Kuka on United Utilities?
United Utilities on FTSE 100 -yhtiö, joka hallinnoi ja ylläpitää säänneltyjä vesi- ja jätevesiverkkoja Luoteis-Englannissa. United Utilities tukee yli 22 000 työpaikkaa sekä suoraan että epäsuorasti toimitusketjunsa kautta, ja sen tarkoituksena on tarjota hyvää vettä vahvemmalle, vihreämmälle ja terveellisemmälle Luoteismaalle.
United Utilitiesin riskienhallintaohjelman ongelmat ja haasteet
Ennen Risk Ledgerin käyttöönottoa United Utilities luotti perinteiseen TPRM-prosessiin käyttäen laajoja manuaalisia laskentataulukoita. Nämä laskentataulukopohjaiset kyselylomakkeet, jotka koostuivat 300 kontrollikysymyksestä, lähetettiin toimittajille täyttämään. Saatuaan vastaukset takaisin, United Utilities joutui sitten tarkistamaan ne perusteellisesti. Tämä prosessi tehdään tyypillisesti vain kerran toimittajaa kohden, perehdytysprosessin aikana.
Kuten United Utilities Cyber Security Technical Assurance Manager huomautti: ”Olemme käyttäneet Cloud Security Alliance Star Framework Level 1 (CAIQ) toimittajien hallintaa laskentataulukoiden avulla. Vaikka tämä toimi meille hyvin ja lisäsi kypsyyttämme, huomasimme, että oli todella aikaa vievää käydä läpi monia kysymyksiä yksilöllisesti.”
Käytännössä, kuten United Utilitiesin entinen tietoturvariskiapulaispäällikkö todistaa, tämä tarkoitti seuraavaa: ”CAIQ-arvioinnin tarkistaminen kesti keskimäärin noin viikon, ehkä enemmän, koska se oli niin raskas exceliin, ettei siinä ollut sisäänrakennettua automaatiota tai väriasteikkoja.”
Toinen asia oli, että ”aiemmin oli hyvin vaikea nähdä, vastasivatko toimittajat heihin väärin [CAIQ: n kysymyksiin], koska ei ollut automaatiota, jonka avulla voit nähdä, ovatko ne vaatimustenmukaisia vai eivät. Se oli täysin manuaalinen prosessi. Sinun piti tarkistaa jokainen kysymys yksityiskohtaisesti.”
Tämä manuaalinen prosessi ei kuitenkaan aiheuttanut valtavaa rasitusta United Utilitiesin omalle tietoturvatiimille. Se aiheutti myös suuren taakan toimittajilleen, joiden piti käydä läpi satoja erilaisia kyselylomakkeita eri asiakkailta koko ajan.
United Utilitiesin tavoitteet TPRM-ohjelman päivittämiseksi
Jon Wyatt, United Utilities -yrityksen turvallisuusjohtaja, ja hänen tiiminsä päättivät siksi tutkia, mitä toteuttamiskelpoisia vaihtoehtoja oli olemassa kolmannen osapuolen riskienhallintatoimien viemiseksi seuraavalle tasolle. Heidän etsintää ohjasi ennen kaikkea tarve automatisoidulle ratkaisulle, joka yksinkertaistaisi ja nopeuttaisi sen TPRM-ohjelmaa. Sen välttämättömyys noudattaa verkko- ja tietojärjestelmädirektiiviä (NIS-D) oli toinen keskeinen tavoite. United Utilitiesin entinen tietoturvariskiapulaispäällikkö korostaa, että:
NIS-D on vaatimus kaikille olennaisten palveluiden parissa työskenteleville yrityksille. Joten on todella tärkeää, että pystymme osoittamaan, että olemme vakuuttaneet heille [heidän toimittajilleen].
Toinen tavoite oli saada kyky seurata jatkuvasti toimittajien turvallisuusasentoa. Kyberturvallisuuden teknisen varmistuspäällikön sanoin United Utilities käyttämä vanha prosessi ”oli ajankohtainen arviointi, ja halusimme tehdä jatkuvamman arvioinnin”. Perinteisten TPRM-lähestymistapojen, kuten laskentataulukoiden, ongelma on, että se tekee jatkuvasta seurannasta lähes mahdotonta. Parhaimmillaan olisi suoritettava usein ja yhtä tuskallisia manuaalisia tarkistuksia.
Entinen tietoturvariskiapulaispäällikkö muistutti, kuinka United Utilities kuuli ensimmäisen kerran Risk Ledgeristä: ”Meillä on säännöllisiä tapaamisia vesiteollisuuden turvallisuusasiantuntijoiden kanssa, ja mainittiin, että yksi muista yrityksistä käytti jo Risk Ledgeria. He ehdottivat, että ehkä useampi teollisuus käyttää samaa työkalua ajaakseen vesiteollisuuden vaatimustenmukaisemmaksi kokonaisuudessaan ja parempaan toimitusketjun turvallisuuteen, koska käytämme yleensä samoja toimittajia palvelujemme toimittamiseen.
Koska vesiteollisuudella on näin ollen joukko yhteisiä toimittajia, on erittäin järkevää, että yritykset, jotka eivät vielä tee niin, on erittäin järkevää käyttää myös Risk Ledgeria, koska suurimmalla osalla niiden toimittajista on jo alustalla turvallisuusprofiilit, jotka heidän kollegansa ovat jo arvioineet.
Kun kysyttiin, mikä oli vaikuttava tekijä myyntiprosessissa, joka sai United Utilitiesin valitsemaan Risk Ledgerin, United Utilitiesin kyberturvallisuuden tekninen varmennuspäällikkö korosti, että:
Se johtui siitä, että myös muut vesialan yritykset käyttivät sinua, ja koko teollisuutemme siirtämällä kaikki toimittajamme samalle alustalle, ja näiden synergiaetujen saaminen oli erittäin järkevää.
Riskien kirjanpidon arvostaminen
Kun United Utilities aloitti Risk Ledgerin käytön, se saavutti nopeasti merkittäviä ajan- ja tehokkuushyötyjä, mikä vähensi turvallisuusarviointien tarkistamiseen käytettyä aikaa, paransi sitoutumista toimittajiinsa ja paransi edelleen raportointia ja vaatimustenmukaisuutta.
NIS-D: n noudattaminen
Verkko- ja tietojärjestelmädirektiivin (NIS-D) noudattamisen osoittaminen oli ratkaiseva tekijä automatisoitujen TPRM-ratkaisujen tutkimisessa.
Risk Ledgerin käyttöönoton ansiosta United Utilities pystyi nopeasti ja helposti osoittamaan sääntelyviranomaisille, että ne ovat direktiivin mukaisia. Mahdollisuus luokitella toimittajat tunnisteiden ja käytäntöjen avulla, etsiä ja tutkia erityisiä riskejä ja muita kriteerejä, kuten kriittisyysluokituksia, on antanut United Utilities mahdollisuuden luoda räätälöityjä raportteja.
United Utilitiesin entinen tietoturvariskiapulaispäällikkö totesi: ”Saimme korkeatasoiset riskien vaatimustenmukaisuuspisteet kullekin toimittajalle, mikä on hyvä, koska asetus [NIS-D] edellyttää keskeisten palvelujen tarjoajien vahvaa ymmärrystä toimitusketjun riskeistä”
United Utilitiesin TPRM-ohjelman automatisointi
Siirtyminen CAIQ:sta Risk Ledgeriin on myös säästänyt United Utilities huomattavasti aikaa vastausten tarkistamisessa tai toimittajien perehdyttämisessä, ja se on antanut sille tavan keskittää toimittajien varmistustoiminnot ja tiedot yhteen paikkaan. Erityisesti toimittajien vastausten tarkistamiseen kuluvaa aikaa on lyhennetty merkittävästi.
Risk Ledger säästi myös United Utilities aikaa tarkistaa uusia toimittajia, jotka olivat jo alustalla, ja paransi toimittajien prosessia. Kuten United Utilitiesin entinen tietoturvariskiapulaispäällikkö selittää:
Kun vielä käytettiin CAIQ: ta, toimittajien oli valmistettava se riippumatta siitä, olivatko he aiemmin valmistaneet sen toiselle vesiyhtiölle. Risk Ledgerin avulla, jos toimittaja on työskennellyt toisen yrityksen kanssa verkossa, voimme saada pääsyn heidän jo täytettyyn kyselylomakkeeseen nopeasti. Tämä tarkoittaa myös sitä, että toimittajamme ei enää tarvitse täyttää useita kyselylomakkeita, ja se säästää aikaa heidän vastausten odottamisessa.
United Utilitiesin kyberturvallisuuden teknisen varmistuksen päällikkö Risk Ledger korostaa: ”Voimme nyt helposti sukeltaa riskialueille. Vaikka tiimi tarkistaa edelleen jokaisen kysymyksen siltä varalta, että he vastasivat siihen väärin, se on silti paljon nopeampaa. Voimme helposti määrittää vaarassa olevat alueet ja keskittyä niihin ”.
Entinen tietoturvariskiapulaispäällikkö lisää, että:
”Toinen hyvä asia on, että jos aiemmin CAIQ:n kanssa hyväksyimme jonkun, ei ollut keskitettyä tietokantaa, johon voisimme mennä ja sanoa, että joku on hyväksynyt toimittajan, ja tämä on heidän vaatimustenmukaisuuspisteensä.”
