Mihin uhkiin tulee varautua – 2/25
Elinkeinoelämän odotetaan toteuttavan liiketoiminnan sekä huoltovarmuuskriittisten toimintojen jatkuvuudenhallintaa. Ja osana jatkuvuudenhallintaa on erottamattomasti niihin liittyvien uhkien tunnistaminen sekä näistä koituvien riskien hallinta. Uhkien tunnistamisen tueksi on paljon ajankohtaisia listauksia uhista joiden avulla voi oman prosessinsa aloittaa. Nyt Digipoolin yritykset ovat päivittäneet alan uhkakartan ja suosittelevat sen huomioimista yrityksessä kuin yrityksessä.
Uhkien tunnistamisen merkitys
Huoltovarmuus nojaa pitkälti siihen, että elinkeinoelämä pitää huolen kriittisistä toiminnoista, joita se toimittaa. Logiikkana on se, että yritysten tulee tunnistaa ne kriittiset liiketoimintaprosessit, joista oma arvontuotanto on riippuvainen ja suojattava ne parhaansa mukaan. Liiketoimintakriittisten toimintojen lisäksi suojata tulee myös huoltovarmuudelle kriittiset toiminnot, vaikkeivat ne olisikaan liiketoiminnalle kriittisiä.
Kun kriittiset toiminnot on tunnistettu ja lähdetään niitä suojaamaan pitää arvioida se, mitkä asiat toimintoja voivat uhata ja lähteä miettimään voiko niistä uhista koitua meille tai huoltovarmuudelle riskejä. Usein tässä kohdataankin jo haasteita kun mietitään mitä ne uhat nyt sitten voivat olla, joita tulisi huomioida. Onneksi uhkakarttoja on tarjolla monenlaisia ja näitä kannattaakin hyödyntää ja miettiä, mitkä niistä ovat meidän toimintaamme vaikuttavia. Tässä pyrimme auttamaan tuottamalla uhkakarttoja, jotka erittelevät kulloinkin huomioitavia uhkia.
Uhkakarttojen hyödyistä
Johtuen siitä, että elinkeinoelämän yritysedustajat ovat toistuvasti tiedustelleet sitä, että mihin tulisi varautua – on siihen pyritty vastaamaan tarjoamalla tietoa niistä uhista (ja paikoin riskeistä) joita tulee huomioida omassa käsittelyprosessissa. Ei ole siis tarkoitus tehdä riskienhallintaa yritysten puolesta vaan tarjota prosessiin syötettä. Ja jos ei muuta niin tarjotuista uhkalistoista on se hyöty, että niiden avulla voi tarkistaa onko omassa riskienhallintaprosessissa huomioitu kyseistä uhkaa tai onko aiheelle hallintakeinot olemassa.
Yleisiä uhkatiedon lähteitä
Kun uhkia listataan ei saa unohtaa tyypillisimpiä uhkatiedon lähteitä, joita kaikkien huoltovarmuusorganisaation toimijoiden kannustetaan huomioimaan omassa Uhkakartoituksessaan ovat mm. Yhteiskunnan turvallisuusstrategia, Suomen kyberturvallisuusstrategia, Kansallinen riskiarvio sekä alueelliset riskiarviot, Suojelupoliisin kansallisen turvallisuuden katsaus ja Valtioneuvoston päätös huoltovarmuuden tavoitteista.
Näiden lisäksi on tietysti monia muita uhkia listaavia julkaisuita niin suomessa kuin ulkomaillakin.
Pari laajalle levinnyttä uhkajulkaisua ovat: World Economic forum – Global Risks Report ja Allied Universal – World Security Report.
Jotta uhka-aiheita olisi helppo löytää em. lähteistä on ne koostettu näppärästi tekoälyn avulla. Yleisten uhkien listaukseen on kerätty ne uhat, jotka löytyvät em. kansallisista uhkatiedon lähteistä ja jotka ovat erityisesti ICT alan yritysten huomioitava toiminnassaan. Voit kerrata listauksen edellisestä julkaisustamme.
Yleisistä Uhista alakohtaisiin uhkiin
ICT alan toimijoihin vaikuttaa monet yleisiä uhkia kehittyneemmät tai monimutkaisemmat uhat. Digipoolin työpajoissa onkin nyt koostettu kotimaisten alan yritysten kanssa yhdessä muodostetut uhkakartat hyödynnettäväksi jatkuvuudenhallinnan tukena. Digipooli yrityksineen on sitoutunut siihen, että uhkakarttaa ylläpidetään ja sisältö päivitetään 2 kertaa vuodessa (tai kun syytä päivityksille ilmenee) ja julkaisemme uhkakartan jatkuvuudenhallinnan tueksi.
Digipoolin työpajapäivissä 2025 H1:llä ja nyt H2:lla (30.10.2025) on uhka-aiheiden listaa päivitetty – samalla päivitettiin myös Uhkakartta työkalu ja piirretiin Uhat niitä havainnollistavaan kaavioon. Uhkia on arvioitu tyypillisten todennäköisyyksien ja vaikuttavuuksien kannalta sekä uhkia on arvioitu proaktiivisuuden vaativuuden tai reaktiivisuuden kannalta. Lisäksi Uhkien syitä on jaettu PESTEL logiikan mukaisiin sektoreihin. Näin on saatu aikaan taas päivitetty ICT alan Uhkakartta.
