IT_OT_ymparistoista
Blogi

Mikä on kyberturvallisuuden nykytila – toimialakartoitus kertoo

Digipooli on käynnistänyt vuoden alussa toimialakohtaisen Kyberturvallisuuden nykytila -selvityshankkeen, jossa tavoite on haastatella 120 eri yritystä 12 eri toimialalta. Mitä kartoituksesta olisi syytä tietää? Kysymyksiin vastasi Digipoolin poolisihteeri Antti Nyqvist.

Kysymys: Mitä toimialakartoitus oikeastaan tarkoittaa ja miksi se tehdään?

 

Vastaus: Huoltovarmuusorganisaation poolitoiminnan yhtenä tavoitteena on tuottaa ajantasaista tilanneymmärrystä erilaisista aiheista. Yleinen ja koostettu ymmärrys Kyberturvallisuuden tilasta kotimaisen yrityskentän osalta on yksi tällaisista aiheista.

Tilanneymmärrys aiheesta perustuu useille elementeille, jossa Traficomin Kyberturvallisuuskeskuksen tuottama kybertilannekuva on keskiössä ja sisältää mm. tietoa heille raportoiduista havainnoista ja yritysten verkostoissa vaihtamaa tietoa.

Tämän lisäksi kuitenkin tarvitaan myös selvityksiä, jotta saadaan yleisesti havaintoja yrityskentästä.  

 

Kysymys: Mikä kartoituksen historia on? Mistä lähdettiin liikkeelle ja mitä on tapahtunut vuosien varrella?

Vastaus: Erilaisia kyberkypsyyden selvityksiä on tehty historiassa monella tavalla. Esimerkiksi Huoltovarmuuskeskuksen toimesta on tarjottu itsearviointivälineitä yrityksille.

Ensimmäinen fasilitoitu selvitys tehtiin vuonna 2017. Mukana olleiden organisaatioiden määrä oli vähäinen, mutta tulokset olivat merkittäviä. Selvitys avasi tilannetta ja auttoi kohdistamaan tukitoimia yrityskentän hyväksi.

Tästä historiasta ammentaen suunniteltiin vuoden 2020 selvitys, jossa nostettiin tavoitetasoa mukaan tulevien yritysten määrän osalta ja tukeuduttiin Kehikkoon(Kybermittari), joka oli yrityksille tuttu.

Vuoden 2020 selvitys tuotti selkeitä havaintoja yrityskentän tilasta ja siitä, mitkä aiheet kaipaavat sparrausta kehittyäkseen suotuisaan suuntaan. Se tuotti myös hyvän vertailupohjan tuleville selvityksille.

 

Kysymys: Keitä kartoituksessa on mukana? Mitä jos yritys, jonka palveluita käytän, saa huonon arvion?

Vastaus: Kartoitukseen osallistuvia yrityksiä oli vuoden 2020 selvityksessä mukana yli 100 jopa 12:lta toimialalta. Otoksessa pyrittiin saamaan läpileikkaus eri alojen yrityksiin.

Mukana oli laaja skaala yrityksiä eri toimialoilta, kuten energia, elintarviketuotanto, finanssi, ICT-ohjelmistot, kauppa ja jakelu, logistiikka, media, teollisuus, terveydenhuolto, teleliikenne, vesihuolto, vesiliikenne ja satamat.

Osallistuvat yritykset saivat raportin, joka kertoi heidän kyberturvan kypsyydestä. Havainnot priorisoitiin toimialalle tyypillisimpien liiketoimintariskien kautta. Toisin sanoen yritykset saivat tietoa mihin aiheeseen kannattaa lähteä panostamaan.

Yrityskohtaiset tiedot kerättiin anonyymisti. Niistä on koostettu toimialakohtaisia raportteja, jotka tarjosivat yleiskuvan lisäksi vertailutietoa yritysten tuloksista suhteessa muihin saman alan yrityksiin. 

