Vantaan pk-yrityksen sopimusten kilpailutus kyberturvan näkökulmasta: mitä vaatia netti- ja liittymäsopimuksiin?
Vantaan pk-yrityksen sopimusten kilpailutus onnistuu harvoin pelkällä hinnan vertailulla, jos tavoitteena on samalla suojata liiketoiminnan jatkuvuus ja pienentää kyberriskiä. Netti- ja liittymäsopimukset ovat kriittisiä, koska niiden varaan rakentuvat etätyö, pilvipalvelut, maksuliikenne, asiakasrajapinta ja usein myös valvonta- sekä hälytysjärjestelmät. Kun kilpailutus tehdään oikein, SLA, häiriöviestintä, lokit ja tietoturvapalvelut eivät ole “nice to have” -lisäosia, vaan mitattavia vaatimuksia, joiden avulla saat vertailukelpoiset tarjoukset ja vältät tilanteen, jossa halvin sopimus muuttuu kalleimmaksi häiriön tai tietoturvapoikkeaman sattuessa.
Savers Group Oy (Helsinki) auttaa pk-yrityksiä kilpailuttamaan välttämättömyyspalveluja – kuten netti-, puhelinliittymä- ja sähkösopimuksia – hakemalla tarjoukset kaikista Suomessa toimivista yhtiöistä. Tässä artikkelissa keskitymme siihen, miten Vantaalla toimiva pk-yritys voi muotoilla tarjouspyynnön ja vertailukriteerit kyberturvan näkökulmasta niin, että kokonaisriski ja kokonaiskustannus pysyvät tasapainossa.
Miksi kyberturva kuuluu netti- ja liittymäsopimusten kilpailutukseen?
Monessa pk-yrityksessä tietoturva käsitellään erillisenä IT-asiana, mutta netti- ja liittymäsopimuksissa se on konkreettista sopimustekstiä: vasteajat, vastuujako, lokien saatavuus ja se, mitä tapahtuu häiriössä. Jos sopimus ei määrittele velvoitteita ja raportointia, operatiivinen arki nojaa parhaaseen tahtoon – ja se on heikko lähtökohta silloin, kun jokainen seisokkiminutti maksaa.
Kyberturvariski ei myöskään ole vain “hyökkäys internetistä”. Se voi olla palvelunestotilanne, runkoverkon häiriö, väärin tehty reititysmuutos, SIM-vaihto, laitehallinnan puutteet tai se, ettei yrityksellä ole poikkeustilanteessa pääsyä riittäviin lokitietoihin. Kun nämä kirjataan sopimukseen, saat toimittajalta selkeät lupaukset ja voit pisteyttää toimittajia samalla logiikalla kuin hintaa.
Jos kilpailutus tehdään kokonaisuutena, kannattaa samalla varmistaa, että perusasiat ovat kunnossa myös talous- ja hallintomielessä: laskutusmalli, kustannuspaikat, ALV-käsittely ja sopimuskauden jaksotukset. Tästä näkökulmasta hyödyllinen tausta-artikkeli on pk-yrityksen sopimusten kilpailutus taloushallinnon näkökulmasta, jonka periaatteet toimivat hyvin myös tele- ja nettipalveluissa.
Kun tavoitteena on jatkuvuus, kilpailutuksessa kannattaa sanoittaa riskit euroiksi: mitä maksaa tunti ilman yhteyttä, mitä maksaa myyntikatko, ja mikä on etätyön keskeytymisen vaikutus. Nämä luvut auttavat perustelemaan, miksi esimerkiksi parempi SLA tai varayhteys voi olla edullinen, vaikka kuukausihinta olisi hieman korkeampi.
Vantaan pk-yrityksen sopimusten kilpailutus: SLA-vaatimukset, jotka vaikuttavat oikeasti
SLA (Service Level Agreement) on monelle vain prosenttiluku “käytettävyydestä”, mutta kyberturvan ja jatkuvuuden kannalta tärkeintä on se, miten SLA on määritelty, mitä se mittaa ja mitä hyvitykset sekä seuraamukset käytännössä tarkoittavat. Vaatimuksissa kannattaa erottaa vähintään kolme tasoa: (1) yhteyden tekninen käytettävyys, (2) vianrajaus ja korjaus (MTTR), sekä (3) viestintä ja raportointi poikkeustilanteessa.
Pyydä tarjouspyyntöön selkeästi, että toimittaja ilmoittaa: tavoitekäytettävyys (%), mittausjakso (kuukausi/kvartaali), mittaustapa (kuka mittaa), huoltoikkunat (mikä lasketaan suunnitelluksi katkokseksi) ja palvelutasoluokat (esim. P1 kriittinen, P2 merkittävä). Ilman näitä tietoja kaksi “99,9 %” -lupausta eivät ole vertailukelpoisia. Lisäksi vaadi kirjallisesti, että SLA koskee myös toimittajan hallinnoimia päätelaitteita (reititin, palomuuri, 5G-reititin), jos ne sisältyvät palveluun.
