumiseen.
Tutkimuksen perusteella voidaan todeta, että toimitusketjun kyberturvallisuus edellyttää
kokonaisvaltaista ja jatkuvaa johtamista, koulutusta sekä aktiivista yhteistyötä toimittajien kanssa. Turvallisuus tulisi nähdä osana organisaation strategista johtamista ja ottaa laitehankinnat osaksi riskienhallintaprosessia.
Työssä pyrittiin tunnistamaan menetelmät, joiden avulla organisaatiot voivat arvioida fyysisten IT-laitteiden kyberturvallisuutta koko hankintaprosessin ajan. Samalla selvitettiin, millä tavoin kansalliset ja kansainväliset kyberturvallisuusstandardit voivat toimia arviointien tukena ja edistää turvallisuusvaatimusten sisällyttämistä käytännön hankintatoimintaan.
Keskeiseksi puutteeksi nousi ymmärrettävät, kustannustehokkaat työkalut ja resurssit, joilla myös pienemmät yritykset voivat kehittää kyberturvallisuuttaan. Kehittämistyön tuloksena laadittiin vaatimuksenmukaisuusarviointi, jota organisaatiot voivat hyödyntää tarkastellessaan omaa hankintaprosessiaan. Arvioinnin perustana on kyberturvallisuusstandardit ja viitekehykset.
Työssä esiteltiin lisäksi konkreettisia keinoja hankintojen riskien vähentämiseksi ja komponenttien turvallisuuden varmistamiseksi toimitusketjuissa. Kolmen erillisen hyökkäysskenaarion avulla havainnollistettiin, miten uhat syntyvät ja mitä keinoja organisaatiolla on niiden torjumiseen.
Tutkimuksen perusteella voidaan todeta, että toimitusketjun kyberturvallisuus edellyttää
kokonaisvaltaista ja jatkuvaa johtamista, koulutusta sekä aktiivista yhteistyötä toimittajien kanssa. Turvallisuus tulisi nähdä osana organisaation strategista johtamista ja ottaa laitehankinnat osaksi riskienhallintaprosessia.