Kyberturvallisuuden merkitys hankinnoissa: kuinka turvata toimitusketjut

Kyberhyökkäyksiä havaitaan kaikilla aloilla, eikä hankinta-ala ole poikkeus.

ENISA:n (Euroopan unionin kyberturvallisuusvirasto) raportissa paljastetaan, että 39% (WEF, 2022) ja 62% (Anchore, 2022) tutkituista organisaatioista oli joutunut kolmannen osapuolen kyberhyökkäyksen kohteeksi. Lisäksi raportti osoittaa, että toimitusketjuteollisuudessa kyberuhkat muodostivat 17% kaikista kyberhyökkäyksistä vuonna 2021 (Mandiant, 2022). ENISA:n tutkimukset osoittavat myös, että 66% analysoiduista toimitusketjun hyökkäyksistä toimittajat eivät ymmärtäneet tai olleet edes tietoisia siitä, että heidän toiminta oli ollut uhattuna. 62% näistä tapauksista hyökkäystekniikkana käytettiin haittaohjelmaa.

Luvut ovat huolestuttavia, mutta eivät yllättäviä. Nykyään yhä useammat yritykset nojaavat digitaalisiin toimitusketjuihin ja sähköisiin hankintajärjestelmiin. Toimiakseen nämä virtuaaliset ratkaisut edellyttävät tietojen vaihtoa. Usein tiedot sisältävät arkaluonteisia tietoa, kuten yrityksen ja asiakkaiden/toimittajien yhteystietoja, sopimustietoja sekä luottokortti- tai muita taloudellisia tietoja. Juuri näihin tietoihin kyberhyökkäykset kohdistuvat.

Kyberhyökkäyksiin varautuminen tulisi olla yrityksen yksi tärkeimmistä prioriteeteista, ja tässä artikkelissa kerromme lisää yleisimmistä kyberuhista ja siitä, miten kyberturvallisuus voidaan toteuttaa hankintaprosesseissa.

Käsittelemämme aiheet ovat:

1. Mitä kyberuhkat ovat ja mistä ne tulevat?
2. Yleisimmät alustat tai tavat, joissa hankintojen kyberuhkia esiintyy
3. 7 keskeistä vaihetta hankintojen kyberturvallisuuden varmistamiseksi

Mitä kyberuhat ovat ja mistä ne tulevat?

Muistatko ne ajat, kun liiketoimintaa pyöritettiin kynällä ja paperilla, ja suurin uhka oli fyysinen murto liikkeeseen?

Nuo ajat ovat jäämässä historiaan, ja on välttämätöntä ymmärtää, mitä kyberuhat ovat ja kuinka monimutkaisia ne voivat olla, jotta hankinnoissa voidaan taata oikea kyberturvallisuuden taso.

Miten kyberuhka määritellään? 

Kyberuhka on mikä tahansa potentiaalinen tahallinen teko, joka pyrkii vahingoittamaan tai varastamaan tietoa tai häiritsemään digitaalista elämää yleensä. Hyökkäykset voivat olla mitä tahansa henkilökohtaisista tietomurroista aina merkittäviin liiketoiminnan keskeytyksiin, ja nämä uhat voivat olla katastrofaalisia nykypäivän digitaalisessa ympäristössä.

Mielenkiintoista on, että kyberuhkat voivat olla sekä ulkoisia että sisäisiä. Ulkoisia kyberuhkia ovat ne, joista kuulemme eniten: hakkerit, järjestäytyneet rikollisryhmät, ja niin edelleen. Nämä hyökkääjät pyrkivät hyödyntämään ohjelmistojen haavoittuvuuksia, lähettämään haitallisia sähköposteja tai käynnistämään laajoja hyökkäyksiä infrastruktuurissa. Sisäiset uhkat sitä vastoin saattavat olla työntekijöiden aiheuttamia, tahattomia tietovuotoja tai vain yrityksen digitaalisten resurssien huolimatonta käyttöä. On syytä huomata, että vaikka ulkoiset uhat saavat usein enemmän huomiota, sisäiset uhat voivat olla yhtä vahingollisia.

Erilaisia kyberhyökkäyksien muotoja ovat esimerkiksi:

• Kalasteluhuijaukset (Phishing Attacks): Usein esiintyen luotettavina toimijoina, hyökkääjät huijaavat yksilöitä luovuttamaan arkaluontoista tietoa. Hankintapäällikkö voi esimerkiksi kuvitella kommunikoivansa luotetun toimittajan kanssa, mutta todellisuudessa jakaakin maksutiedot huijarille.
  

