Porilaisen Knobbi Oy:n perustaja ja toimitusjohtaja Tommi Dahlroos tekee työtä sen eteen, että tiedolla johtamisesta tulisi pk-yrityksissä arkipäivää. Yrityksen tavoitteena on auttaa erityisesti pieniä ja keskisuuria yrityksiä hyödyntämään dataa päätöksenteossa ilman, että niiden tarvitsee palkata omia data-asiantuntijoita.
– Meidän tehtävämme on mahdollistaa tiedolla johtaminen mahdollisimman käytännönläheisesti ja helposti lähestyttävästi. Monella pk-yrityksellä ei ole resursseja rekrytoida data-analyytikoita, joten meidän roolimme on tehdä tämä työ heidän puolestaan ja tarjota tieto palveluna, Dahlroos kertoo.
Knobbi Oy on kehittänyt KnaaS-palvelun (Knowledge as a Service), joka on myös rekisteröity tavaramerkki. Ajatuksena on tuottaa asiakkaille analysoitua ja validoitua dataa. Yritys omistaa tiedon käsittelyputken ja automaatioratkaisut, mutta asiakas omistaa oman datansa ja siitä syntyvät lopputuotteet.
– Ne eivät ole suoraan tekoälyn tuottamia vastauksia, vaan algoritmien validoimaa tietoa. Tätä dataa voidaan kuitenkin yhdistää erilaisiin tekoälyratkaisuihin, jolloin yritykset pystyvät hyödyntämään sitä entistä paremmin päätöksenteossa, Dahlroos kuvailee.
Samalla yritys kehittää tulevaisuuden ratkaisujaan kohti riippumattomampaa teknologia-arkkitehtuuria. Tavoitteena on vähentää riippuvuutta suurista pilvipalveluntarjoajista ja siirtyä vahvemmin EU:n sisällä tuotettuihin työkaluihin.
NIS2 on lisännyt tietoisuutta tietoturvasta
Kyberturvallisuus on noussut yhä näkyvämmäksi osaksi myös Knobbi Oy:n arkea. EU:n NIS2-direktiivin vaikutukset näkyvät Dahlroosin mukaan erityisesti asiakasrajapinnassa.
– Yritykset kyselevät meiltä entistä enemmän tietoturvaan liittyviä asioita. Saamme täytettäväksi erilaisia kyselyitä ja taulukoita, joissa pitää kuvata omaa toimintaamme ja käytäntöjämme, hän kertoo.
Muutos ei kuitenkaan ole pelkkää hallinnollista työtä. Dahlroosin mukaan yritysten suhtautuminen tietoturvaan on muuttunut.
– Yritykset ovat selvästi tietoisempia siitä, miksi tietoturvaa tehdään. Se ei ole enää samanlaista pakon sanelemaa tekemistä kuin vielä 5–10 vuotta sitten, vaan nyt ymmärretään, että sillä on oikeasti merkitystä.
Itsearviointityökalu paljasti kehityskohteita
Knobbi Oy osallistui Kyberturvaa Satakunnan teollisuuteen-hankkeessa kehitetyn kyberturvallisuuden itsearviointityökalun pilotointiin. Ennen pilottia yrityksellä ei ollut kokemusta vastaavista itsearviointityökaluista tai auditoinneista, vaikka tietoturvan lähtötaso oli Dahlroosin mukaan jo hyvä.
– Tietoturva on meillä sisäänrakennettu osa tekemistä. Työmme on tavallaan kerroksittaista, ja turvallisuus on huomioitu eri tasoilla, hän sanoo.
Pilotti osoitti silti, että kehitettävää löytyi.
– On paljon asioita, jotka pitää ottaa huomioon, eikä kaikkea tule ajatelleeksi kaikista näkökulmista. Huomasimme, että joissakin kohdissa olimme ehkä arvioineet tilanteen paremmaksi kuin se todellisuudessa oli.
Dahlroosin mukaan pilotin suurin hyöty oli konkreettisten kehitysaskelten tunnistaminen. Kyberturvallisuudesta tuli yrityksessä säännöllinen keskustelunaihe.
– Meillä on nyt selkeät kehitysstepit kirjattuna, ja tietoturvasta on tullut vähintään kvartaaleittain toistuva keskustelunaihe. Käymme säännöllisesti läpi, mitä on tehty ja mitä kehitetään seuraavaksi.
