Kyberriskien hallinnasta kohti resilienssiä
Henttinen, Joni (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025120833574
https://urn.fi/URN:NBN:fi:amk-2025120833574
Tiivistelmä
Opinnäytetyön tavoitteena oli selvittää kriittiset tekijät organisaation kyvylle torjua, havaita ja palautua kyberhyökkäyksistä. Hypoteesina oli, että pelkkä lainsäädännön ja standardien noudattaminen luo toiminnalle minimitason, mutta ei yksinään takaa organisaation selviytymiskykyä jatkuvasti muuttuvassa uhkaympäristössä.
Tutkimus toteutettiin laadullisena teemahaastattelututkimuksena suurissa suomalaisissa tietotekniikka- ja tietoverkkoalan organisaatioissa. Haastateltaviksi valittiin organisaatioiden tietoturvasta ja kyberturvasta vastaavia henkilöitä. Vaikka otoskoko oli määrällisesti suppea, aineiston saturaatio saavutettiin, mikä vahvistaa tulosten luotettavuutta tässä kohderyhmässä. Tutkimustulokset vahvistivat hypoteesin, että organisaatioiden kyberturvallisuutta ohjaa vahvasti lainsäädäntö, erityisesti NIS2-direktiivi, joka toimii ajurina investoinneille. Merkittävimmäksi resilienssin haasteeksi tunnistettiin vanhentunut teknologiakanta ja järjestelmien kompleksisuus, jotka estävät hyökkäyspinta-alan pienentämisen. Organisaatioilla on kyky havaita teknisiä poikkeamia, mutta syvällisempi ymmärrys ja ennakointikyky kärsivät resurssipulasta.
Johtopäätöksenä todetaan hallinnollisten käytäntöjen olevan usein pidemmällä kuin käytännön suorituskyky. Erityisesti palautumissuunnitelmien satunnainen testaus jättää organisaatiot haavoittuviksi. Työ osoittaa, että aito kyberresilienssi edellyttää siirtymää teknisestä suorittamisesta kohti strategista "Oleta tietomurto" -ajattelua, jossa varaudutaan suojauksen murtumiseen.
Tutkimus toteutettiin laadullisena teemahaastattelututkimuksena suurissa suomalaisissa tietotekniikka- ja tietoverkkoalan organisaatioissa. Haastateltaviksi valittiin organisaatioiden tietoturvasta ja kyberturvasta vastaavia henkilöitä. Vaikka otoskoko oli määrällisesti suppea, aineiston saturaatio saavutettiin, mikä vahvistaa tulosten luotettavuutta tässä kohderyhmässä. Tutkimustulokset vahvistivat hypoteesin, että organisaatioiden kyberturvallisuutta ohjaa vahvasti lainsäädäntö, erityisesti NIS2-direktiivi, joka toimii ajurina investoinneille. Merkittävimmäksi resilienssin haasteeksi tunnistettiin vanhentunut teknologiakanta ja järjestelmien kompleksisuus, jotka estävät hyökkäyspinta-alan pienentämisen. Organisaatioilla on kyky havaita teknisiä poikkeamia, mutta syvällisempi ymmärrys ja ennakointikyky kärsivät resurssipulasta.
Johtopäätöksenä todetaan hallinnollisten käytäntöjen olevan usein pidemmällä kuin käytännön suorituskyky. Erityisesti palautumissuunnitelmien satunnainen testaus jättää organisaatiot haavoittuviksi. Työ osoittaa, että aito kyberresilienssi edellyttää siirtymää teknisestä suorittamisesta kohti strategista "Oleta tietomurto" -ajattelua, jossa varaudutaan suojauksen murtumiseen.