Kyberriskit uhkaavat digitalisaatio- ja tuottavuuskehitystä
Kyberturvallisuuspalveluja tarjoavan DNV Cyberin äskettäin julkaiseman selvityksen mukaan kriittisillä infrastruktuurialoilla toimivista johtajista lähes puolet eli 47 prosenttia hyväksyisi sen, että tärkeiden järjestelmien digitalisaatiokehitystä jarrutettaisiin tai jopa pysäytettäisiin, mikäli se on tarpeen riskien vähentämiseksi.
DNV:n tutkimuksen mukaan Suomessa ollaan muita Pohjoismaita valmiimpia hyväksymään rajoituksia digitaalisiin mukavuuksiin ja jopa hidastamaan teknologista kehitystä kansallisen turvallisuuden vahvistamiseksi.
Esimerkiksi kuusi suomalaista kymmenestä eli 61 prosenttia kertoo olevansa valmis hyväksymään viranomaisten laajemman pääsyn henkilötietoihin, rajoituksia mobiiliverkon käyttöön tai muita vastaavia toimenpiteitä, jos niillä voidaan ehkäistä tai torjua kyberhyökkäyksiä kriittistä infrastruktuuria vastaan.
DNV:n Suomen kyberkestävyyttä koskeva tutkimus on osa laajempaa pohjoismaista kriittisen infrastruktuurin toipumiskykyä kartoittavaa tutkimusohjelmaa. Suomeen keskittyvä osuus pohjautuu 200 suomalaisen kriittisen infrastruktuurin alalla, muun muassa energia‑, liikenne‑, vesi‑, terveydenhuolto‑ ja rahoitusalalla, työskentelevän johtajatason henkilön vastauksiin. Osa vastaajista on syvähaastateltu. Näkemyksiä on kysytty myös 500 suomalaiselta yksityishenkilöltä.
Luottamus heikentynyt
Päätelmä on, että luottamus kansalliseen kybersuojaukseen on varovaisen huolestunutta. Huolimatta Suomen vahvasta varautumiskulttuurista vain 50 prosenttia suomalaisista uskoo, että kriittisen infrastruktuurin kybersuojaus on hyväksyttävällä tasolla.
Kyberhyökkäykset lisääntyvät ja arkipäiväistyvät: 65 prosenttia kriittisen infrastruktuurin johtajista raportoi, että hyökkäykset ovat lisääntyneen viime vuosina.
Hyökkääjillä on nopeusylivoima. DNV:n kyberturvallisuusratkaisujen johtaja Kim Westerlund muistuttaa, että tekoäly on tuonut hyökkääjälle kolme kyvykkyyttä: nopeuden, skaalattavuuden ja näkymättömyyden. ”Kymmenessä tunnissa hyökkääjät kykenevät muuttamaan julkistetun haavoittuvuuden toimivaksi hyökkäystyökaluksi, ja vauhdin arvioidaan vain kiihtyvän”, Westerlund toteaa.
”Vastaavasti teollisuudessa puolustajalta toimivan ja resilienssivarman järjestelmän rakentamiseen testauksineen kuluu ainakin viisi kuukautta”, hän jatkaa.
Odotukset ja kyvykkyydet
Samalla kun tekoäly nopeuttaa kyberhyökkäyksiä ja laajentaa niiden mittakaavaa, tutkimus osoittaa, että kyvykkyyksien ja odotusten välillä on kasvava kuilu. Vain noin puolet tutkimukseen haastatelluista yritysjohtajista kokee olevansa hyvin varautunut tilanteeseen, jossa hakkerit hyödyntävät tekoälyä.
Samaan aikaan kansalaisten odotukset kriittisten palvelujen toimivuudelle ovat korkealla.
”Moni odottaa kriittisten palvelujen palautuvan merkittävän häiriön jälkeen jo muutamassa tunnissa”, Westerlund sanoo. Kuitenkin vain noin joka kolmas suomalainen uskoo selviytyvänsä, jos keskeiset digitaaliset palvelut olisivat pois käytöstä 48 tuntia.
