Edellisessä blogissani keskityimme tietoturvan merkitykseen Microsoft 365 Copilotin käyttöönotossa. Tällä kertaa suuntaamme katseemme puolestaan tietosuojaan. Tietosuojavaltuutetun toimiston mukaan ”tietosuoja on perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuojan tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä.” Tutustu lähteeseen: Mitä tietosuoja on? | Tietosuojavaltuutetun toimisto
Tietosuojalla on myös läheinen suhde tietoturvaan. Tietoturva on osa tietosuojaa, ja se varmistaa omalta osaltaan, että henkilötietojen suoja toteutuu asianmukaisesti. Toki tietoturva on myös itsessään laajempi konsepti, eikä se kata vain henkilötietojen suojaamista vaan käsittää myös laajemmin organisaatiolle tai yksilölle tärkeiden tietojen suojan. Suojan piiriin tällöin kuuluu siis henkilödatan lisäksi myös esimerkiksi yrityssalaisuudet.
”Älä koskaan laita organisaation tietoja ilmaiseen tekoälysovellukseen.”
Tietosuoja on olennainen käyttäjien luottamuksen säilyttämiseksi. Kun käyttäjät tietävät, että heidän tietonsa käsitellään turvallisesti ja luottamuksellisesti, he ovat todennäköisemmin valmiita käyttämään Copilotia.
GDPR asettaa tiukat vaatimukset henkilötietojen käsittelylle ja tietenkin Copilotin on noudatettava näitä säädöksiä varmistaakseen, että se toimii laillisesti ja eettisesti. Tietosuoja auttaa vähentämään tietoturvariskejä, kuten tietomurtoja ja tietovuotoja. Tämä on erityisen tärkeää, kun käsitellään arkaluonteisia tai henkilökohtaisia tietoja.
Tietosuoja varmistaa, että käyttäjillä on oikeus hallita omia tietojaan. Tämä sisältää oikeuden tarkastella, korjata ja poistaa omia tietojaan sekä rajoittaa niiden käsittelyä. Tietosuoja on osa laajempaa eettistä vastuuta, joka liittyy tekoälyn ja teknologian käyttöön. On tärkeää varmistaa, että teknologiaa käytetään tavalla, joka kunnioittaa yksilöiden yksityisyyttä ja oikeuksia.
Copilotin on käsiteltävä kaikki käyttäjätiedot luottamuksellisesti, mikä tarkoittaa, että tietoja ei jaeta tai käytetä ilman käyttäjän suostumusta. Käyttäjien on tiedettävä, miten heidän tietojaan kerätään, käytetään ja suojataan. Läpinäkyvyys lisää luottamusta ja auttaa käyttäjiä ymmärtämään tietosuojakäytäntöjä.
Microsoft Copilot noudattaa tiukkoja tietosuojakäytäntöjä varmistaakseen, että käyttäjien tiedot käsitellään turvallisesti ja luottamuksellisesti. Tietosuoja on siis olennainen osa Copilotin käyttöä, ja sen merkitys korostuu entisestään, kun teknologia kehittyy ja sen käyttö yleistyy.
Copilot käyttää Microsoft Graphin kautta saatavilla olevaa sisältöä ja kontekstia, kuten sähköposteja, keskusteluja ja asiakirjoja, joihin käyttäjällä on käyttöoikeus. Näitä tietoja Copilot ei käytä suurien kielimallien koulutukseen. Voiko Copilot sitten oppia käyttäjänsä mieltymyksistä jotain? Kyllä vain, se oppii käyttäjänsä mieltymyksistä ja työskentelytavoista. Copilot käyttää kehittyneitä tekoälymalleja ja luonnollisen kielen yhdistelyä, jotta se voi paremmin ymmärtää käyttäjän kysymyksiä ja tarjota hyödyllisempiä vastauksia ja ehdotuksia. Copilot voi siis esimerkiksi oppia, että millaisia asiakirjoja käytät usein, minkä tyyppisiä hommia suoritat säännöllisesti ja millaisia vastauksia odotat siltä missäkin tilanteissa.
Onko sitten tarvittaessa mahdollista nollata Copilotin oppiminen? Kyllä vain. Tämän voi tehdä poistamalla tai nollaamalla Copilotin käyttämät tiedot ja asetukset Microsoft Graphin kautta. Copilotin asetukset nollaaminen voi auttaa, jos käyttäjä haluaa aloittaa alusta ja poistaa aiemmat oppimiset ja mieltymykset.
Copilot ei tiedä käyttäjästä henkilökohtaisuuksia, koska se ei tallenna tai säilytä keskusteluja. Copilot lupaa, että ”kaikki, mitä keskustelujemme aikana jaat, pysyy luottamuksellisena ja sitä käytetään vain keskustelun aikana.” Tämä voi hämmentää käyttäjää, sillä pääseehän käyttäjä selaamaan taaksepäin aikaisempia keskustelujaan Copilotin kanssa. Vaikka käyttäjä voi palata keskusteluihinsa Copilotin kanssa, se ei tarkoita sitä, että Copilot tallentaisi ne. Keskusteluhistoria tallennetaan laitteelle tai sovellukseen, mutta Copilot ei säilytä tai tallenna tietoja keskusteluista.
”Ilmainen” tekoälysovellus ei koskaan ole ilmainen, sitä maksetaan tiedolla.
Usein ilmaisista tekoälysovelluksista "maksetaan" tiedolla. Ilmaiset tekoälysovellukset saattavat kerätä ja käyttää henkilötietojasi kaupallisiin tarkoituksiin, kuten mainonnan kohdentamiseen tai palvelujen parantamiseen. Tämä voi johtaa tietosuoja- ja tietoturvariskeihin, kuten tietomurtoihin tai tietovuotoihin. Ilmaiset sovellukset eivät aina ole täysin läpinäkyviä siitä, miten ja mihin tietojasi käytetään. Tämä voi vaikeuttaa tietojen hallintaa ja ymmärtämistä siitä, että miten tietosi ovat suojattuja. Ilmaiset tekoälysovellukset saattavat käyttää tietojasi myös tavoilla, jotka eivät ole eettisesti hyväksyttäviä. Tämä voi sisältää tietojen myymisen kolmansille osapuolille ilman suostumustasi. Muun muassa näistä syistä suosittelen valitsemaan ennemmin Microsoft 365 Copilotin.
Tällä hetkellä Microsoft 365 Copilot ei tallenna keskusteluja, eikä sitä ole suunniteltu tekemään niin tulevaisuudessa. Sen ensisijainen tavoite on tarjota reaaliaikaista apua ja tukea ilman, että se säilyttää henkilökohtaisia tietoja tai keskusteluhistoriaanne.
Tietosuoja ja tietoturva ovat keskeisiä tekijöitä, kun otetaan käyttöön uusia teknologioita, kuten Microsoft 365 Copilot. Jos haluat varmistaa, että teidän yrityksenne hyödyntää Copilotin mahdollisuuksia turvallisesti ja tehokkaasti, ota yhteyttä meidän asiantuntijoihimme tai lähetä sähköpostia myynti@marskidata.fi. Me autamme sinua kaikissa tietosuojaan ja tietoturvaan liittyvissä kysymyksissä sekä Microsoft 365 Copilotin käyttöönotossa.
Ota yhteyttä jo tänään!
Tiesitkö että noin 70 % kaikista sijoittajista ja 99 % millenniaalisijoittajista on ilmoittanut olevansa kiinnostunut vastuullisesta sijoittamisesta (Morgan Stanley, 2021 eng.). Tämä osoittaa paitsi vastuulliseen liiketoimintaan liittyvän valtavan potentiaalin, mutta myös yritysten alati kasvavan paineen kehittää omaa toimintaansa vastuullisemmaksi.
Tällä kertaa blogissamme tutustumme Marskidatan kumppaniin HP:hen ja siihen, miten vastuullisuus näkyy heidän toiminnassaan. Tarkastelemme yrityksen tavoitteita vähentää toiminnastaan syntyvää hiilijalanjälkeä, ja sitä miten kiertotalous näkyy yrityksen tuotteissa. Aluksi kuitenkin lyhyt esittely yrityksestä.
HP Inc. on yhdysvaltalainen teknologiayritys, joka tunnetaan erityisesti tietokoneistaan ja tulostimistaan. Yrityksen nykyisenä presidenttinä ja toimitusjohtajana toimii Enrique Lores. HP:n pääkonttori sijaitsee Palo Altossa, Kaliforniassa. Yrityksen toiminta esiteltynä muutamina lukuina alla:
HP:n visiona on olla maailman vastuullisin ja oikeudenmukaisin teknologiayritys. He uskovat, että yhdellä harkitulla idealla on voima muuttaa maailmaa. Heidän missionsa on luoda teknologiaa, joka innostaa kunnianhimoiseen ja merkitykselliseen edistykseen.