• Haittaohjelmat ja kiristysohjelmat (Malware and Ransomware): Haitallinen ohjelmisto, jonka avulla hyökkääjät pyrkivät vahingoittamaan järjestelmää tai saamaan siihen luvattoman pääsyn. Tämä voi tapahtua esimerkiksi silloin, kun valmistaja lataa vahingossa kiristysohjelman toimittajan tartunnan saaneesta laskusta. Tämä korostaa, miksi hankintojen kyberturvallisuuden parantaminen hankinnoissa on tärkeää.
  

• Man-in-the-Middle -hyökkäykset: Tällaisessa hyökkäyksessä hyökkääjät salaa välittävät tai muuttavat kahden osapuolen välistä viestintää. Kuvittele vähittäismyyjä, joka tekee tilauksen luotetulta toimittajalta. Hyökkääjä salaa kaappaa tämän viestinnän, muuttaen maksun pankkitilin tiedot. Vähittäismyyjä, joka luulee maksavansa toimittajalleen, lähettääkin vahingossa varoja hyökkääjän tilille.
  

• Palvelunestohyökkäykset (Denial of Service Attacks): Nämä hyökkäykset kohdistuvat järjestelmiin, palvelimiin tai verkkoihin, jolloin ne ylirasittavat kohteen liikennettä ja aiheuttavat järjestelmän kaatumisen.

Kyberuhkien eri alkuperien ja muotojen tunnistaminen on ensimmäinen askel ymmärtääksesi vaarat, joihin yrityksen tulisi varautua. Seuraavaksi tarkastellaan, mitkä ovat yleisimmät alustat tai tavat hankintojen kyberuhille.

Yleisimmät alustat tai tavat, joissa hankintojen kyberuhkia esiintyy

Vaikka digitaalinen transformaatio tuo tehokkuutta, se myös altistaa meidät lukuisille kyberuhille.

Tässä ovat yleisimmät paikat tai tavat, joissa kyberhyökkäyksiä tapahtuu:

• Pilvialustat: Kun yhä useammat organisaatiot siirtyvät pilvipohjaisiin alustoihin, ne kohtaavat samanaikaisesti mahdollisia tietoturvauhkia. Ajatellaan esimerkiksi suuren valmistusyrityksen hankintaosasto, joka jakaa määrittelyjä toimittajien kanssa pilvialustan kautta. Tarvitaan vain yksi virheellinen konfiguraatio ja arkaluontoiset suunnitelmat voivat päätyä vääriin käsiin.
  

• Sosiaalinen media: Tässä esimerkissä voidaan kuvitella toimittajaa, joka kommunikoi suositun sosiaalisen alustan kautta ja joutuu piilotetun kyberhyökkäyksen uhriksi saman alustan kautta. Tietomurrot hyödyntävät usein tällaisia sosiaalisia heikkouksia, osoittaen, että edes luotetuimmat verkkotilat eivät ole aina turvallisia.
  

• Kalasteluhuijaukset: Digitaaliset hankinnat ja kalasteluhuijaukset ovat muuttuneet yhä edistyneimmiksi. Ajatellaan hankintapäällikköä, joka saa täydellisesti ajoitetun, aidon näköisen sähköpostin, jossa pyydetään maksutietoja toimitusta varten, mutta joka todellisuudessa onkin väärennetty sähköposti, jonka avulla hyökkääjät yrittävät varastaa rahaa.
  

• PDF-tiedostot: Nykyään jopa viattomalta näyttävät PDF-laskut voivat olla niin sanottu troijalainen hevonen. Kun hankintapäällikkö saa PDF-tiedoston toimittajalta, jonka hän olettaa olevan luotettu, hän saattaa tietämättään laukaista haittaohjelman vain avaamalla tiedoston, ja näin ohittaen usein epäilyttävissä sähköposteissa nähtävät varoitusmerkit.
  

• Tietokannat: Kuvitellaan keskitetty hankintatietokanta, joka sisältää toimittajien hinnat, sopimukset ja tapahtumahistoriat. Vain yksi tietomurto voi johtaa useisiin sosiaalisen tekniikan hyökkäyksiin tai paljastaa yrityksen koko toimitusketjustrategian.
  

• Vahingossa jakaminen: Ihmisten virheet voivat johtaa vakaviin hankintariskeihin. Otetaan esimerkiksi työntekijä, joka vahingossa lähettää luottamuksellisia tarjouspyyntötietoja ulkopuoliselle osapuolelle eikä sisäiselle tiimin jäsenelle.
  

