Etusivu Ajankohtaista Yritystarinat Tietoturva on osa kriittistä infrastruktuuria – ”Resilienssi rakentuu vaihtoehdoista”

Tietoturva on osa kriittistä infrastruktuuria – ”Resilienssi rakentuu vaihtoehdoista”

26.3.2026 - Yritystarinat

Nainen ikkunan edessä erilaisten pienten näyttöjen vieressä.

Digitaaliset järjestelmät sitovat yhteiskuntia ja yrityksiä yhä tiukemmin samoihin teknologioihin ja toimittajiin. Häiriötilanteessa nousee kysymys toimintakyvystä: pystytäänkö toimimaan omilla ehdoilla vai ollaanko muiden varassa. ”Resilienssi perustuu ennen kaikkea ennakoivaan työhön”, sanoo suomalaisen tietoturvayhtiön WithSecuren Tiina Sarhimaa.

Lentokentän lähtötaulu pimenee. Tehtaan tuotanto pysähtyy. Sairaalassa ei saada potilastietoja auki. Kesällä 2024 yksi tietoturvapäivitys pysäytti järjestelmiä ympäri maailmaa, ja vaikutukset näkyivät arjessa heti.

WithSecuren yhteiskuntasuhteista vastaavan lakiasiainjohtajan Tiina Sarhimaan mukaan tietojärjestelmien ja -turvan uhkana ei ole vain mahdollinen yksittäinen virhe, vaan se, kuinka laajasti yhteen ja samaan teknologiaan on nojauduttu. Vasta häiriötilanteessa paljastuu, miten moni kriittinen toiminto on sidottu samaan järjestelmään tai toimittajaan.

”Kun tulee tällainen iso häiriö, moni eurooppalainen toimija voi halvaantua samaan aikaan. Ja kun häiriö on myös Yhdysvalloissa, niin ketä autetaan ensin? Tällaisessa tilanteessa se on konkreettinen kysymys.”

Perustettu: 1988 (F-Secure, yritystietoturvaliiketoiminta eriytettiin WithSecureksi vuonna 2022)
Kotipaikka: Helsinki
Toimiala: Kyber- ja tietoturvaratkaisut yrityksille
Liiketoiminta: Ohjelmistot ja palvelut, joilla yritykset tunnistavat, torjuvat ja hallitsevat kyberuhkia
Asiakkaat: Yritykset ja julkinen sektori, erityisesti Euroopassa
Henkilöstö: noin 600
Listaus: Nasdaq Helsinki – pörssilistalta poistuminen käynnissä Risto Siilasmaan ja Eurooppalaisen rahaston, CVC:n, muodostaman konsortion ostotarjouksen pohjalta.

Resilienssi perustuu riippuvuuksien ja riskien tunnistamiseen

Resilienssi ei ole vain sitä, kestävätkö järjestelmät häiriöitä ja hyökkäyksiä. Olennaista on, onko toimintakyky häiriötilanteessa omissa käsissä. Geopolitiikan kiristyessä teknologia ei ole enää neutraali taustatekijä, vaan osa laajempaa turvallisuusympäristöä.

Sarhimaan mukaan resilienssi on ennen kaikkea ennakoivaa työtä. Riippuvuudet ja riskit pitäisi tunnistaa ja toimia ennen ongelmien syntymistä.

”Olemme Euroopassa ja erityisesti Suomessa aika suuresti riippuvaisia ei-eurooppalaisista kyberturvateknologioista. Pitäisi miettiä, miten toimitaan, jotta meillä säilyy itsenäinen toimintavapaus, jos jotain tapahtuu. Digitaalinen suvereniteetti on käytännössä valinnanvapautta – että ei olla täysin riippuvaisia yhdestä tai muutamista toimijoista, joihin ei voida vaikuttaa.”

Kyberturva nousi ohi ilmasto- ja talousriskien

WithSecuren lakiasiainjohtaja Tiina Sarhimaa kertoo, että Münchenin turvallisuuskonferenssissa helmikuussa kyberturva nousi teollistuneiden maiden suurimmaksi riskiksi – ohi ilmasto- ja talousriskien. Digitaalinen toimintakyky nähdään osana yhteiskunnan perustaa.

”Kyberhyökkäykset kohdistuvat yhteiskuntiin, yrityksiin ja yksityisiin ihmisiin. Ne ovat jatkuvasti käynnissä oleva ilmiö, ja niiden taustalla on usein valtiollisia toimijoita. Kyse ei ole yksittäisistä tapauksista vaan laajemmasta kokonaisuudesta.”

Resilienssi voi parhaimmillaan tuoda yritykselle kilpailuetua. ”On tavoiteltavaa, että häiriöt tunnistetaan ja torjutaan niin ajoissa, että asiakas ei välttämättä huomaa mitään”, WithSecuren yhteiskuntasuhteista vastaava lakiasiainjohtaja Tiina Sarhimaa toteaa.

Yritysten ja muiden organisaatioiden ei pitäisi käsitellä kyberturvaa irrallisena teknisenä kysymyksenä, Sarhimaa sanoo. On syytä harkita, miten ja mitä teknologiaa hankitaan, miten järjestelmät rakennetaan ja kenen varaan toiminta lopulta nojaa.