Selvitys tuotti myös tietoa eri alojen yritysten keskinäisriippuvuuksista. Raportit eivät siis kerro yksittäisten yritysten hyvyydestä tai huonoudesta, vaan nostavat esiin aiheita joihin kiinnittää huomiota kun tekee yhteistyötä toisen toimialan yritysten kanssa kun kypsyys on eri tasolla kuin itsellä.  

 

Kysymys: Mitä edellisessä kartoituksessa opittiin?

Vastaus: Edellinen kartoitus tuotti tietoa 12 toimialan vahvuuksista ja heikkouksista sekä hurjan määrän kehitysaihioita yrityksille, toimialoille ja Huoltovarmuuskeskuksen kehitysohjelmiin.

Selvityksen havainnot vaihtelivat toimialoittain, mutta niistä oli löydettävissä myös yhteisiä haasteita. Pääpiirteittäin voi todeta, että mitä kypsemmästä toimialasta oli kyse sitä, sitä haastavampia olivat kehityskohteet. Suomessa ollaan kuitenkin kauttaaltaan varsin kypsässä tilanteessa verrattuna kansainvälisesti.

Toisaalta helpottavana havaintona myös oli, että tietoa jakamalla yritysten välillä pystytään tasoa nostamaan entisestään.

Havaintoja tehtiin aina henkilöstön osaamisesta siihen, että yritysten strategiat voisivat paremmin tukea digitalisaation turvallista kehitystä.

Huoltovarmuuden ja resilienssin kannalta oleellisin havainto oli tarve kehittää yritysten sisäistä tiedonjakoa ja tilannekuvan muodostamista.

 

Selvityksen päähavainnot - opit - löytyvät tiiviisti sen loppuraportista: https://www.huoltovarmuuskeskus.fi/files/b3671ecb5d0b5b431174fec9350e0251b75227ba/kyberturvallisuuden-nykytila-eri-toimialoilla2-verkkosivuille.pdf

 

Kysymys: Mikä tämän vuoden kartoituksen tavoite on?

Vastaus: Vuoden 2022 #Kyberturvallisuudennykytila - selvitys pyrkii selvittämään kotimaisen yrityskentän kypsyyttä kyberaiheissa edellisen selvityksen tapaan.

Tavoitteena on tavoittaa yli 120 yritystä yli 12 toimialalta. Tämä näyttää toteutuvan, sillä osallistujia on aktiivisesti hakeutunut mukaan. Myös selvityksen tuottaman tiedon kansallinen arvo on tunnistettu.

Edelliseen selvitykseen verrattuna pyritään tänä vuonna pääsemään kiinni myös tietoon kehityksen suunnasta. Toimialojen kypsyyttä päästään vertaamaan edelliseen selvitykseen ja selvitämme, onko kehitystä tapahtunut toivottuun suuntaan.

 

Kysymys: Miltä kyberturvallisuuden nykytila sitten näyttää?

Vastaus: Suomessa on tulosten valossa varsin hyvä tilanne ja eurooppalaista keskitasoa korkeampi kypsyys. Selvityksen kärkipään alat – finanssi ja teleliikenne – ovat odotetusti korkealla suhteellisen kypsyyden tasolla.

Monilla toimialoilla on kuitenkin tehtävää ja tasoa nostettavana. Osaamista ja kypsiä yrityksiä kuitenkin löytyy kaikilta toimialoilta.

Tietoa jakamalla on mahdollista tasoa kiriä entisestään.  Erityishuomioina voi todeta mm. sen, että kotimainen yrityskenttä vaikuttaa olevan kautta linjan hyvin varautunut kyberhäiriöihin operatiivisella tasolla.

 

Vuoden 2022 kyberturvallisuuden nykytilan selvitys on käynnissä ja tuottaa tuloksia vuoden mittaan. https://www.huoltovarmuuskeskus.fi/a/toimialojen-kyberkypsyytta-selvitetaan-jalleen?n=10