Kybervaikuttaminen EU:n ja Naton jäsenmaihin kohdistuvana ilmiönä : uhkakuvat, toimintatavat ja resilienssin kehittäminen
Satamo, Anton (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025111928652
https://urn.fi/URN:NBN:fi:amk-2025111928652
Tiivistelmä
Opinnäytetyön tavoitteena oli syventää ymmärrystä EU:n ja Naton jäsenmaihin kohdistuvasta kybervaikuttamisesta sekä jäsentää ilmiön uhkakuvia, toimintatapoja ja keskeisiä toimijoita. Työssä tarkasteltiin, miten jäsenmaat ovat kehittäneet kyberresilienssiään ja millaisin keinoin näiden toimien vaikuttavuutta voidaan arvioida. Opinnäytetyö käsittelee kybervaikuttamista osana laajempaa hybridivaikuttamisen kokonaisuutta ja tarjoaa näkökulmia, jotka tukevat turvallisuuspolitiikkaa, viranomaisten toimintaa ja organisaatioiden varautumista. Tutkimuksessa keskityttiin kolmeen pääkysymykseen, jotka olivat, millaisia menetelmiä kybervaikuttamisessa käytetään, keitä ovat keskeisimmät uhkatoimijat sekä miten jäsenmaat vahvistavat resilienssiään. Työ toteutettiin osana Hämeen ammattikorkeakoulun tietojenkäsittelyn koulutusohjelmaa.
Teoreettisessa viitekehyksessä määriteltiin keskeiset käsitteet, kuten kyberturvallisuus, resilienssi, kriittinen infrastruktuuri, informaatio-operaatiot ja APT-toimijat. Tietopohja rakentui viranomaisraporteista, kansainvälisten järjestöjen ja tutkimuslaitosten julkaisuista sekä vertaisarvioiduista tutkimuksista. Menetelmällisesti työ oli tutkimuksellinen ja rakenteeltaan IMRD-mallia mukaileva. Empiirinen osuus koostui narratiivisesta kirjallisuuskatsauksesta ja kahdesta tapausanalyysistä, jotka olivat NotPetya (2017) ja SolarWinds (2020). Molemmat tapaukset analysoitiin teoriaohjaavan sisällönanalyysin avulla yhtenäisellä arviointikehikolla, joka tarkasteli teknistä toteutusta, toimijoita ja motiiveja, vaikutuksia, EU:n ja Naton reaktioita sekä vastatoimien tehokkuutta.
Tulokset osoittivat, että kybervaikuttaminen on monimuotoinen ja jatkuvasti kehittyvä ilmiö, joka kytkeytyy vahvasti hybridivaikuttamiseen. Tyypillisiä muotoja ovat tietomurrot ja tunkeutumiset, palvelunestohyökkäykset, kriittisen infrastruktuurin häirintä sekä disinformaatiokampanjat. Erityisesti toimitusketjujen ja identiteettijärjestelmien hyväksikäyttö nousi keskeiseksi trendiksi. Uhkakentässä valtiolliset APT-ryhmät ja ei-valtiolliset toimijat limittyvät toisiinsa muodostaen monikerroksisen toimintaympäristön. Kyberresilienssi on parantunut EU-tason sääntelyn esimerkiksi NIS2 ja Cyber Resilience Act toimesta, Naton yhteistyön, harjoitusten ja tiedonvaihdon sekä kansallisten varautumismallien ja julkisen sekä yksityisen sektorin yhteistyön ansiosta.