Ajankohtainen aihe ja paikallinen yhteistyö houkuttelivat mukaan
Knobbi Oy lähti mukaan pilottiin, koska aihe osui oikeaan hetkeen. Yritys halusi lisää ymmärrystä kyberturvallisuudesta omaan toimintaansa.
– Aihe tuli meille juuri oikeaan aikaan. Tarvitsimme lisää ymmärrystä ja oppia kyberturvallisuudesta omaan tekemiseemme, Dahlroos kertoo.
Myös paikallinen yhteistyö Satakunnan ammattikorkeakoulun kanssa painoi vaakakupissa.
– Näimme arvokkaana sen, että pääsemme tekemään yhteistyötä paikallisen oppilaitoksen kanssa. On hyvä, että tällaista kehitystyötä voidaan tehdä myös täällä, eikä aina tarvitse lähteä pääkaupunkiseudulle.
Työkalu toi rakenteen laajaan aiheeseen
Dahlroosin mukaan itsearviointityökalu oli hyödyllinen, vaikka sen käyttö vaati aikaa ja keskittymistä.
– Aikaa siihen meni, mutta se ei johtunut itse työkalusta vaan aiheesta. Kyberturvallisuus on laaja kokonaisuus, jossa on paljon huomioitavaa. Jos joku sanoo, ettei tähän mennyt aikaa, silloin työtä ei todennäköisesti ole tehty kovin perusteellisesti, hän toteaa.
Valmis työkalu kuitenkin nopeutti työtä huomattavasti.
– Jos olisimme lähteneet kokoamaan näitä asioita täysin itse, aikaa olisi kulunut varmasti moninkertaisesti. Työkalu toi selkeän rakenteen ja nopeutti tekemistä.
Käyttöönotto oli suoraviivaista: työkalu otettiin käyttöön ja kysymyksiin alettiin vastata. Alussa osa kysymyksistä vaati tarkempaa pohdintaa, mutta AI-chat-ominaisuus auttoi tulkitsemaan kysymyksiä ja muodostamaan vastauksia.
– Se oli todella hyödyllinen. Kun alkuun päästiin, työskentely sujui jouhevasti.
Kyberturvallisuus ei ole kertaluonteinen projekti
Dahlroos näkee työkalussa myös kehittämisen varaa. Erityisesti tulosten seurattavuus ja vertailtavuus voisivat hänen mukaansa kehittyä.
– Seurattavuus ja tulosten peilaaminen jäivät vielä hieman keskeneräisiksi. Tässä on selkeä kehittämisen paikka.
Hän korostaa, että kyberturvallisuutta pitää tarkastella jatkuvana prosessina.
– Tietoturva ei ole projekti, vaan jatkuva prosessi. Siihen pitää palata säännöllisesti - kuukausittain tai vähintään kvartaaleittain - ja katsoa, mitä on tehty ja mitä vielä pitää kehittää.
Kytee-hankkeen projektipäällikkö Jere Grönman kertoo, että itsearviointityökalu on sittemmin auditoitu kolmannen osapuolen toimesta. Tämä vahvistaa työkalun luotettavuutta ja laatua.
Työkalu avattiin laajemmalle yritysjoukolle
Grönmanin mukaan työkalun kohderyhmä on laajentunut hankkeen aikana.
– Alun perin hankkeessa lähdettiin tekemään kypsyysarviointia erityisesti NIS2-direktiivin piiriin kuuluville yrityksille. Suomessa tällaisia yrityksiä on arviolta noin 2000, ja ne ovat hyvin eri kokoisia, hän kertoo.
Varsinaista minimikokoa yrityksille ei kuitenkaan ole asetettu.
– NIS2 koskettaa monenkokoisia organisaatioita, joten mitään yksiselitteistä alarajaa ei ole. Käytännössä työkalu soveltuu hyvin laajalle joukolle yrityksiä.
Hankkeen aikana työkalun käyttöä päätettiin laajentaa alkuperäistä kohderyhmää laajemmaksi.
– Koska sisältö todettiin hyödylliseksi, työkalu haluttiin avata kaikille yrityksille. Tavoitteena on lisätä yleistä tietoisuutta siitä, mitä vaatimuksia yrityksille voi jatkossa tulla - joko suoraan sääntelystä tai toimitusketjujen kautta.
Erityisesti alihankintaketjut nostavat kyberturvallisuuden merkitystä.
– Yhä useammin pääurakoitsijat edellyttävät myös alihankkijoiltaan tiettyä tasoa kyberturvallisuudessa. Tämänkaltaisen ymmärryksen ja valmiuden kehittämiseksi itsearviointityökalu on rakennettu.
Projektipäällikön mukaan hankkeen keskeinen tavoite oli ennen kaikkea tietoisuuden lisääminen.
– Ideana hankkeessa oli lisätä yleistä ymmärrystä kyberturvallisuudesta. Tämä itsearviointityökalu on yksi konkreettinen tapa edistää sitä: yritykset pääsevät tarkastelemaan omaa tilannettaan ja tunnistamaan kehityskohteita.
Dahlroos allekirjoittaa näkemyksen.
– Kyllä siinä onnistuttiin. Työkalu auttoi meitä hahmottamaan omaa tilannettamme ja toi selkeyttä siihen, mitä asioita pitää kehittää ja miten edetä jatkossa.
Ymmärrys syveni ja yhteinen keskustelu vahvistui
Dahlroosin mukaan työkalu ei tuonut yritykselle niinkään täysin uusia aihealueita, vaan syvensi ymmärrystä kokonaisuudesta.
– Aihealueet olivat meille pääosin tuttuja, mutta se, mikä kirkastui, oli asioiden väliset yhteydet. Ymmärrys siitä, miten eri osa-alueet linkittyvät toisiinsa, vahvistui selvästi.
Pilotin arvokkain anti oli hänen mukaansa se, että kyberturvallisuuteen pysähdyttiin kunnolla yhdessä.
– Ilman tätä pilottia moni asia olisi voinut jäädä taustalle roikkumaan. Nyt tuli oikeasti keskityttyä ja katsottua asioita kunnolla.
Työskentely myös osallisti laajemmin yrityksen henkilöstöä.
– Ei ollut vain minun vastuullani, vaan muutkin ottivat aktiivisesti roolia. Se on tärkeää, koska kyberturvallisuus koskee koko organisaatiota.
Knobbi Oy: n väki on suositellut työkalua useille yhteistyökumppaneilleen ja se on saanut osakseen kiinnostusta.
– Olen pyrkinyt nostamaan tietoisuutta esiin mahdollisimman laajasti, Dahlroos sanoo.
Katse jatkokehitykseen
Dahlroos näkee työkalussa potentiaalia myös jatkokehitykselle. Yksi mahdollinen suunta olisi paikallinen käyttömalli, jossa työkalu voitaisiin ottaa käyttöön yrityksen omassa ympäristössä.
– Jos työkalu olisi yrityksen omassa ympäristössä, siihen voisi liittää historiatietoa, kehityksen seurantaa ja toimenpiteiden hallintaa. Se tukisi paremmin ajatusta siitä, että kyberturvallisuus on jatkuva prosessi, ei kertaluonteinen arviointi.
Grönmanin mukaan ajatus on mahdollinen.
– Työkalun toteuttaminen yrityksen omaan ympäristöön on täysin mahdollista. Se voisi toimia yrityksen sisäisessä verkossa palveluna ilman, että sitä tarvitsee käyttää ulkoisen verkon kautta.
Yhteistyö Satakunnan ammattikorkeakoulun kanssa sai Dahlroosilta kiitosta.
– Yhteistyö oli todella sujuvaa. Jatkossakin teemme mielellämme yhteistyötä, jos vastaavia kehityshankkeita tulee.
Grönman puolestaan kiittää Knobbi Oy:tä pilotointiin osallistumisesta ja palautteesta.
– Saimme erittäin arvokasta palautetta, jota olemme jo vieneet eteenpäin kehitystyössä.
Työkalun kehitys jatkuu mahdollisuuksien mukaan myös tulevaisuudessa.
– Toimintamme on pitkälti hankerahoituksen varassa, ja olemme hakeneet jatkorahoitusta uusien ominaisuuksien kehittämiseen. Suuntaa määrittävät pitkälti myös käyttäjiltä saadut kehitysehdotukset.
Pilotointi osoitti, että kyberturvallisuuden itsearviointityökalu voi parhaimmillaan tehdä laajasta ja vaikeasti hahmotettavasta aiheesta konkreettisen, yhteisen ja jatkuvasti kehitettävän osan yrityksen arkea.