Käytännön kilpailutuksessa on usein järkevää rakentaa vertailu siten, että “minimitaso” on pakollinen (hyväksy/ hylkää) ja sen päälle tulee pisteytettävät parannukset. Jos pohdit kuitu vs. 5G -ratkaisuja, katso myös tämä tausta-artikkeli: nettiyhteyden kilpailutus toimistolle – kuitu vs. 5G. Kun tekniikka on valittu, SLA:sta tehdään mitattava sopimusehto.
SLA:n “pienet tekstit”, joihin kannattaa vaatia tarkennus
Usein epäselvyys syntyy siitä, mihin asti toimittajan vastuu ulottuu. Vaatimuksiin kannattaa kirjata, että toimittaja vastaa vianrajaamisesta “verkosta asiakkaan päätelaitteeseen asti” ja että yhteyden toimivuus todennetaan sovitulla menetelmällä (esim. toimittajan monitorointi + asiakkaan mittapiste). Samalla on syytä määritellä, miten toimitaan, jos vika onkin sisäverkossa: saako yritys ostaa lisäpalveluna nopean onsite-tuen ja millä vasteajoilla.
Häiriöviestintä ja incident-toimintamalli: vaadi selkeä rytmi ja kanavat
Kyber- ja verkkohäiriöissä ongelma ei ole aina se, ettei vikaa korjata – vaan se, ettei yritys tiedä, mitä tapahtuu ja kauanko kestää. Siksi häiriöviestintä on sopimusasia. Tarjouspyyntöön kannattaa vaatia erikseen häiriöviestinnän SLA: ensitiedote tietyn ajan sisällä (esim. 15–30 min kriittisessä häiriössä), päivitysrytmi (esim. 60 min välein), ja loppuraportti (RCA, root cause analysis) sovitussa ajassa.
Vantaalaisessa pk-yrityksessä päätöksenteko voi olla ketterää, mutta poikkeustilanteessa roolien pitää silti olla selvät: kuka toimittajalla on tekninen yhteyshenkilö, kuka on palvelupäällikkö, ja miten eskalointi tehdään 24/7. Vaatimuksiin kannattaa lisätä myös se, että häiriöviestintä toimitetaan usealla kanavalla (sähköposti + tekstiviesti + status-sivu) ja että viestit kohdistetaan eri rooleille (IT, johto, talous, operatiiviset esihenkilöt) eri sisällöillä.
Jos yrityksellä on useita toimipisteitä tai tarve varayhteyksille, aiheeseen liittyy myös keskittämisen ja hajauttamisen valinta. Taustaksi kannattaa lukea monitoimipisteisen pk-yrityksen liittymä- ja nettiliittymästrategia, koska häiriöviestinnän ja incident-mallin laatu korostuu, kun sopimuksia on useita tai toimittajia on enemmän kuin yksi.
Hyvä käytäntö on vaatia toimittajalta myös “tilannekuvaviesti”: mitä palveluja häiriö koskee (internet, IP-tele, DNS, mobiilidata), mikä on arvioitu vaikutus (katko/hidastuminen/packet loss), mitä kiertokeinoja suositellaan (varayhteyden aktivointi, reitityksen muutos, priorisointi) ja mikä on seuraava päivitysaika. Näillä tiedoilla pk-yritys voi tehdä päätöksiä: ohjataanko asiakaspalvelua, siirretäänkö myynti mobiilivarayhteyteen tai priorisoidaanko kriittiset järjestelmät.
Lokit, valvonta ja todentaminen: mitä vaatia, jotta poikkeamat selviävät?
Lokit ovat kyberturvan kivijalka: ilman niitä et usein pysty todentamaan, mitä tapahtui, milloin tapahtui ja mihin vaikutti. Netti- ja liittymäsopimuksissa lokivaatimukset jäävät helposti mainitsematta, koska ajatellaan niiden kuuluvan sisäverkkoon tai erilliseen SOC-palveluun. Todellisuudessa toimittajalla on usein kriittistä tietoa esimerkiksi DDoS-tilanteista, reitityspoikkeamista, liittymien SIM-vaihdoista ja hallintaliittymien käytöstä.
