Suomalaiset ICT-päättäjät suhtautuvat kyberturvallisuuteen entistä vakavammin. DNA:n tuoreen tietoturvatutkimuksen mukaan jopa 70 prosenttia heistä on huolissaan Suomessa toimivien yritysten kyberresilienssistä. Vaikka tämä voi kuulostaa huolestuttavalta, on totuus toinen: luku on osoitus siitä, että yritykset ovat tietoisia uhista. Mutta mitkä asiat kyberturvallisuuden saralla huolestuttavat? Entä millä tasolla on yritysten varautuminen?
”On äärimmäisen hyvä asia, että yritykset ovat huolissaan kyberturvallisuudesta. Se tarkoittaa, että ymmärrämme kyberuhat sekä laajemman turvallisuustilanteen. Kun tilannetietoisuus on kohdillaan, se tarkoittaa, että viranomaisten viestit ovat menneet yrityksille perille”, kuvailee Kaapro Kanto, DNA:n yritysliiketoiminnan verkko- ja pilvipalveluiden liiketoimintajohtaja.
Viime vuoden tapaan tutkimuksessa nousi esille suomalaisyrityksiä selvästi huolestuttava uhkatekijä: valtiolliset toimijat.
”Tämänhetkinen geopoliittinen tilanne pitää varautumisen tason korkeana: varautumista harjoitellaan, kyberturvallisuuteen investoidaan ja geopoliittinen uhkakuva tiedostetaan. Kun Euroopassa käydään sotaa, on selvää, että myös kyberkentällä sivuvaikutukset ovat mahdollisia.”
Tutkimuksessa valtiollisten toimijoiden lisäksi suurimmiksi huolenaiheiksi nousivat tietomurrot, tietovuodot ja yritysvakoilu. Suuret organisaatiot tunnistavat ja hallitsevat riskit jo melko kypsästi, mutta pk-yrityksissä resurssien rajallisuus vaikeuttaa priorisointia.
”Isoissa yrityksissä kyberturvaprosessit ovat kehittyneitä, mutta pienemmissä toimijoissa kipuillaan edelleen sen kanssa, miten riskit pitäisi tunnistaa ja hallita. Toimitusketjujen kautta nämä haavoittuvuudet voivat asettaa myös suuremmat organisaatiot alttiimmiksi riskeille.”
Käytännön harjoittelussa parantamisen varaa, mutta velvoitteet ymmärretään
Kyberresilienssin kannalta tutkimuksen huolestuttavimpia havaintoja on, että vain reilu neljännes yrityksistä harjoittelee kyberkriisitilanteita käytännössä.
”Paperilla suunnitelmat voivat olla hyviä, mutta ilman harjoittelua ne jäävät happotestaamatta. Tämä aukko näkyy erityisesti hybridityön arjessa: kun työ kulkee kodin, toimiston ja julkisten tilojen välillä, riski tietovuodoista ja väärinkäytöksistä kasvaa. Kyse ei ole pelkästään yksittäisten yritysten ongelmasta, vaan Suomen kokonaisturvallisuuden näkökulmasta vakavasta haasteesta.”
Kannon mukaan kuitenkin vuonna 2024 voimaan astunut NIS2-direktiivi ja kansallinen kyberturvallisuuslaki ovat nostaneet tietoisuutta yritysten tietoturvavelvoitteista. Hänen mukaansa regulaatio toimii kyberturvallisuuden kirittäjänä: Se pakottaa organisaatiot miettimään kyberturvaa entistä useammalta taholta ja tekemään konkreettisia toimia.
Kumppanit auttavat hellittämään osaajapulaa
Terveen huolen lisäksi suomalaisyritysten tilannetietoisuus näkyy investointeina. Investoinnit tietoturvaan ovat kasvaneet yhtäjaksoisesti viiden vuoden ajan, vaikka nyt kasvu onkin näyttänyt hidastumisen merkkejä. Kyse ei kuitenkaan ole säästölinjasta, vaan kehityksen luonnollisista sykleistä.
”Ensin investoidaan vahvasti teknologioihin ja tietoturvatilanteen parantamiseen, ja sen jälkeen siirrytään käyttöönottovaiheeseen. Kun alkuinvestoinnit on tehty, pitää huolehtia, että niistä saadaan hyöty irti ja teknologiat sekä kumppanuudet otetaan täysipainoisesti käyttöön”, Kanto selittää.
Yksi asia, johon moni yritys olisi valmis investoimaan ovat kokeneet tietoturvaosaajat – mutta heitä ei niin vain löydykään. Osaajapula koetaan valtavaksi haasteeksi kaikenkokoisissa yrityksissä.
”Markkinassa tarve osaajille on suurempi kuin mitä koulutus pystyy tuottamaan. Tämän lisäksi haetaan erityisesti jo kaiken kokeneita ammattilaisia, kun taas koulusta valmistuvat nuoret eivät heti täytä resurssitarvetta. Meneillään on jatkuva viive: valmistuneilla kestää ennen kuin he saavat teorian käytäntöön, ja samalla ammattilaisten tarve kasvaa koko ajan.”
Tätä ongelmaa taklataan tutkimuksen mukaan kumppaneiden avulla: 94 % vastaajista ilmoitti hyödyntävänsä kumppaneiden tukea tietoturvaan ja kyberturvallisuuteen liittyen joko pääasiassa tai jonkin verran.
Päättäjien tietoturvatietoisuus on kypsällä tasolla
Vain noin neljännes tutkimukseen vastanneista kokee pystyvänsä varautumaan täysin kyberuhkiin. Mitä se tarkoittaa suomalaisyritysten kokonaisturvallisuuden kannalta?
”Kun mietitään kyberuhkiin varautumista, niin mitä enemmän on tietoinen ja mitä enemmän ymmärtää tämänhetkistä tilannetta, sitä varmempi on yleensä siitä, ettei koskaan voi olla tarpeeksi varautunut. Kääntäisin tuloksen mieluummin ympäri: jopa kolme neljästä tietää, että kyberturvallisuudessa on kehitettävää. Se tarkoittaa, että leijonan osa yrityksistä on tietoturvan suhteen riittävän kypsällä tasolla, jotta he tietävät, että varautumista tulee vielä kehittää.”
Kannon mukaan tutkimuksen tulokset kertovat realistisen kuvan kyberturvallisuudesta kansallisella tasolla. Kyberturvaa kehitetään systemaattisesti ja samalla ymmärretään, että uhkakenttä muuttuu koko ajan. Entä millaisia muutoksia kyberturvakenttään on odotettavissa seuraavien viiden vuoden aikana?
”Nyt jo paljon pinnalla ollut tekoäly tulee varmasti olemaan suurin muutos, eikä kukaan vielä osaa ennustaa kaikkia tapoja, joilla se tulee vaikuttamaan meihin. Tämän lisäksi meihin tulee vaikuttamaan regulatiivisen kentän yhtenäistyminen, kun EU-maiden rajat kyberturvassa madaltuvat ja voimme alkaa rakentamaan yhdessä Euroopan laajuista kybersuojaa. Kyberturvallisuus ei ole vain tekninen kysymys, vaan osa kokonaisturvallisuutta.”
Lue DNA:n tuore tietoturvatutkimus ja selvitä, missä yritykset menevät kyberturvan kentällä!