• SMS: Nämä niin kutsutut Smishing-hyökkäykset saattavat kohdistua hankintapäällikköön, houkutellen häntä klikkaamaan haitallista linkkiä näennäisesti viattomassa tekstiviestissä, joka koskee toimitusta tai laskua.
  

• IoT-laitteet: Toimitusketjun IoT (esineiden internet) integraatioiden lisääntyessä myös niihin liittyvät kyberuhat kasvavat. Laivakontin sensori, joka lähettää sijaintitietoja, voidaan hakkeroida, ohjaamalla tavaroita luvattomaan sijaintiin ja aiheuttaen merkittäviä toimitusketjun häiriöitä.
  

• Heikko tietoturva: Perusasiat ovat tärkeitä. Huippuluokan toimitusketjuyritys on saattanut panostaa merkittävästi edistykselliseen kyberturvallisuussuojaukseen, mutta jos työntekijän kirjautumistunnus on ennalta arvattava ’1234’, on vaikea välttää hyökkäyksiä. Asianmukainen kyberhygienia on tehokkaan hankintojen kyberturvallisuuden perusta.
  

• Kiristysohjelmat: Kuvitellaan maailmanlaajuisen vähittäismyyjän koko varastojärjestelmän olevan hyökkääjien panttivankina, ja toiminta halvaantuu, ellei lunnaita makseta. Kiristysohjelmahyökkäykset pyrkivät näin vaarantamaan koko toimitusketjun.
  

Vaikka teknologian käyttö hankinnoissa on tehnyt transaktioista nopeampia ja maailmanlaajuisesta yhteistyöstä saumattomampaa, se on kiistatta tuonut mukanaan myös uusia kanavia kyberhaavoittuvuuksille. Siksi on tärkeää, että hankintayritykset panostavat sekä kyberturvallisuuden toteuttamiseen että pysyvät tietoisina erilaisista uhista. 

Seuraavassa osiossa tarkastelemme 7 parasta käytäntöä, joita jokaisen hankinta-alan ammattilaisen tulisi aina noudattaa.

7 keskeistä vaihetta, joilla yritys voi varmistaa hankintojen kyberturvallisuuden 

Kuten yllä todettiin, nykyään kyberuhkia voi esiintyä niin sähköpostissa, erilaisissa tapahtumissa tai virtuaalisessa tietojen vaihdossa.

Millä keinoin yritys voi parantaa toimitusketjun turvallisuutta?

Tässä ovat 7 parasta käytäntöä, joita yrityksen tulisi noudattaa:

1. Riskiarviointi: Kyberturvallisuus hankinnoissa on laaja ja jatkuvasti kehittyvä ala, ja riskien arviointi on keskeisessä asemassa sen toteuttamisessa. Kyberhyökkäyksen mahdollisuutta voidaan merkittävästi vähentää sillä, että jokainen yritys, koosta riippumatta, tunnistaa hankintariskit. Tämä edellyttää perusteellista riskiarviointia. Riskien arviointiprosessiin voi kuulua muun muassa:
   
   a. Toimittajan ohjelmistoanalyysi: Tutki kolmannen osapuolen ohjelmistoja turvallisuusprotokollien ja aikaisempien tietoturvamurtojen varalta.
   
   b. Työntekijöiden pääsy tietoon: Valvo ja turvaa työntekijöiden tiedonkäyttö eri laitteissa ja sijainneissa.
   
   c. Sähköpostikalasteluharjoitukset: Tee kalastelutestejä, joilla voidaan parantaa työntekijöiden valmiutta näihin hyökkäyksiin.
   
   d. Pilvialustan haavoittuvuudet: Arvioi pilvipalveluntarjoajasi turvatoimet, varmistaen vahvan salauksen ja varmuuskopioinnin protokollat.
   
   Vaikka tämä saattaa tuntua pelottavalta ja aikaa vievältä prosessilta, muista, että tämän vaiheen laiminlyönti voi tulla yritykselle todella kalliiksi.
   
   
2. IT-yhteistyö: Yhteistyö hankintojen ja kyberturvallisuuden välillä on tärkeää. Kuvitellaan esimerkiksi suuren terveydenhuolto-organisaation ottavan käyttöön uuden ERP (yrityksen resurssisuunnittelu) järjestelmän varastonhallintaan. Hankintatiimi tunnistaa järjestelmän, joka on kustannustehokas ja täyttää toiminnalliset vaatimukset. Kuitenkin yhteistyössä IT-tiimin kanssa tiimi huomaa, että tässä järjestelmässä on ollut tietoturvamurtoja, joten tiimi päättää valita turvallisemman ratkaisun.
   