Tarjouspyyntöön kannattaa kirjata vähintään: (1) mitä lokityyppejä on saatavilla (palomuuri, reititin, NAT, DHCP, AAA, hallintakäyttö), (2) säilytysaika (esim. 90–180 päivää, tai pidempi jos toimiala vaatii), (3) toimitustapa (API/SIEM-integraatio, säännölliset raportit, ad hoc -pyynnöt), ja (4) vasteaika lokipyyntöihin poikkeamatilanteessa. Lisäksi on hyvä vaatia, että toimittaja kykenee erittelemään tapahtumat palvelukohtaisesti ja toimipisteittäin, jotta analyysi ei jää “yleistasolle”.
Jos yrityksesi haluaa rakentaa kilpailutukseen kunnollisen perustan, kannattaa ensin varmistaa, että nykyinen sopimusdata ja käyttöympäristön kuvaus ovat kasassa. Tämä helpottaa myös lokivaatimusten määrittelyä: mitä pitää seurata ja missä. Hyvä lähtökohta on sopimusdatan “siivous” ennen kilpailutusta, koska ilman yhtenäistä näkymää kustannuksiin ja palveluihin myös tietoturvavertailu jää helposti epäselväksi.
SIM-vaihto, tunnistaminen ja hallintalokit liittymissä
Liittymäsopimuksissa tietoturvan kannalta kriittinen kohta on identiteetti: kuka saa tilata muutoksia, tehdä SIM-vaihtoja tai avata roamingia. Vaatimuksiin kannattaa sisällyttää vahva tunnistautuminen hallintaportaalissa, roolipohjaiset oikeudet sekä lokitus kaikista hallinnollisista toimenpiteistä (kuka, mitä, milloin). Lisäksi on hyvä vaatia, että riskialttiit muutokset vaativat kaksivaiheisen hyväksynnän tai erillisen varmennuksen.
Tietoturvapalvelut netti- ja liittymäsopimuksiin: mitä kannattaa sisällyttää ja miten pisteyttää?
Kyberturvaa voi ostaa “pakettina” (esim. hallittu palomuuri, DNS-suojaus, DDoS-suojaus, päätelaitehallinta), mutta kilpailutuksen onnistuminen riippuu siitä, että vaatimukset ovat selkeitä ja vertailu on läpinäkyvä. Suositeltavaa on jakaa vaatimukset kolmeen koriin: pakolliset minimit, lisäpisteitä tuottavat ominaisuudet ja erikseen hinnoiteltavat optiot. Näin yritys välttää sekä ylivakuuttamisen että liian ohuen turvatason.
Nettiyhteyksissä pk-yritykselle tyypillisiä hyödyllisiä palveluja ovat hallittu palomuuri (tai palomuuri laitevuokralla), DDoS-suojaus (etenkin jos yrityksellä on julkisia palveluja), turvallinen DNS (phishing-/malware-suodatus), sekä etätyön turvallinen pääsy (VPN/Zero Trust -ratkaisu toimittajan mallin mukaan). Liittymissä korostuvat MDM (mobiililaitehallinta), eSIM-hallinta, SIM-vaihtojen suojaus ja roamingin hallintasäännöt. Jos kaipaat käytännönläheistä näkökulmaa teleoperaattorin vaihtoprojektin kilpailutukseen, katso teleoperaattorin vaihtoprojekti – miten kilpailutat palvelun, etkä vain hintaa.
Arvioinnissa kannattaa muistaa, että tietoturvapalveluissa “ominaisuus” ei vielä takaa laatua: tärkeää on käyttöönoton tuki, jatkuva ylläpito, raportointi ja se, miten poikkeamiin reagoidaan. Tässä kohtaa tarjouspyyntöön on hyvä lisätä vaatimus säännöllisestä turvallisuusraportista (esim. kuukausi/kvartaali), jossa näkyvät estot, havainnot, trendit ja suositellut toimenpiteet. Lisäksi vaadi selkeät vastuut: mitä toimittaja tekee automaattisesti, ja mitä jää asiakkaan hyväksyttäväksi.
Kun kokonaisuutta pisteytetään, pelkkä “tietoturvapaketti kyllä/ei” ei riitä. Hyvä malli on pisteyttää erikseen (1) suojaustaso (mitä suojataan), (2) operointi (kuka valvoo ja milloin), (3) raportointi ja lokit (mitä saat käsiisi), sekä (4) käyttöönoton ja muutosten hallinta (kuinka nopeasti muutokset tehdään, mitä ne maksavat). Näin vertailet todellista kyvykkyyttä etkä mainospuhetta.
Vertailumalli ja tarjouspyyntö: miten saat vertailukelpoiset tarjoukset (ja vältät piilokustannukset)?
