Tutkimus: Suomalaisyritysten tietoturvainvestoinnit kasvussa, mutta osaajapula jarruttaa tuloksia

DNA:n tietoturvatutkimus selvitti suomalaisten ICT-päättäjien näkemyksiä tietoturvan tilasta. Tutkimuksen mukaan yritysten tietoturvainvestoinnit ovat kasvaneet merkittävästi viimeisen viiden vuoden aikana ja jatkavat kasvuaan myös tulevana vuonna. Myös tietoturvaosaamiseen ja henkilöstön kouluttamiseen käytetään yhä enemmän rahaa. 67 % vastaajista kokee kuitenkin, että osaajapula seisoo esteenä hyvän kyberturvan tiellä. 

”Taistelu kyberrikollisia vastaan on epäsymmetristä – rikollisilla on mahdollisuus kohdentaa hyökkäykset organisaatioiden yksittäisiä heikkouksia vastaan, kun taas organisaatiot kehittävät prosessejaan laajasti – usein pienemmillä resursseilla. Osaamista ja investointeja tarvitaan koko ajan lisää”, sanoo DNA:n yritysliiketoiminnan verkko- ja pilvipalveluiden johtaja Kaapro Kanto.

Kanto muistuttaa, ettei kaikkea tarvitse tehdä itse. Lähes 90 % tietoturvatutkimuksen vastaajista ilmoitti hyödyntävänsä kumppaneita tietoturvaan ja kyberturvallisuuteen liittyen.

”Positiivinen tietoturvakulttuuri ja tietoturvahygienia ovat tärkeimpiä asioita yrityksissä. Apua tietoturvallisuuteen löytyy sekä yrityssektorin puolelta operaattoreilta ja tietoturvayrityksiltä, että julkiselta puolelta, kuten kyberturvallisuuskeskukselta”, Kanto sanoo.

Petrattavaa varautumisessa ja sääntelynmukaisuudessa

Kyberuhkiin varautuminen on yrityksissä heikkoa. Varautumis- tai palautumissuunnitelmat löytyvät alle puolelta yrityksistä. Moni yritys kohtaa mahdollisen kyberkriisin täysin valmistautumatta, sillä vain joka neljäs yritys harjoittelee kyberkriisitilanteita. Kanto muistuttaa, että kyse ei ole pelkästään IT-asioista, vaan samalla varaudutaan myös muihin yritysten kohtaamiin kriiseihin, kuten toimitusketjujen häiriöihin.

”Jokainen yritys tarvitsee toimintasuunnitelman siltä varalta, että jotain yllättävää tapahtuu. Tietoturvapoikkeamien hallintaa kannattaa harjoitella vähintään työpöytäharjoituksena, jossa käydään läpi se, miten tilanne tunnistetaan, miten siihen vastataan, ja miten toiminta palautuu normaaliin”, Kanto sanoo.

Uuden NIS2-kyberturvadirektiivin noudattaminen nähdään yrityksissä haastavana. 42 % vastaajista ei tiedä, koskeeko NIS2 heidän edustamaansa yritystä. Ja vain 15 % niistä, jotka vastasivat direktiivin velvoittavan yritystään, sanoi yrityksen yltävän täysin vaadittuun tasoon direktiivin soveltamista koskevaan määräaikaan mennessä. Kannon mukaan yritysten kannattaa lähteä NIS2-toteutukseen puute- ja riskianalyysien kautta.

”Regulaatio on tuonut monelle yritykselle uusia velvoitteita ja niiden toteutus voi tuntua haastavalta. Vaikka NIS2 velvoittaa vain yhteiskunnalle kriittisiä toimijoita, toimii se hyvänä mittatikkuna kaikenkokoisille yrityksille hyvän tietoturvan toteuttamisessa. Aikoinaan, kun tietosuoja-asetus GDPR tuli voimaan, eivät kaikki olleet valmiita, mutta tätä kuilua on kurottu kiinni. Uskon, että NIS2:n kanssa tulee käymään samoin.”

Hybridityö ja tekoäly luovat uusia uhkia, mutta tekoäly on myös osa ratkaisua
 
Tietoturvatietoisuuden merkitys on lisääntynyt entisestään hybridityön yleistyessä. Vaikka 73 % vastaajista kertoo ymmärtävänsä hybridityön tietoturvariskit, 72 % sanoo, ettei henkilöstöä kouluteta hybridityön riskeistä riittävästi.

”Hybridityö on luonut uudenlaisia uhkia: on pohdittava, miten työtavat ja -välineet tukevat turvallista työskentelyä niin kotona, junissa kuin toimistohotelleissa. Olennaista on tietoturvamyönteinen kulttuuri, jossa kannustetaan oppimaan virheistä ja olemaan avoin”, Kanto sanoo.

Myös tekoälyn käyttö aiheuttaa tietoturvahuolia – 73 % ICT-päättäjistä pelkää, että tekoälytyökalujen kautta tekijänoikeuden alaista dataa ja liikesalaisuuksia voi päätyä vääriin käsiin. Kuitenkin vain kolmannes yrityksistä on luonut tekoälyn käyttöön sääntöjä ja linjauksia. Kanto muistuttaa, että tekoäly voi parantaa työn tuottavuutta reippaasti, joten sitä kannattaa ilman muuta hyödyntää tietoturva huomioiden.

”Julkisesti saatavilla olevien työkalujen käytössä pätee vanhat tutut periaatteet: varmista, voidaanko työkaluja käyttää yrityksessä, onko sopimukselliset velvoitteet selvät ja pysyykö yrityksen tieto-omaisuus turvassa näillä työkaluilla. IT-, hankinta- ja lakiyksiköt auttavat tunnistamaan riskit ja löytämään luotettavat työkalut. Meillä DNA:lla on määritelty tekoälyn käyttöä ohjaavat periaatteet, joissa huomioidaan uhat ja mahdollisuudet. Tämän lisäksi meillä on työryhmä, joka arvioi riskejä ja ohjaa tekoälyn käytön kehittymistä”, Kanto sanoo.

Kanto muistuttaa, että vaikka tekoäly aiheuttaa uusia uhkia, voi siitä olla myös merkittävää hyötyä tietoturvan parantamisessa. Tekoälyn avulla voi kouluttaa henkilöstöä, havaita poikkeamia ja parantaa prosesseja. Lähes kaikissa markkinoilla olevissa tietoturvatuotteissa on jo mukana tekoälyä. 

*DNA:n tietoturvatutkimuksessa selvitettiin, miten Suomessa toimivissa yrityksissä suhtaudutaan tietoturvaan ja kyberturvallisuuteen. Tutkimus toteutettiin verkko- ja puhelinkyselynä syyskuussa 2024 ja siihen osallistui 157 ICT-päättäjää vähintään 10 henkilöä työllistävistä Suomessa toimivista yrityksistä ja julkishallinnon toimijoista. 20 % vastaajista edustaa vähintään 250 henkilöä työllistäviä organisaatioita tai yrityksiä. Tutkimuksen toteutti Dagmar Oy. Tutkimusraportti on saatavilla täällä.

Lisätietoja medialle:

Kaapro Kanto, verkko- ja pilvipalveluiden johtaja, yritysliiketoiminta, DNA, puh. 040 059 9020, kaapro.kanto@dna.fi  

DNA:n viestintä, puh. 044 044 8000, viestinta@dna.fi