World Economic Forumin tuoreen ‘Global Risks Report 2026’ -raportti kokoaa yli 1 300 asiantuntijan näkemykset merkittävimmistä riskeistä juuri nyt. Kuudenneksi nousi ”Cyber insecurity”, joka kääntynee kyberturvattomuudeksi.
Kyberturvattomuus-sana pisti ajatukseni liikkeelle. Suomessa puhumme kyberturvallisuudesta. Sehän viestii jotain positiivista kuten kyberkyvykkyyttä ja investointeja, tai se hyvä tavoitetila. Kun WEF:in raportti puhuu kyberturvattomuudesta, mieleen nousevat riskit, haavoittuvuus ja se tila, jossa organisaatiot oikeasti ovat. Tämähän on osuvaa!
Silmäilin raportin läpi ja listaan viisi havaintoani:
1. Kyberturvattomuus pysyy riskilistalla korkealla
Kyberturvattomuus sijoittuu globaalisti korkealle, sijalle 6. kahden vuoden, ja sijalle 8. kymmenen vuoden aikajänteellä.
Raportissa todetaan, että kyberhyökkäykset kohdistuvat yhä useammin kriittiseen infrastruktuuriin, yrityksiin ja julkishallintoon. Globaalilla tasolla siis katsotaan, että kyberturvallisuus (tai -turvattomuus) on vakiintunut pysyväksi liiketoimintariskiksi, eikä se ole laimenemassa, päinvastoin.
2. Kriittisen infrastruktuurin häiriöt huolestuttavat aiempaa enemmän
Kriittisen infrastruktuurin häiriöt ovat nousseet riskilistauksessa neljä sijaa aiemmasta. Raportissa tunnistetaan tähän kolme syytä:
- Vanheneva infrastruktuuri. Suuri osa OECD-maiden järjestelmistä rakennettiin 50–70 vuotta sitten. Putkistot ruostuvat ja betoni halkeilee…No, sama koskee kriittisen infrastruktuurin IT- ja OT-järjestelmiä. Ne ovat käytössä kymmeniäkin vuosia, ja korjausvelkaa syntyy väistämättä, sillä näitä 24/7/365 pyöriviä järjestelmiä, ei helposti bootata päivityksiä varten. Raportissa varoitetaan näistä ‘hiljaisista häiriöistä’ eli ongelmista, jotka kertyvät huomaamatta riittämättömän seurannan vuoksi, ja jotka sitten purkautuvat äkillisinä romahduksina.
- Sään ääri-ilmiöt. Helteet kuormittavat sähköverkkoja, tulvat uhkaavat datakeskuksia ja myrskyt katkovat yhteyksiä. (Tervetuloa Pohjolaan, datakeskukset!)
- Geoekonomiset jännitteet. Infrastruktuurista on tullut hybridivaikuttamisen väline. Toimitusketjut, energiaverkot ja tietoliikennejärjestelmät ovat alttiita sekä fyysisille että digitaalisille häiriöille.
Nämä kaikki korostavat osaltaan jatkuvan valvonnan ja varautumisen merkitystä eli juuri sitä, mitä NIS2-direktiivi edellyttää kriittisiltä toimialoilta.
3. Pitkällä aikavälillä tekoälyn riskit räjähtävät käsiin
Tekoälyyn liittyvät riskit ottavat suurimman loikan. Kahden vuoden aikajänteellä riski on sijalla 30, mutta kymmenen vuoden aikajänteellä se nousee sijalle 5. Kyseessä on suurin yksittäinen siirtymä koko 33 riskin listauksessa.
Raportti nostaa muitakin huolenaiheita:
- tekoälypohjaiset kyberhyökkäykset kehittyvät nopeammin kuin puolustuskeinot,
- deepfake-sisällöt hämärtävät totuuden rajoja, ja
- kehittyneet hyökkäystyökalut leviävät yhä laajemmalle.
Käytännössä tämä tarkoittaa, että tekoälyyn liittyvät riskit tulee huolellisesti arvioida. Tämä on syytä tehdä riippumatta siitä, ottaako organisaatio itse käyttöönsä tekoälyratkaisuja vaiko ei. Tähän kannattaa yrityksissä herätä viimeistään tänä vuonna.
