Uhkana kyberhyökkäys – kyberriskienhallinnasta kohti resilienssiä

10.12.2025

Kyberturvallisuuteen liittyvät uhat ovat nousseet organisaatioiden keskeisiksi ylätason riskeiksi. Pahimmillaan niiden seuraukset ovat tuhoisat ja lievempänäkin ne voivat aiheuttaa merkittävää haittaa maineelle sekä taloudellisia menetyksiä. Kohdistetun hyökkäyksen shokkiaallot eivät jää vain organisaation sisälle, vaan ne voivat vaikuttaa laajasti asiakkaisiin ja sidosryhmiin. Motivoitunut hyökkääjä, joka löytää potentiaalisen kohteen ilman riittäviä suojauksia, voi piileskellä verkossa pitkiäkin aikoja kohteen sitä havaitsematta.

Opinnäytetyöni osoittaa, että perinteinen suojautuminen ei enää riitä vastaamaan näihin uhkiin. Tulokset vahvistavat hypoteesin, jonka mukaan lainsäädäntö ja standardit luovat toiminnalle välttämättömän minimitason, mutta ne eivät yksinään takaa organisaation selviytymiskykyä eli resilienssiä. Organisaatioiden on siirryttävä pelkästä riskienhallinnasta kohti aitoa kykyä palautua tilanteesta, jossa suojaus on jo murtunut.

Vastuu on johdolla, mutta toteutus vaatii koko henkilöstöä

Organisaation ylimmän johdon vastuulla on kyberturvallisuusriskien hallinnan toteuttaminen ja sen valvominen. Johdolla on oltava riittävä ymmärrys riskeistä, jotta päätökset resursseista ja investoinneista ovat vaikuttavia. Tutkimukseni kuitenkin paljastaa, että tätä päätöksentekoa ohjaa voimakkaasti ulkoinen pakko. Tulokset tukevat Gordon-Loebin mallia, jonka mukaan organisaatiot ovat taipuvaisia ali-investoimaan suojaukseen ilman regulaatiota. Haastatteluissa nousi esiin, että NIS2-direktiivi ja uusi kyberturvallisuuslaki (124/2025) toimivat ajureina, jotka pakottavat johdon budjetoimaan resursseja kyberturvallisuuden kehittämiseen. Yksin johto ei kuitenkaan pysty ratkaisemaan haasteita. Sitoutunut ja motivoitunut henkilöstö on organisaation voimavara, jonka osaaminen ulottuu syvälle teknisiin toteutuksiin ja arjen toimintaan. Resurssien niukkuus suhteessa kasvavaan työmäärään on kuitenkin todellinen haaste, mikä korostaa entisestään johdon strategisten valintojen ja koko organisaation osallistamisen merkitystä.

Riskienhallinta ja priorisointi

Suojautumisessa on huomioitava hallinnolliset ja tekniset toimenpiteet, jotka perustuvat tunnistettuihin riskeihin. Riskien tunnistamisen ja priorisoinnin on oltava jatkuva prosessi, sillä uhkat muuttuvat ja teknologiat vanhentuvat. Tutkimuksessani merkittävimmäksi tekniseksi haasteeksi tunnistettiin nimenomaan vanhentunut teknologiakanta. Haastatteluissa kuvattu tekninen monimutkaisuus, jota eräs vastaaja kuvasi osuvasti ”rakettispagetiksi”, estää hyökkäyspinta-alan tehokkaan pienentämisen. Organisaatiot joutuvat jatkuvasti tasapainoilemaan vanhan teknisen velan korjaamisen ja uusien kyvykkyyksien kehittämisen välillä. Vanhojen järjestelmien ylläpito usein syö resurssit, jotka tarvittaisiin modernin ja kestävämmän arkkitehtuurin kehittämiseen.

Monikerroksinen puolustus ja havaitsemisen tärkeys

Organisaation on pystyttävä havaitsemaan hyökkäyksen ensimmäiset vaiheet, sillä ulkoverkon reunoihin ja etäyhteyslaitteisiin kohdistuu jatkuvaa tiedustelua. Myös sähköpostitse tulevat kalasteluviestit ovat arkipäivää. Tutkimukseni mukaan organisaatiot luottavat havainnointikyvyssään tietoturvatiedon ja tapahtumien hallintajärjestelmiin ja päätelaitesuojaukseen. Tässä piilee kuitenkin riski. Verkkotason syväanalyysin vähäisempi käyttö jättää katvealueita, joissa hyökkääjä voi liikkua sivuttaissuunnassa organisaation sisäverkossa tulematta havaituksi. Vaikka organisaatioilla on kyky havaita teknisiä poikkeamia, syvällisempi ymmärrys hyökkääjän taktiikoista kärsii usein resurssipulasta. Monikerroksinen puolustus on välttämätöntä, koska jokainen kerros hidastaa hyökkäystä. Aito havaitsemiskyky vaatii teknisten hälytysten lisäksi kykyä yhdistää hiljaisia signaaleja kokonaiskuvaksi.

