Joensuulainen CPU Oy hioi tietoturvansa huippukuntoon

Kassa- ja myyntijärjestelmiin erikoistunut ohjelmistoyritys CPU Oy paransi hallinnollista tietoturvaansa analysoimalla uhat, kouluttautumalla ja harjoittelemalla kriisitilanteita varten. Kaikki lähti liikkeelle NIS2-direktiiviin perustuvasta tietoturva-arvioinnista.

Asiakas CPU Oy

Published date Kesäkuu 2025

Lokakuussa 2024 voimaan astunut NIS2-direktiivi (Network and Information Security Directive 2) velvoittaa tietyn kokoisia ja tietyillä aloilla toimivia yrityksiä ja organisaatioita valmistautumaan tietoturvapoikkeamiin. Joensuulainen ohjelmisto- ja sovellusalalla toimiva CPU Oy kuuluu tähän joukkoon.

”Koska asiakaskuntamme on julkishallintoa, meidän tulee täyttää NIS2-direktiivin vaatimukset. Direktiivin velvoitemäärä on iso ja omat resurssimme rajalliset, joten tartuimme mielellämme Atean tarjoukseen, jossa käytiin läpi meidän NIS2-valmiutemme”, sanoo CPU:n toimitusjohtaja Timo Kärkkäinen.

1990-luvun alussa perustettu CPU eli Computer Program Unit Oy on noussut kolmessa vuosikymmenessä julkisen toimialan kassa- ja myyntijärjestelmien markkinajohtajaksi Suomessa. CPU:n kehittämää Ceepos-alustaa käyttää jo yli 200 asiakasta. Vuonna 2019 CPU liittyi pohjoismaiseen Confirma Software -IT-konserniin. Nyt Ceepos-alustan markkinat ovat avautumassa myös muihin Pohjoismaihin.

””Harjoituksissa nousi erityisen tärkeiksi vastuuttaminen ja koordinointi. Pitää olla jo etukäteen nimetty henkilö, joka alkaa uhkatilannetta johtaa ja vastuuttaa eri tahoja. Muuten asiat jäävät olettamusten varaan ja pahimmassa tapauksessa tekemättä.””

— Timo Kärkkäinen, toimitusjohtaja, CPU

NIS2 GAP -analyysistä yksityiskohtaista tietoa kehitettävistä asioista

Tietoturvayhteistyö Atean kanssa alkoi keväällä 2024. Ensimmäisenä tehtiin NIS2 GAP -analyysi eli CPU:n tietoturvan nykytilan arviointi ja siihen perustuva raportti. Raportista kävi ilmi ne asiat, jotka olivat jo kunnossa, ja ne, joita piti kehittää täyttämään direktiivin vaatimukset. Tällaisia olivat muun muassa erilaiset käytänteet, harjoitukset, koulutukset ja dokumentaatiot.

”Direktiivi velvoittaa muun muassa kouluttamaan henkilöstöä ja johtoa. Harjoittelu ei ole selkeä vaatimus, mutta se liittyy siihen, että yritysten tulee olla valmistautuneita tietoturvapoikkeamiin”, Atean tietoturvakonsultoinnista kerrotaan.

CPU:lla tietoturvaan oli kiinnitetty paljon huomiota jo aikaisemmin, mutta palvelu- ja tietoturvapäällikkö Anna Poutiainen kokee, että ulkopuolisen tahon tekemästä analyysista oli silti runsaasti apua.

”Mitään erityisen yllättävää raportissa ei noussut, sillä moni kehittämiskohde oli jo tiedossa, mutta raportin avulla saimme aiempaa täsmällisempää ja yksityiskohtiin porautuvampaa tietoa siitä, mitä pitää vielä kehittää.”

Räätälöity tietoturvakoulutus koko henkilökunnalle

Raportoinnin jälkeen Atea järjesti kaksi koulutustilaisuutta koko CPU:n henkilökunnalle. Toinen koulutuksista järjestettiin paikan päällä, toinen etänä. Koulutuksissa keskityttiin erilaisiin yleisiin tietoturvateemoihin, NIS2-direktiivin vaatimuksiin sekä yrityksen omiin tietoturvallisuuskäytäntöihin.

”Koska olemme IT-talo, työntekijöillämme on hyvä tietoturvallisuuden perusosaaminen. Halusimme, että koulutus räätälöidään meidän tarpeisiimme ja toimintaympäristöömme niin, että se on käytännönläheisestä mutta ei kuitenkaan liian yksityiskohtaisiin ongelmiin menevää”, sanoo Timo Kärkkäinen.

Tietoturvauhkiin varautuminen kouluttautumalla ja harjoittelemalla on tärkeää asiakassuhteiden kannalta.