Ilmastonmuutos ja sen mukanaan tuomat haasteet ovat asettaneet myös HP:n tarkastelemaan hiilijalanjälkeään kriittisesti. Yritys asetti vuonna 2019 kunnianhimoiset tavoitteet hiilijalanjälkensä vähentämiselle. Yrityksen tavoitteena on vähentää hiilijalanjälkeään seuraavasti:
Vuonna 2023 yrityksen hiilijalanjälki oli 19 764 400 tonnia CO2e, mikä on 27 % vähennys vuoden 2019 lähtötasoon nähden. Tämä sisälsi 18 %:n vähennyksen tuotteiden valmistukseen liittyvissä absoluuttisissa kasvihuonekaasupäästöissä ja 39 %:n vähennyksen tuotteiden energiankäytössä.
”Olemme ryhtyneet pikaisiin ja määrätietoisiin toimiin saavuttaaksemme hiilineutraaliuden koko arvoketjussamme, palauttaaksemme metsiin enemmän kuin sieltä otamme ja innovoidaksemme paremmin kiertotalouteen sopivia tuotteita ja palveluita.”
Yrityksen päästöistä 63 % syntyy toimitusketjussa, minkä vuoksi he ovat käyttäneet laajuuttaan ja toimialuettaan tiiviiseen yhteistyöhön toimittajien kanssa. Tämä sisältää toimittajien kannustamisen käsitellä vaikutusmahdollisuuksiaan ja asettaa esimerkiksi tieteeseen perustuvia tavoitteita päästöjen vähentämiseksi.
Vuoteen 2025 mennessä HP:n tavoitteena on muun muassa vähentää ensimmäisen tason tuotantotoimittajien ja tuotteiden kuljetuksiin liittyvien kasvihuonekaasupäästöjen intensiteettiä 10 prosenttia verrattuna vuoteen 2015. Lisäksi he pyrkivät auttamaan toimittajiaan vähentämään 2 miljoonaa tonnia CO2e-päästöjä vuosien 2010 ja 2025 välillä.
HP:n tavoitteena on rakentaa tuotteistaan kestäviä ja luotettavia, jotta asiakkaat pystyvät käyttämään niitä useita vuosia. Yritys esimerkiksi lupaa tuotteisiinsa vakiona kolmen vuoden akkutakuun. Lisäksi tietokoneet valmistetaan sellaisista materiaaleista, joita voidaan uusiokäyttää tehokkaasti. Alla muutama nosto siitä, miten kiertotalous näkyy yrityksen toiminnassa:
”HP-yritystietokoneilla ja näytöillä on EPEAT-sertifikaatti kaikissa Pohjoismaissa. EPEAT mittaa kaiken raaka-aineiden hankinnasta kierrätysmahdollisuuksiin sekä sosiaaliseen ja ympäristövaikutukseen. ”
HP pyrkii rakentamaan tasa-arvon ja voimaantumisen kulttuuria yrityksen sisällä ja ulkopuolella, joka tukee ja juhlistaa monimuotoisuutta sekä ymmärtää ja kunnioittaa ihmisoikeuksia. Muutama esimerkki siitä miten HP edistää monimuotoisuutta ja tasa-arvoa yrityksessään:
Lisäksi yritys pyrkii edistämään työntekijöiden voimaannuttamisohjelmia, jotka mahdollistavat työntekijöiden hyvinvoinnin ja lisäävät etenemismahdollisuuksia. He haluavat luoda tasa-arvoisen työympäristön, jossa jokaiselle tarjotaan samat mahdollisuudet.
”Pyrimme edistämään osallisuuden ja yhteenkuuluvuuden kulttuuria, jossa jokainen tuntee olevansa kunnioitettu, arvostettu ja kykenevä saavuttamaan täyden potentiaalinsa.”
Kestävä kehitys on yhä tärkeämpi kriteeri IT-tarjouspyynnöissä, ja asiakkaat haluavat ostaa kestäviä tuotteita luotettavilta HP-kumppaneilta. Nämä kumppanit pyrkivät rakentamaan kestäviä liiketoimintoja ja ansaitsemaan uskollisia asiakkaita. HP Amplify Impact -vastuullisuusohjelman avulla yritys ja sen kumppanit rakentavat yhdessä vastuullista tulevaisuutta.
Vastuullisuusohjelma on saavuttanut merkittäviä tuloksia jo yli 40 maassa, ja siihen on liittynyt yli 3800 HP-kumppania. Ohjelman käynnistämisestä vuonna 2021 lähtien se on edistänyt kestävää kehitystä IT-alalla ja auttanut yrityksen kumppaneita tekemään kestäviä valintoja ilmastotoimissa, ihmisoikeuksissa ja digitaalisessa tasa-arvossa. Myös Marskidata on mukana HP:n Amplify Impact-ohjelmassa.
Jos B2B yrityksesi IT-laitteet kaipaavat päivittämistä niin olemme täällä sinua varten. Meihin voit ottaa yhteyttä suoraan sähköpostitse myynti@marskidata.fi. Me laitamme yrityksesi IT-asiat kuntoon ketterästi ja luotettavasti!
Tutustu tekstin lähteisiin Sustainable Impact Report (eng.), HP Inc. Reports Fiscal 2023 Full Year and Fourth Quarter Results (eng.), Sustainable Signals (eng.). Lisäksi tekstistä on käytetty lähteinä HP:n kumppanimateriaaleja.
Voiko tulostaminen olla uhka tietoturvalle? Voidaanko tulostimia käyttää palvelunestohyökkäyksissä ja pääseekö niiden kautta uittamaan haittaohjelmia yrityksen IT-ympäristöön? No entä skenaario, jossa tunnistautumaton käyttäjä skannaa monitoimilaitteella, ja tulostettuja papereita lojuu printterin vieressä pöydällä, tai yrityksen vierailija saa käyttöönsä talon wifi-verkon, jotta pääsee tulostamaan.
Voisiko nämä aiheuttaa tietoturvariskin?
Vastaus näihin kaikkiin kohtiin on KYLLÄ!
Yrityksellä voi olla käytössään ikivanhoja monitoimilaitteita ja tietoturvakäytäntöjä, jotka eivät ole enää tätä päivää. Ikävät skenaariot voivat silloin olla mahdollisia, jos tulostimien tietoturva ei olekaan ajan tasalla.
On syytä tarkistaa, ovatko yrityksen tulostimet tietoturvallisesti yrityksen verkossa.
Tietoturva tulostamisessa on kokonaisuus, mikä voidaan jakaa kahteen osioon.
1. Käyttäjätason tietoturva
2. Laitteiden, ohjelmistojen ja verkkojen tietoturva
Aloitetaan tästä, eli käyttäjätason tietoturvasta tulostusympäristössä, sillä se vaikuttaa työntekijöiden työhön konkreettisesti. Jokainen meistä tunnistautuu käyttämälleen päätelaitteelle henkilökohtaisilla tunnuksilla, oli kyseessä sitten läppäri, tabletti tai älypuhelin. Miksi näin on?
Haluamme pitää henkilökohtaiset asiat ja tiedostot ominaan, niin, ettei kuka tahansa pääse niihin käsiksi. Haluamme myös suojata omaa identiteettiämme. Tuskin kukaan haluaa, että tuntematon henkilö käyttää hänen identiteettiään omanaan.
Eli yksinkertaisuudessaan haluamme turvata tietoa ja rajoittaa sen käyttöoikeuksia.
Haluatko sinä, että joku muu lueskelee tai vie tulostamasi paperit mennessään tulostimelta? Tuskin. Mahdollinen tilanne voisi olla, että tulostat arkaluotoista talous- tai HR-tietoa. Ajattelit poimia pikaisesti sen tulostimelta, mutta väliin tulikin puhelu, joka oli pakko ottaa, ja tällä aikaa asiakirjat tulostuivat yhteiskäyttöiselle tulostimelle kaikkien luettaviksi.
Aamulla töiden alkaessa huomataan, että pari vanhaa sopimusmappia on unohtunut monitoimilaitteen viereen pöydälle. Pienen ihmettelyn ja tutkinnan jälkeen, laitteen lokista löytyy tieto, että joku on lähettänyt 220 sivua sopimustietoa outoon sähköpostiin, mutta kuka?
Aivan samat lainalaisuudet koskevat tulostusympäristöä. Käyttäjien tietojen, tiedostojen ja identiteetin suojaaminen pitää olla kunnossa. Samoin myös pääsyhallinta tulostusympäristössä.