Sääntelyyn luotetaan
Sääntelyyn luotetaan, mutta jämäkämpää ohjausta kaivataan. Johtajista 63 prosenttia kannattaa tiukempaa sääntelyä tai valvontaa. Lähes saman verran kannattaa uusia, yrityksiä koskevia toimia kyberriskien hallitsemiseksi. Lähes 80 prosenttia kaipaa viranomaisilta nykyistä selkeämpää näkemystä siitä, mikä on yritysten rooli kansallisen kyberresilienssin tukemisessa.
Halukkuus painaa jarrua kumpuaa maamme pitkäaikaisesta taipumuksesta painottaa kansallista turvallisuutta. Suomi tunnetaan kokonaisturvallisuuden mallistaan, mikä tarkoittaa, että yhteiskunnan elintärkeät toiminnot turvataan kaikissa olosuhteissa valtion, yritysten, järjestöjen ja kansalaisten välisen koordinoidun vastuunjaon kautta.
Hyökkäysten määrä lisääntynyt
DNV Cyberin kansallisen turvallisuuden johtaja Valtteri Peltomäki kertoo, että huolta yhtiössä herätti se, että 65 prosenttia johtajista kertoo hyökkäysten määrän lisääntyneen ja että eri toimialoilla tapahtuu jatkuvasti ja toistuvasti matalan intensiteetin hyökkäyksiä.
”Tilanteen vakavuutta kuvaa se, että puolet asiantuntijoista jopa hyväksyisi digitalisaatiokehityksen hidastamisen tai jopa pysäyttämisen kyberturvallisuuden lisäämiseksi. Toisin sanoen, tuottavuuden kehittäminen ollaan valmiita heittämään nurkkaan. Kysymys kuuluu, kumpi on tärkeämpää tuttavuuden kehitys vai kyberturvallinen maailma”, Peltomäki toteaa.
”Yritykset eivät luota toimitusketjuihinsa. Vastaajien mielestä tiukemmat eurooppalaiset säännökset lisäisivät tätä luottamusta, koska tällöin voitaisiin olettaa, että joku kolmas taho on varmistanut toimitusketjussa mukana olevien yritysten resilienssitason riittävyyden. Ulkoinen voima on näppärä lisävoima tämän luomiseen”, Peltomäki toteaa.
Peltomäen mukaan kokonaisturvallisuuden malli on toiminut Suomessa hyvin juuri siksi, että se perustuu jaettuun vastuuseen. ”Mallin vahvistaminen edellyttää nykyistä selkeämpää omistajuutta, parempaa ymmärrystä digitaalisista riippuvuuksista ja tiiviimpää koordinaatiota viranomaisten, kriittisen infrastruktuurin toimijoiden sekä kansalaisten välillä”, Peltomäki pohtii. ”Digitaalinen monimutkaisuus itsessään ei syö resilienssiä, mutta epäselvyys kyberriskien jaetusta vastuusta sen sijaan syö”, hän päättelee.
Vastuunjakoon kaivataan selkeyttä
Samoilla linjoilla on DNV Cyberin toimitusjohtaja Annika Nevaste – digitalisaatiota ei voi yksinkertaisesti vain kytkeä pois päältä. Kriittisten palveluiden toimivuus riippuu digitaalisista järjestelmistä. ”Kyse ei ole siitä, hidastammeko digitalisaatiota, vaan siitä, kuinka hyvin ymmärrämme siihen liittyvät riskit – ja kuinka hyvin maamme on varautunut hallitsemaan niitä”, Nevaste toteaa.
Kyselyiden mukaan kyberriskien vastuukysymysten selkeyttäminen on välttämätöntä, jotta kokonaisturvallisuuden malli voi menestyä digitaalisuudesta riippuvaisessa yhteiskunnassa. Numeroin selitettynä: Yli kaksi kolmasosaa (77 %) kriittisen infrastruktuurin johtajista toteaa, että viranomaisten tulisi selventää, millaista roolia heidän yrityksiltään odotetaan. Suurin osa (78 %) katsoo, että tarvitaan lisää ponnisteluja, jotta kansalaiset ymmärtäisivät paremmin roolinsa kansallisen kyberresilienssin tukemisessa.
Vain neljännes väestöstä (24 %) sanoo ymmärtävänsä hyvin, ketkä ja mitkä organisaatiot vastaavat Suomen kriittisen infrastruktuurin suojelemisesta kyberhyökkäyksiltä
Teksti Matti Valli
Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2026.