Johtopäätöksenä todettiin, että vaikka kehitystä on tapahtunut, merkittäviä haavoittuvuuksia on yhä olemassa ja erityisesti toimitusketjujen hallinnassa, identiteetinhallinnassa ja pilviympäristöjen suojaamisessa. Lisäksi kyberhyökkäysten tekijöiden tunnistaminen ja oikeasuhtaisten vastatoimien toteuttaminen on edelleen haastavaa. Työssä suositellaan turvallisuuslähtöistä suunnittelua (secure-by-design), toimittajariskien läpinäkyvyyttä (SBOM ja allekirjoitusketjut), jatkuvaa valvontaa sekä yhteisiä kyber- ja informaatioharjoituksia. “Harmaan vyöhykkeen” toimintaan kohdistuva pelote on edelleen rajallinen, mutta kokonaisuudessaan varautuminen ja reagointikyky ovat vahvistuneet. Tutkimuskysymyksiin pystyttiin vastaamaan kattavasti, ja tulokset tarjoavat kokonaiskuvan, joka tukee sekä poliittista päätöksentekoa että käytännön turvallisuustyötä EU:n ja Naton konteksteissa. The aim of this thesis was to deepen the understanding of cyber influence operations directed against EU and NATO member states and to clarify the threat landscape, methods, and key actors involved. The work examined how member states have sought to strengthen their cyber resilience and how the effectiveness of these measures can be evaluated. The thesis approaches cyber influence as part of broader hybrid operations and contributes insights that support security policy, public administration, and organizational preparedness. The research questions focused on three key areas which were the methods and techniques used in cyber influence, the main threat actors, and the strategies developed to enhance resilience. This bachelor’s thesis was completed as part of the Business Information Technology programme at Häme University of Applied Sciences (HAMK).
The theoretical framework defines the core concepts of the study which are cybersecurity, resilience, critical infrastructure, information operations, and advanced persistent threats (APT). The knowledge base was built on official reports, publications by international organisations and research institutes, and peer-reviewed academic sources. Methodologically, the study followed a research-oriented structure and combined a narrative literature review with two in-depth case studies which were NotPetya (2017) and SolarWinds (2020). Both cases were analysed through theory-guided content analysis, using a consistent framework that examined technical implementation, actors and motives, consequences, responses by the EU and NATO, and the overall effectiveness of countermeasures.
The findings revealed that cyber influence operations are multifaceted and closely linked to hybrid warfare. Typical methods include intrusions and data breaches, denial-of-service attacks, disruptions of critical infrastructure, and coordinated disinformation campaigns. A growing trend is the exploitation of supply chains and identity ecosystems, which exposes new vulnerabilities. The research identified both state-sponsored APT groups and non-state actors as significant players in the threat environment. Cyber resilience across Europe and the NATO alliance has improved through new regulatory frameworks such as NIS2 and the Cyber Resilience Act, enhanced information sharing, joint training, national preparedness models, and public–private cooperation.
Despite progress, the study concludes that structural weaknesses and particularly in supply chain management, identity governance, and cloud infrastructure remain major challenges. Additionally, the link between attribution and proportionate countermeasures is still fragile. The thesis recommends embedding security-by-design principles, improving supplier transparency through SBOMs and signing chains, maintaining continuous monitoring, and expanding joint cyber and information warfare exercises. While deterrence against “grey-zone” operations remain limited, overall readiness has improved. The research questions were successfully answered, and the outcomes provide a comprehensive perspective that can inform both policy development and operational preparedness across EU and NATO contexts.
Teoreettisessa viitekehyksessä määriteltiin keskeiset käsitteet, kuten kyberturvallisuus, resilienssi, kriittinen infrastruktuuri, informaatio-operaatiot ja APT-toimijat. Tietopohja rakentui viranomaisraporteista, kansainvälisten järjestöjen ja tutkimuslaitosten julkaisuista sekä vertaisarvioiduista tutkimuksista. Menetelmällisesti työ oli tutkimuksellinen ja rakenteeltaan IMRD-mallia mukaileva. Empiirinen osuus koostui narratiivisesta kirjallisuuskatsauksesta ja kahdesta tapausanalyysistä, jotka olivat NotPetya (2017) ja SolarWinds (2020). Molemmat tapaukset analysoitiin teoriaohjaavan sisällönanalyysin avulla yhtenäisellä arviointikehikolla, joka tarkasteli teknistä toteutusta, toimijoita ja motiiveja, vaikutuksia, EU:n ja Naton reaktioita sekä vastatoimien tehokkuutta.