Tulostusympäristön hallintaan löytyy Marskidatalta ratkaisu pilvipohjaisen tulostuksenhallinnan avulla. Helposti käyttöönotettavan järjestelmän avulla käyttäjiä on helppo hallita Entra ID -käyttäjähallinnan kautta. Tällöin voidaan myös määrittää tulostamisen ja skannaamisen oikeuksia käyttäjäryhmien avulla.
Laitteiden käyttäjille järjestelmä tuo turvaa tulostamiseen, kun omat tulosteet eivät joudu vääriin käsiin, vaan tulostuvat paperille vasta tunnistautumisen jälkeen. Laitteelle tunnistamisen voi tehdä kulkuavaimella, kortilla tai vaikka mobiililaitteella. Tulosteet voi myös ottaa ulos eli tulostaa, miltä tahansa yrityksen tulostimelta, jos vaikka oman osaston laite sattuu olemaan varattuna.
Tulostaminen on mahdollista myös suoraan SharePoint- tai Teams-kansioista, ilman, että tiedostoja avaa omalle työasemalle. Tietoturvan näkökulmasta tämä vaatii sen, että käyttäjällä on oikeus kansioihin. Etä- ja mobiilitulostus on myös mahdollista, mikä tuo vapautta tulostamiseen.
Skannauksessa voidaan hyödyntää järjestelmän tunnistautumista, esimerkiksi skannaamalla suoraan Microsoft 365 -sovellusten kansioihin. SharePoint, Teams ja henkilökohtainen OneDrive ovat tuettuja. Sähköpostilähetyksissä voidaan lähetysoikeuksia rajoittaa tietoturvan näkökulmasta esimerkiksi yrityksen ulkopuolelle lähtevien osalta. Normaali sähköpostin osoiteluettelo on käytettävissä samalla tavalla kuin Outlookin lähetyksissä.
Monitoimilaitteet ovat kuin mikä tahansa tietokone verkossa, joka voi saastua tai joka voidaan valjastaa haittaohjelmalla keräämään yrityksen verkosta tietoa tulevaa kyberhyökkäystä varten. Tämän vuoksi laitteiden, siellä käytettävien ohjelmien ja verkkoliikenteen suojaaminen on erittäin tärkeää, aivan kuten muiden IT-laitteiden, jotka verkossa pyörivät.
ZeroTrust-arkkitehtuurin mukaisesti ”mihinkään ei luoteta”.
Nykyaikaiset laitteet valvovat itse itseään. Aina käynnistyksen yhteydessä laite tarkastaa itsensä tuntemattomien sovellusten tai tiedostojen varalta. Mikäli laite havaitsee jotain poikkeavaa, käynnistysprosessi keskeytyy.
Laitteen tallennustila on vahvasti salattu, jotta kriittinen tieto pysyy turvassa. Sisään rakennettu tietoturvaohjelmisto valvoo ja varmistaa laitteen käytönaikaisen suojauksen.
Mikäli yrityksessä on SIEM-järjestelmä (suojaustiedot ja tapahtumien hallinta) käytössä, voidaan nykyaikaiset tulostinlaitteet liittää järjestelmään, jolloin myös tulostinlaitteiden suojauksen tila saadaan liitettyä keskitettyyn valvontaan.
Eritasoisien käyttöoikeuksien perusteella pystytään rajaamaan laitteiden ja sen käyttämien sovellusten määritysten muuttamista ja samalla rajaamaan tuntemattomien ohjelmistojen asentumisen koneelle.
Käytettävien ohjelmistojen tietoturva nojaa vahvaan tunnistautumiseen ja sitä kautta saatuihin käyttöoikeuksiin. Moniportaisella käyttöoikeusrakenteella ja MFA:lla varmistetaan, että ohjelmistojen määrityksiin pääsee vain auktorisoidut henkilöt. Myös tulostamisen verkkoliikenne tulee huomioida tietoturvallista tulostusympäristöä rakennettaessa.
Tutustu aiheeseen tarkemmin blogissa Monivaiheinen tunnistautuminen, eli MFA.
Edelleen tänä päivänä tulostusympäristö on yksi päänvaivaa aiheuttavista asioista henkilöille, jotka vastaavat yrityksen IT-ympäristön tietoturvasta. Ulkopuolisten kyberhyökkäysten määrä kasvaa jatkuvasti. Myös pienemmät yritykset ovat kiinnostuksen kohteena. On syytä huolehtia myös tämä osa-alue ajantasaiseen kuntoon.
Enemmissä määrin yrityksiä ohjataan lakien ja asetuksien kautta, joilla pyritään määrittämään yritysten kyberturvatasoa, sekä palautumiskykyä hyökkäysten varalta. Esimerkkinä monia yrityksiä koskettava NIS2-direktiivi, mikä astui voimaan 18.10.2024. Tutustu lisää aiheeseen OLETKO VALMIS NIS2-direktiiviin?
Suomalaisissa yrityksissä perus IT:n tietoturva onkin usein kunnossa liiketoiminnan vaatimalla tasolla. Onko samalla otettu huomioon tulostusympäristön ja sen tuomat haavoittuvuuden mahdollisuudet?
Mikäli tulostusympäristön tietoturva kaipaa tarkastelua, ota yhteyttä omaan yhteyshenkilöösi, myynti@marskidata.fi tai allekirjoittaneeseen. Tutustu lisää aiheeseen Marskidatan tulostusratkaisut.
Käyttäjän tietoturvan osa-alueet:
Laitteiden tietoturvan osa-alueet:
Minimoidaan tietoturvariskit yrityksen verkossa ja laitetaan tulostusympäristön asiat kuntoon.
Kohti tietoturvallista tulostusympäristöä!
No totta kai kannattaa! Ja kannattaa laatia kilpailutus, jossa useampi kuin yksi tarjoaja pystyy tarjoamaan ratkaisujaan. Niin syntyy aito kilpailu. Tuon kirjoituksessani esiin havaintojani Suomen julkishallinnon kilpailuttamisesta, sillä omaan vankan asiakasymmärryksen kilpailuttamisen tuskista ja sopimusasioiden kiemuroista. Pohjaan näkemykseni 15 vuoden kokemuksiini ICT/AV-julkishallintomyynnistä ja tarjouksien tekemisestä eri tehtävissä. Tiesitkö sitä, että hankintalakia koskeva uudistus on vireillä? Myös päättäjät ovat heränneet siihen, että kilpailuttamisen myötä on mahdollisuus nostaa koko Suomen laatutasoa.
Suomen julkishallinnossa yleisenä mielipiteenä tuntuu olevan, että kilpailuttaminen on vaikeaa. Helpompi on vaan ostaa ”valmiilla sopimuksella”, sellaiselta taholta, jossa ollaan mukana omistajana 0,01–1 % osuudella. Vaikkakin hintalappu tuotteelle tai ratkaisulle on korkeampi, kuin mitä omalla julkisella kilpailutuksella saisi. Ja vaikka tiedostetaan, että useasti myös palvelutaso olisi paljon parempi kilpailutuksen kautta.
Onneksi on havaittavissa kriteerien muutosta, jossa laatu nousee yli helppouden. Hankintaa ja sopimuksen käyttöä selitellään usein prosessieduilla ja helppoudella. Ajatellaan, että ”säästämme isossa kuvassa”.
Olen tässä eri mieltä, kannattaa totta kai kilpailuttaa. Suomessa julkishallinto on iso, säästöjä on syytä saada hankinnoista, kuten myös menoista. Kilpailutus on kokonaisuudessaan oiva keino toteuttaa kokonaisvaltaista säästöä.
Hallitus on muun muassa laatinut tavoitteeksi reilun kilpailun edistämisen. ”Hallituksen tavoitteena on reilun ja avoimen kilpailun edistäminen. Markkinoiden avaamista jatketaan määrätietoisesti ja vastuullisesti.” Lähde: Orpon hallituksen ohjelmassa tavoitteita julkisiin hankintoihin ja sidosyksiköihin liittyen Jää nähtäväksi, mitä se käytännössä tarkoittaa ja millä aikavälillä se toteutuu. Valtioministeriön tiedotteessa on lisäksi mainittu:
Hallitusohjelmassa julkisille hankinnoille asetetaan lukuisia yksityiskohtaisempia tavoitteita. Näitä ovat muun muassa kustannussäästöjen aikaansaaminen, kilpailun lisääminen, in-house-hankintojen säädösmuutokset, hankintaosaamisen ja -prosessien kehittäminen sekä yhteishankintojen lisääminen.
Uudistus kuulostaa lupaavalta, sillä tarkoituksena on selvästi minimoida julkishallintoa koskevia väärinkäytöksiä, joita on ollut nähtävissä. Hankintalain uudistamiseen liittyvä esitys on eduskunnan käsittelyssä mahdollisesti keväällä 2025, mutta on vielä pitkä matka siihen, että lakiuudistus hyväksytään ja viedään käytännön tasolle.
