Tietoturva-ammattilaisten rakentama — tietoturva-ammattilaisille

Olemme suomalaisia tietoturva-ammattilaisia. Tehdessämme NIS2:n vaatimaa toimittaja- ja hyökkäyspinta-arviointia törmäsimme aina samaan seinään: uskottava työkalu oli rakennettu Fortune-500-budjeteille, nojasi kyselylomakkeisiin ja kerran vuodessa otettuihin tilannekuviin, asui yhdysvaltalaisessa pilvessä ja puhui vain englantia. Kevyet vaihtoehdot olivat tuskin kertaluontoista skannausta enempää. Mikään ei yhdistänyt jatkuvaa, automatisoitua ja todisteisiin nojaavaa seurantaa aidosti eurooppalaiseen perustaan — joten rakensimme sen omaan käyttöömme ja päätimme jakaa sen.

Toimittajariskityökalut kasautuvat kahteen ääripäähän. Toisessa globaalit rating- ja TPRM-alustat: tehokkaita, mutta hinnoiteltu suuryrityksille, kyselypainotteisia ja yhden kirjainarvosanan ympärille rakennettuja. Toisessa pistemäiset työkalut, jotka skannaavat kerran ja pysähtyvät. Eurooppalaiselle yritykselle, jonka on osoitettava jatkuvaa huolellisuutta toimitusketjustaan — omalla kielellään ja data EU:ssa — kumpikaan ei istu. norppa.io on tarkoituksella se puuttuva keskitie: automatisoitu päivittäisseuranta, yli 100 tarkistusta per toimittaja, kiristysohjelma- ja dark web -altistus tarkistettuna muutaman tunnin välein, todiste jokaisen löydöksen takana läpinäkymättömän pisteen sijaan, kahdeksan kieltä, EU-isännöinti Suomessa ja Saksassa, ja hinta per toimittaja — niin että kahdenkymmenen hengen yritys toimii samalla alustalla kuin monikansallinen.

Rakennamme norppa.io:n niin kuin haluaisimme työkalun rakennettavan meille: todisteet hypen edelle, ei pelolla myyntiä, ja rehellisesti siitä mitä skannaus voi ja ei voi kertoa. Jokainen löydös tulee todisteineen ja selkokielisellä perustelulla siitä miksi se on NIS2:n kannalta merkityksellinen — ei lukuna joka on uskottava sellaisenaan.