Vuonna 2024 suomalainen teollisuus ja kyberturvallisuusala sen osana kohtasi edelleen nopeasti muut-tuvan toimintaympäristön, jossa keskeisiä elementtejä olivat uhkaympäristön jatkuva muutos, tietojärjestelmien teknishallinnollinen "korjausvelka", sääntely, kansalliset kehittämispyrkimykset sekä kansainvälinen kauppa ja politiikka. Kyberrikollisuus ja valtioiden rajat ylittävä laiton toiminta, kuten vakoilu, sabotaasi ja omaisuusrikokset muodostivat merkittävän uhan. Yritykset pitivät kyberturvallisuutta yhtenä suurimmista riskeistä, joskin kyberturvallisuuden hallinnan taso vaihteli edelleen merkittävästi.
Kyberrikollisuus on laajaa ja ylittää valtioiden rajat, mikä muodostaa merkittävän uhan digitaalisen teknologian hyötyjen saavuttamiselle. Huolimatta yhteiskunnan kasvaneesta huomiosta kyberturvallisuuteen, uhkaympäristö kehittyi edelleen heikkenevään suuntaan. Yritysten kyberturvallisuusriskien hallinta tähtää toimitusvarmuuden ja taloudellisen kannattavuuden varmistamiseen. Venäjän hybridivaikuttaminen ilmeni mm. tietoverkkoihin ja -järjestelmiin kohdistettuna laittomana toimintana, kuten vakoiluna ja sabotaaseina. Kiinan harjoittama digitaalinen teollisuusvakoilu oli edelleen poikkeuksellisen laajamittaista. Myös muista valtioista, kuten Nigeriasta ja Romaniasta, harjoitettiin mittavaa kyberrikollisuutta.
Vaikka kyberrikosten esiintymistasoon suhteutettua yritysten kyberturvallisuuden tasoa voi arvioida keskimäärin kohtuulliseksi, yritys- ja toimialakohtaisesti taso vaihtelee merkittävästi. Ohjelmistohaavoittuvuuksien ja kiristyshaittaohjelmien torjunta sekä teollisuusympäristöjen suojaaminen edellyttävät ajantasaisten menetelmien ja ratkaisujen tarvetta, sillä keskeisintä ovat tieto-omaisuuden ja -järjestelmien teknishallinnolliset suojauskeinot. Kokonaan uusia ohjelmistohaavoittuvuuksia tunnistettiin yli 40 000 kappaletta. Traficomin kyberturvallisuuskeskus osallistui riskienhallinnan kehittämiseen tarjoamalla tukea yrityksille riskienhallintakeinojen käyttöönottoon. Alustavat tulokset ovat hyvin rohkaisevia ja yrityksiä tulisikin tukea jatkossa aiempaa voimakkaammin. Samalla markkinoilla ei ole riittävästi kyberturvallisuuden hallinnan ammattilaisia riskienhallinnan tarpeisiin nähden.
EU:n kunnianhimoinen tavoite rakentaa parempaa digitaalista elämää eurooppalaisille materialisoitui kymmenien digisäädösten valmistelun kautta. Uudet hyväksytyt digitaaliset säädökset vaikuttavat merkittävästi yrityksiin. Digitaaliset ratkaisut ovat valmistavan teollisuuden yrityksille keskeinen keino tuottavuuden parantamiseen ja mm. EU:n kestävyysraportointivelvoitteet, vastuullisuusvaatimukset, digitaaliset tuotepassit sekä kyberturvallisuuden vaatimukset edellyttävät kaikilta yrityksiltä kehittyneiden datanhallintaratkaisujen käyttöönottoa. Voittajia ovat ne, jotka omaksuvat uudet velvoitteet kustannustehokkaasti ja hyödyntävät niiden reunaehdot tuotekehityksessä sekä tuottavuuden nostamisessa. Digitaalista hallintoa ja palveluita tarjoavien yritysten näkökulmasta olennaisimpia uusia lakeja olivat data-asetus, ekosuunnitteluasetus, huolellisuusvelvoitedirektiivi, NIS2-direktiivi, tekoälyasetus ja kyberkestävyyssäädös. Myös lainvalvonnan alalla ehdotettiin uutta lainsäädäntöä, mutta on kyseenalaista, miten esim. luottamuksellisen viestinnän suojan heikentäminen EU-alueella voisi edistää talouden ja kansalaisyhteiskunnan kokonaisetua.
