Puolet kriittisen infrastruktuurin organisaatioista ei tunnista toimitusketjunsa haavoittuvuuksia, osoittaa DNV Cyberin tutkimus

Yhteiskunnan ja talouden kannalta olennaiset toimialat käyvät kilpavarustelua toimitusketjujensa digitaalisia heikkouksia hyödyntäviä hyökkääjiä vastaan, DNV Cyberin tuore tutkimus osoittaa. Tiukentuva sääntely on osoittautunut tehokkaaksi kannustimeksi panostaa kyberturvallisuuteen.

Kyberturvayhtiö DNV Cyber teetti kansainvälisen kyselyn, johon vastasi yli 1150 kriittisen infrastruktuurin parissa työskentelevää ammattilaista, osa myös Suomesta. Pohjoismaissa kyselyyn vastasi 207 ammattilaista. Vain reilu puolet (56 %) pohjoismaalaisista vastaajista luottaa siihen, että heidän organisaationsa näkee kyberturvallisuuden haavoittuvuudet, joille liiketoiminta altistuu toimitusketjun komponenttien, ohjelmistojen ja kolmansien osapuolten palveluntarjoajien kautta. 

 

Toimitusketjun kyberturvallisuudessa on parantamisen varaa myös Suomessa 

Toimitusketjuun murtautuminen voi tarjota pääsyn usean organisaation järjestelmiin. Kolme neljästä (73 %) ammattilaisesta Pohjoismaissa uskoo, että heidän oman organisaationsa kyberturvakoulutus ei valmista työntekijöitä varautumaan kehittyneempiin uhkiin. Yli kolmannes (38 %) uskoo, että kyberhyökkääjät ovat saattaneet soluttautua organisaation toimitusketjuun ilman, että toimittajat ovat raportoineet siitä.

”Kyberturvavaatimusten pitäisi koskettaa kaikkia hankintoja ja sopimuksia. Jos suomalaisilla organisaatioilla olisi nykyistä parempi näkyvyys toimitusketjuun, hienostuneempiin hakkerointiyrityksiin voisi varautua paremmin”, sanoo Jan Mickos, DNV Cyberin hallinnoitujen palvelujen johtaja.

Viimeaikaisia kehittyneitä toimitusketjuihin kohdistuneita hyökkäyksiä ovat muun muassa vuonna 2023 tiedostonsiirto-ohjelma MOVEitin tietoturvaloukkaus. Se johti tuhansien organisaatioiden tietojen varastamiseen, mukaan lukien kriittisen infrastruktuurin toimijoita energia- ja terveydenhuollon sektorilta. Myös useita suomalaisia organisaatioita päätyi MOVEit-hyökkäyksen kohteeksi.

Vuonna 2024 Yhdysvaltain ja Ison-Britannian hallitukset varoittivat valtavasta Venäjän kampanjasta, joka kohdistui muun muassa toimitusketjujen tunnettuihin haavoittuvuuksiin. Kyseessä oli sama hakkeriryhmä, joka oli vuoden 2020 SolarWinds-hakkeroinnin taustalla. Silloin Venäjän ulkomaantiedustelupalvelu (SVR) murtautui IT-seurantayhtiö SolarWindsin ohjelmistoon ja pääsi käsiksi tuhansien asiakkaiden verkkoihin, järjestelmiin ja tietoihin. Mukaan lukeutui esimerkiksi valtionhallintoa ja kriittisen infrastruktuurin organisaatioita. 

 

Tiukentuva sääntely kannustaa investoimaan kyberturvallisuuteen – Suomen kyberturvallisuuslaki etenemässä

Tällä hetkellä kriittistä infrastruktuuria hallinnoivat organisaatiot investoivat kyberturvallisuuteen tietotekniikan (IT) ja operatiivisen teknologian (OT) turvaamiseksi, mutta toimitusketjujen kyberturvallisuutta ei samalla tavalla vahvisteta, DNV Cyber varoittaa tutkimuksessaan.

”Kriittisen infrastruktuurin tietoturvaloukkauksen seuraukset voivat olla erityisen vakavia kansalliselle turvallisuudelle, yhteiskunnalle ja taloudelle. Sääntely on tutkimuksemme mukaan kaikista suurin kyberturvainvestointien ajuri ja yksi tehokkaimmista työkaluista kyberturvallisuuden vahvistamiseen ja toimitusketjun riskien hallintaan”, Mickos sanoo.

Eduskunnan liikenne- ja viestintävaliokunta sai helmikuussa 2025 valmiiksi esityksen, joka panee täytäntöön EU:n kyberturvallisuusdirektiivin, eli niin kutsutun NIS2-direktiivin. Uusi kyberturvallisuuslaki vahvistaa EU:n ja jäsenvaltioiden kyberturvallisuutta, tehostaa uhkiin varautumista ja asettaa vaatimuksia myös toimitusketjujen turvallisuudelle.

DNV Cyberin kyselytutkimuksen mukaan noin 62 % kriittisen infrastruktuurin ammattilaisista Pohjoismaissa luottaa siihen, että heidän organisaationsa kykenevät sisällyttämään kyberturvallisuusvelvoitteet uusiin sopimuksiin toimittajien kanssa. 

 

Lisää tietoa

Lataa mediakuvat ja kaaviot täältä.

Kysyttäessä DNV Cyber voi tarjota tarkempaa dataa Euroopasta ja Pohjoismaista.  

 

Cyber Priority -tutkimus

Cyber Priority -tutkimus tutkii kyberturvallisuuteen liittyviä asenteita ja lähestymistapoja keskeisillä teollisuudenaloilla. Tuorein tutkimus perustuu yli 1 150 ammattilaisen kyselyyn ja eri toimialojen johtajien haastatteluihin. Tutkimus suoritettiin syyskuun 2024 ja tammikuun 2025 välisenä aikana. DNV Cyber on jo julkaissut kaksi Cyber Priority 2025 -raporttia, joista ensimmäinen pohjautuu energia-alan asiantuntijoiden vastauksiin ja toinen merenkulun asiantuntijoiden vastauksiin.