Kyberuhat koventavat asenteita: suomalaiset valmiita tinkimään digitaalisista mukavuuksista kyberturvallisuuden parantamiseksi

DNV Cyberin tuoreen tutkimuksen mukaan Suomessa ollaan muita Pohjoismaita valmiimpia hyväksymään rajoituksia digitaalisiin mukavuuksiin ja jopa hidastamaan teknologista kehitystä, jos se vahvistaa kansallista turvallisuutta.

Kuusi suomalaista kymmenestä (61 %) kertoo olevansa valmis hyväksymään viranomaisten laajemman pääsyn henkilötietoihin, rajoituksia mobiiliverkon käyttöön tai muita vastaavia toimenpiteitä, jos niillä voidaan ehkäistä tai torjua kyberhyökkäyksiä kriittistä infrastruktuuria vastaan.

Samaan aikaan lähes puolet (47 %) Suomen kriittisen infrastruktuurin parissa toimivista johtajista sanoo olevansa valmis hidastamaan tai jopa pysäyttämään tärkeiden järjestelmien digitalisaation, jos se vähentäisi kyberriskejä.

Asenteet digitaalisten yhteyksien riskejä kohtaan ovat koventuneet, kun Suomen kriittiset palvelut ovat yhä alttiimpia kyberhyökkäyksille. Kaksi kolmasosaa (65 %) kriittisen infrastruktuurin johtajista kertoo yritykseensä kohdistuvien kyberhyökkäysten lisääntyneen viimeisen vuoden aikana. Samalla vain 13 prosenttia sanoo olevansa erittäin hyvin valmistautunut puolustautumaan hakkereita vastaan, jotka hyödyntävät tekoälyä entistä kehittyneempiin kyberhyökkäyksiin.

Digitalisaatiota ei voi yksinkertaisesti vain kytkeä pois päältä. Kriittisten palveluiden toimivuus riippuu digitaalisista järjestelmistä. Kyse ei ole siitä hidastammeko digitalisaatiota, vaan siitä, kuinka hyvin ymmärrämme siihen liittyvät riskit – ja kuinka hyvin maamme on varautunut hallitsemaan niitä

• Annika Nevaste
• Toimitusjohtaja
• DNV Cyber

 

Digitalisaatio haastaa kokonaisturvallisuuden mallin

Halukkuus painaa jarrua kumpuaa maamme pitkäaikaisesta taipumuksesta painottaa kansallista turvallisuutta. Suomi tunnetaan kokonaisturvallisuuden mallistaan – käsitteestä, jossa yhteiskunnan elintärkeät toiminnot turvataan kaikissa olosuhteissa valtion, yritysten, järjestöjen ja kansalaisten välisen koordinoidun vastuunjaon kautta.

DNV Cyberin tutkimuksen mukaan digitalisaatio asettaa kokonaisturvallisuuden mallin koetukselle. Yli puolet (55 %) kriittisen infrastruktuurin johtajista kertoo, että heidän organisaationsa johtajat pitävät kriittisen infrastruktuurin sietokykyä jonkun muun vastuulla.

Lisäksi 44 prosenttia suomalaisista ei katso, että kansalaisilla olisi vastuuta maan kriittisen infrastruktuurin kyberturvallisuudesta. Vastaava osuus uskoo, että yksilöt eivät voi juurikaan vaikuttaa kyberriskien vähentämiseen. Todellisuudessa ihmisten jokapäiväinen digitaalinen käyttäytyminen tuo heidät yhä lähemmäksi turvallisuusketjua kuin monet ymmärtävätkään.

Vaikka kokonaisturvallisuus on edelleen Suomen vahvuus, näyttää digitaalisen toimintaympäristön monimutkaistuminen haastavan yhteistä vastuunjakoa. Esimerkiksi 64 prosenttia johtajista kannattaa tutkimuksen mukaan tiukempaa kyberturvasääntelyä. 77 prosenttia taas kaipaa viranomaisilta selkeämpää näkemystä siitä, mikä on yritysten rooli kansallisen kyberresilienssin tukemisessa.

