Artikkeli on osa The Kyberist -projektia, joka on toteutettu yhteistyössä Accenturen kanssa. Projektin seuraavat osat ilmestyvät syksyllä – pysy siis kuulolla!

Tämän päivän kyberturvallisuus ei ole pelkästään kyberrikollisuuden torjuntaa, vaan myös varautumista laajemmin valtiolliseen vaikuttamiseen. Suomessa ollaan siirtymässä kyberturvallisuuden osalta vielä askel pidemmälle: pelkästään kyberhyökkäyksiin varautumisen sijaan tarvitsemme myös aktiivista toimintaa, jossa jopa oman pelotteen kehittämisellä voi olla paikkansa. Aktiivisesta toiminnasta Suomi on saanut oppeja Venäjän hyökkäyssodasta Ukrainaan. Suomessa kyberturvallisuuden koordinointivastuu on valtiollisilla toimijoilla, mutta käytännön kyberturvallisuudesta huolehtivat pitkälti yritykset.

Tämän päivän turvallisuusajattelu kattaa yhä laajemmin kyberympäristön, sillä kyberuhat ovat lisääntyneet. “Muutos alkoi jo koronapandemian aikana, kun ihmiset siirtyivät etätöihin ja tietoturvaan alettiin panostamaan enemmän”, sanoo Tietoevry Tech Services -yksikön turvallisuusjohtaja Jari Pirhonen. Pirhonen toimii myös Huoltovarmuusorganisaation Digipoolin johtoryhmän jäsenenä ja ICT-ryhmän puheenjohtajana. Maailma on muuttunut epävarmemmaksi ja jännitteisemmäksi koronapandemian ja Venäjän hyökkäyssodan myötä. Uusia uhkia ilmenee Pirhosen mukaan jatkuvasti, ja yritykset joutuvat varautumaan niihin kehittämällä tietoturvaansa.

Kybersodan keinot eivät ole korvanneet kineettisiä eli perinteisiä sotilaallisia hyökkäyksiä, vaan niitä käytetään toistensa tukena.  Puolustusministeriössä palveleva vanhempi osastoesiupseeri Tuomo Rusila, jonka vastuualueena on kyberpuolustus, näkee, että ennen Venäjän täysimittaisen hyökkäyssodan alkua läntisessä keskustelussa korostuivat odotukset kybersodankäynnin vaikutuksista. Puhuttiin jopa “Pearl Harbourista”, ratkaisevista kybersodankäynnin keinoista, joilla voitaisiin päästä suoraan haluttuihin tavoitteisiin sodan näkökulmasta. Venäjällä kybersodankäynti on koko ajan nähty osana laaja-alaista tulenkäytön repertuaaria ja osana informaatiovaikuttamista, Rusila kertoo. Venäjä on käyttänyt Ukrainaa vastaan hybridi- ja kyberhyökkäyksiä. Ne eivät kuitenkaan johtaneet Venäjän haluamiin tuloksiin, ja niinpä se aloitti hyökkäyssodan perinteisin menetelmin.

Vaikka Venäjä ei yltänyt kaikkiin tavoitteisiinsa ennen hyökkäyssodan alkua, se on osittain onnistunut kyberoperaatioissa sodan aikana. Venäjä on muun muassa onnistunut lamauttamaan teleoperaattoreiden toimintaa hetkellisesti. Pirhonen mainitsee, että kyberhyökkäysten kohteena on ollut nimenomaan Ukrainan kriittinen infrastruktuuri. Yritysten rooli on tässä Pirhosen mukaan keskeinen myös Suomessa, jossa 80 prosenttia kriittisestä infrastruktuurista on yksityisten yritysten hallussa. 

Rusilan mukaan Suomi tunnistaa yritysten roolin kriittisen infrastruktuurin kyberpuolustuksessa ja pyrkii tukemaan niitä tiedolla, osaamisella sekä valtion omilla kyvyillä. “Olisi epäreilua antaa kriittistä infrastruktuuria ylläpitäville yrityksille velvoitteita hoitaa tietoturvaa vain omilla resursseillaan, jos ne joutuvat taistelemaan valtiollisia toimijoita vastaan”, sanoo Rusila.

Pirhosen mukaan yritysten isona huolenaiheena sodan yhteydessä ovat olleet tietoa tuhoavat haittaohjelmat. Ukrainassa on nähty myös tietojen kalastelua, palvelunestohyökkäyksiä ja sosiaalista manipulointia. Pirhosen mielestä näihin voi kuitenkin varautua samalla tavalla kuin kyberrikollisuuteen varaudutaan. Sodan aikana on nähty myös hacktivistien eli poliittisesti motivoituneiden hakkereiden toimintaa. 

