Finn Spring Oy on vuonna 1991 perustettu perheyritys, jonka juuret pulppuavat Keski-Pohjanmaalla Multilan lähteestä. Lähdeveden pullottaminen vaihtui nopeasti sivutoimesta jatkuvasti kasvavaksi liiketoiminnaksi, johon palkattiin perheenjäsenten lisäksi myös ulkopuolista työvoimaa. Toiminnan pohjalla oleva arvomaailma on pysynyt mukana jokapäiväisessä toiminnassa vuosikymmenestä toiseen. Raikas ja puhdas lähdevesi kulkee käsi kädessä luontoarvojen kanssa, ihmisten hyvinvointia ja yhteiskunnallista vastuuta unohtamatta. Nykyään toimintaa on Suomessa Toholammilla ja Lestijärvellä sekä tytäryhtiön kautta Ruotsin Köpingissä.
Pullotettujen juomien tuottaminen tuo sekä ulkoisia vaatimuksia että huoltovarmuuteen liittyvän vastuun. Elintarviketuotannon BRC-standardi, jäljitettävyysvaatimukset ja laatujärjestelmät kietoutuvat Finn Springin jokapäiväiseen toimintaan. Dokumentaatiota tarvitaan siis paljon. Tuotannossa OT-kokonaisuudet tuovat omat palansa palapeliin, ja tällä hetkellä noin sadan vakituisen työntekijän joukko kasvaa tarvittaessa kymmenillä kausityöntekijöillä. Yrityksen ICT-puolesta vastaa ensisijaisesti IT-päällikkö Teemu Korpiaho. "Toiminnan päivittäinen pyörittäminen vie aikaa, ja kun tuotanto rullaa 24/7, jää strategisemmille jutuille vähemmän tilaa", Korpiaho kuvaa tilannetta.
Tietoturvan näkyvyys oli tunnistettu Finn Springillä tärkeäksi kehittämiskohteeksi, mutta siihen tarjotut ratkaisut olivat raskaita ja kalliita. Ketterämpää toteutusta lähdettiin miettimään yhdessä Remodin kanssa vuonna 2024, mutta jo keskustelun alkuvaiheessa akuutimmaksi aiheeksi nousi silloin horisontissa siintävä NIS2-vaatimusten voimaantulo, jonka todettiin koskevan myös Finn Springiä. Remodin asiantuntemus ja käytännönläheinen, asiakkaan liiketoimintaan keskittyvä ote vakuutti, ja aloitimme yhteistyömme NIS2-kartoituksella. Tavoite oli luoda vaatimusten täyttämiselle tiekartta,joka hyödyntäisi mahdollisimman hyvin olemassaolevia rakenteita ja dokumentaatioita ja Finn Springin sisäistä osaamista muiden vaatimuskehikoiden mukaisessa toiminnassa.
“Tästä roolista katsoen tietoturvapuolesta tulee helposti mörkö: oma vastuualue on laaja, yrityksellä on toimialasta tulevat erityistarpeet ja sitten tuo jatkuvasti elävä kyberriskien kenttä on jäätävän laaja ja monimutkainen. NIS2 oli kans semmonen iso möykky, paljon tapetilla ollut valtavalta vaikuttava kokonaisuus. Ja sitten kun hommaa lähdettiin katsomaan yhdessä sen meidän ihan oikean toiminnan kannalta, siitä tulikin ihan järkeviä palasia jotka saadaan toimimaan just meillä, olkoonkin että siinä riittää työmaata.“
Teemu Korpiaho, IT-päällikkö, Finn Spring
Usein NIS2-vaatimukset nähdään toisaalta turhankin kolossaalisena ponnistuksena, toisaalta yrityksen toiminnasta irrallisena asiana. Kyse on kuitenkin ensisijaisesti riskienhallinnasta ja turvallisista toimintatavoista, jotka pitää nähdä aina kunkin yrityksen omasta perspektiivistä: mikä juuri tälle toiminnalle on tärkeää, millaisia riskejä siihen kohdistuu ja miten niitä torjutaan. Valtavakin paperiharjoite jää turhaksi, jos sitä ei sidota käytäntöön ja pidetä ajan tasalla. Me Remodilla haluamme toteuttaa kartoitukset siten, että niistä jää asiakkaalle konkreettinen hyöty ja asioita voidaan viedä kartoitustyön pohjalta eteenpäin. Tietoturvaa kehittävät ratkaisut mietimme liiketoiminnan kokonaisuutta mahdollisimman hyvin tukevina ja siihen helposti solahtavina.
