Turvallisuustilanne nostaa rimaa kybervarautumisessa − mikä on tilanne eri toimialoilla?
Huoltovarmuuskeskus selvittää jälleen kybervarautumisen tilannetta eri toimialoilla. Vuoden 2025 lopussa valmistuva selvitys pureutuu huoltovarmuuskriittisten toimialojen kypsyyteen vastata kyberuhkiin. Onko kehitystä tapahtunut verrattuna aiempiin selvityksiin, ja miten turvallisuustilanteen muutokset vaikuttavat yritysten varautumiseen?
Kyberkypsyysselvitys 2025 on tärkeä askel kohti kokonaisvaltaista ja iskunkestävää Suomen digitaalista turvallisuutta. Se tarjoaa yrityksille ja viranomaisille ajantasaista tietoa, jonka avulla voidaan suunnata toimenpiteitä ja investointeja oikeisiin kohteisiin ja vahvistaa yhteiskunnan toimivuutta myös kriisi- ja häiriötilanteissa.
Vastaavat selvitykset on toteutettu vuosina 2020 ja 2022. Ne ovat antaneet arvokasta pohjatietoa kehitystyölle. Huoltovarmuuskeskuksen johtava varautumisasiantuntija Juha Ilkka kertoo, että aiempien selvitysten perusteella on suunnattu kehitystyötä muun muassa Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmassa.
”Ohjelmistoturvallisuuden projekti käynnistettiin viime vuonna”, Ilkka kertoo.
Myös esimerkiksi satamien kyberturvallisuutta on lähdetty kehittämään selvitysten pohjalta.
Accenturen Elina Hedeman oli mukana vuoden 2022 selvityksen toteutuksessa. Hän kertoo, että vuosien 2020 ja 2022 välillä kehityskohteet pysyivät pitkälti samoina.
”Keskeisiksi kehityskohteiksi molemmissa selvityksissä nousivat yritysten henkilöstön kyberturvallisuusosaaminen ja -tietoisuus, turvallinen ohjelmistokehitys sekä tilannekuvan kehittäminen. Erityisesti ohjelmistohankintojen yhteydessä tulisi arvioida kumppaneiden tietoturvakäytäntöjä ja kehitysmenetelmiä”, Hedeman korostaa.
Vaikka organisaatiot saavat runsaasti uhkatietoa esimerkiksi Traficomin Kyberturvallisuuskeskuksen ylläpitämissä toimialakohtaisista ISAC-verkostoista, tiedon hyödyntämisessä oman organisaation varautumisen tueksi oli vielä kehitettävää.
Sääntely vauhdittaa varautumista
Maailmanlaajuinen turvallisuustilanne, erityisesti Venäjän hyökkäyssota Ukrainassa, on tuonut uusia paineita kybervarautumiselle. Nykyaikaista sotaa ei käydä vain fyysisessä ympäristössä, vaan yhtä lailla myös kyber- ja informaatioympäristössä. Myös laaja-alaiseen vaikuttamiseen on syytä olla varautunut.
”Huoltovarmuuskeskuksen strategian taustalla on kolme eri skenaariota, joiden varalta pyrimme varautumaan: sotilaallinen uhka, laaja-alaisen vaikuttamisen lisääntyminen ja globaalit taloudelliset häiriöt”, Juha Ilkka sanoo.
Yritysten varautumista vauhdittaa myös lisääntyvä sääntely. Erityisesti NIS2-direktiivi, jonka tavoitteena on varmistaa EU:n yhteinen kyberturvallisuustaso ja sen myötä voimaan tullut kansallinen kyberturvallisuuslainsäädäntö, asettaa merkittäviä uusia vaatimuksia huoltovarmuuskriittisille toimialoille. Elina Hedemanin mukaan tämä näkyy jo vuoden 2025 selvityksen alkuvaiheen havainnoissa.
”Yrityksissä on tällä hetkellä käynnissä tosi paljon kehitystoimia NIS2-direktiiviin liittyen”, Hedeman kertoo.
Direktiivi tuo mukanaan myös mahdollisuuden valvovien viranomaisten tarkastuksiin ja sanktioihin, mikä on vauhdittanut kehitystä erityisesti pienemmissä organisaatioissa. Hedeman kuitenkin muistuttaa, että tärkeintä on nähdä lain vaatimukset mahdollisuutena pitkäjänteiseen kyberturvallisuuden kehittämiseen, ei kertaluontoisena projektina.
Huoltovarmuuskeskus varmistaa varautumista ääritilanteisiin
Ilkka nostaa esiin myös kriittisen digitaalisen infrastruktuurin, erityisesti merenalaisten tietoliikenneyhteyksien, korjauskyvyn.
”Huoltovarmuuskeskus pyrkii toimenpiteillään varmistamaan korjauskapasiteetin eri tilanteissa”, Ilkka sanoo.
Huoltovarmuuskeskuksen roolina on varmistaa, että yhteydet toimivat myös äärimmäisissä tilanteissa, myös silloin kun regulaatio ja elinkeinoelämän oma varautuminen eivät riitä.
Osaamisen kehittäminen on niin ikään kriittinen teema. Huoltovarmuuskeskus järjestää kansallisia harjoituksia, kuten laajaa häiriötilannetta simuloivan TIETO-harjoituksen, sekä toimialakohtaisia harjoituksia.
Myös yhteistyö oppilaitosten, kuten Jyväskylän ammattikorkeakoulun ja Jyväskylän yliopiston sekä muiden toimijoiden, kuten Taloushallintoliiton, kanssa on keskeistä osaamisen kehittämisessä.
Kyberkypsyysselvitys näyttää heikkoudet ja vahvuudet
Vuoden 2025 kyberkypsyysselvityksen yritysarvioinneista on nyt toteutettu noin puolet eli 75 kappaletta. Lopullisen kansallisen raportin arvioidaan valmistuvan kuluvan vuoden lopulla.
Selvitykseen osallistuvat yritykset saavat luottamuksellisen raportin omasta kypsyydestään, vahvuuksistaan, heikkouksistaan ja riskeistään sekä kehityssuosituksista. Lisäksi ne saavat toimialakohtaisen raportin, jonka avulla ne voivat verrata omaa suoriutumistaan oman toimialansa keskiarvoon.
Huoltovarmuuskeskus hyödyntää tuloksia oman toimintansa suunnittelussa ja toimialakohtaisten sektoreiden ja poolien kehitystyössä. Ilkka kannustaa yrityksiä aktiiviseen osallistumiseen.
”Selvityksestä saa hyödyllistä tietoa oman varautumisen vahvuuksista, heikkouksista ja riskeistä sekä suositukset kehitystoimenpiteiksi”, hän korostaa.
Aiemmissa selvityksissä toimialojen välillä näkyi selkeitä eroja kypsyystasossa. Tiukemmin säännellyt teleliikenne ja finanssiala olivat kärjessä. Satamat ja merenkulku olivat peränpitäjinä, ja näiden kybervarautumiseen on aiemman raportin perusteella panostettu. Uuden raportin valmistuttua nähdään, millaista kehitystä eri toimialoilla on tapahtunut ja mihin kehitysresursseja kannattaa jatkossa suunnata.
Teksti: Jarmo Holopainen I Kuva: Colourbox
