Puolet kriittisen infrastruktuurin organisaatioista ei tunnista toimitusketjunsa haavoittuvuuksia. Asia ilmenee tuoreesta kyberturvayhtiö DNV Cyberin teettämästä tutkimuksesta.
Kansainväliseen kyselyyn vastasi yli 1 150 kriittisen infrastruktuurin parissa työskentelevää ammattilaista, osa myös Suomesta. Pohjoismaissa kyselyyn vastasi 207 ammattilaista. Vain reilu puolet (56 prosenttia) pohjoismaalaisista vastaajista luottaa siihen, että heidän organisaationsa näkee kyberturvallisuuden haavoittuvuudet, joille liiketoiminta altistuu toimitusketjun komponenttien, ohjelmistojen ja kolmansien osapuolten palveluntarjoajien kautta.
Toimitusketjuun murtautuminen voi tarjota pääsyn usean organisaation järjestelmiin. Kolme neljästä (73 prosenttia) ammattilaisesta Pohjoismaissa uskoo, että heidän oman organisaationsa kyberturvakoulutus ei valmista työntekijöitä varautumaan kehittyneempiin uhkiin.
Yli kolmannes (38 prosenttia) uskoo, että kyberhyökkääjät ovat saattaneet soluttautua organisaation toimitusketjuun ilman, että toimittajat ovat raportoineet siitä.
– Kyberturvavaatimusten pitäisi koskettaa kaikkia hankintoja ja sopimuksia. Jos suomalaisilla organisaatioilla olisi nykyistä parempi näkyvyys toimitusketjuun, hienostuneempiin hakkerointiyrityksiin voisi varautua paremmin, sanoo DNV Cyberin hallinnoitujen palvelujen johtaja Jan Mickos tiedotteessa.
Viimeaikaisia kehittyneitä toimitusketjuihin kohdistuneita hyökkäyksiä ovat muun muassa vuonna 2023 tiedostonsiirto-ohjelma Moveitin tietoturvaloukkaus. Se johti tuhansien organisaatioiden tietojen varastamiseen, mukaan lukien kriittisen infrastruktuurin toimijoita energia- ja terveydenhuollon sektorilta. Myös useita suomalaisia organisaatioita päätyi Moveit-hyökkäyksen kohteeksi.
Vuonna 2024 Yhdysvaltain ja Ison-Britannian hallitukset varoittivat valtavasta Venäjän kampanjasta, joka kohdistui muun muassa toimitusketjujen tunnettuihin haavoittuvuuksiin. Kyseessä oli sama hakkeriryhmä, joka oli vuoden 2020 Solarwinds-hakkeroinnin taustalla. Silloin Venäjän ulkomaantiedustelupalvelu (SVR) murtautui IT-seurantayhtiö Solarwindsin ohjelmistoon ja pääsi käsiksi tuhansien asiakkaiden verkkoihin, järjestelmiin ja tietoihin. Mukaan lukeutui esimerkiksi valtionhallintoa ja kriittisen infrastruktuurin organisaatioita.
Tällä hetkellä kriittistä infrastruktuuria hallinnoivat organisaatiot investoivat kyberturvallisuuteen tietotekniikan (IT) ja operatiivisen teknologian (OT) turvaamiseksi, mutta toimitusketjujen kyberturvallisuutta ei samalla tavalla vahvisteta, DNV Cyber varoittaa tutkimuksessaan.
– Kriittisen infrastruktuurin tietoturvaloukkauksen seuraukset voivat olla erityisen vakavia kansalliselle turvallisuudelle, yhteiskunnalle ja taloudelle. Sääntely on tutkimuksemme mukaan kaikista suurin kyberturvainvestointien ajuri ja yksi tehokkaimmista työkaluista kyberturvallisuuden vahvistamiseen ja toimitusketjun riskien hallintaan, Mickos sanoo.
Eduskunnan liikenne- ja viestintävaliokunta sai helmikuussa 2025 valmiiksi esityksen, joka panee täytäntöön EU:n kyberturvallisuusdirektiivin, eli niin kutsutun NIS2-direktiivin. Uusi kyberturvallisuuslaki vahvistaa EU:n ja jäsenvaltioiden kyberturvallisuutta, tehostaa uhkiin varautumista ja asettaa vaatimuksia myös toimitusketjujen turvallisuudelle.
DNV Cyberin kyselytutkimuksen mukaan noin 62 prosenttia kriittisen infrastruktuurin ammattilaisista Pohjoismaissa luottaa siihen, että heidän organisaationsa kykenevät sisällyttämään kyberturvallisuusvelvoitteet uusiin sopimuksiin toimittajien kanssa.