”Kokonaisturvallisuuden malli on toiminut Suomessa hyvin juuri siksi, että se perustuu jaettuun vastuuseen”, sanoo DNV Cyberin kansallisen turvallisuuden johtaja Valtteri Peltomäki. ”Sen vahvistaminen edellyttää nyt selkeämpää omistajuutta, parempaa ymmärrystä digitaalisista riippuvuuksista ja tiiviimpää koordinaatiota viranomaisten, kriittisen infrastruktuurin toimijoiden sekä kansalaisten välillä. Digitaalinen monimutkaisuus itsessään ei syö resilienssiä, epäselvyys kyberriskien jaetusta vastuusta sen sijaan syö.”

DNV Cyberin tutkimus korostaa, että kyberriskien vastuukysymysten selkeyttäminen on välttämätöntä, jotta kokonaisturvallisuuden malli voi menestyä yhä enemmän digitaalisuudesta riippuvaisessa yhteiskunnassa. Yli kaksi kolmasosaa (77 %) kriittisen infrastruktuurin johtajista toteaa, että viranomaisten tulisi selventää, millaista roolia heidän yrityksiltään odotetaan. Suurin osa (78 %) katsoo, että tarvitaan lisää investointeja, jotta kansalaiset ymmärtäisivät paremmin roolinsa kansallisen kyberresilienssin tukemisessa. Vain neljännes väestöstä (24 %) sanoo ymmärtävänsä hyvin, ketkä ja mitkä organisaatiot vastaavat Suomen kriittisen infrastruktuurin suojelemisesta kyberhyökkäyksiltä.

Suositukset: Suomen kyberresilienssin vahvistaminen

Kuinka kyberkestävä Suomi on? -raportti esittää kuusi suositusta Suomen kyberresilienssin vahvistamiseksi:

Yhteisvastuusääntelyn laajentaminen vähimmäisvaatimusten yli
Kyberresilienssivastuun vahvistaminen viranomaisten, kriittisen infrastruktuurin toimijoiden ja kansalaisten välillä selkeyttämällä rooleja, odotuksia ja vastuunjakoa vähimmäissääntelyn yli.

Toimitusketjun haavoittuvuuksien vähentäminen
Näkyvyyden ja valvonnan parantaminen toimittajaverkostossa ja kolmansien osapuolten riippuvuuksissa systeemisten riskien vähentämiseksi, piilevien altistumien tunnistamiseksi ja verkottuneista ekosysteemeistä kumpuavien kyberhäiriöiden ketjuvaikutusten hallitsemiseksi.

Kypsyystaso ei saa johtaa tyytyväisyyteen
Varmistaminen, ettei aiempaan menestykseen perustuva luottamus heikennä varautumista, vaan riskejä arvioidaan jatkuvasti uudelleen, osaamiseen investoidaan ja puolustautumista mukautetaan yhä nopeammin kehittyviä ja monimutkaisempia uhkia vastaan.

Yhteistyöhön kannustaminen kaikkien infrastruktuurisektorien välillä
Operatiivisen yhteistyön ja luotettavan tiedonvaihdon parantaminen organisaatioiden ja sektoreiden välillä, jolla vastataan kyber- ja kyberfyysisten riskien toisiinsa kietoutuneeseen luonteeseen.

Kansalaisten luottamuksen ja osaamisen rakentaminen häiriötilanteissa ja palautumisessa
Varautumisen, reagoinnin ja palautumisien kokonaisvaltaisempi konkretisointi kansalaisille selventämällä, miltä häiriöt käytännössä näyttävät ja miten yksilöt voivat toimia kyberhäiriöiden aikana ja niiden jälkeen.

Verkottuneisuuden ja digitaalisen itsenäisyyden tasapaino
Kriittisien digitaalisten riippuvuuksien hallinnointi ylläpitämällä näkyvyyttä, valvontaa ja resilienssiä yhä verkottuneemmissa ja tekoälyä hyödyntävissä järjestelmissä – digitalisaation hyötyjä heikentämättä.