Esillä on myös keskustelua in-house-yhtiöiden toiminnan rajoittamisesta. Keskustelussa on esillä se, että asiakkaalla pitää olla 10 % omistus in-house-yhtiöstä, jotta voi käyttää heidän kilpailuttamaansa puitesopimusta. Tässäkin on mielestäni monta puolta.
Näkemykseni mukaan, kilpailuttaminen kannattaa ja erityisesti reilu kilpailu. Useammat in-house-yhtiöt toimivat tämän periaatteen mukaisesti ja käyttävät esimerkiksi Hansel DPS -puitesopimuksia, joihin eri jälleenmyyjät pystyvät tulemaan mukaan tarjoajiksi. Kuten Marskidata, olemme toimittajana Hansel DPS -yhteishankinnoissa ja siellä on useampi muukin kilpurimme.
Kilpailua syntyy ja rehtiä sellaista, mikä hyödyntää loppukädessä asiakasta ja veronmaksajaa.
On myös toinen ääripää, jossa in-house-yhtiö laatii kilpailutuksen joka neljäs vuosi, jossa vain ja ainoastaan yksi tarjoaja voi tarjota. Kun asettelu on tämän kaltainen, en näe syntyvän aitoa kilpailua, eikä näin ollen loppuasiakas voita. Muun muassa tästä syystä myös hallitus on joutunut tilanteeseen, jossa muutoksia pitää tehdä.
Rehti kilpailu ajaa kustannussäästöihin.
Palatakseni otsikkooni. Kyllä, kilpailuttaminen kannattaa! Itse julkishallinnon erikoismiehenä elän ja nautin, kun teen selvitystyötä tarjouksiin. Nautin, kun laskelmat Exceleissä alkavat valmistua ja löydän asiakkaille ratkaisuja, jotka osuvat nätisti asiakkaan vaatimuksiin kustannustehokkaasti.
Olen varma, että löytyy myös sieluntovereita kilpureilta ja näin ollen syntyy kilpailua, kun useampi pääsee tarjoamaan. Varma olen myös, että löytyy hankintaihmisiä, jolla sama intohimo, mutta eri puolelta pöytää.
Ja mikäli tällaista julkishallinnon intohimoista osaajaa ei löydy omasta kunnasta tai kaupungista suoraan, niin ainakin sitten esimerkiksi Hanselilta. Hansel hoitaa kilpailutuksen puolueettomasti asiakkaan edun mukaisesti.
Lyhyesti keskeisiä pointteja siitä, miksi kilpailuttaminen maksaa vaivaa ja kannattaa:
Mikäli asiasta heräsi kysymyksiä, voit ottaa yhteyttä minuun. Keskustelen mieltäni kilpailuttamiseen liittyvistä asioista! Tutustu myös kirjoituksen muihin lähteisiin Hankintalain muutosten valmistelu käyntiin, Kolmen miljardin lisäleikkaustarve inhouse-rajoitusten muutoskustannuksista ja Hankinta-Suomi. Lue myös Marskidatan uutinen Marskidata on toimittajana Hansel DPS -yhteishankinnoissa.
VPN-yhteys tulee yleensä esiin terminä töitä tehdessä ja käyttäessä laitteita tai järjestelmiä. Tämä näkyy myös Marskidatan ServiceDeskissä tukipyyntöinä ja kysymyksinä. Yleisimmät VPN:ään liittyvät ongelmat ilmenevät niin, etteivät yhteydet tai tunnukset toimi. Käyttäjät eivät esimerkiksi pääse kirjautumaan sisään tietokoneelle tai johonkin yrityksen järjestelmään. Ensimmäiseksi ServiceDeskissä kysymmekin, ”onko sinulla VPN päällä?”
Tarkoituksenani on avata hieman, mitä VPN yksinkertaisimmillaan on, ja miksi sekä mihin sitä käytetään.
VPN-yhteyden avulla luodaan yrityksen oma sisäverkko, jonka käyttäminen vaatii internetyhteyden ja käyttäjätunnukset. Näin luodaan kriittisistä palveluista huomattavasti turvallisimpia, kun niihin ei ole pääsyä julkisesta verkosta.
VPN:ää käytetään ja mainostetaan pääasiassa sen tietoturvan vuoksi. Yksityiskäyttäjällekin siitä voi olla hyötyjä, mutta enemmän siitä hyötyvät yritykset ja sen työntekijät.
Tämä kuitenkin tietysti riippuu siitä, millä tavalla ja miten turvallisesti internettiä käyttää. Ilman VPN-yhteyttä datasi, esimerkiksi sijaintisi, verkko-osoitteesi (IP:si), sekä selaushistoriasi on käytännössä kenen tahansa saatavilla ja hyödynnettävissä.
En myöskään voi suositella ilmaiseksi saatavaa VPN-yhteyttä, sillä sitten samalla antaa kaiken datan VPN-yhteyden ylläpitäjälle. Kauhuskenaariona voisi olla, että yritys myy datasi eteenpäin saadakseen rahaa. Yhteyden ylläpito ei kuitenkaan ole ilmaista, joten kannattaa miettiä onko ilmainen VPN sen arvoista?
VPN:ää on monentyyppistä. Annan nyt muutaman esimerkin yrityksessä mahdollisesti vastaantulevista VPN-yhteyksistä.
Esimerkiksi yrityksen intra hyödyntää todennäköisesti VPN-yhteyttä, jotta samaan verkkopalveluun on mahdollista päästä useasta eri toimipisteestä. Toimipisteiden verkot voidaan yhdistää toisiinsa ”tunneleilla”, jotta verkot ja laitteet keskustelevat helposti ja turvallisesti keskenään.
Tavanomaisemmin käyttäjältä löytyy tietokoneeltaan mahdollisuus etäkäytettävään VPN-yhteyteen. Tätä VPN-yhteyttä voi olla mahdollista käyttää myös puhelimesta.
Tämä tarkoittaa sitä, että tietokoneella on ohjelmisto, josta työntekijä kirjautuu sisään VPN-tunnuksillaan ja pääsee yhdistymään yrityksen verkkoon. Näin tietokoneen internetyhteys toimii ikään kuin olisit toimistolla paikan päällä.
VPN-yhteys mahdollistaa etätöitä tehdessä käyttäjälle huomattavasti turvallisemman verkkoyhteyden ja tiedostojen tietoturvallisemman säilytyksen. Tämä on tärkeää huomioida, jos yrityksen verkosta pääsee muun muassa verkkokansioihin.
Samalla tavoin voidaan rajoittaa esimerkiksi jonkin ohjelmiston toimintaa niin, että se toimii vain yrityksen verkossa. Tällä tavoin rajoitetaan mahdollisuutta ulkopuoliselle väärinkäytölle. VPN:n avulla verkkoon yhdistymällä käyttäjät voivat kuitenkin päästä käyttämään ohjelmistoa, vaikka eivät olisi fyysisesti verkon lähettyvillä.
Käyttäjä kirjautuu VPN-ohjelmistoon sisään. VPN-palvelin löytää käyttäjän, toteaa oikeuksien olevan kunnossa, jolloin muodostuu ”tunneli”. Tunneliksi kutsumme VPN:n luomaa salattua yhteyttä. VPN-ohjelmisto ja palvelin kryptaavat eli muuntavat koodiksi kaiken datan, joka tunnelissa kulkee, tunnuksella, jonka vain järjestelmä tietää.
Kun data kulkee tunnelia pitkin, siihen ei pääse käsiksi ilman, että osaa purkaa salauksen. Palveluntarjoajasta riippuu, miten turvallinen salausmenetelmä siinä on. Kun data on siirtynyt laitteelta toiselle, VPN-järjestelmä voi taas dekryptata eli palauttaa datan ja datasta tulee jälleen luettavaa.
Ota rohkeasti yhteyttä Marskidatan ServiceDeskiin, mikäli sinulla tulee kysymyksiä VPN:stä. Marskidatalla autamme yrityksiä löytämään sopivat tietoliikenneratkaisut erilaisiin tilanteisiin. Näitä voivat olla esimerkiksi yhteyksien luominen etätyöntekijän työskennellessä muualla kuin toimipisteessä tai vaikka yhteyksien luominen toimipisteen sekä ulkoisen konesalin välille. Kysy lisää näistä ratkaisuissa, ota yhteyttä myynti@marskidata.fi.
Voit myös itse tutustua kirjoituksen lähteisiin Microsoft Azure: What is a VPN? (eng.).
Microsoft on virallisesti siirtänyt pitkäaikaisen tuotteen, Windows Server Update Service:n (WSUS) elinkaarensa päähän. Viimeinen tuettu versio tulee vielä Windows Server 2025 mukana, mutta WSUS:n elinkaari päättyy Server 2025:n kanssa. Lähde: Windows Server Update Services (WSUS) deprecation (eng.) Käymme tässä blogissa läpi muutamat Microsoftin ratkaisut WSUS:in tilalle, jotka sopivat suurelle osalle yrityksiä.