4. Disinformaatio ja kyberuhat somasti käsi kädessä
Misinformaatio ja disinformaatio ovat sijalla kaksi (2.) lyhyen tähtäimen (2 vuotta) riskilistauksessa. Raportti korostaa näiden yhteyttä teknologiariskeihin eli kun yhteiskunnallinen polarisaatio voimistuu, teknologia mahdollistaa väärän tiedon leviämisen hurjalla nopeudella.
Tietoturvaa on syytä tarkastella organisaation kokonaisresilienssin näkökulmasta ja sen kyvystä toimia kriisitilanteissa. Tämä on tärkeää myös silloin, kun hyökkäys kohdistuu maineeseen tai luottamukseen.
5. Taloudellinen epävarmuus lisää paineita
Talouteen liittyvät riskit ovat nousseet listauksessa voimakkaasti. Taloudellinen taantuma ja inflaatio pomppasivat kumpikin kahdeksan sijaa, varallisuuskuplan (kuten asunto- tai osakemarkkinoiden) puhkeaminen seitsemän sijaa. Suomen maakohtaisissa lukemissa taloudelliset riskit ovat paalupaikalla.
Miten tämä liittyy kyberiin? No, varmaankin siten, että investoinnit on perusteltava entistä tarkemmin. Kyberturvallisuuspanostukset kannattaakin kytkeä riskienhallintaan ja compliance-vaatimuksiin. NIS2-velvoitteet, asiakkaiden sopimusvaatimukset ja ISO 27001 -sertifiointi tarjoavat konkreettisen perustan, joka kestää tarkastelun myös tiukassa taloustilanteessa.
Suomen maakohtainen tilanne
WEF:in raportissa on mukana kiinnostava maakohtainen vertailu, jossa yli 11 000 yritysjohtajaa 116 maasta pyydettiin arvioimaan oman maansa suurimmat riskit. Pohjoismaiden välillä on eroja. Suomessa, Ruotsissa ja Norjassa kyberturvattomuus ei mahtunut TOP5-listalle. Tanskassa se oli sijalla 2.
Suomen yritysjohdon vastauksien mukaan viisi suurinta riskiä – koivun ja tähden alla – ovat:
- Taloudellinen taantuma
- Velkaantuminen
- Geoekonomiset jännitteet
- Työttömyys tai taloudellisten mahdollisuuksien puute
- Misinformaatio
Kyberturvattomuus ei siis mahdu Suomen kärkiviisikkoon, vaikka se globaalisti sijoittuu kuudenneksi. Mietin, että onko kyse siitä, että suomalaiset yritykset ovat jo niin hyvällä tasolla, ettei kyberturvallisuus huoleta? Vai tuudittaudummeko me väärään turvallisuudentunteeseen?
Huoltovarmuuskeskuksen ja Suomen kyberturvallisuuskeskuksen selvitykset viittaavat jälkimmäiseen. Kansallinen kyberkypsyystaso on noussut varsin hitaasti, ja erot yritysten välillä ovat kasvaneet.
Lisäksi rohkenen väittää, että moni suomalainen organisaatio on reaktiivisessa tilassa eli toimenpiteisiin ryhdytään vasta kun tukka on tulessa, poikkeamatilanteen jälkeen.
Maailmalla kyberturvallisuus nähdään keskeisenä liiketoimintariskinä. Toivon, että Suomessa asia otetaan samalla vakavuudella. Ero voi muodostua haasteeksi, kun kansainväliset asiakkaat, kumppanit ja sääntelyviranomaiset odottavat suomalaisilta yrityksiltä ja organisaatioilta samaa valmiustasoa kuin muualla maailmalla.
Ville
Linkki raporttiin → https://www.weforum.org/publications/global-risks-report-2026/digest/
Aiempia kirjoituksiani aiheesta →
https://intosecurity.fi/blogi/tekoalyn-tietoturvariskit-2025-digitaalinen-resilienssi/
https://intosecurity.fi/blogi/miten-tekoaly-vaikuttaa-organisaatiosi-kyberturvallisuuteen/