Kyberturvallisuuden toteutuminen alihankintaketjuissa
Koskinen, Satu (2023)
Koskinen, Satu
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023082925062
https://urn.fi/URN:NBN:fi:amk-2023082925062
Tiivistelmä
Tutkimuksen tavoitteena oli tutkia, miten ja miksi kyberturvallisuus toteutuu alihankintaketjuissa. Tutkimus sai alkunsa aidosta kiinnostuksesta aihetta kohtaan sekä ajankohtaisista keskusteluista huoltovarmuuskriittisten organisaatioiden kanssa. Aihe on tärkeä, eikä siitä ole riittävästi tutkimustietoa, joten motivaatio ja innostus tutkimuksen tekemiselle oli vahva.
Tutkimusongelman ratkaisemiseksi asetettiin tutkimuskysymyksiä, joihin haettiin vastauksia eri keinoin. Tutkimuksessa selvitettiin muun muassa, mitkä tekijät vaikuttavat siihen, että kyberturvallisuus toteutuu alihankintaketjuissa ja miten kyberturvallisuuden toteutumista alihankintaketjuissa voidaan varmistaa. Lisäksi tutkimuksessa tutkittiin, millaisia tekijöitä tutkimukseen osallistuvat huoltovarmuuskriittiset organisaatiot itse näkevät keskeisinä elementteinä, joilla on vaikutusta kyberturvallisuuden toteutumiseen. Tutkimuksessa peilattiin tutkimuksen tuloksia teoreettiseen viitekehykseen ja tarkasteltiin erilaisten tekijöiden merkitystä kyberturvallisuuden toteutumiseen alihankintaketjuissa.
Tutkimus oli rajattu muutamiin huoltovarmuuskriittisiin toimijoihin alihankintaketjun eri kohdista. Tutkimus toteutettiin monimenetelmäisenä tapaustutkimuksena. Keinoina käytettiin haastatteluja ja kyselytutkimuksia sekä lopputulosten luotettavuuden tarkasteluun yhteen vetävää loppukeskustelua. Monimenetelmäisyys nousi tarpeena varmistaa tutkimuksen luotettavuus ja kattavuus.
Tutkimuksen perusteella voidaan todeta, että johdon sitoutumisella ja resurssien osoittamisella organisaation käyttöön, on erittäin keskeinen merkitys kyberturvallisuuden toteutumisessa alihankintaketjuissa. Johto voi myös omalla toiminnallaan mahdollistaa kulttuurin, jossa kyberturvallisuus otetaan vakavasti ja osana liiketoiminnan kehitystä. Toinen huomio liittyi osaamiseen, jonka merkitys oli myös huomattava. Osaamisen alle on tuloksissa sijoitettu myös hallin-nolliset tietoturvan keinot, joihin sisältyvät yrityksen omat tietoturvapolitiikat, ohjeet ja toimintatavat. Kolmantena päähuomiona oli asiakkaiden ja yhteistyökumppaneiden vaatimukset, jotka usein perustuvat lakiin ja asetuksiin. Huolto-varmuuskriittisyys ei noussut esille niin voimakkaasti, kuin tutkimuksen tekijä oletti.
Tutkimusongelman ratkaisemiseksi asetettiin tutkimuskysymyksiä, joihin haettiin vastauksia eri keinoin. Tutkimuksessa selvitettiin muun muassa, mitkä tekijät vaikuttavat siihen, että kyberturvallisuus toteutuu alihankintaketjuissa ja miten kyberturvallisuuden toteutumista alihankintaketjuissa voidaan varmistaa. Lisäksi tutkimuksessa tutkittiin, millaisia tekijöitä tutkimukseen osallistuvat huoltovarmuuskriittiset organisaatiot itse näkevät keskeisinä elementteinä, joilla on vaikutusta kyberturvallisuuden toteutumiseen. Tutkimuksessa peilattiin tutkimuksen tuloksia teoreettiseen viitekehykseen ja tarkasteltiin erilaisten tekijöiden merkitystä kyberturvallisuuden toteutumiseen alihankintaketjuissa.
Tutkimus oli rajattu muutamiin huoltovarmuuskriittisiin toimijoihin alihankintaketjun eri kohdista. Tutkimus toteutettiin monimenetelmäisenä tapaustutkimuksena. Keinoina käytettiin haastatteluja ja kyselytutkimuksia sekä lopputulosten luotettavuuden tarkasteluun yhteen vetävää loppukeskustelua. Monimenetelmäisyys nousi tarpeena varmistaa tutkimuksen luotettavuus ja kattavuus.
Tutkimuksen perusteella voidaan todeta, että johdon sitoutumisella ja resurssien osoittamisella organisaation käyttöön, on erittäin keskeinen merkitys kyberturvallisuuden toteutumisessa alihankintaketjuissa. Johto voi myös omalla toiminnallaan mahdollistaa kulttuurin, jossa kyberturvallisuus otetaan vakavasti ja osana liiketoiminnan kehitystä. Toinen huomio liittyi osaamiseen, jonka merkitys oli myös huomattava. Osaamisen alle on tuloksissa sijoitettu myös hallin-nolliset tietoturvan keinot, joihin sisältyvät yrityksen omat tietoturvapolitiikat, ohjeet ja toimintatavat. Kolmantena päähuomiona oli asiakkaiden ja yhteistyökumppaneiden vaatimukset, jotka usein perustuvat lakiin ja asetuksiin. Huolto-varmuuskriittisyys ei noussut esille niin voimakkaasti, kuin tutkimuksen tekijä oletti.