Suomessa kybervaikuttaminen on jo ennen Ukrainan sotaa tunnistettu osaksi sodankäynnin keinovalikoimaa. Rusilan mukaan Venäjä käyttää keinovalikoimaansa laaja-alaisesti, ja maan toiminta kehittyy koko ajan. Rusila näkee, ettei Venäjän kiinnostus juuri tällä hetkellä kohdistu erityisesti Suomeen. Tilanne voi kuitenkin muuttua, kun sota Ukrainassa päättyy tai jäätyy.

Rusilan mukaan kybertiedustelu on kasvussa, vaikka kybertoiminta Suomen suuntaan on viime aikoina yleisesti ottaen jopa vähentynyt sodan alkuvaiheista. Tämä johtuu henkilötiedustelun mahdollisuuksien heikkenemisestä, joka on puolestaan seurausta pakotteista, Venäjän diplomaattikunnan karkotuksista sekä koronapandemiasta.

Riippuvuuksista eroon pääseminen on kybermaailmassa haastavaa, muttei mahdotonta

Lisääntyneet kyberuhat ja geopoliittinen tilanne ovat saaneet yritykset pohtimaan riippuvuuksiaan valtioihin, erityisesti Yhdysvaltoihin. Pirhosen mukaan myös Euroopassa on nyt ymmärretty toisen valtion hallinnon mahdollisesti hyvinkin suuri vaikutusvalta siihen, miten tietojärjestelmät meillä toimivat. Äskettäisessä Digipoolin työpajassa suomalaiset organisaatiot totesivatkin, että riippuvuuksiin tulee suhtautua vakavasti ja niitä tulee harkiten lieventää.

Rusilan mukaan on tärkeä tunnistaa toimitusketjuriskit ja varautua niihin. “Riskit painottuvat edelleen Kiinaan, mutta nyt on muitakin vivahteita marraskuun  2024 jälkeen lännen suunnasta”, muotoilee Rusila. Ulkomaisten toimittajien palvelujen ja tuotteiden osalta täytyy pohtia myös toiminta- ja käyttövarmuutta. “Jos ratkaisu ei ole kansallinen, onko se aina meidän käytössä, kun sitä tarvitaan, vai tuleeko jotain rajoituksia sen käyttöön?” pohtii Rusila ja viittaa Ukrainassa nähtyihin esimerkkeihin, kuten Elon Muskin Starlink -sateliittihankkeeseen liittyviin esiin nousseisiin riskeihin palvelun jatkumisen varmistamisessa.

Pirhosen mukaan strateginen autonomia on kuvaava termi tasapainoilussa riippuvuuksien ja suvereniteetin välillä. Strategisessa autonomiassa on kyse niin toimintakyvyn  varmistamisesta strategisesti tärkeillä aloilla kuin liiallisten riippuvuuksien välttämisestä erityisesti  toisten valtioiden tuottamista palveluista. Tällä hetkellä Euroopassa haetaan tasapainoa täydellisen autonomian ja ulkomaisiin kumppaneihin tukeutumisen välillä sekä oikeasuhtaista reaktiota uhkatasoon vastaamisessa.

EU tulee tulevaisuudessa tekemään töitä tämän mahdollistamiseksi. Riippuvuuksien vähentäminen on Pirhosen mukaan erittäin haastavaa, mutta mahdollista. “Kertarysäyksellä tehty muutos on täysin mahdoton, mutta riippuvuuksien vähentäminen niissä kriittisimmissä järjestelmissä on kyllä mahdollista, vaikka sekään ei tapahdu kauhean nopeasti.”

Suomalaisen kyberturvallisuuden uusi aikakausi

“Ei pitäisi missään nimessä olla tyytyväisiä kansallisesti nykytilaan, vaan täytyy jatkuvasti ja kriittisesti arvioida tämän hetken tilaa suhteessa toimintaympäristön ja uhkatoimijoiden muutokseen”, Rusila sanoo. Puutteet kansallisessa kyberturvallisuudessa ja -puolustuksessa on hänen mukaansa tunnistettu jo ennen Venäjän hyökkäyssotaa Ukrainassa tai viimeistään sen aikana. Rusila nostaa valtiollisen kyberturvallisuuden ja -puolustuksen osalta suurimmiksi haasteiksi puutteet säädöspohjassa, kankean ja siiloutuneen viranomaisyhteistyön, esteet tiedonjakamisessa sekä riittämättömät resurssit.