”Saimme koulutuksista ja harjoituksista runsaasti konkreettista hyötyä. Meidän on tärkeää pystyä osoittamaan, että meillä on valmius toimia asiakkaidemme vaatimusten ja tarpeiden mukaisesti”, sanoo Anna Poutiainen.

””Kaikkea tietoturvallisuuteen liittyvää ei kannata yrittää tehdä itse, vaan on järkevää hyödyntää ulkopuolisia asiantuntijoita tai kumppaneita. Se maksaa itsensä takaisin.””

— Anna Poutiainen, Palvelu- ja tietoturvapäällikkö, CPU

Roolitus ja nopeus tärkeitä tietoturvan uhkatilanteissa

Koulutusten lisäksi Atea järjesti tietoturvaharjoitukset CPU:n tiloissa Joensuussa tammikuussa 2025. Harjoituksissa simuloitiin erilaisia tietoturvaan kohdistuvia uhkaskenaarioita.

”Suunnittelimme yhdessä asiakkaan kanssa, mitä tilanteita halutaan harjoitella. Esitimme 15 valmista uhkailmiötä, joista he valitsivat kolme”, Atean tietoturvakonsultoinnista kerrotaan.

Tietoturvaharjoituksissa oli mukana yhteensä kuusi henkeä CPU:n johdosta, tietoturvasta, viestinnästä ja tekniikasta. Harjoituksia oli kaksi, ja ne kestivät kerrallaan neljä tuntia.

”Harjoitteluaika oli sopivan mittainen. Asioita ei voi tositilanteessakaan jäädä pyörittelemään pitkäksi aikaa, vaan päätöksiä on pystyttävä tekemään nopeasti. Direktiivi asettaa aikarajat sille, paljonko tilanteiden hoitamiseen saa kulua aikaa. Yliajasta tulee sanktioita”, Timo Kärkkäinen sanoo.

Harjoittelussa nousi esille tärkeitä oppeja tietoturvaa uhkaavia tilanteita varten. Esimerkiksi selkeä ja kaikilla tiedossa oleva vastuunjako on tärkeää sopia jo etukäteen.

”Harjoituksissa nousi erityisen tärkeiksi asioiksi vastuuttaminen ja koordinointi. Pitää olla etukäteen nimettynä henkilö, joka alkaa tilannetta johtaa ja vastuuttaa eri tahoja tilanteen hoitamisessa. Vaikka tiedettäisiin etukäteen pääpiirteittäin, miten toimia, pitää olla joku, joka osaa vastata kysymyksiin kuka, mitä ja milloin. Muuten asiat jäävät olettamusten varaan ja pahimmassa tapauksessa tekemättä”, Timo Kärkkäinen sanoo.

Harjoitusten ja niissä tehtyjen asioiden dokumentointi on tärkeää

”Jos tulisi tilanne, jossa epäiltäisiin, miten yrityksessä on erilaisiin tietoturvaa uhkaaviin tilanteisiin varauduttu, pitää olla näyttöä, että tilanteita on harjoiteltu. Mitä enemmän saamme tietoturvaan liittyviä asioita kuntoon, sitä enemmän meillä on vastauksia eri tahoille, jotka niistä kysyvät sisäisesti tai ulkoisesti”, Timo Kärkkäinen sanoo.

Tietoturvaan liittyviä uhkatilanteita harjoitellaan CPU:lla jatkossa vuosittain. Myös koko henkilökunnan säännölliset koulutukset jatkuvat. Atea auttaa tarvittaessa jatkossakin.

”Tietoturva on niin laaja kenttä, että asiantuntijoiden avulla pystytään rajaamaan ne oleelliset asiat, jotka tulee ottaa huomioon. Vaikka ulkopuolisesta avusta joutuu vähän maksamaan, se maksaa kyllä itsensä takaisin myöhemmässä vaiheessa”, Timo Kärkkäinen sanoo.

Ulkopuolinen konsultointiapu on auttanut myös priorisoimaan ja säästänyt CPU:n oman IT-osaston työtunteja muuhun tekemiseen.

”Ei kannata yrittää tehdä kaikkea itse, vaan hyödyntää ulkopuolisia asiantuntijoita tai kumppaneita. He ovat ammattilaisia omassa osaamisalueessaan. Vapautuvat resurssit voi sitten käyttää omaan ydintekemiseen”, Anna Poutiainen sanoo.

Mitä NIS2 edellyttää yrityksiltä?

Kyberturvallisuuden riskienhallintaa
Tietoturvapoikkeamien ilmoittamista (esimerkiksi kyberhyökkäykset)
Velvollisuus dokumentoida ja osoittaa vaatimustenmukaisuus
Johdon vastuuta kyberturvallisuudesta
Vaatimuksien täyttämistä sanktioiden uhalla