Toiminnan jatkuvuus varmistetaan harjoittelulla

Kiristyshaittaohjelmien lisäksi uhkana ovat tuhoavat haittaohjelmat, joiden tavoitteena on aiheuttaa mahdollisimman laajaa vahinkoa. Tässä valossa organisaatioiden on suunniteltava palautumiskäytäntönsä entistä tarkemmin. Tutkimukseni huolestuttavin havainto liittyy kuiluun hallinnollisen turvallisuuden ja käytännön suorituskyvyn välillä. Vaikka palautumissuunnitelmat ovat olemassa, niiden toimivuutta tositilanteessa ei useinkaan ole testattu riittävästi, etenkään laajoissa ja monimutkaisissa ympäristöissä. Tämä jättää organisaation haavoittuvaksi. Positiivisena ratkaisuna tutkimuksessa nousi esiin Infrastructure as Code -menetelmä, joka mahdollistaa saastuneen ympäristön nopean uudelleenrakentamisen. Pelkkä suunnitelma ei riitä ja toiminnan jatkuvuus varmistetaan vain säännöllisellä, skenaariopohjaisella harjoittelulla ja kriisiviestinnän testaamisella.

Kohti parempaa resilienssiä

Yhteenvetona voidaan todeta, että kyberresilienssi ei ole päätepiste vaan jatkuva prosessi. Se vaatii johdon sitoutumista, henkilöstön osallistamista ja jatkuvaa oppimista. Tutkimukseni osoittaa, että organisaatioiden on siirryttävä teknisestä suorittamisesta kohti strategista ”Oleta tietomurto” -ajattelua. Kybertapahtumien juurisyyanalyysi ja niistä oppiminen ovat avainasemassa toiminnan kehittämisessä. Kun organisaatio hyväksyy heikkoutensa, pienentää hyökkäyspinta-alaansa ja harjoittelee palautumista säännöllisesti, se ei ainoastaan selviydy iskuista, vaan voi kääntää resilienssin kilpailueduksi epävarmassa maailmassa. Suunta on oikea, mutta matka vaatii vielä työtä.

Lähteet

Henttinen, J. 2025. Kyberriskien hallinnasta kohti resilienssiä. Opinnäytetyö (YAMK). Kyberturvallisuus. Turku: Turun ammattikorkeakoulu. Viitattu 9.12.2025. https://urn.fi/URN:NBN:fi:amk-2025120833574

Kuva: Pixabay, TheDigitalArtist.

Tekijät

  • Joni Henttinen, Turun ammattikorkeakoulu

Opettaja

Pia Satopää
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe20251110106797

Viittausohje

Henttinen, J. 2025. Uhkana kyberhyökkäys – kyberriskienhallinnasta kohti resilienssiä. Talk by Students. Turku: Turun ammattikorkeakoulu. Viitattu 10.12.2025. https://urn.fi/URN:NBN:fi-fe20251110106797

Teemat | Themes

ICT ja tuotantotalous

Data Engineering ja AI-teknologiat (4) ICT (112) Master School ICT and Industrial Engineering (9) Ohjelmistotuotanto ja interaktiiviset teknologiat (4) Tuotantotalous (107) Verkotetut järjestelmät ja turvallisuus (4)

Liiketoiminta

Johtaminen (7) Kestävä ympäristö (6) Liiketalous (83) Logistiikka (44) Master School Business (47) Master School Engineering and Business (268) Myynti (25) Palvelut ja talous (23) Yrittäjyys (14) Yrittäjyys ja markkinointi (5)

Taideakatemia

Elokuva ja media (12) Master School Arts Academy (19) Nykytaide (11) Taidepedagogiikka ja taidekasvatus (7)

Tekniikka

Ajoneuvo- ja kuljetustekniikka (23) Energia- ja ympäristötekniikka (90) Energiajärjestelmät ja ajoneuvot (11) Kemiantekniikka (104) Kestävä ympäristö (6) Konetekniikka (123) Master School Engineering (6) Master School Engineering and Business (268) Master School ICT and Industrial Engineering (9) Rakentaminen (17) Teknologiateollisuus (27) Tuotantotalous (107)

Terveys ja hyvinvointi

Bioanalytiikka (3) Ensihoito (49) Fysioterapia (21) Hammastekniikka (14) Kätilötyö (13) Master School Engineering and Business (268) Master School Health and Well-being (222) Radiografia (8) Sairaanhoito (83) Sosiaali- ja kasvatusala (75) Terveydenhoito (33) Toimintaterapia (32)

Tekniikka ja liiketoiminta

Ajoneuvo- ja kuljetustekniikka (23) Energia- ja ympäristötekniikka (90) ICT (112) Kemiantekniikka (104) Konetekniikka (123) Liiketalous (83) Logistiikka (44) Master School Engineering and Business (268) Master School Health and Well-being (222) Myynti (25) Rakennustekniikka (67) Teknologiateollisuus (27) Tuotantotalous (107) Yrittäjyys (14)