Uhkatilanteen muutos ja kansalliset puutteet on huomioitu keskeisissä kansallisissa selonteoissa ja strategioissa. Yhteistoimintaa Nato-kumppaneiden kanssa on tiivistetty, samoin Suomen viranomaisten välistä yhteistyötä. Tiiviimpää yhteistyötä rajoittaa kuitenkin lainsäädäntö, joka asettaa esteitä tiedon jakamiselle. Rusila huomauttaa, että Ukrainassa oli esimerkiksi tiedon jakamisen suhteen samankaltaisia ongelmia, mutta rajoitteet poistettiin, kun alkoi sota. 

Rusila näkee ongelmia myös kyberturvallisuuden ja -puolustuksen strategisessa lähestymistavassa. Toiminta on reaktiivista ja sen koordinaatiossa on puutteita. Rusila kuvaa tilannetta tulipalona: kun se syttyy ja sitä sammutetaan, löytyy tapa koordinoida toimintaa. “Mutta pitäisi myös miettiä paloturvallisuutta ja pyromaanien toiminnan aktiivista estämistä.”

Tarve kehittää strategista kulttuuria aktiiviseksi on tunnistettu viime vuonna hyväksytyssä Suomen kyberturvallisuusstrategiassa. Strategian mukaan Suomi varautuu aktiiviseen kyberpuolustukseen sekä vastustajan attribuoinnin eli avoimeen nimeämiseen ja vastatoimien mahdollisuuteen. Uusi kyberturvallisuusstrategia tuo mukanaan uudenlaisen kansallisen kyberpuolustuksen ja -turvallisuuden mallin. Vanhassa mallissa keskityttiin järjestelmien puolustamiseen ja ytimessä oli kyberturvallisuus, tietoturvallisuus ja kyberresilienssi. Uusi lähestyminen tuo tähän “sipulimalliin” mukanaan muita kerroksia, kuten aktiiviset kyberpuolustustoimet ja kyberdiplomatia- ja politiikkatoimet. Uuden lähestymistavan tarkoituksena on sovittaa niitä yhteen kokonaisuutena erityisesti valtiolliseen toimintaan vastaamiseksi.

Rusilan mukaan Suomesta uupuu vielä toimintamalli, jossa valtiolliset toimijat ja yksityinen sektori vastaisivat yhteistyöllä ja koordinoidusti toisen valtion vihamieliseen kybertoimintaan. Vastauksia tähänkin pyrkii antamaan valmisteilla oleva Suomen kyberpuolustusdoktriini. Doktriinityö pyrkii myös määrittelemään valtiollisen suvereniteetin kyberpuolustuksen näkökulmasta. Se on lisäksi osa Suomen kyberpelotetta. Rusila huomauttaa, että pienen valtion pelote perustuu aina kokonaispelotteeseen ja nykyään myös liittolaisten, eli Naton, luomaan pelotteeseen.

Suomen kyberpuolustuksen vahvuudet ovat Rusilan mukaan seurausta maamme pienestä koosta. Keskeiset yksityisen ja julkisen sektorin toimijat tuntevat toisensa ja toimivat yhdessä luottamukseen ja vapaaehtoisuuteen perustuvissa verkostoissa. Vahvuutena hän pitää myös Suomen kyberresilienssiä, eli kykyä sietää eritasoisia kyberhäiriöitä, olivat ne sitten teknisiä taikka poliittisia. Siinä auttavat hyvä tietoturva, selkeät prosessit, johtaminen sekä tietynlainen kansallinen stoalainen mielenlaatu. “Jos oma aktiivinen kyberpuolustus menee vihkoon, resilienssi suojaa. Siihen se ei kuitenkaan saa jäädä”, Rusila sanoo.

Mitä säännellympi ala, sitä parempi kyberkypsyys

Kaikki yritykset eivät ole yhtä hyvin varautuneita kasvaviin kyberuhkiin. Pirhosen mukaan yritysten kyberkypsyysraportin kärkisijoilta löytyvät ne toimialat, joita säännellään eniten. Näitä ovat teleliikenne-, ICT- ja ohjelmisto- sekä finanssialat. Tämä kertoo siitä, että tiukempi sääntely ohjaa yrityksiä panostamaan järjestelmällisemmin kyberturvaan.