Aikaisemmin WSUS on täyttänyt alla olevista huomioista aika monta kohtaa. Voi sanoa, että sen ylläpito on ollut usein hyvin aikaa vievää ja vaatinut IT:n jatkuvaa valvomista, eikä raportointi ole ollut selkeää. Mitä tämä tarkoittaa käytännössä yrityksille?
Marskidatalla tekniset asiantuntijamme osaavat hahmottaa ja ehdottaa sopivat ratkaisut yrityksen haasteisiin. Suunnittelemme yhdessä asiakkaan kanssa yritykselle sopivan kokoisen ratkaisun aina asiakkaan tilanteen mukaan. Microsoftilla on ollut jo monta vuotta tarjolla näihin haasteisiin kolme ratkaisua, jotka soveltuvat useimpien yrityksien ratkaisuksi:
Meillä Marskidatalla on osaamista kaikkiin näihin ratkaisuihin. Lue eteenpäin, niin käyn läpi tarkemmin nämä ratkaisut.
Microsoftin Azure Arc Update Management on hybridiratkaisu, joka yhdistää Azuren sekä paikallisen konesalin päivittämisen, ylläpidon sekä raportoinnin yhden paneelin alle.
Kevyimmillään ratkaisulla voidaan parantaa raportointia liittämällä konesalin palvelimet Azure Arc:n avulla syöttämään päivitysdataa Azureen. Raportit on helppoja lukea ja niiden avulla voidaan tehdä selkeitä päätöksiä palvelinten päivityksiin.
Arc Update Managementin paras osuus on kuitenkin mahdollisuus päivittää yhden paneelin kautta Azuren sekä konesalin palvelimet, Windows tai Linux.
IT-osaston käyttämät työkalut vähenevät, automaatiota voidaan kehittää yhdellä yleisellä työkalulla ja raportointi voidaan automatisoida niin, että yritys voi suoraan sanoa päivittävänsä 100 % kaikista palvelimista.
Jos yrityksellä on vieläkin 2012R2-palvelimia, Azure Arc:n kautta, voidaan ostaa kuukausimaksulla tietoturvapäivityksiä, kunnes yritys saa migroitua vanhat sovellukset uusille alustoille.
Tässä on kyseessä business-lisenssiin kuuluva pilviratkaisu, jossa korvataan vanha WSUS ja käsin asennettavat päivitykset Intunen kautta, jaettavilla asetuksilla sekä automaatiolla. Ratkaisussa työasemat käsketään raportoimaan asiakkaan omaan Azure-ympäristöön rakennettavaan tilaan, josta saadaan keskitetysti raportti työasemien tilasta.
Raportoinnin lisäksi, WUFB:llä päätetään päivitysten kadenssi, päivitysryhmät sekä se, halutaanko samalla asentaa myös ajuri- tai firmwarepäivitykset.
Intune on lisäosa, joka kuuluu kaikkiin suuryrityslisensseihin. Ratkaisu on täysin Microsoftin ylläpitämä, asiakkaan täytyy vain päättää, millä syklillä työasemiin asennetaan päivitykset. Microsoft hoitaa kaiken muun.
Ratkaisuun kuuluu:
Käyttöönotto on todella nopeaa ja yritykselle saadaan selkeä yksi työkalu, johon määritellään halutut asetukset. Asetuksiin ei yleensä tarvitse tämän jälkeen koskea, koska Microsoft huolehtii tuettujen laitteiden osalta päivitysten laadusta sekä julkaisusyklistä.
Taklataan heti alkuun muutama harhaluulo, ennen kuin toteat Marskidatan asiantuntijalle, ettei ole tarvetta keskustella aiheesta.
Pitää muistaa, että esimerkiksi Maersk:n tapauksessa yrityksellä oli päivitetty 95 prosenttia laitteista, joka voi kuulostaa jo hyvältä prosenttimäärältä. Mutta laitteiden kokonaismäärä oli niin suuri, että kuukausi päivitysten julkaisusta, noin 100 palvelinta ja työasemaa oli vielä päivittämättä. Tästä muodostui todella suuri hyökkäyspinta, jota hyökkääjät käyttivät hyväksi. Tietoa tapauksesta: Virus seisautti kymmeniä terminaaleja.
Toimii, mutta Microsoft ei enää kehitä tuotteeseen yhtään ominaisuutta, ja kuka ei haluaisi päästä eroon ylimääräisistä päivitettävistä SQL- sekä WSUS-palvelimista?
NIS2 vaatii organisaation ottamaan huomioon ohjelmistojen toimitusketjun. Käytännössä yrityksen on päivitettävä toimittajan (Microsoft) ilmoittamat päivitykset mahdollisimman nopeasti, koska muuten yritys on jättänyt huomiotta tietoturvariskin.
Jos tämän takia yrityksen data vaarantuu, yrityksen johto on suoraan vastuussa vahingoista. Tämän takia on äärimmäisen tärkeää päivittää sekä raportoida päivitystasoista proaktiivisesti, jotta voidaan todistaa, että yrityksellä on ollut prosessi sekä toimintamalli riskien minimoimiseksi.
WUFB on ilmainen, maksat vain Azuressa logisäilytyksestä sekä ylläpidosta. Azure Arc Update Manager sisältyy Defender for Servers-lisenssiin tai on ostettavissa erillisenä kuukausimaksullisena lisäosana Arc-hallittuihin palvelimiin. Intune Autopatch kuuluu M3- tai E3-lisensseihin.
Jospa siis keskustellaan aiheesta ja katsotaan teidän yrityksellenne sopiva ratkaisu yhdessä läpi? Ota rohkeasti yhteyttä myynti@marskidata.fi.
Moni on varmasti törmännyt viimeaikojen uutisointiin Microsoftin yleisimmän käyttöjärjestelmän tuen lakkaamisesta 14.10.2025. Tämä on myös herättänyt huolta siitä, miten tämä vaikuttaa oman IT-ympäristön toiminnan jatkuvuuteen sekä tietoturvaan. Tilanne saattaa herättää pelkoja sekä huonoja muistoja edellisestä kerrasta, kun vastaava tapahtui Windows 7 -käyttöjärjestelmän osalta. Osalla meistä ei välttämättä ole ymmärrystä siitä, mitä tämä voisi tarkoittaa. Tilannetta voi verrata siihen, että jokainen meistä törmää päivityksiin lähes viikoittain, milloin matkapuhelin pyytää päivittämään ohjelmiaan, milloin uudehko auto pyytää päivittämään hallintajärjestelmänsä uuteen versioon.
Yleensähän päivitys tulee juuri silloin, kun on mahdollisimman kiire ja päivitystä pitää vain ärsyttävänä asiana. Moni ei kuitenkaan tule ajatelleeksi seurauksia siitä, kun päivitykset kyseiseen tuotteeseen lakkaavat. Vaikuttaa vain näennäisesti mukavalta, ettei laite vähän väliä pyydä sinua odottelemaan päivityksien valmistumista. Tilanne antaa valheellisen mukavuuden tunteen, sillä ulkopuolisen tunkeutujan tai haittaohjelman on helpompi juuri silloin ottaa laitteesi haltuun. Käyn blogissani läpi sitä, mitä muutos tuo tullessaan ja miten siihen voi varautua.
Microsoft on ilmoittanut antavansa tukea sekä tietoturvapäivityksiä Windows 10 -käyttöjärjestelmälle 14. lokakuuta 2025 asti (Windows 10 Home and Pro - Microsoft Lifecycle | Microsoft Learn). Tämän jälkeen kyseiselle käyttöjärjestelmälle ei enää julkaista tietoturvaa parantavia tai korjaavia päivityksiä. Kyseisen päivämäärän jälkeen ei työkoneissa enää pidä kyseistä käyttöjärjestelmää käyttää. Monelle tämä tarkoittaa pakollista siirtymistä Windows 11 -käyttöjärjestelmän käyttöön, vaikka se ei olekaan ottanut tuulta alleen kuten Microsoft oli toivonut.
Microsoft tarjoaa monelle Windows 10 -käyttäjälle mahdollisuutta ilmaiseen päivitykseen Windows 11 -käyttöjärjestelmään. Uudehkon koneen käyttäjälle tämä onkin oiva vaihtoehto. Käyttöjärjestelmän annetaan päivittää itsensä uuteen versioon ja sen jälkeen asia on kunnossa. Lähes poikkeuksetta päivitys onnistuu suoraan Windows 10 -käyttöjärjestelmän päälle, jolloin käyttäjän profiili tiedostoineen ja asetuksineen pysyy käytössä myös Windows 11:sta.
Useilla yrityksillä on kuitenkin mahdollisesti käytössään eri lisenssointiratkaisuja Microsoftilta, jolloin automaattinen päivitys ilmaiseksi ei onnistukaan, vaan lisenssit on mahdollisesti hankittava Windows 11 varten erikseen. Näissä asioissa Marskidata auttaa mielellään ja selvittää esimerkiksi sen, mitä päivityksen mahdollistaminen vaatii.
Kannattaa ottaa huomioon myös se, että vanha laitekanta saattaa estää päivityksen. Tilanne voi vaatia vanhojen koneiden uusimista, jotta työntekoa voidaan jatkaa tietoturvallisesti. Uusien koneiden mukana tuleekin jo Windows 11, joten kun kone otetaan käyttäjälle käyttöön, ovat asiat sen jälkeen kunnossa. Koneiden vaihdon yhteydessä hyvin toteutettu Microsoft 365 -palvelu ja käyttäjän tietojen tallennus OneDriven kautta pilveen tai omalle palvelimelle helpottaa käyttäjän siirtymistä vanhalta koneeltaan uuteen.
Marskidatalla haluamme helpottaa päätelaitteiden elinkaaren seurantaa ja järjestelmien ylläpitoa. Meiltä saat yrityksellesi päätelaitteet palveluna, tarkoittaen muun muassa läppäreitä, älypuhelimia ja tabletteja. Kaikki ne laitteet, jotka tarvitset työskentelyyn, saat ne meiltä valmiiksi asennettuina ja ylläpidolla. Lue lisää aiheesta nettisivultamme IT-laitteet ja ohjelmistot.
Monesti laitekanta käyttöjärjestelmineen on ostettu eri aikaan ja välttämättä aivan tarkkaa kuvaa laitteiden iästä tai niiden päivitettävyydestä Windows 11 -käyttöjärjestelmään ei ole. Lisäksi monesti käytössä on ohjelmistoja, joiden yhteensopivuudesta Windows 11 kanssa ei ole täyttä varmuutta. Tässä tilanteessa Marskidata onkin oiva yhteistyökumppani, jonka kanssa käydä läpi laitteistot, ohjelmistot sekä lisenssointi Windows 11 osalta. Kartoitamme tilanteen ja käymme asiakkaan kanssa läpi, mitä ympäristön saattaminen Windows 10:stä Windows 11 kohti vaatii.
Kun suunnitelma on tehty hyvin, aikataulut määritetty ja itse prosessi käynnistetty, voidaan laitekanta uusia hallitusti ja päivitykset tehdä oikeaoppisesti. Näillä keinoilla valmistaudutaan ja pidetään käyttökatkot tai muut haittaavat vaikutukset asiakkaan tuotantoympäristöön minimissään.
Lopputuloksena olemme saaneet ympäristön hyvissä ajoin kuntoon ennen lokakuun 14. päivää vuonna 2025 ja tuen lakkaamisesta ei tarvitse murehtia lainkaan.
Ole siis ajoissa liikkeellä ja valmistaudu, me autamme! Tekninen asiantuntija tarkistaa IT-ympäristön tilanteenne, jotta ikäviä yllätyksiä ei tule vastaan. Ota siis yhteyttä myynti@marskidata.fi, niin tarkistetaan yrityksesi tilanne kuntoon.
On varmasti monia esteitä siihen, ettei myyjän ja asiakkaan välinen vuorovaikutuksellinen ja luottamuksellinen keskustelu synny tai vaikkapa tietoturvaan liittyvistä asioista keskustelu ei vain saa tuulta purjeiden alle. Kokemuksesta väittäisin usein syyksi yhden merkittävän haitan keskustelussa. Vaikka myyjä haluaa myydä, ei keskustelu sido asiakasta ostamaan mitään. Mutta keskustelu myyjän kanssa voi olla asiakkaan kannalta monin verroin merkityksellisempää, mitä aluksi voisi luulla. Lue siis eteenpäin, niin kerron mikä on tämä yksi merkittävä haitta keskustelussa.
Lähdetään liikkeelle tarinalla myyntinaisesta nimeltä Tiina ja hänen asiakastaan Ismosta. IT-päällikkö Ismo tapasi IT-myyjä Tiinan toimistollaan. Tiina yritti keskustella Ismon kanssa tietoturvan tilasta, mutta Ismo torppasi keskustelun useaan otteeseen todeten, että ”kaikki on meillä kunnossa. Meillä on IT-palveluille toimittaja, joka hoitaa myös tietoturvan ja kaikki on täysin kunnossa”. Keskustelut jäivät ”torsoksi”, mutta myyjän kanssa hierottiin lopulta kauppaa työasemien elinkaaripalvelusta.
Tiinan myymä elinkaaripalvelu otettiin käyttöön Ismon työpaikalla, mutta samoihin aikoihin yhtiön toiminta lamaantui yllättäen. Yhtiön palvelimet kryptattiin ja yhtiön sähköpostiosoitteista alkoi virrata sidosryhmille sekä asiakkaille kalasteluviestejä ja asiattomia ”törkyviestejä”. Mainehaitta alkoi kasvaa tunti tunnilta. Yrityksen johto vaikutti hätääntyneeltä ja tunnelma töissä kaoottiselta.
Ismo soitteli toistuvasti IT-palveluntarjoajalleen, mutta apua ei tuntunut tulevan helpolla. Ismo vaati apua vasteajalla ”heti”. Lopulta useamman tunnin jälkeen palveluntarjoaja teki selväksi, että he ovat toimittaneet palomuurit ja tietoturvalisenssejä Ismon edustamalle firmalle, mutta ei sen kummempaa. Ismo alkoi ymmärtää, että tosipaikan tullen ei ollut vasteaikaa mihin tukeutua. Palveluntarjoajan kanssa oli toki sovittu perustason IT-tuesta neljän tunnin vasteajalla, mutta tietoturvaan liittyvä reagointi oli tämän ulkopuolella. Toimittajalta toki sai sitä, mutta ilman sitoumusta nopeaan vasteaikaan.
Tietoturva Ismon työpaikalla osoittautui olevan sitä luokkaa, että lisenssejä oli asennettu työasemille ja palomuurit löytyivät. Juuri muuta ei oltukaan tehty, eikä aitoon hätään varauduttu. Tietoturvapuolelle ei ollut hankittu reagointipalvelua kireällä vasteajalla. Ismo ymmärsi, että kun tästä todella isolla rahamäärällä selviydytään ja suuren liiketoimintahaitan kautta, niin johtoryhmä haluaa selityksen yrityksen tietoturvan tasosta. Silloin Ismo muisti keskustelunsa Tiinan kanssa. Tiina halusi puhua tietoturvasta ja hänellä olisi selvästi ollut ratkaisuja tietoturvan kehittämiseen. Aitoa reagointia ja suojautumista.
Olettamus ja olettamisen mukanaan tuoma pettymys tai suoranainen epäonnistuminen. Tässä tarinassa olettaminen on johtanut olettajaa harhaan; Ismo oletti tietoturva-asioiden olevan kunnossa. Olisiko paremmin sujunut keskustelu tietoturvasta voinut estää epäonnistumisen, mainehaitan ja rahallisen tappion? Väitän, että vuorovaikutteisella keskustelulla olisi voitu välttyä jopa tämän kaltaiselta tilanteelta. Keskustelun jälkeen Ismon ratkaistavaksi olisi jäänyt joko kiristää vaatimuksia nykyisen palvelutuottajan suuntaan tai vaihtaa Tiinan edustamaan yritykseen, joka jo ensi metreillä osoitti aitoa halua auttaa asiakastaan ja varmistaa Ismon yrityksen hyvän tietoturvan tason.
Olen tehnyt yli 14 vuotta B2B-myyntiä ja huomannut olettamisen olevan läsnä loppujen lopuksi myynnin kaikissa vaiheissa. Esimerkiksi myyntisyklin alkupäässä kuulemme usein keskustelua kylmäsoittojen ja asiakaskontaktoinnin vaikeudesta, koska myyjä olettaa: ”ei se asiakas kuitenkaan vastaa” tai ”ei se asiakas tällaiseen ’spiikkiin’ lämpene”. Myyjän on luotettava ammattitaitoonsa ja siihen, että halu auttaa asiakasta hänelle merkityksellisissä haasteissa, tuottaa kyllä tulosta. Ei aina, mutta tarkka asiakas kyllä tunnistaa sen hyvän kaverin, jonka kanssa kannattaa tehdä yhteistyötä. Myyjän ei kannata myöskään olettaa, että asiakas muistaa kaiken palaverissa käydyn asian. Asioita täytyy käydä läpi aika ajoin uudestaan ja myyntityö on erityisen vahvasti laji, jossa perusasioista kiinnipitäminen johtaa menestykseen.