   
3. Pääsyoikeuksien hallinta: Pääsy verkkoon tulisi olla etuoikeus, eikä automaattisesti kaikille myönnettävä oikeus. Hankintariskien hallitsemiseksi ja vähentämiseksi pääsy järjestelmiin tulisi olla vain henkilöstöllä, joka sitä tarvitsee. Mitä harvemmalla on hankintatiimin jäsenellä on pääsy, sitä pienempi on ihmisten virheistä johtuvien tietoturvamurtojen todennäköisyys.
   
   
4. Tietojen salaaminen: Hankinnoissa käytettävät ERP-järjestelmät siirtävät jatkuvasti tietoja eri osastojen välillä käyttäen liitäntöjä kuten API:eja. Salaamisella voidaan varmistaa, että tätä tietoa ei siepata tai lue kukaan asiaankuulumaton. Esimerkiksi tilanteessa, jossa hankintapäällikkö lähettää luottamuksellisia hinnoittelutietoja toimittajalle ERP-järjestelmän kautta, sen sijaan, että hän lähettäisi tämän tiedon selkokielisenä tekstinä, joka voisi olla siepattavissa ja ymmärrettävissä hakkerien toimesta, salaaminen muuttaa sen merkkijonoksi. Toimittajan päässä heidän järjestelmänsä purkaa salauksen, paljastaen alkuperäisen tiedon.
   
   
5. Tietojen omistajuuden tai hallinnoinnin puute: Monissa yrityksissä yksi heikkouksista on sekava toimitusketjun kyberturvallisuuden hallintajärjestelmä. Jos rooleja ja vastuita ei selkeästi osoiteta niistä vastaaville henkilöille, virheiden todennäköisyys lisääntyy. Tätä voidaan parantaa nimeämällä yksi omistaja tai käyttää datatyökaluja, joilla luodaan kattavan yleiskatsaus.
   
   
6. Varautumissuunnitelmien kehittäminen: Jopa kaikkein vahvimmat suojaukset voidaan murtaa. Jos (tai kun) näin tapahtuu, se, miten yritys reagoi, määrittää vaikutuksen. Hyvin rakennettu varautumissuunnitelma toimii varmistaa nopean ja tehokkaan reaktion. Kuvittele hankintaosaston saavan väärennettyjä laskuja oletetulta toimittajalta järjestelmän murron vuoksi. Panikoinnin sijaan osaston tulee aktivoida varautumissuunnitelma ja toimia sen mukaan. Tämä etukäteen laadittu suunnitelma ohjaa heitä välittömästi jäädyttämään kaikki maksut epäilyttävälle toimittajalle, pyytää IT-osastoa jäljittämään ja korjaamaan murto sekä hälyttämään kaikki muut toimittajat vahvistamaan viimeaikaiset kommunikoinnit. Heidän nopean ja järjestäytyneen reaktionsa ansiosta yritys hallitsee tilanteen, estää taloudelliset tappiot ja palauttaa järjestelmän turvallisuuden ajallaan.
   
   
7. Pysy ajan tasalla nykyisistä kyberuhista: Toimitusketjujen hyökkäyksiin varautuessa on parasta olla koko ajan valppaana. Koska kyberuhkat kehittyvät jatkuvasti, ajan tasalla pysyminen uusimmista ohjelmistoturvallisuusstandardeista varmistaa, että yritys on paremmin valmistautunut kohtaamaan nousevat haasteet.

Yhteenveto  

Miksi kyberturvallisuus hankintaprosessissa on niin tärkeää?

Nykyisessä digitaalisessa ympäristössä yksi väärä napsautus voi merkitä katastrofia. Tämän todellisuuden ymmärtäminen on koko toimitusketjun vahvan kyberturvallisuuden perusta.

Tässä artikkelissa olemme käyneet läpi hankintojen yleisimpiä kyberuhkia (kuten phishing-huijaukset, jotka kohdistuvat online-ostoprosesseihin) ja esitelleet 7 parasta käytäntöä parantamaan varautumista jatkuvasti kehittyviä toimitusketjun uhkia vastaan.

Lopuksi kannattaa muistaa, että hankintaprosessi ei koske vain tavaran hankintaa ja ostamista, vaan se on myös jokaisen tapahtuman eheyden, aitouden ja luottamuksellisuuden turvaamista.