Verkko palveluna pohjoismaisesta näkökulmasta

Infrastruktuurin omistamisesta operatiiviseen hallintaan

Pohjoismaissa toimii yksi maailman digitaalisimmista ja hajautetuimmista infrastruktuuriympäristöistä.
Energiaverkot ulottuvat laajoille ja syrjäisille alueille. Teollinen tuotanto on tiiviisti integroitu pilvipalveluihin. Julkisten palveluiden odotetaan toimivan keskeytyksettä.

Tässä toimintaympäristössä verkkovakaus ei ole IT-mittari. Se on operatiivinen vaatimus.

Samalla verkosta on tullut yksi organisaation altteimmista osista.
Hybridityö, OT- ja IT-ympäristöjen yhdentyminen, pilvipalveluiden käyttöönotto ja kiristyvä sääntely ovat laajentaneet hyökkäyspintaa merkittävästi.

Tietoturvajohtajille (CISO) verkko ei ole enää pelkkä tiedonsiirtokanava.
Se on ohjaus- ja hallintataso.

Siitä huolimatta monet organisaatiot operoivat verkkojaan yhä vanhoilla omistajuusmalleilla, jotka on suunniteltu aivan toisenlaiseen riskimaailmaan.

Network as a Service (NaaS) edustaa rakenteellista muutosta:
siirtymää infrastruktuurikomponenttien hallinnasta operatiivisten lopputulosten hallintaan.

Miksi tämä on ajankohtaista juuri nyt?

Pohjoismaissa sääntelyvaatimukset kasvavat nopeasti.
NIS2-direktiivi nostaa vaatimustasoa riskienhallinnassa, dokumentaatiossa, häiriötilanteiden käsittelyssä ja vastuukysymyksissä – erityisesti välttämättömien ja tärkeiden palveluiden toimijoille.

Tämä muuttaa verkon roolia.

Verkon on nyt tuettava:

• Jatkuvaa käytettävyyttä maantieteellisesti hajautetuissa ympäristöissä
• Tietoturvakontrolleja kaikilla tasoilla
• Auditointia ja jäljitettävyyttä
• Dokumentoitua operatiivista hallintamallia
• Integraatiota SOC- ja incident response ‑prosesseihin

Laitteiden omistaminen ei tarkoita riskien hallintaa.
Operatiivinen hallinta tarkoittaa.

Mitä NaaS todella muuttaa?

Network as a Service nähdään usein vain tilausmallina.
Se on liian kapea tulkinta.

Kypsässä NaaS-mallissa muutos on rakenteellinen:

• Harvoista päivitysprojekteista → jatkuvaan elinkaarenhallintaan
• Hajautetusta vastuusta → selkeään operatiiviseen omistajuuteen
• Reaktiivisesta vikatilanteiden korjauksesta → valvottuihin ja dokumentoituihin operaatioihin

Organisaatio ei enää hallinnoi verkkoinfrastruktuuria omaisuutena.
Se käyttää verkkokyvykkyyttä hallittuna palveluna.

Tämä ero on CISOn näkökulmasta kriittinen.

Vastuu säilyy organisaatiolla.
Mutta operatiivisen monimutkaisuuden ei tarvitse.

Todellisuus Pohjoismaissa: hajautettu, säännelty ja altis

Pohjoismaisilla organisaatioilla on erityisiä rakenteellisia haasteita:

• Pitkät etäisyydet ja etäkohteet
• Riippuvuus kriittisestä infrastruktuurista
• Vaativat ympäristöolosuhteet
• Korkea digitalisaatioaste
• Tiukka EU-sääntelyn noudattaminen
• Rajallinen erikoisosaaminen verkko-operaatioissa

Yhdistelmä kasvattaa operatiivista riskiä.

Tietoturvapoikkeamat hajautetuissa ympäristöissä eivät useimmiten johdu teknologian puutteesta, vaan:

• Heikosta näkyvyydestä
• Epäyhtenäisistä konfiguraatioista
• Epäselvästä vastuunjaosta

Rakenteellinen NaaS-malli vastaa näihin heikkouksiin suoraan.

Network as a Service hajautettuihin ja kriittisiin ympäristöihin

Teollisuudessa, energiasektorilla, julkisella sektorilla, vähittäiskaupassa ja asiakaspalvelualalla NaaS:n arvo perustuu operatiiviseen kurinalaisuuteen.

Moderni malli sisältää:

• Standardoidut ja ennakkovalidoidut arkkitehtuurit
• Keskitetyn valvonnan ja häiriönhallinnan
• Sisäänrakennetut tietoturvakontrollit
• Automaattisen päivitys- ja elinkaarenhallinnan
• Täydellisen dokumentaation ja raportoinnin
• 24/7 operatiivisen valmiuden

Tulos ei ole mukavuus.
Se on pienempi operatiivinen epävarmuus.