Kansallisesti kehitettiin kyberturvallisuus- sekä kvanttiteknologiastrategiaa ja muita politiikkatoimia. Valtioneuvoston periaatepäätöksenä lokakuussa 2024 annetun kyberturvallisuusstrategian tavoitteena oli uudistaa strategia vastaamaan muuttunutta toimintaympäristöä ja hallitusohjelman kirjauksia sekä täyttää NIS2-direktiivin vaatimukset. Strategia jätti kuitenkin vaikutelman, että sisältö nojaa suurelta osin viranomaisten omiin pyrkimyksiin ja resurssitoiveisiin. Suomen talous on kuitenkin merkittävissä vaikeuksissa, eikä julkisen talouden kestävyysvajeeseen ole odotettavissa parannusta lyhyellä aikavälillä. Strategia sisältää kuitenkin merkittäviä kehittämistoimia, joiden toteutuminen ei saa vaarantua yhteiskunnan ja elinkeinoelämän vahingoksi.
Suomalaiset korkeakoulut ovat kehittäneet kyberturvallisuuden koulutusjärjestelmän tehokkuutta ja laatua. Keskeisin haaste on edelleen riittävä ammattiosaajien saatavuus kotimaan työmarkkinoilla. Osaajapula kriittisillä aloilla kuten kyberturvallisuuden toimialalla uhkaa EU:n jäsenvaltioiden kriisinkestävyyttä ja edellyttää toimenpiteitä. Odotettavissa olevaa uutta EU:n rahoitustukea alan lisä- ja muuntokoulutuksen on tulevaisuudessa hyödynnettävä aktiivisesti.
Vuoden 2024 aikana esille nousivat myös pyrkimykset kyberpuolustuksen kehittämiselle. Teollisuuden näkökulmasta kyberpuolustus vertautuu pääosin kyberturvallisuuden riskien hallintaan, mutta sisältää myös ajatuksen kybervaikuttamisesta (aktiivinen kyberpuolustus). Puolustusselonteossa esitettiin, että Puolustusvoimien on voitava toteuttaa myös muita kuin sotilaalliseksi voimankäytöksi katsottavia kybervaikuttamisen operaatioita Suomessa ja Suomen ulkopuolella. Käytännössä tällä tarkoitetaan pahantahtoisten toimijoiden käyttämien keinojen hyödyntämistä myös muulloin kuin poikkeusoloissa. Koska kaikista kyberrikoksista ylivoimainen osa kohdistuu siviiliyhteiskuntaan ja yritysten omistamiin tieto- ja viestintäjärjestelmiin, niiden näkökulmasta toiminta ei olisi vain kansainvälisen oikeuden vastaista, vaan myös ilmeinen riski kostojen kierteelle, jossa kärsijöiksi joutuvat sivulliset tieto- ja viestintäjärjestelmien haltijat, eritoten elinkeinoelämä, mikä olisi haitallista varautumisajattelun tärkeimmälle päämäärälle eli yhteiskunnan toimeentulon turvaamiselle. Koston kierteessä ei ole voittajia.
Kansainvälinen toimintaympäristö on muovautumassa entistä haastavammaksi ja vaikeammin ennustettavaksi. Autoritääristen valtioiden, erityisesti Kiinan ja Venäjän, toimet sekä vastuuton teknologian kehittäminen haastavat läntistä maailmaa ja sääntöperustaista maailmanjärjestystä. Yhdysvaltojen presidenttikauden vaikutukset ovat arvoitus hyötyjien ja kärsijöiden osalta. Kansainväliset kauppa- ja turvallisuuspolitiikan kysymykset ovat merkittäviä kotimaisen kyberturvallisuusteollisuuden yrityksille. Vientiin tähtäävä kansainvälistyminen on edellytys kyberturvallisuusteollisuuden yritysten kannattavuudelle sekä mahdollisuuksille panostaa tutkimukseen, kehitykseen ja innovaatioihin. Kuitenkin Suomessa kasvoi edelleen kansainvälisesti tunnistettu ja tunnustettu osaamis- ja yritysekosysteemi, johon kohtistuu merkittävää vientipotentiaalia.
Peter Sund
Toimitusjohtaja
Kyberala ry
Teknologiateollisuus ry