Asiakkaan ei myöskään kannata olettaa liikaa asioita. Kun tehdään tarjouspyyntöjä ja kilpailutuksia, jotka johtavat täysin päättömiin tai vertailukelvottomiin tarjouksiin toimittajilta, niin kaikki tuhlaavat aikaansa. Todennäköisesti jokainen osapuoli lopulta pettyy. Lisäksi voidaan sanoa, että kun jonkin osa-alueen oletetaan olevan kunnossa (mutta ei kuitenkaan oikeasti tutkita onko), niin huomiota ei keskitetä asiaan, johon ehkä kannattaisi. Pitää olla luotettava IT-kumppani ja osaava kaveri kertomaan, mitä kannattaisi harkita tai mitä olisi syytä ottaa huomioon.
Vuosien varrella olen nähnyt itse tietoturvan suhteen järkyttävässä kunnossa olevia ympäristöjä. Esimerkiksi palveluita, joista asiakkaat maksavat, mutta jotka eivät sitten tosipaikassa kuitenkaan toimi. Olen nähnyt tehtaan, joiden liukuhihnat voisi pysäyttää tien toiselta puolelta perustasoisen teini-ikäisen hakkerin toimesta. Olen nähnyt toimistohotellin, jonka asiakasyhtiöiden verkot olivat täysin avoimia kaikille. Olen nähnyt finanssialan toimijan, jonka asiakasrekisterit olivat suojaamatta avoimessa verkossa ja vielä pahan tietomurron, sekä sitä seuranneen mainehaitankin jälkeen ”kaikki oli kunnossa: ei tarvitse edes keskustella tietoturvasta”. Kaikissa näissä tapauksissa kaiken takana on ollut ihmisiä, jotka ovat olettaneet kaiken olevan niin kunnossa, ettei kannata edes keskustella aiheesta.
”Älä oleta ja tee tätä virhettä, vaan keskustele! Tarkistamalla asiat selviävät.”
Mikä olisi mielestäni oikea ratkaisu tähän koko teemaan? Kiteytän sen tähän. Asiakas: älä oleta, vaan selvitä ja keskustele. Ole utelias ratkaisujen ja muuttuvan maailman suhteen. Myyjä: älä oleta, vaan toimi, toista ja pidä perusasioista kiinni.
Meillä ei ole mahdollisuutta höllätä tietoturvan suhteen, vaan on varmistettava asioiden oikea laita. Edelleen asiakas päättää ja myyjä kuuntelee, sekä osoittaa asiantuntijuutta tarjoamalla asiakkaan IT-ympäristöön tai asiakkaan kulloinkin olevaan tarpeeseen järkeviä ja kustannustehokkaita ratkaisuja. Niin hyvä ja asiantunteva IT-kumppani toimii.
PS. Sinua saattaa kiinnostaa myös kollegani Arton blogit Tietoturva päättäjän näkökulmasta, osa 1 ja osa 2. Lue lisää Marskidatan palveluista Tietoturva ja IT-palvelut yrityksille. Tutustu myös asiakastarinaan Arbonaut valitsi Marskidatan tietoturvansa vahvistajaksi ja Mastsystem on tyytyväinen kokonaisvaltaisen IT-kumppanin palvelualttiuteen.
Niin ja ole yhteydessä meidän hyviin tyyppeihin myyntitiimissä myynti@marskidata.fi.
Edellisessä blogissani Tietoturva päättäjän näkökulmasta, osa 1 käsittelin sitä, että tietoturvaa ei voida enää tänä päivänä sivuttaa tai toteuttaa välttämättömänä pahana, vaan yritysjohdon tulee herätä todellisuuteen. Keskisuurissa ja suurissa yrityksissä tietoturva vieritetään usein IT-osaston vastuulle. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Vastuu on aina kuitenkin johdolla ja tietoturvauhat koskevat kaiken kokoisia yrityksiä. Blogin tässä osassa mietimme, ovatko tietoturvan resurssit riittävät? Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
Mikä sitten on tämän sisäisen IT-osaston tai ulkoisen kumppanin kompetenssi vastata tietoturvasta? Samaisten viimeisen kymmenen vuoden aikana olen Account Managerina toimiessani tavannut satoja yritysten IT-vastaavia, joiden kaikkien tehtävänä on yksiselitteisesti pitää yrityksen IT-ympäristö toimintakykyisenä. He vaihtavat patterit hiireesi, ottavat sähköpostin käyttöön uuteen puhelimeesi, palauttavat unohtuneet salasanasi ja niin edelleen. Päivittäinen työkuorma on yleisesti sillä tasolla, ettei osaamisen kehittämiseen esimerkiksi tietoturvan saralla jää aikaa. Vajaan 18 vuoden aikana olen törmännyt vain kahteen IT-vastaavaan, jolla on ollut voimassa oleva sertifikaatti käytössä olevan tietoturvasovelluksen asiantuntijuuteen.
Riskien minimoimiseksi tietoturva tulisi rakentaa ja kehittää asianmukaisen mallin avulla. Tässä mallissa yritysten tietoturva rakentuu yleisesti kumppaneiden sertifioitujen asiantuntijoiden osaamisen hyödyntämiseen. Tällöin kumppanin verkkoasiantuntijat asentavat uuden palomuurin ja vastaavat ohjelmiston päivittämisestä palomuuripalvelun mukaisesti, päätelaitesuojaukseen on hankittu lisenssit kumppanilta, joissa asennuksen ja käyttöönoton hoitaa päätelaitesuojausohjelmistoon sertifioitu asiantuntija. Yrityksen IT- vastaavasta tulee pääkäyttäjä, jolle kumppani toimittaa korkeintaan raportit sovellusten keräämistä tapahtumista, ellei muuta ole sovittu.
Tekniseen tietoturvaan sertifioidut asiantuntijat pitävät osaamistaan yllä jatkuvasti, mihin yritysten IT-vastaavilla ei yksinkertaisesti ole mahdollisuutta. Teknisessä tietoturvassa vuosi on pitkä aika. Ratkaisuja tulee päivittää jatkuvalla syötöllä uhkien muuttuessa kiihtyvällä vauhdilla.
Tässä päästään yrityksissä yhden ongelman ytimeen: Tietoturvaa ei saada kerralla kuntoon, projektinomaisesti. Yrityksen tulisi prosessinomaisesti kehittää tietoturvaansa jatkuvasti ja sen tulisi olla osa yrityksen kulttuuria.
Miten päättäjän sitten tulisi toimia vastuullaan olevan tietoturvan suhteen? Tietoturvan teknisiin yksityiskohtiin on turha käyttäjätason osaamisella keskittyä, sen sijaan tulisi keskittyä kysymykseen riskistä. Mitä nämä yrityksen toimintaan liittyvät riskit voisivat olla?
Yrityksen johto vastaa siitä, että yritys toimii liikeidean mukaisesti ja toimitusjohtaja vastaa toiminnan tuloksesta. Jos yhden hiiren klikkaus johtaa 2–3 päivän tuotannon pysähdykseen, menetetään noin 1 % vuotuisesta liikevaihdosta ja tuloksesta, menetettyinä työpäivinä. Mikäli yrityksen arkaluontoisia tietoja päätyy esimerkiksi mediaan, voiko tämä maineen menetys johtaa tärkeimmän asiakkaan tai kumppanin menettämiseen ja mikä vaikutus sillä on yrityksen liikevaihtoon? Muistutan vielä, että GDPR- ja NIS2-sääntöjen rikkominen voi johtaa oikeudellisiin seurauksiin.
Liiketoimintariskin kannalta yritysjohdon tulee huolehtia omanaan siitä, että hallinnollinen tietoturva on kunnossa. Hallinnollinen tietoturva kattaa politiikan, menettelytavat ja toimintatavat, joita yritys toteuttaa tietoturvan parantamiseksi. Se sisältää esimerkiksi tietoturvapolitiikan, tietoturvasuunnitelman, riskienhallinnan, palautumissuunnitelman ja käyttöoikeuksien hallinnan. Järeimmillään yritys voi standardoida tietoturvansa osaksi kaikkea toimintaa, kansainväliseen tietoturvanhallinta standardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja). Tietoturva on niin vahva, mitä sen heikoin linkki on.
Siksi onnistunut tietoturva huomioi kaikki osa-alueet:
IT ja tietoturva mielletään helposti samaksi asiaksi, mutta eivät ne sitä ole, vaan kulkevat hyvin käsi kädessä ja päällekkäin, esimerkiksi ohjelmistopäivitykset ovat osa toimivaa IT- ympäristöä käytännön tasolla ja todella merkittävä osa tietoturvaa. Yritysjohdon olisi kuitenkin hyvä käsitellä näitä kahtena eri aiheena ainakin budjetoinnissa, hyvin usein tietoturvabudjetti on osa IT-hankintoja.