”Suomessa valtaosa yrityksistä ja julkisesta sektorista käyttää Microsoftin tietoturvaratkaisuja. Tämä kertoo, kuinka vahvasti olemme yhden toimijan varassa, vaikka markkinassa olisi myös muita vaihtoehtoja.”

Sarhimaan mukaan ilmiölle on syynsä. Teknologiaa tarjotaan kokonaisuuksina, joissa työkalut, pilvipalvelut ja tietoturva nivoutuvat yhteen. Yritykselle tämä on usein helppo ratkaisu, mutta samalla syntyy riippuvuuksia, joita ei ole helppo purkaa.

”Jos yritys hankkii toimisto- ja pilvipalvelut yhdeltä toimittajalta, siihen paketoidaan usein myös tietoturvaratkaisut. Silloin voi syntyä kuva, että kaikki on hoidettu yhdellä kertaa. Todellisuudessa kokonaisuuden hallinta vaatii paljon osaamista ja resursseja.”

Sääntely tuonut mukanaan uuden ongelman

Euroopassa tähän teknologian keskittymiseen ja riippuvuuksien kasvuun on pyritty vastaamaan sääntelyllä, joka on lisännyt yritysten velvoitteita ja tuonut kyberturvan osaksi johtamista. Sarhimaan mukaan suunta on oikea, mutta toteutus on tuonut mukanaan uuden ongelman.

”Lainsäädäntöä on tullut valtavasti yhdellä kertaa, ja monelle yritykselle siitä on tullut iso compliance-harjoitus. Fokus menee helposti siihen, että paperit pidetään kunnossa ja raportointi toimii. Sen sijaan pitäisi keskittyä siihen, että on kyvykkyyksiä tunnistaa ja torjua hyökkäyksiä ja pystyä reagoimaan niihin nopeasti.”

Nainen ikkunan edessä seisomassa auringon paisteessa. — ”Tärkeää on, että kyberturva toimii kokonaisuutena”, Sarhimaa sanoo

Sarhimaa toteaa, että myös Euroopan markkinassa olisi parantamisen varaa. Teknologiaa kehitetään, mutta liiketoiminnan kasvattaminen globaaliksi on vaikeampaa kuin muualla.

”Euroopasta puuttuu mekanismi, jolla innovaatiot skaalataan nopeasti. Yhdysvalloissa valtio voi olla ensimmäinen suuri asiakas, joka mahdollistaa kasvun. Euroopassa yritykset törmäävät sääntelyviidakkoon ja hajanaisiin soveltamiskäytäntöihin.”

Resilienssi voi olla yritykselle kilpailuetu

Sarhimaan mukaan resilienssi voi parhaimmillaan tuoda yritykselle kilpailuetua, mikäli se näkyy asiakkaalle toimintavarmuutena.

“Jos pystytään tunnistamaan ja torjumaan häiriöt riittävän ajoissa ja reagoimaan nopeasti, asiakas ei välttämättä huomaa mitään, vaikka taustalla on saattanut tapahtua paljonkin. Tätä lopputulosta pitäisi tavoitella.”

Tärkeää on, että kyberturva toimii kokonaisuutena. Toimitusketjut ovat yksi kriittisistä lenkeistä: keillä kumppaneilla on pääsy yrityksen järjestelmiin, missä dataa prosessoidaan ja miten nämä toimijat suojaavat oman toimintansa.

”Tämä on yksi yleisimmistä sokeista pisteistä yrityksissä. Helposti keskitytään vain omaan ympäristöön, ja hyökkäykset tulevat toimittajan kautta. Jos toimittajalla on haavoittuvuus ja pääsy asiakkaan ympäristöön, sitä kautta voidaan päästä sisään. Siksi pitää tietää ja ymmärtää, ketkä ovat osa omaa kokonaisuutta ja miten hyvin heidän järjestelmänsä toimivat.”

Tekoälystä on tullut uusin osa kyberkokonaisuuteen. Alan perinteinen asetelma ei ole kuitenkaan muuttunut: hyökkääjä ja puolustaja käyvät kilpajuoksua siitä, kumpi ehtii ensin.

”Tekoälyä hyödynnetään hyökkäyksissä jo valtavasti, ja siksi sitä on pakko osata käyttää myös puolustuksessa. Tekoäly tehostaa molempien osapuolten toimintaa.”

WithSecuren Tiina Sarhimaan vinkit yrityksille:

Katso hankintaketjua kokonaisuutena. Tiedä, ketkä toimittajat ovat osa ympäristöäsi, millaisia riippuvuuksia niihin liittyy ja missä dataasi prosessoidaan.
Määrittele tavoitetila ennen ratkaisuja. Lähde liikkeelle siitä, millaista tietoturvan lopputulosta tavoittelet ja mitä kyvykkyyksiä se edellyttää – ei yksittäisistä säädöksistä.
Harkitse, mistä teknologia tulee. EU-alueella kehitettyjen ratkaisujen käyttö vahvistaa markkinaa, Euroopan ja Suomen huoltovarmuutta ja tuo vaihtoehtoja pitkällä aikavälillä.

Teksti: Mikko Viljanen
Kuvat: Liisa Takala