Voit ladata alta uhkakartta työkalun excel muodossa ja karttakuvatuksen sisältävän esityksen pdf muodossa – tai jos tarvitset esityksen muokattavassa pptx muodossa, niin olethan yhteydessä.
Mikä Uhkakartalla on muuttunut puolessa vuodessa?
Toukokuun Uhkakartan päivityksen jälkeen Uhkakeskusteluihin ovat uineet Talouden pitkä haastava jakso ja sen vaikutukset. ICT alakin on saanut osansa heikosta kysynnästä ja sillä on ollut vaikutuksia ja mm. alalla harvoin nähtyjä muutosneuvotteluita on ollut lähes joka talossa. Toisaalta työvoiman saatavuudesta ei niinkään ole enää puhetta, korkeintaan joidenkin tiettyjen osa-alueiden osaamisessa sitä ilmenee. Esim. kyberturvallisuus toteutuksilla on ollut kova kysyntä ja sikäli sen alueen asiantuntijoista on pulaa.
Samalla alaa haastaa IT asiantuntijapalveluiden hintatason jatkuva lasku. Monet ICT alan yritykset pyrkivät kasvua tehdessään katsomaankin ulkomaille johtuen taloustilanteesta ja heikosta kysynnästä. Ja tämä taas johtaa ulkomaisen työvoiman hyödyntämisen tarpeisiin ja uhkiin – Offshore palveluiden epäjatkuvuus onkin huomioitava ulkomaista työvoimaa tai yritysostoja mietittäessä.
Ehkä vähän yllättäen sodan uhkaa ei pidetä kovin korkeana, mutta Euroopassa käytävän sodan luomien epävarmuuksien taas pidetään. Tästä huolimatta uhkakartalle on noussut kokemusten perusteella huomioitavaksi jopa kineettinen vaikuttaminen yrityksiin (sabotaasi?) tai henkilöstön maalittaminen eri tavoin (esim. rekrytointiaihe), jotka molemmat voivat olla tavoitteiltaan yrityksen toiminnan hankaloittamista kriittisten tuotosten suhteen tai voi liittyä myös tiukkaan kilpailutilanteeseen.
EU:ssa päätään nostava suvereniteettikehitys nousee myös merkittävänä listoille ja lähes joka päivä kohdataan pohdintaa siitä voidaanko amerikkalaisiin palveluihin luottaa – ja vaikka teknisten kontrollien avulla niihin voidaan hyvinkin luottaa ei uhkaa voi sivuuttaa vaan se vaatii aktiivista käsittelyä ja päätöksentekoa.
Lainsäädännölliset ja Regulaatioähkyn aiheet edelleen näkyvät listoilla, mutta niiden merkitys on pienentynyt – liekö sitten niin, että elinkeinoelämällä alkaa olla parempi käsitys viimeisimmän sääntelyaallon vaikutuksista yritysten toimintaan.
Samalla kun pohdittiin PESTEL mallin mukaisesti uhkien syille kategorioita nähtiin, että alan yrityksissä koetaan lainsäädännöllisten uhkienlisäksi varsin vähän ympäristöön liittyviä uhkia. Ja lienee selvääkin, että alan toimijat jakaantuvat tässä sellaisiin, joilla on enemmän fyysisiä assetteja ja sellaisia joilla niitä ei juuri ole. Ympäristöön liittyvät uhat kun on huomioitava ennen kaikkea verkkoinfran tai datacentereiden ja toimitilojen osalta.
Tekoälyn tiivistelmä alan Uhista
Koska kymmenien ihmisten tekemä listaus uhista on monenkirjava (uhka-aiheiden kuvauksien osalta), teetettiin myös tekoälyllä tiivistämistehtävä. Näin saatiin listamme perusteella muodostettua 10 ydinuhkaa, jotka ovat sekä strategisesti että operatiivisesti olennaisimpia.
TOP 10 ICT ALAN UHKAA:
- Vihamielinen valtiollinen vaikuttaminen ja geopoliittinen epävakaus
- Toimitusketjujen haavoittuvuus ja teknologinen riippuvuus
- Kyberrikollisuuden ja hybridivaikuttamisen kasvu
- Korkean osaamisen ja työvoiman saatavuusongelmat
- Regulaation ja vaatimustenmukaisuuden kiristyminen
- Luottamuksen ja yhteiskunnallisen resilienssin heikkeneminen
- Tekoälyn ja kehittyneiden teknologioiden väärinkäyttö
- Talouden epävarmuus ja investointien väheneminen
- Huoltovarmuuden kannalta kriittisten yritysten siirtyminen ulkomaiseen omistukseen
- Kestävän kehityksen ja ympäristömuutosten tuomat rakenteelliset riskit