Joustavien käytäntöjen asettaminen
Risk Ledgerin käyttö on myös parantanut sitä, miten United Utilities pystyy raportoimaan toimitusketjussaan olevista riskeistä ja vaatimustenmukaisuudesta hallitukselleen ja koko organisaatiolle. Kuten entinen tietoturvariskiapulaispäällikkö huomauttaa: ”Risk Ledgeriin liittymisen jälkeen olemme sisällyttäneet toimitusketjun vaatimustenmukaisuuden tietoturvatulokortteihimme. Näiden tietojen sisällyttäminen antaa hallituksemme ja riskiryhmillemme mahdollisuuden arvioida nopeasti toimitusketjussamme olevat riskit ja ryhtyä asianmukaisiin toimiin, jos toimittaja ei täytä turvallisuusvaatimuksiamme.”
Puhuessaan muista Risk Ledgerin ominaisuuksista ja hyödyllisistä toiminnoista United Utilitiesin Cyber Security Technical Assurance Manager huomautti:
Pidän siitä, että alusta on haettavissa ja että tiedot on helppo hakea. Minulle se on myös yksittäisiä käytäntöjä, joita voimme soveltaa palveluihimme, ja ne ovat meille niin joustavia. Se on luultavasti keskeinen piirre. Kyse on siitä, että politiikat ovat spesifisiä sille, mitä me tarvitsemme niiden olevan, ja se on helppoa. Merkinnät, merkinnät ja metatiedot ovat myös todella hyviä.
Parempi yhteistyö toimittajien kanssa
Viimeisenä mutta ei vähäisimpänä, Risk Ledgerin käyttö on parantanut United Utilitiesin sitoutumista ja suhteita moniin sen toimittajiin. United Utilitiesin Cyber Security Technical Assurance Manager korosti, että vanhan manuaalisen prosessin avulla ”oli melko vähän yrityksiä [toimittajia], jotka kieltäytyivät tekemästä laskentataulukkoa”.
Risk Ledger luotiin erityisesti tukemaan asiakkaiden ja toimittajien parempaa sitoutumista ja tehostamaan yhteistyötä, ja se tekee niin etenkin vähentämällä merkittävästi tavarantoimittajille aiheutuvaa taakkaa perinteisten TPRM-lähestymistapojen seurauksena. Risk Ledger -sovelluksella toimittajien on tehtävä vain yksi arviointi ja pidettävä tämä arvio ajan tasalla. He voivat jakaa tämän arvioinnin kaikkien asiakkaidensa kanssa, mikä vähentää merkittävästi aikaa, jonka heidän on käytettävä asiakkaiden varmennuspyyntöihin.
Risk Ledgerin kansallisen kyberturvallisuuskeskuksen asiantuntijoiden avulla luoma standardoitu arviointikehys on myös toinen etu. United Utilitiesin kyberturvallisuuden teknisen varmuuden johtajan mukaan:
Se tekee keskusteluistamme kaikkien kanssa paljon helpompaa. Arviointikehyksesi avulla voimme väittää, että tämä on standardi, jolla teet toimitusketjun riskienhallinnan. Tämä koskee koko yritystä, ei vain pilviturvallisuutta. Joten se antaa meille mahdollisuuden väittää, ettemme tee tätä. Näin se pitäisi tehdä.
... tulevaisuus
Tähän mennessä saamansa positiivisen kokemuksen perusteella Risk Ledgeristä, United Utilities aikoo nyt laajentaa toimittajien varmennusohjelmansa laajuutta ja integroida Risk Ledgerin täysin suoraan tarjousten hallintaprosessiin. Kuten United Utilitiesin entinen tietoturvariskiapulaispäällikkö huomauttaa: ”Haluamme, että kaikki tarjouksemme käyvät läpi Risk Ledger, on se, että kun toimittaja käy läpi tarjouksen, hänen on joka tapauksessa käytävä läpi varmennusprosessimme, joten ajattelimme, että laittamalla ne ensin läpi prosessin, se säästäisi aikaa heille ja meille niiden tarkistamiselle.”
United Utilities aikoo myös laajentaa käyttäjäkuntaansa, mukaan lukien hankintatiimin jäsenet sekä ympäristötiimi, joka käsittelee erityisesti ESG-vaatimustenmukaisuusvaatimuksia, kuten alan sääntelyviranomainen OFWAT on asettanut, ja joka on yksi Risk Ledgerin tietoturva-alueista, joita se vakuuttaa toimittajia vastaan.