Pirhosen mukaan yrityksen kyberturvallisuutta parantaa erityisesti riskilähtöinen toimintatapa, jossa kehitystyö perustuu tunnistettuihin riskeihin. Lisäksi kyberturvaa tukee se, että yritys käyttää tunnettuja standardeja tai viitekehyksiä ohjenuorina. Johdon tuki on myös ratkaisevaa – tärkeää on, että tuki ei jää vain puheiden tasolle, vaan näkyy konkreettisesti resursseissa ja priorisoinnissa. Kuten Pirhonen toteaa Yhdysvaltain presidentti Joe Bidenin sanoneen: ”Don’t tell me what you value, show me your budget, and I’ll tell you what you value.”

Viime aikoina Suomen lainsäädäntöön on tullut EU:n kautta uusia lakeja ja säädöksiä, joiden tarkoituksena on ohjata yrityksiä panostamaan kyberturvallisuuteen. Huhtikuussa 2025 voimaan tulleella kyberturvallisuuslailla toimeenpannaan EU:n kyberturvallisuusdirektiiviä, NIS2-direktiiviä. Kyberturvalain mukaan yritysten on hallittava riskejä suhteessa omaan kokoonsa, toimintaansa ja uhkakuviinsa. Pirhonen nostaa esiin myös uuden CER-direktiivin, jonka tavoitteena on parantaa yhteiskunnan kannalta keskeisten toimijoiden häiriönsietokykyä. 

Tulossa oleva kyberkestävyyssäädös on Pirhosen mukaan myös tärkeä edistysaskel, sillä se keskittyy tuotteiden ja sovellusten kyberturvallisuuteen. Pirhosen ja Rusilan mukaan on hyvä, että regulaatiota tulee lisää. Toisaalta taas vapaaehtoisuuteen perustuvan toiminnan, kuten varautumisen ja tietoturvatyön, väheneminen nähtiin regulaation lisäämisen mahdollisena ja ei-toivottuna seurauksena. Pirhonen korostaakin, että velvoittavuuden ja toimivan vapaaehtoisen toiminnan välille täytyy löytää toimiva kompromissi.

Yhteistyö ja jokaisen henkilön kyberosaaminen ovat avainasemassa 

Pirhosen mukaan julkisen ja yksityisen sektorin välinen vuoropuhelu toimii hyvin ja tämä kannustaakin yrityksiä vapaaehtoiseen varautumiseen ja tietoturvatyöhön. Hyvä esimerkki toimivasta yhteistyöstä on uuden kyberturvallisuusstrategian toimeenpanosuunnitelma. Sen etenemistä sovitetaan yhteen keskeisten yritysten kanssa säännöllisesti, jolloin yritykset voivat antaa palautetta tilanteesta ja tarpeesta mahdollisiin suunnanmuutoksiin. Rusila nostaa esiin myös kyberturvallisuusharjoitukset keskeisenä yritysten ja julkisen välisen yhteistoiminnan foorumina. Harjoituksissa valmistellaan ja toimeenpannaan suunnitelmia sekä luodaan suhteita verkostomaisesti.

Rusilan mukaan Suomesta kuitenkin puuttuu elinkeinoelämän ja valtion yhteistä operatiivista toimintaa. Esimerkkinä hän nimeää Ison-Britannian, jossa kyberturvayhtiöt ja valtiolliset toimijat toteuttavat samoissa tiloissa yhteisiä kyberoperaatioita. Näin yritykset saavat samalla havaintoja, kokemuksia ja ideoita omaan tuotekehitykseensä, mutta ovat myös tuomassa omaa tietoa ja osaamistaan viranomaisten käyttöön. Kyberturvallisuusstrategiassa on Rusilan mukaan tunnistettu, että Suomessakin pitäisi mennä tähän yhteisen toiminnan suuntaan, eikä pelkästään hallita poikkeamia.   

Julkisen ja yksityisen sektorin toimijoiden lisäksi Pirhonen näkee yksilön olevan avainasemassa kyberturvallisuudessa. “Kyberturvallisuus on liian tärkeä asia jätettäväksi vain asiantuntijoiden tehtäväksi. Jokaisella työntekijällä on rooli ja vastuu tietoturvallisuuden toteutumisessa arjen työssä.” Onnistuminen kyberturvallisuudessa edellyttää Pirhosen mukaan yksilöltä tietoturvaosaamista, halua toimia vastuullisesti ja työympäristön tarjoamia tietoturvallisia puitteita.

Henkilöstön osaamisen ylläpitäminen ja kehittäminen ovat kyberturvallisuuden turvaamisen näkökulmasta erittäin tärkeitä. Samalla se on reserviläisarmeijan osaamisen vahvistamista, selittää Rusila. “Siitä kumpuaa reservin kybervoima.”