Turvallisuus ei ole lisäosa

Pohjoismaiseen sääntelyyn nojaavassa NaaS-mallissa tietoturvan on oltava perustavanlaatuinen osa kokonaisuutta:

• Zero Trust ‑periaatteet
• Mikrosegmentointi
• Salattu yhteydet
• Turvallinen etäkäyttö
• Jatkuva valvonta
• Integraatio SOC- ja MDR‑palveluihin
• Vaatimustenmukaisuus- ja auditointiraportointi

Tietoturva ei parane uusien työkalujen vuoksi, vaan siksi, että hallintamalli muuttuu systemaattiseksi.

Tämä on erityisen relevanttia organisaatioille, jotka valmistautuvat NIS2-direktiivin kansallisiin toimeenpanoihin Norjassa, Ruotsissa, Tanskassa ja Suomessa.

NaaS vs. perinteinen omistajuusmalli

Perinteinen verkon omistajuus edellyttää:

• Suuria investointisyklejä
• Erillisiä päivitysprojekteja
• Sisäistä erikoisosaamista
• Hajautettua häiriönhallintaa
• Manuaalista dokumentointia

Se johtaa usein:

• Konfiguraatioiden ajautumiseen
• Tietoturvan sokeisiin pisteisiin
• Epäyhtenäiseen elinkaarenhallintaan
• Riippuvuuteen yksittäisistä henkilöistä

NaaS-mallissa päivittäinen operatiivinen vastuu siirtyy selkeästi määriteltyyn palvelurakenteeseen.

Organisaatio säilyttää vastuun ja hallinnan – mutta poistaa sirpaleisuuden.

Secure Network Services (SNS) – rakenteellinen malli

NetNordic toteuttaa NaaS-palvelun Secure Network Services (SNS) ‑mallin kautta.
SNS on pohjoismainen, toimittajariippumaton operatiivinen viitekehys.

Se on suunniteltu organisaatioille, joissa käyttökatkot eivät ole hyväksyttäviä.

SNS yhdistää:

• Verkkoratkaisut
• Tietoturvan
• Operatiivisen hallintamallin

yhdeksi kokonaisuudeksi, jossa on:

• Selkeä omistajuus
• Määritellyt SLA:t
• Läpinäkyvä raportointi

Tämä ei ole näkyvyyden ulkoistamista.
Se on hallinnan formalisoimista.

Liiketoimintavaikutus kustannuksia laajemmin

CapExistä OpExiin siirtyminen parantaa ennustettavuutta, mutta todellinen arvo CISOille ja johdolle syntyy muualta:

• Parempi operatiivinen resilienssi
• Pienempi henkilöriski
• Nopeampi reagointi poikkeamiin
• Parempi auditointivalmius
• Selkeä vastuunjako
• Yhdenmukainen tietoturvan toteutus

Pohjoismaisissa hajautetuissa ympäristöissä nämä tekijät ylittävät usein puhtaat kustannusnäkökulmat.

Mitä CISOn tulisi arvioida NaaS-toimittajaa valittaessa?

Kaikki NaaS-ratkaisut eivät tue sääntelyn ja operatiivisen kypsyyden vaatimuksia.

Keskeisiä arviointikriteerejä ovat:

• Toimittajariippumaton arkkitehtuuri
• Täysi läpinäkyvyys lokitietoihin ja konfiguraatioihin
• Määritellyt SLA:t ja 24/7-valvonta
• NIS2-yhteensopiva security-by-design
• Selkeä hallintamalli
• Datan sijainti Pohjoismaissa
• Paikallinen operatiivinen osaaminen

Tavoite ei ole hallinnan poistaminen.
Vaan sen institutionalisoiminen.

Network as a Service pohjoismaisissa olosuhteissa

Pohjoismaissa operatiivinen vakaus on luottamuksen edellytys, oli kyse energiasta, julkisista palveluista tai digitaalisesta kaupankäynnistä.

NaaS ei ole verkon yksinkertaistamista.
Se on verkkotoiminnan linjaamista nykyiseen riskimaisemaan.

Kriittisiä tai hajautettuja ympäristöjä operoiville organisaatioille kysymys ei ole enää siitä, hallitaanko verkkoa.
Vaan siitä, hallitaanko sitä riittävän rakenteellisesti.

NetNordicin NaaS perustuu tähän lähtökohtaan:
Hallinta ensin – monimutkaisuus vasta sen jälkeen.