Mikä tietoturvassa sitten maksaa? Tietoturva ja siihen liittyvät palvelut vaativat aina korkeimman tason asiantuntijaosaamista. Tehty työ taas ei näy loppukäyttäjälle. Ensimmäisessä blogin osassa alussa mainitsemani epäilyttävä sähköposti on merkki siitä, ettei tekniset tietoturvaratkaisut toimi optimaalisesti, toimivassa ratkaisussa loppukäyttäjä ei edes saa epäilyttävää sähköpostia Saapuneet-kansioonsa. Tämän pienen näkyvän muutoksen eteen on mahdollisesti jouduttu hankkimaan uutta tekniikkaa ja sen käyttöönottoon tehty useampi päivä töitä. Korkean teknisen tietoturvatason ratkaisuissa nähdään, mitä kaikkialla yrityksen verkossa tapahtuu reaaliaikaisesti, mahdollisiin lauenneisiin uhkiin pystytään vastaamaan minuuteissa ja valvonta tapahtuu 24/7.
Tämän kaltaisten täyden valvonnan ja reagointipalveluiden kustannus on laajuudesta huolimatta keskimäärin vähemmän kuin yhden uuden työntekijän palkkakulut kuukausitasolla ja todennäköisesti paljon vähemmän kuin vaihtoehtoinen kustannus 1 % liikevaihdosta, mikäli tuotanto pysähtyy.
Marskidatan asiantuntijat auttavat yrityksen tietoturvan parantamisessa, tietoturvan alkukartoituksesta aina hallinnon konsultointiin, jolla luomme asiakaskohtaisen tietoturvapolun kehittyvälle tietoturvaprosessille. IT-kumppanina meillä on mahdollista täydentää palveluitamme kattavilla teknisillä tietoturvaratkaisuilla, jotka täyttävät myös NIS2-vaatimukset.
Tutustu asiakastarinaan Lakan Betoni sai tietoturvan kehityssuunnitelman Health Checkin myötä. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? ja tutustu palveluihimme Tietoturva.
Ota meihin yhteyttä, me autamme sinua!
Yritysjohdon, johtoryhmän jäsenten tai yksittäisen toimitusjohtajan ymmärrys tietoturvasta tulisi olla käyttäjän tasoa ylemmällä tasolla. Käyttäjä esimerkiksi ymmärtää olla avaamatta epäilyttävän näköisen sähköpostin, ehkä, mikäli sellainen sähköpostilaatikon Saapuneet-kansioon ilmestyy. Yritysjohdon tulee hallita erittäin monimutkaista kokonaisuutta nimeltä Yrityksen tietoturva. Jos ymmärrys tietoturvasta on käyttäjän tasolla, kuinka päättäjä osaa tehdä oikeat hankintapäätökset tarvittavista tietoturvatekniikoista tai muodostaa yrityksen säännöistä ja käytänteistä tietoturvapolitiikan, jota yritys noudattaa kaikessa tekemisessään?
Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen oma IT-osasto tai IT-kumppani ei ole vastuussa tietosuojaloukkauksista tai tietomurroista. NIS2-direktiivin ja tulevan lain mukaan yrityksen johto vastaa kyberturvallisuuden riskienhallinnan valvonnan ja toteuttamisen järjestämisestä. Se myös hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Yrityksen johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.
Harmillista onkin todeta, että kokemukseni mukaan suhtautuminen NIS2-direktiiviin on vieläkin suurella osalla yrityksiä varsin välinpitämätöntä. Kysyttäessä, miten asiaan on valmistauduttu, vastaus on hyvin usein:
”Tulkintamme mukaan, se ei koske meitä.”
Vastaus on jokseenkin hämmentävä, sillä eikö tietoturvan parantaminen aiheuta toimenpiteitä, ellei se koske kyseistä yritystä suoraan lainsäädännön puitteissa?
NIS2-direktiiviin kuuluvien yrityksien vastuu toimitusketjun tietoturvasta tulee huomioida. Marskidata on esimerkiksi saanut useita yhteydenottoja koskien asiakkaidemme kumppanien lähettämiä selvityspyyntöjä koskien asiakkaidemme tietoturvaa. Lähettäjien joukossa on esimerkiksi suuria vähittäiskauppaketjuja, kuntahankinta yhteenliittymiä tai suuria metsä- ja metallialan yrityksiä. Kyselyt pohjautuvat usein kansainväliseen tietoturvanhallintastandardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja) tai Yhdysvaltain standardisointi- ja teknologiainstituutin (NIST) standardeihin. On pääteltävissä, että kaikki kyseisten tahojen kumppanit saavat samaisen kyselyn täytettäväksi, sillä vastaanottajaorganisaatioiden koot voivat vaihdella muutamasta hengestä satoihin työntekijöihin.
Mitä tapahtuu, mikäli yritys ei täytä kyselyn mukaista ”tietoturvatasoa”?
Esimerkiksi yhdessä tapauksessa 25 kohdan kyselyssä viisi kohtaa oli asetettu pakolliseksi ehdoksi edetä tarjouskilpailuun ja näiden kohtien toteutuminen tulee pystyä näyttämään toteen. Tietoturva tai sen asianmukainen hallinta muodostavat näin ollen liiketoimintariskin yrityksen toiminnalle. Standardisoitu ja jatkuvan kehityksen prosessissa oleva yrityksen tietoturva toimii varmasti yrityksen kilpailuetuna.
Viimeisen kymmenen vuoden aikana moni yritys on pohtinut vaikutustaan ympäristöön ja omaa vastuullisuuttaan. Tämä on johtanut valtaisaan aaltoon standardoida yrityksen toiminta ympäristöjohtamisen standardin ISO 14001 täyttäväksi (ISO 14000 Ympäristöjohtamisen standardisarja). Tämä on johtunut osittain julkisesta sekä sisäisestä paineesta vihreän siirtymän aikakaudella. Vastaavaa ei ole tapahtunut yrityksissä tietoturvan puolella, vaikka kuukausittain saamme lukea mediasta hakkeroiduista yrityksistä tai yhteisöistä. Kansalaisia kehotetaan varovuuteen tiettyjen tahojen viestejä avatessa, koska hakkereiden on kerrottu ottaneen yrityksen viestinnän haltuun. Tapauksia on jatkuvasti enemmän, ne ovat yhä suurempia ja kohdistuvat yhä lähemmäksi suomalaisia yrityksiä ja yhteisöjä.
Mikäli päättäjien päässä ajatus on edelleen tasolla, ”olemme pärjänneet näillä ratkaisuilla kymmenen vuotta” tai ”miksi kukaan nyt meidät haluaisi hakkeroida”, on vain ajan kysymys koska näin tapahtuu omalle kohdalle.
Ottaen huomioon NIS2-direktiivissä mainitut vastuut, Account Managerina olen kohdannut viimeisen kymmenen vuoden aikana vain kourallisen päättäjiä, jotka ovat osoittaneet mielenkiintoa oman yrityksensä tietoturvaan. Keskisuurissa ja suurissa yrityksissä päättäjät yleisesti kertovat yrityksen tietoturvan olevan IT-osaston vastuulla. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille. Päinvastoin pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille todennäköisesti helpompana kohteena tai reittinä ison kumppanin järjestelmiin. Yksinkertaisena ohjeena päättäjän tulisi kysyä omalta IT-osastolta tai kumppanilta:
”Onko meillä tietoa tai näkymää siitä, mitä meidän verkossamme tapahtuu tai on tapahtunut?”
Mikäli vastaus on ei tai osittain, yritys ei voi NIS2-direktiivin mukaisesti ilmoittaa tietoturvapoikkeamasta, se ei tällöin myöskään täytä direktiivin vaatimuksia ja tärkeimpänä, yritys ei voi tehdä korjausliikkeitä ehkäistäkseen saman asian toistumista uudestaan. Miten asia voidaan korjata, mikäli ei tiedä mikä on rikki?
Vielä ei ole myöhäistä pistää asioita kuntoon, mutta se on ensin aloitettava omasta asenteesta ja asennoitumisesta yrityksen tietoturvaa kohtaa.
Vastuu on sinulla, Päättäjä! Marskidata auttaa.
Marskidata IT-kumppanina auttaa sinua, jotta voit olla varma yrityksesi asianmukaisesta tietoturvan tasosta. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? Tutustu palveluihimme Tietoturva ja IT-palvelut yrityksille. Seuraavassa blogin osassa Tietoturva päättäjän näkökulmasta, osa 2 pohdin sitä, ovatko yrityksen tietoturvaresurssit riittävät. Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
