Suomalaisyritysten ICT-päättäjistä jopa 70 % on huolissaan kyberturvallisuuden tasosta. Huoli ei ole tuulesta temmattu: kyberrikollisuus kasvaa jatkuvasti ja samalla sen menetelmät kehittyvät. Peli ei kuitenkaan ole menetetty, sillä tietoturvaa voi aina parantaa – ja sitä voi harjoitella.
DNA:n elokuussa 2025 teettämä tietoturvatutkimus peilaa suomalaisyritysten mielenmaisemaa tietoturvan tärkeydestä. Tutkimus kertoo, että investoinnit tietoturvaan ovat kasvaneet jo viisi vuotta putkeen, mutta nyt kasvuvauhti on hieman loivenemassa. Tietoturva ei ole enää pelkkä kustannus, vaan siitä on tullut liiketoiminnan perusedellytys. Alihankintaketjut ja asiakkaat vaativat kumppaneiltaan tiettyä tietoturvan tasoa.
”Tietoturva ei ole vain tekninen haaste, vaan keskeinen osa vastuullista ja kestävää toimintaa. Jokaisella organisaatiolla on velvollisuus parantaa tietoturvavalmiuksiaan ja tärkeintä on ymmärtää tietoturvan merkitys oman liiketoiminnan mahdollistajana ja kilpailuetuna. Vaikka organisaatiolla olisi taloudelliset resurssit tietoturvan kehittämiseen, yksikään organisaatio ei ole immuuni jatkuvasti kehittyville tietoturvauhkille”, summaa DNA:n kyberturvallisuusliiketoiminnan johtaja Toni Vartiainen.
Tietomurrot, tietovuodot ja yritysvakoilu nousivat tehdyn tutkimuksen suurimmiksi huolenaiheiksi. Nämä trendit ovat Vartiaisen mukaan jatkuneet jo pitkään, ja uhat ovat pitkälti samoja kuin aikaisemmin.
”Myös rikollisten motiivit ovat pysyneet samoina: raha, tietojen varastaminen ja vakoilu ovat päällimmäisiä syitä. Venäjä koetaan edelleen suurimmaksi uhkatekijäksi, mutta huolen paino on hieman laskenut. Oma tulkintani on, että median laaja uutisointi kyberrikoksista on normalisoinut suhtautumistamme häiriöihin, joita Venäjä on toimillaan aiheuttanut.”
Tietoturva on liiketoiminnan perusedellytys
Tietoturva nähdään yhä useammin kilpailuetuna. Monet suuret toimijat vaativat alihankkijoiltaan tietoturvan olevan kunnossa, usein NIS2-vaatimusten mukaisesti. Jos tietoturvaan ei nyt panosta, voi menettää mahdollisuuden osallistua tarjouskilpailuihin, jolloin tietoturva vaikuttaa suoraan liiketoimintaan.
”Myös uudet säädökset, kuten NIS2-direktiivi, AI Act ja CER-direktiivi asettavat entistä tiukempia vaatimuksia organisaatioille. Kyberturvallisuus ei ole enää vapaaehtoista, vaan se on lakisääteinen velvollisuus, josta vastuun kantaa viime kädessä yrityksen ylin johto. Säädöstenkin ulkopuolella tietoturvaa kannattaa aina parantaa ja kehittää omaa osaamista jatkuvasti.”
Uhkakenttä muuttuu nopeasti ja resurssit ovat usein rajalliset. Erityisesti kokeneista, senioritason tietoturvaosaajista on valtava pula. Siksi liki kaikki yritykset turvautuvat kumppaneihin – oma tiimi ei riitä, ja tietoturva on usein järkevämpää hankkia palveluna.
”Harvassa yrityksessä tietoturva on ydinliiketoimintaa. Oman tiimin rakentaminen on kallista ja henkilöresursseja vaativaa. Suurin pula on kokeneista tietoturvaosaajista. Yritykset haluavat heitä, mutta usein osaaminen löytyy usein helpommin ja edullisemmin kumppaneilta. Olennaisinta on valita omalle organisaatiolle oikeat kumppanit, jotka ymmärtävät liiketoimintaasi ja kehittävät tietoturvaa jatkuvasti.”
Vain neljännes yrityksistä harjoittelee kyberkriisitilanteita. Tämä on merkittävä riski, sillä kriisin hetkellä pitäisi olla selvää, kuka vastaa ja mistä. Minimivaatimus on kriisinhallintasuunnitelma, mutta parhaat yritykset harjoittelevat myös käytännössä. Yritykset, jotka harjoittelevat kriisitilanteita, ovat yleisesti muutenkin pidemmällä oman kyberresilienssin toteuttamisessa.
”Tutkimuksen mukaan panostukset kohdistuvat eniten henkilöstön tietoturvatietoisuuden parantamiseen. Asiantuntija korostaa jatkuvia mikrokoulutuksia ja kalastelutestejä, jotka pitävät asiat mielessä arjessa. Kun koulutus on jatkuvaa, virhealttius pienenee.”
Oikealla tiellä
Myös vain noin neljännes yrityksistä kokee pystyvänsä täysin varautumaan kyberuhkiin. Samaan aikaan uhkakenttä muuttuu koko ajan, ja uusia hyökkäystapoja syntyy jatkuvasti.
”Yrityksillä on rajalliset budjetit, joten kaikkea ei voida eikä kannata laittaa kuntoon kerralla. Tärkeintä on, että yritykset tiedostavat ympäristönsä vahvuudet ja heikkoudet ja tekevät jatkuvaa kehitystyötä. Kyberresilienssi rakennetaan pala palalta.”
Haasteista huolimatta Vartiainen korostaa Suomen vahvuutta: viranomaisten, operaattorien ja palveluntarjoajien välistä avointa yhteistyötä. Hänen mukaansa tätä mallia kopioidaan jo muuallakin Euroopassa. Suomalainen kyberyhteisö on tiivis, mutta yhteisöllisyys ja auttamisen kulttuuri ovat suuria voimavaroja.
”Suomen kyberturvallisuuden suurimmat haasteet liittyvät osaajapulaan, resursseihin ja nopeaan uhkakentän muutokseen. Mutta samalla kehitys kulkee oikeaan suuntaan: investoinnit kasvavat, tietoturva nähdään kilpailuetuna ja yhteistyö on vahvaa. Kyberturvallisuudesta on syytä olla huolissaan, mutta meillä on myös kaikki eväät olla vahvoilla sen suhteen.”
Tutustu tietoturvapalveluihimme ja lataa käyttöösi maksuttomat tietoturvaoppaat pk-yrityksille ja suurille organisaatioille!
