HVK:n kyberkypsyysraportti 2025 – Mikä erottaa kyberturvan edelläkävijät muista?  

Huoltovarmuuskeskus on julkaissut selvityksen suomalaisten huoltovarmuuskriittisten organisaatioiden kyberkypsyydestä (Kyberkypsyys toimialoilla 2025*). Lukaisin sen tuoreeltaan ja jaan tässä omat huomioni. Raportin tulokset ovat kiinnostavia, ja osin hämmentäviä. Sen mukaan kolmessa vuodessa kehitystä on tapahtunut hyvin vähän. Kun tätä miettii sitä vasten, että uhkaympäristö on muuttunut voimakkaasti, eihän se hyvältä näytä. 

Selvitykseen vastanneiden yritysten kyberkypsyyden keskiarvoksi tuli 3,09 asteikolla yhdestä viiteen (146 yritystä 14 toimialalta). Kun lukua vertaa vuoden 2022 tuloksiin, näkyy että keskiarvo on noussut vain 0,09 yksikköä. Kehityskohteetkin ovat pysyneet aika lailla samoina kuin kolme vuotta sitten. Ja viidennes yrityksistä on edelleen matalalla turvan tasolla. 

Samaan aikaan uhkaympäristössä tapahtuu todella paljon. Geopoliittinen tilanne on kiristynyt, tekoälypohjaiset hyökkäykset alkavat olla arkipäivää ja toimitusketjuihin kohdistuvat uhat ovat kasvussa. Huoltovarmuuskeskuksen ohjelmajohtaja Juha Ilkka tiivistääkin tilanteen osuvasti:

”Maailma muuttuu, eivätkä kehitystoimenpiteet suhteessa muuttuvaan turvallisuusympäristöön ole riittäviä. Jos kyberturvallisuuden kehitys ei ota harppauksia eteenpäin, selkeänä riskinä on, että liikumme oikeastaan vain taaksepäin.”

Raha ja resurssit eivät selitä eroja

Olen tietoturva-auditoijana toimiessani päässyt arvioimaan satojen organisaatioiden kyberturvan tilaa. Ja selvityksen tulokset vastaavat omia havaintojani siltä osin, että pk-yritykset sijoittuvat korostuneesti alemmille kypsyystasoille. Mutta syy ei ole se, mitä äkkiseltään voisi olettaa. Raportin tärkein havainto on ehkä se, mikä on se tekijä, joka erottaa kyberturvan edelläkävijät muista. 

Resurssien rajallisuus on liian helppo selitys, ja selvitys osoittaa sen riittämättömäksi. HVK:n arvokas löydös on se, että selkein yksittäinen tekijä, joka erottaa korkeamman ja matalamman kypsyystason yritykset toisistaan, on ylimmän johdon sitoutuminen.

Kypsimmissä organisaatioissa johtoryhmä käsittelee säännöllisesti strategisen tason kybertilannekuvaa sekä merkittävimpiä riskejä ja niiden hallintatoimia. Näissä yrityksissä johtoryhmä on tehnyt tietoisen päätöksen nostaa kyberturvallisuuden prioriteettia. 

Selvityksen mukaan johdon kiinnostus kyberturvallisuutta kohtaan onkin kasvamassa ja hallinta muuttumassa järjestelmällisemmäksi. Tämä näkyy myös asiakkaiden parissa. Vaikka positiivinen signaali ei vielä näkynyt tämän vuoden kypsyysarviossa, oikeaan suuntaan ollaan menossa. 

Miten johdon sitoutuminen näkyy käytännössä

Kun johto on sitoutunut, kyberturvallisuudesta tulee koko organisaation yhteinen ponnistus. Raportissa tämä näkyy hyvin konkreettisesti → edelläkävijäyrityksissä on käytössä tunnettuihin viitekehyksiin, kuten ISO 27001 -standardiin, perustuvia johtamisjärjestelmiä. ISO 27001:n kaltainen johtamis- ja hallintamalli tuo rakenteen, jatkuvuuden ja mitattavuuden eikä kyberturvallisuus ole pelkkää tilanteeseen reagointia. 

Yrityksissä, joissa kyberturvallisuus ei vielä ole työlistan kärjessä, sitä saatetaan pitää tukitoimintona, eikä sitä todellakaan ole sidottu liiketoimintaan, puhumattakaan johtamiseen. Käytännössä tämä näkyy siten, että kyberturvan kehitys etenee vasta kun on rytissyt eli vakavien poikkeamien jälkeen. Arkinen esimerkki voisi olla se, kun tietoliikenneyhteykset kahdennetaan vasta sitten, kun kaapelivaurio on aiheuttanut toimintaan katkoksen.