Toteutimme NIS2-kartoituksen työpajasarjana, jossa osallisina oli meidän asiantuntijoidemme lisäksi Finn Springin edustajia eri rooleista ja liiketoiminnan eri alueilta. Kuvasimme selkeään näkymään liiketoiminnalle kriittiset prosessit, käytetyt järjestelmät ja näistä syntyvän datan. Kun yhdistimme tähän tiedot olemassaolevista käytännöistä ja dokumentaatioista sekä arvioimme eri osa-alueisiin kohdistuvia mahdollisia riskejä ja niiden toteutumisen vaikutuksia, muodostui kuva myös NIS2-vaatimusten täyttymisestä ja havaituista puutteista. Moni puute ratkesi kevyillä toimilla; tähän taulukkoon yksi sarake, tuohon prosessiin tällainen pieni muutos, tämä olemassaoleva käytäntö määritellään myös dokumentaatiotasolla. Näin myös vaatimuksista nousevat isommat muutos- ja kehitystarpeet nousivat selkeinä esille. Samalla kävimme läpi Finn Springin toiminnan muita kehitysprojekteja ja tiedossa olevia muutoksia, jotta NIS2-vaatimusten vuoksi tehtävä työ nivoutuisi niihin mahdollisimman saumattomasti ja tietysti kustannustehokkaasti.
“Ei lähdetty rakentamaan NIS2-työssä mitään turhia paperihimmeleitä, vaan käytettiin pohjana meiltä valmiiksi löytyviä prosesseja ja esimerkiksi meidän BRC-osaamista.”
Teemu Korpiaho
Kartoituksesta tehtävä raportti on meillä enemmän kuin pelkkä puutelista. Se on aina asiakkaan näköinen ja tarjoaa hyödyllistä luettavaa niin yrityksen IT-asiantuntijoille kuin johdollekin. Nykytilan kuvauksesta suhteessa vaatimuksiin päästään katsomaan tulevaisuuteen ja rakentamaan toteutuskelpoista suunnitelmaa tavoitteisiin pääsemiseksi. Vaikka tarjoamme mielellämme tukea kartoituksen jälkeisissä kehitysprojekteissa ja päivittäisessä toiminnassa, haluamme antaa hyvät eväät eteenpäin jatkamiseen myös sisäisesti tai jonkun muun kumppanin kanssa toteutettaviin toimiin. Priorisoidut, toiminnan kokonaisuuteen istuvat tiekartat eivät synny pelkästään Remodin asiantuntijoiden tuottamana, asiakkaan oma asiantuntemus omasta toiminnastaan on oikeastaan työn kriittisin osa.
Tietoturvan näkyvyyden puutteet on todettu yleiseksi ongelmaksi suomalaisessa yrityskentässä, niin myös Finn Springillä. Kartoituksen valmistuttua pääsimme palaamaan aiheen pariin, aivan raporttiin kirjattujen askelmerkkien mukaisesti. Tarjoamamme kevyt, ketterä projekti oli asiakkaallekin mieleen, ja sillä päästiin haluttuun tulokseen: näkyvyyteen Finn Springin infrastruktuurin oleellisista tapahtumista ja siten mahdollisuuteen tarvittaessa reagoida niihin. "Projekti eteni suunnitelmien mukaan ja sovitulla tavalla", Korpiaho toteaa tyytyväisenä. Toteutukseen kuului myös tulevaisuuteen katsominen, eli suunnitelma näkymän pitämisestä ajantasaisena – muutenhan työn tulos happanisi ajan kuluessa yhä vähemmän hyödylliseksi. Ylläpidossa ja jatkokehityksessä sovimme Remodin auttavan Finn Springille sopivalla tahdilla.
Entäpä tulevaisuus muuten? Sehän näyttää varsin valoisalta, yhteistyö on maistunut molemmin puolin ja luottamus on vahva. Kartoituksen jäljiltä meillä Remodilla on jo valmiiksi selkeä kuva Finn Springin tilanteesta, joten kun tiekarttaa seuratessa tai sen ulkopuolelta tulee vastaan uusia tarpeita, meidän on helppo käydä suoraan asiaan.
Kun Teemulta kysyy, suosittelisiko hän Remodia muillekin, myönteinen vastaus tulee epäröimättä. Mieli keveni jo ensimmäisessä työpajassa, ja nyt tietoturvan osalta selkeää polkua seuratessa olo on entistä varmempi. “Jo eka työpaja vakuutti - näkyi että oikeasti teillä oli osaamista tuolle puolelle, ja te kuuntelitte miten me toimitaan. Ei lähdetty rakentamaan NIS2-työssä mitään turhia paperihimmeleitä, vaan käytettiin pohjana meiltä valmiiksi löytyviä prosesseja ja esimerkiksi meidän BRC-osaamista”, Korpiaho kertoo.
Painaako vaatimusviidakko päälle? Me Remodilla voimme auttaa NIS2:n lisäksi monien erilaisten vaatimuskokonaisuuksien täyttämisessä. Ota yhteyttä!
Kuvat: Finn Spring Oy, kuvaaja Tuuli Nikki.