Suomen kybervarautuminen polkee paikallaan – "Kehitystoimenpiteet suhteessa muuttuvaan turvallisuusympäristöön eivät ole riittäviä"

Uuden selvityksen mukaan kansallinen kyberkypsyyden taso on kehittynyt vain maltillisesti vuodesta 2022, vaikka turvallisuusympäristö on muuttunut rajusti.

Tuore toimialojen kyberkypsyyden selvitys maalaa huolestuttavan kuvan Suomen huoltovarmuuskriittisten yritysten tilanteesta. Vaikka turvallisuustilanne on kiristynyt ja teknologia kehittynyt, yritysten kyky suojautua kyberuhilta ei ole kasvanut samassa suhteessa.

Huoltovarmuuskeskuksen (HVK) Digitaalinen turvallisuus 2030 -ohjelman ohjelmajohtaja Juha Ilkka varoittaa kehityksen hitaudesta.

– Maailma muuttuu, eivätkä kehitystoimenpiteet suhteessa muuttuvaan turvallisuusympäristöön ole riittäviä, Ilkka toteaa.

Selvityksen mukaan kyberkypsyyden keskiarvo yrityksissä on 3,09 asteikolla yhdestä viiteen. Vaikka tulos ylittää niukasti tyydyttävänä pidetyn kolmosen rajan, monet yhteiskunnan toiminnan kannalta kriittiset alat laahaavat perässä.

–  Jos kyberturvallisuuden kehitys ei ota harppauksia eteenpäin, selkeänä riskinä on, että liikumme oikeastaan vain taaksepäin, Ilkka toteaa.

Johto avainasemassa

Selvitys paljastaa merkittävän eron parhaiten pärjäävien ja heikoimpien yritysten välillä.

Korkean kypsyystason yrityksissä kyberturvallisuus on osa liiketoiminnan johtamista ja hallintamalleja seurataan aktiivisesti. Matalan tason organisaatioissa kyberuhkien hallinta nähdään yhä pelkkänä teknisenä tukitoimintona, jota ei ole kytketty tiiviisti yrityksen strategiaan.

Haasteina yritykset listaavat edelleen samat asiat kuin vuonna 2022. Resurssipula ja kyberosaamisen niukkuus jarruttavat kehitystä. Valoa tunnelin päässä tuo kuitenkin se, että yritysjohdon kiinnostus aihetta kohtaan on kasvussa, vaikka se ei vielä tilastoissa näykään. Myös huhtikuussa 2025 voimaan tulleen NIS2-direktiivin odotetaan kiristävän vaatimustasoa jatkossa.