Viisi poimintaani 

Raportissa on lukuisia kannatettavia huomioita ja suosituksia, se kannattaa lukea ajatuksella. Alla poimintani täydennettynä omin havainnoin.  

1. Johdon rooli. Johdon osallistuminen työhön on avain kypsyystason nostoon, ja asiaa voi edistää aktiivisella yhteistyöllä, seurattavilla mittareilla sekä kohdennetulla johdon kyberturvallisuuskoulutuksella. Samalla kyberriskienhallinta kannattaa tuoda osaksi liiketoimintariskien kokonaishallintaa. Kun kyberriskit käsitellään samalla kertaa muiden riskien kanssa, ne saavat ansaitsemansa painoarvon. Tähän kokonaisuuteen on toimiva keino → hankkikaa ISO 27001 -sertifikaatti. Auditointiprosessi viilaa toiminnan kyberturvan vaateisiin, organisaation jokaisella tasolla. Se ratkoo monta haastetta kerralla. Hankkeen myötä esille nousee muutostarpeita – myös tapaan johtaa.
2. Yhteistyöverkostojen vaikutus. Oman organisaation korkea kypsyystaso ei aina riitä. Verkostoituneessa liiketoiminnassa yritykset altistuvat kumppaniensa ja toimittajiensa kyberheikkouksille. Toimitusketjujen riskienhallinta on HVK:n mukaan edelleen heikkoa lähes kaikilla toimialoilla. Tästä seuraa se, että hyvästä varautumisesta huolehtinut yritys voi joutua kärsimään alihankkijansa tietoturvamurrosta. 
3. Häiriötilanteisiin varautuminen on ottanut harppauksen eteenpäin. Tämä on yksi raportin esille nostamista positiivisista kehityssuunnista. Valtaosa yrityksistä on laatinut kriittisille palveluilleen varautumissuunnitelman, mutta harjoittelua tehdään tosin edelleen liian vähän. Kirjoitin aiemmin DNA:n tietoturvatutkimusta (2025) tutkiessani samasta teemasta, tuossa selvityksessä 54%:lla organisaatioista oli varautumissuunnitelma, mutta vain 29% on harjoitellut tätä. Häiriötilanteessa ei ole aikaa opetella miten toimitaan. Muistakaa harjoitella, tätä ei voi liikaa korostaa.  
4. Riski siitä, että NIS2-vaatimusten täyttäminen jää kertaluontoiseksi projektiksi. NIS2:sta on paasattu jo väsymykseen asti allekirjoittaneenkin blogipostauksissa, mutta täällä se on ja siihen on reagoitava. Ainakin jos johto haluaa ottaa henkilökohtaisen vastuunsa vakavasti. Samansukuinen riski on vuosien ajan näkynyt siten, että auditoinnissa rastitaan kiltisti ruudut, mutta todellista muutosta organisaation toimintatavoissa ei silti tapahdu. PDCA-sykliä koskeva kurssikansio on jäänyt hyllyyn ja seuranta-auditoinnin edessä juostaan kovaa.  
5. Kyberturvallisuusosaamisen varmistaminen. Raportti suosittelee osaamiseen panostamista. Sen voi tehdä monella tavalla, palkkaamalla asiantuntijoita, hyödyntämällä kumppaneita tai tukemalla henkilöstön kouluttautumista. Pk-yritykselle oma rekrytointi on harvoin realistinen vaihtoehto, silloin kumppani (kuten Into) on käytännöllinen ratkaisu.

Neljä kysymystä johdolle 

Ehdotan, että kysyt johdolta (tai itseltäsi, jos olet johtaja) seuraavat kysymykset: 

1. Milloin viimeksi käsittelimme kyberturvallisuuden tilannekuvaa johtoryhmässä?
2. Onko meillä kyberturvallisuusstrategia, ja tukeeko se (liike)toimintamme tavoitteita?
3. Osaammeko nimetä kolme suurinta kyberriskiämme?
4. Tiedämmekö, millä tasolla kumppaniemme kyberturva on? 

Jos vastaukset jäävät vähänkään epäselviksi, käärikää hihat. Minulle saa myös soittaa. 

Niki 

Lataa Huoltovarmuuskeskuksen raportti täältä (PDF) →  https://www.huoltovarmuuskeskus.fi/files/31c81e6d4cf1e2f64f96742932d1ad0e549abb2b/kyberkypsyys-toimialoilla-2025-kansallinen-raportti-final-suomeksi.pdf

*Raportin tilaaja on Huoltovarmuusorganisaatioon kuuluva Digipooli ja toteuttajana Accenture. Osa Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa.