Lights on a road
Uutinen

Toimialojen kyberkypsyys 2022 -selvitys kertoo: digitaalinen turvallisuus on hyvällä perustasolla

Digipoolin valtakunnallinen selvitys eri toimialojen ja niillä toimivien yritysten kyberturvallisuuden tasosta on julkaistu 14.3.2023. Uutiset ovat hyviä. Toimialojen kyberselvitys 2022:n mukaan suomalaisten yritysten ja organisaatioiden kyberkypsyys on hyvällä perustasolla (3,00/5). Hajontaa toimialojen ja organisaatioiden välillä kuitenkin on. Lisäksi uhka- ja riskikentässä on havaittavissa merkittäviä muutoksia – uhkatilanteet ja niiden torjunta onkin lisääntynyt lähes kaikissa organisaatioissa.

Toimialojen kyberkypsyys 2022 -selvitys vahvistaa, että viimeaikaiset muutokset turvallisuusympäristössä ovat nostaneet kyberturvallisuuden kotimaisten yritysten johtoryhmien agendalle. Geopoliittiset muutokset ja näkyvä uutisointi kyberhyökkäyksistä lisäävät tietoisuutta aiheesta yrityksissä vain hetkellisesti. Selvitys kertoo, ettei pysyvää kehitystä tai parannusta ei synny ilman aiheen aktiivista johtamista ja raportointia.

– Olemme Digipoolin verkostossa pari vuotta nyt puhuneet siitä, että kyberturvallisuus on yrityksissä nähtävä strategisen tason asiana. Se on vastuullisuusasia, mutta aivan yhtä lailla myös henkilöstön kehitysaihe. Lisäksi se on teema, jonka tulisi näkyä riskienhallinnassa. Tulokset osoittavat, että olemme oikealla asialla, mutta myös sen, että tekemistä riittää, sanoo valmiuspäällikkö Antti Nyqvist Digipoolista.

Aloista selvästi kypsimmiksi osoittautuivat vahvasti säännellyt ja kyberrikollisuuden kanssa kamppailuun tottuneet teleliikenne-, ICT- ja ohjelmisto- sekä finanssiala. Eniten kehitettävää oli satama ja merenkulun sekä kaupan ja jakelun toimialoilla sekä vesihuollon piirissä. Keskeinen korkean ja matalan kyberkypsyystason yrityksiä erottava tekijä on nimenomaan se, kuinka hyvin kyberturvallisuus on sovitettu yhteen yrityksen strategisten tavoitteiden kanssa.

Monissa yrityksissä kyberkypsyyteen vaikuttaa konkreettisesti myös osaajapula, eikä esimerkiksi muu aktiivinen toimiminen kyberaiheiden parissa silloin välttämättä suoraan korreloi yrityksen kypsyyden kanssa. Toisaalta varautumisen tasoa määrittää myös se, kuinka houkuttelevana kohteena yritykset ajattelevat kyberrikollisten organisaatiotaan pitävän, mikä voi johtaa vääriin johtopäätöksiin.

 

Suosituksia kansallisen tason kehitystyöhön, liiketoimintaan ja ammattilaisille

Yleisenä, kaikkia toimialoja koskevana kehityskohteena selvityksessä nousi esiin kumppaniverkostojen, kokonaisketjujen ja näihin liittyvien riippuvuuksien tunnistaminen. Vuoden 2022 kyberturvallisuuden tilannekuvan lisäksi, selvitys tarjoaakin myös suosituksia muun muassa tähän haasteeseen tarttumiseen. Suositukset on jaettu kansallisen tason kehitystoimenpiteiksi, liiketoiminnan edistämiseen sekä kyberturvallisuuden ammattilaisten käyttöön. Seuraavassa muutama esimerkki näistä.

Kansallisten suositusten kärjessä on kolmansien osapuolten riskienhallinnan kehittäminen, mikä käytännössä tarkoittaa läpinäkyvyyden lisäämistä ja aktiivisempaa vuorovaikutusta kumppaneiden kanssa esimerkiksi yhteisen tarkastelun ja seurannan kautta.

Liiketoiminnan näkökulmasta selvitys suosittaa kyberriskien nostamista osaksi kokonaisriskienhallintaa. Tämä auttaa kyberriskien konkretisoimista ja niihin varautumisen tarpeen perustelua yritysjohdolle.

Asiantuntijoille puolestaan suositellaan sidonnaisuuksien tunnistamisen kehittämistä edelleen, jotta näkyvyys esimerkiksi keskeisten kumppaneiden alihankkijoihin ja toimittajiin paranisi. Lisäksi kumppanihallinnassa suositetaan pyrkimään aktiivisempaan seurantaan, yhteydenpitoon ja varmistuksiin.

 

Lisätietoja:

Antti Nyqvist, valmiuspäällikkö, Digipooli

Puh. 040 861 9446

 

Lataa raportti tästä

 

Toimialojen kyberkypsyys -selvitys toteutettiin nyt toista kertaa. Edellinen toteutettiin vuosien 2019–2020 aikana. Selvityksen tavoitteena on tuottaa tietoa Digitaalinen Turvallisuus 2030 -ohjelman investointien suuntaamiseksi ja auttaa kyberturvallisuuden kehitystoimenpiteiden suunnittelua ja kohdentamista. Vuoden 2022 selvityksen päätoteuttajana toimi Accenture. Sen tietoturvakonsultit kokosivat tietoja 12 eri toimialalta yhdessä suuren toimiala-asiantuntijoiden joukon kanssa.

Digipooli on huoltovarmuusorganisaation osana toimiva yritysten ja viranomaisten luottamusverkosto, jonka tehtävänä on edistää yhteiskunnan digitaalista turvallisuutta. Se vahvistaa yritysten kykyä ennakoida häiriötilanteita ja toipua niistä. Toiminnan pääpaino on huoltovarmuuskriittisissä toimialoissa ja yrityksissä. Poolin toimintaa ohjataan Teknologiateollisuus ry:stä.