Kyberuhkatiedustelun käsikirja

Cyberwatch Finland on laatinut yhteistyössä DNV Cyberin kanssa kyberuhkatiedustelun käsikirjan tavoitteinaan lisätä suomalaisten kriittisten alojen organisaatioiden ymmärrystä ja kykyä hyödyntää kyberuhkatietoa. Tässä blogitekstissä julkaistaan ote käsikirjasta tehdystä lyhennelmästä, joka ilmestyi Cyberwatch Finland Magazine 1/2026 -julkaisussa. Käsikirja julkaistaan 26.5.2026 sekä suomeksi että englanniksi ja tuote tulee kaikille vapaasti saataville.

Kyberuhkatieto päätöksenteon ja riskienhallinnan tukena

Kyberuhkat muuttuvat ja kehittyvät jatkuvasti, ja organisaatioilta on alettu edellyttämään yhä enemmän kykyä omaksua ja hyödyntää kyberuhkia koskettavaa tietoa. Tämä korostuu paitsi nykyisissä käytännön tarpeissa kuin myös lainsäädännön vaatimuksissa. Vaikka EU:n verkko- ja tietoturvadirektiivi NIS2-direktiivi (EU2022/2555) ja sen kansallisesti sovellettavat versiot (Kyberturvallisuuslaki, Laki julkisen hallinnon tiedonhallinnasta ja Laki sähköisen viestinnän palveluista) eivät suoraan velvoita kyberuhkatiedon hankintaan tai hyödyntämiseen, velvoittaa se arvioimaan ja hallitsemaan kyberuhkia, muodostamaan näiden pohjalta organisaation kyberriskienhallinnan toimintamallin ja raportoimaan merkittävistä poikkeamista valvovalle viranomaiselle. Yrityksen johto onkin uuden kyberturvallisuuslain myötä entistä velvoittavammassa roolissa, ja uusissa velvoitteissa korostuu johtohenkilöstön henkilökohtaisen vastuun kasvaminen riskienhallinnan toimenpiteiden toteuttamisessa – ja toteuttamatta jättämisessä. Kyberriskienhallinnan toimenpiteitä on lähes mahdotonta toteuttaa ilman reaaliaikaista uhkatietoa, jolloin näkyvyys uhkakuvaan on hyvin rajallinen ja epätodenmukainen. Mitä kattavampi kyberuhkatieto yrityksellä on, sen paremmin valmistautumisaikaa sillä on.

Modernissa tietoyhteiskunnassa jokainen organisaatio joutuu varautumaan kyberuhkiin – joko suoraan tai välillisesti. Kyberuhka on potentiaalinen tilanne, tapahtuma tai toiminta, joka voi vahingoittaa tai häiritä viestintäverkkoja ja tietojärjestelmiä, tällaisten järjestelmien käyttäjiä tai muita toimijoita. Liian usein organisaatioiden varautumisen aste ei ole sillä tasolla, että kyberuhkan realisoitumiseen osattaisiin suhtautua riittävällä vakavuudella. Edelleen toimintamalleissa korostuu reaktiivinen ote proaktiivisen sijaan ja toimenpiteitä toteutetaan vasta, kun kyberuhka on tapahtunut, mainehaittaa on ehtinyt syntymään ja viranomaiset ovat kiinnostuneet tapahtuneesta. Merkityksellinen ja oikea-aikainen uhkatieto pyrkii tuottamaan toimenpiteisiin ennakoitavuutta ja tehokkuutta, samalla minimoiden vahinkojen kustannukset. Kyberuhkatiedolla on pyrkimys saada aika ja taustatieto päätöksentekoon. Jotta uhkatiedosta on organisaatiolle hyötyä, pitää organisaation johdolla olla myös riittävä kyky tehdä siihen pohjautuvia päätöksiä viedäkseen organisaatiota oikeaan suuntaan. Kyberuhkatieto on edellytys entistä kehittyneempään ja tarkempaan tiedolla johtamiseen, kun suunnitellaan ja toimeenpannaan kybersuojausta.

Kenelle käsikirja on suunnattu?

Käsikirja on ensisijaisesti tarkoitettu suomalaisille kyberturvallisuuslain piiriin kuuluville kriittisen- tai puolustusalan toimijoille, mutta sen sisältö on hyödynnettävissä myös laajemmin organisaation toimialaan tai kokoon katsomatta. Käsikirjassa CTI-prosessin vaiheita (ohjaus, keräys, analysointi ja jakelu) käsitellään yksitellen, jakaen ne kolmeen eri näkökulmaan. Kirjassa jokaisen vaiheen alussa käsitellään operatiivisen tason toimenpiteitä ja operatiivisen johdon velvollisuuksia. Lopuksi käsitellään käytännön ja teknisen tason työkaluja, joita kyseisessä vaiheessa on mahdollista hyödyntää. Tarkoituksena on, että jokaisen näkökulman edustajat saavat konkreettista hyötyä niin, että kokonaisuus hahmottaa mahdollisimman laajasti ja läpileikkaavasti koko kyberuhkatiedon prosessia.