Tulokset osoittivat, että kybervaikuttaminen on monimuotoinen ja jatkuvasti kehittyvä ilmiö, joka kytkeytyy vahvasti hybridivaikuttamiseen. Tyypillisiä muotoja ovat tietomurrot ja tunkeutumiset, palvelunestohyökkäykset, kriittisen infrastruktuurin häirintä sekä disinformaatiokampanjat. Erityisesti toimitusketjujen ja identiteettijärjestelmien hyväksikäyttö nousi keskeiseksi trendiksi. Uhkakentässä valtiolliset APT-ryhmät ja ei-valtiolliset toimijat limittyvät toisiinsa muodostaen monikerroksisen toimintaympäristön. Kyberresilienssi on parantunut EU-tason sääntelyn esimerkiksi NIS2 ja Cyber Resilience Act toimesta, Naton yhteistyön, harjoitusten ja tiedonvaihdon sekä kansallisten varautumismallien ja julkisen sekä yksityisen sektorin yhteistyön ansiosta.
Johtopäätöksenä todettiin, että vaikka kehitystä on tapahtunut, merkittäviä haavoittuvuuksia on yhä olemassa ja erityisesti toimitusketjujen hallinnassa, identiteetinhallinnassa ja pilviympäristöjen suojaamisessa. Lisäksi kyberhyökkäysten tekijöiden tunnistaminen ja oikeasuhtaisten vastatoimien toteuttaminen on edelleen haastavaa. Työssä suositellaan turvallisuuslähtöistä suunnittelua (secure-by-design), toimittajariskien läpinäkyvyyttä (SBOM ja allekirjoitusketjut), jatkuvaa valvontaa sekä yhteisiä kyber- ja informaatioharjoituksia. “Harmaan vyöhykkeen” toimintaan kohdistuva pelote on edelleen rajallinen, mutta kokonaisuudessaan varautuminen ja reagointikyky ovat vahvistuneet. Tutkimuskysymyksiin pystyttiin vastaamaan kattavasti, ja tulokset tarjoavat kokonaiskuvan, joka tukee sekä poliittista päätöksentekoa että käytännön turvallisuustyötä EU:n ja Naton konteksteissa.
The theoretical framework defines the core concepts of the study which are cybersecurity, resilience, critical infrastructure, information operations, and advanced persistent threats (APT). The knowledge base was built on official reports, publications by international organisations and research institutes, and peer-reviewed academic sources. Methodologically, the study followed a research-oriented structure and combined a narrative literature review with two in-depth case studies which were NotPetya (2017) and SolarWinds (2020). Both cases were analysed through theory-guided content analysis, using a consistent framework that examined technical implementation, actors and motives, consequences, responses by the EU and NATO, and the overall effectiveness of countermeasures.
The findings revealed that cyber influence operations are multifaceted and closely linked to hybrid warfare. Typical methods include intrusions and data breaches, denial-of-service attacks, disruptions of critical infrastructure, and coordinated disinformation campaigns. A growing trend is the exploitation of supply chains and identity ecosystems, which exposes new vulnerabilities. The research identified both state-sponsored APT groups and non-state actors as significant players in the threat environment. Cyber resilience across Europe and the NATO alliance has improved through new regulatory frameworks such as NIS2 and the Cyber Resilience Act, enhanced information sharing, joint training, national preparedness models, and public–private cooperation.
Despite progress, the study concludes that structural weaknesses and particularly in supply chain management, identity governance, and cloud infrastructure remain major challenges. Additionally, the link between attribution and proportionate countermeasures is still fragile. The thesis recommends embedding security-by-design principles, improving supplier transparency through SBOMs and signing chains, maintaining continuous monitoring, and expanding joint cyber and information warfare exercises. While deterrence against “grey-zone” operations remain limited, overall readiness has improved. The research questions were successfully answered, and the outcomes provide a comprehensive perspective that can inform both policy development and operational preparedness across EU and NATO contexts.