Kyberturvan huomioiva kilpailutus kaatuu usein siihen, että tarjoukset eivät ole vertailukelpoisia: toisessa on reititin, toisessa ei; toisessa DDoS sisältyy, toisessa se on optio; yhdessä lokit ovat saatavilla, toisessa vain pyynnöstä ja lisämaksulla. Siksi tarjouspyyntö kannattaa rakentaa “pakotetusti”: toimittaja täyttää saman palvelukuvauksen ja hinnoittelutaulukon, jolloin vertailu on mekaanista eikä tulkinnanvaraista.
Hyödyllinen käytännön työkalu on jakaa tarjouspyyntö neljään osaan: (1) nykytilakuvaus (toimipisteet, käyttäjämäärät, kriittiset sovellukset, etätyö, julkiset palvelut), (2) tekniset vaatimukset (yhteystyyppi, varayhteys, päätelaite, IP-osoitteet), (3) kyberturvavaatimukset (SLA, häiriöviestintä, lokit, palvelut), ja (4) kaupalliset ehdot (laskutus, indeksit, irtisanominen, muutostyöt, projektit). Jos haluat samalla varmistaa, ettei sopimukseen jää “lukkoja”, suosittelen lukemaan sopimusten kilpailutus ilman lukkoja.
Alla on esimerkkitaulukko, jolla saat kyberturvan näkyväksi vertailussa. Ideana on, että hinta ei ole ainoa numeerinen arvo – myös vasteajat ja lokien saatavuus muutetaan pisteiksi.
| Vaatimus / kriteeri | Minimitaso (pakollinen) | Pisteytys (esimerkki) |
|---|---|---|
| SLA-käytettävyys | Määritelty mittaustapa ja huoltoikkunat | Lisäpisteet paremmasta käytettävyydestä ja selkeämmästä mittauksesta |
| Korjausvaste (P1) | Selkeä ensivaste ja eskalointi 24/7 | Lisäpisteet lyhyemmästä ensivasteesta ja nopeammasta korjauksesta |
| Häiriöviestintä | Ensitiedote + päivitysrytmi + RCA | Lisäpisteet monikanavaisesta viestinnästä ja valmiista tilannekuvapohjista |
| Lokit ja säilytys | Määritelty lokityyppi ja säilytysaika | Lisäpisteet SIEM-integraatiosta ja pidemmästä säilytyksestä |
| Tietoturvapalvelut | Hallittu perussuojaus (sovittu taso) | Lisäpisteet DDoS/DNS-suojasta, valvonnasta ja raportoinnista |
Piilokustannukset syntyvät usein muutoksista ja projekteista: IP-osoitteiden lisäys, reititysmuutokset, varayhteyden aktivointi, numeronsiirrot, laitteiden vaihdot, käyttöönoton onsite-työ ja erikoisraportit. Siksi tarjouspyyntöön kannattaa vaatia hinnasto “tavanomaisille muutoksille” ja selkeä kuvaus siitä, mikä kuuluu kuukausihintaan. Jos haluat syventää sopimusehtojen kustannuslogiikkaa, 12 sopimusehtoa, joista kustannukset oikeasti syntyvät on hyvä lukulista ennen neuvotteluja.
Varmista myös GDPR ja tiedonluovutuksen rajat kilpailutuksessa
Kun pyydät tarjouksia, mukana liikkuu tietoa käyttäjämääristä, käyttöpaikoista ja joskus jopa yksilöiviä tietoja. Pidä tarjouspyyntö “tarpeellisuusperiaatteessa”: anna riittävästi tietoa hinnoitteluun ja mitoitukseen, mutta vältä turhaa henkilötietojen luovuttamista. Jos haluat varmistaa käytännön rajat, katso Sopimusten kilpailutus ja GDPR.
Lopuksi: kyberturva ei tarkoita, että aina ostetaan “maksimi”. Se tarkoittaa, että riskit näkyvät sopimuksessa ja tarjouksissa samalla tavalla kuin eurot. Kun Vantaan pk-yrityksen sopimusten kilpailutus tehdään tällä mallilla, saat päätöksenteon tueksi läpinäkyvän vertailun: mitä saat, millä vasteella, millä raporteilla ja millä vastuilla – ja paljonko se maksaa.
Jos kaipaat apua tarjouspyynnön rakentamiseen, toimittajien vertailuun ja neuvottelujen läpivientiin, Savers Group Oy voi kilpailuttaa yrityksesi netti- ja liittymäsopimukset kustannustehokkaasti niin, että myös tietoturva ja jatkuvuus ovat mukana vertailumallissa. Yleistä kyberturvan ja tietosuojan taustaa voi hahmottaa myös esimerkiksi Information security -lähteestä.
Haluatko kilpailutuksen, jossa kyberturva ei jää sivuun?
Savers Group Oy kilpailuttaa netti- ja liittymäsopimukset niin, että SLA, häiriöviestintä ja lokit ovat mukana vertailussa – ilman turhaa ylivakuuttamista.
