Sisältöön

Yritykset geopoliittisen kilpailun keskellä - SecMeter

Ohita valikko
Ohita valikko

Yritykset geopoliittisen kilpailun keskellä

Yritysturvallisuus > Suojelupoliisi
Ohita valikko
Tehtävälista yrityksille supon turvallisuuskatsauksen 2026 pohjalta



Suojelupoliisin vuoden 2026 turvallisuuskatsaus kuvaa maailmaa, jossa kansainvälinen turvallisuusympäristö on muuttunut nopeasti. Suurvaltakilpailu, teknologinen murros ja geopoliittinen epävarmuus vaikuttavat suoraan myös yritysten toimintaympäristöön.

Raportin keskeinen viesti on, että talous ja turvallisuus ovat kietoutuneet yhteen aiempaa tiiviimmin. Valtioiden välinen kilpailu vallasta, resursseista ja teknologiasta käydään yhä enemmän yritysten hallitsemalla talouden kentällä. Tämän seurauksena yritykset eivät ole enää pelkästään markkinatoimijoita, vaan myös strategisia kohteita geopoliittisessa kilpailussa.

Yksi merkittävimmistä yrityksiä koskevista havainnoista raportissa liittyy teknologiseen osaamiseen. Suomalaiset teknologiayritykset ja erityisesti startup-yritykset ovat nousseet valtiollisen vakoilun kohteiksi. Suojelupoliisin mukaan viime vuosina on havaittu useita onnistuneita kybervakoiluoperaatioita, joissa valtiolliset toimijat ovat tunkeutuneet suomalaisten yritysten järjestelmiin ja varastaneet tuotekehitykseen liittyvää tietoa.

Tällainen toiminta kohdistuu erityisesti yrityksiin, jotka kehittävät korkean teknologian tuotteita, kuten tekoälyä, kvanttiteknologiaa, puolijohteita, puolustusteknologiaa tai avaruusteknologiaa. Kun innovaatiot päätyvät kilpailijoille tai vihamielisille valtioille, yritys voi menettää koko liiketoimintansa perustan ja samalla myös Suomen kansallinen etu kärsii.
Tehtävälista
Supon turvallisuuskatsauksen perusteella yritysten toimintaympäristö on muuttunut geopoliittisesti aiempaa riskialttiimmaksi. Yritykset ovat yhä selvemmin osa kansallista turvallisuutta, minkä vuoksi turvallisuusnäkökulmat on huomioitava myös strategisessa johtamisessa. Alla oleva tehtävälista kokoaa supon raportista johdettuja keskeisiä toimenpidesuosituksia yrityksille. Lista ei ole tyhjentävä. Tutustu myös SecMeterin muihin aihekohtaisiin tehtävälistoihin.

Määrittele yrityksen kriittisin omaisuus.

  1. tärkeimmät teknologiat ja patentit
  2. tuotekehitysdokumentaatio
  3. lähdekoodi
  4. asiakasdata
  5. liiketoimintastrategia
  6. toimitusketjujen kriittiset tiedot

Nosta kyberturvallisuus johtoryhmätasolle

  1. ota käyttöön monivaiheinen tunnistautuminen
  2. salaa kriittinen data
  3. segmentoi verkot (tuotekehitys erilleen muusta)
  4. tee säännölliset penetraatiotestit
  5. varmista varmuuskopiot myös pilven ulkopuolella

Suojaa tuotekehitys ja innovaatiot

  1. rajaa pääsy tuotekehitysdataan
  2. käytä salattuja kehitysympäristöjä
  3. valvo datan siirtoa
  4. estä lähdekoodin luvaton kopiointi
  5. kirjaa tarkasti kaikki käyttöoikeudet

Hallitse insider-riski

  1. tee taustaselvityksiä kriittisiin rooleihin
  2. rajoita pääsy dataan "need-to-know"-periaatteella
  3. seuraa poikkeavaa käyttäytymistä IT-järjestelmissä
  4. käytä turvallisuuskoulutusta henkilöstölle

Arvioi ulkomaiset investoinnit turvallisuusnäkökulmasta ja tarkista

  1. sijoittajan omistusrakenne
  2. mahdolliset valtiolliset kytkökset
  3. sopimusten teknologiaehdot
  4. tiedon omistajuus

Tee yritysostoista ja kumppaneista turvallisuusarvio. Arvioi:

  1. toimittajat
  2. alihankkijat
  3. ohjelmistotoimittajat
  4. tutkimusyhteistyö
  5. tietoturva
  6. poliittiset riskit
  7. pakoteriskit.

Hallitse pilvipalveluiden riskejä

  1. selvitä missä data fyysisesti sijaitsee
  2. varmista että kriittinen data voidaan palauttaa
  3. käytä tarvittaessa monipilvistrategiaa
  4. vältä yhden toimittajan täydellistä riippuvuutta

Suojaa toimitusketjut

  1. kartoita kriittiset toimittajat
  2. vaadi tietoturvastandardeja toimittajilta
  3. tarkista ohjelmistojen alkuperä
  4. monitoroi kolmansien osapuolten pääsyä järjestelmiin

Varaudu disinformaatioon ja mainehyökkäyksiin

  1. laadi kriisiviestintäsuunnitelma
  2. toteuta median seuranta
  3. tunnista deepfake-riskit
  4. luo nopea reagointimalli

Kehitä yrityksen turvallisuuskulttuuria

  1. kouluta henkilöstöä
  2. tee tietoturvaharjoituksia
  3. luo selkeät turvallisuusohjeet
  4. palkitse turvallisuushavainnoista

Tee yhteistyötä viranomaisten kanssa

  1. tee turvallisuusselvitykset
  2. ylläpidä uhkatilannekuva
  3. huolehdi kyberuhkien torjunnasta
  4. varmista kriisitilanneyhteistyö
Startup-yritysten resurssit kohdistuvat usein tuotekehitykseen ja markkinoille pääsyyn, jolloin tietoturvaan ja turvallisuuskulttuuriin ei välttämättä panosteta riittävästi. Samalla ne toimivat aloilla, jotka kiinnostavat valtiollisia tiedustelupalveluja. Tämän vuoksi yksi onnistunut tietomurto voi johtaa tilanteeseen, jossa yrityksen kilpailuetu katoaa ja markkinoille syntyy nopeasti kopioituja tuotteita.

Raportti korostaa myös ulkomaisten investointien ja yritysostojen turvallisuusulottuvuutta. Suurvallat etsivät Euroopasta korkean teknologian yrityksiä, jotka kehittävät strategisesti tärkeää teknologiaa mutta joiden rahoitusasema on heikko. Rahoitusta voidaan tarjota houkuttelevilla ehdoilla, mutta sopimuksiin sisältyy ehtoja, jotka käytännössä johtavat teknologiasiirtoon sijoittajamaahan.

Samoin yritysostot voivat toimia laillisena keinona hankkia teknologista osaamista sekä päästä käsiksi innovaatioihin, patentteihin ja tuotantoketjuihin. Joissakin tapauksissa yritysostojen avulla voidaan myös kiertää kansainvälisiä pakotteita tai hankkia sotilaallisesti hyödynnettävää teknologiaa.

Yrityksiin kohdistuvat riskit eivät kuitenkaan rajoitu pelkästään kyberhyökkäyksiin tai investointeihin. Raportissa korostetaan myös niin sanottua insider-riskiä. Tämä tarkoittaa tilannetta, jossa yrityksen työntekijä tai alihankkija luovuttaa arkaluonteista tietoa ulkopuoliselle toimijalle.

Tällainen riski kasvaa erityisesti nopeasti kasvavissa yrityksissä, joissa henkilöstöä rekrytoidaan paljon ja kansainvälisesti. Insider voi toimia rahallisen hyödyn, ideologisten motiivien tai ulkopuolisen painostuksen vuoksi. Tästä syystä henkilöstöturvallisuus ja taustaselvitykset ovat yrityksille yhä tärkeämpiä.

Teknologinen murros tuo mukanaan myös uusia turvallisuusriskejä. Pilvipalveluiden yleistyminen on muuttanut yritysten tiedonkäsittelyä merkittävästi. Pilvipalvelut tarjoavat kustannusetuja ja joustavuutta, mutta samalla ne luovat riippuvuuksia ulkopuolisista palveluntarjoajista. Kun yrityksen kriittinen data sijaitsee kansainvälisissä pilvipalveluissa, sen hallinta ei ole enää täysin yrityksen omissa käsissä.

Lisäksi palveluntarjoajat toimivat usein useiden eri maiden lainsäädännön alaisina, mikä voi antaa viranomaisille pääsyn dataan. Tämä tekee pilvisiirtymästä myös kansallisen turvallisuuden näkökulmasta merkittävän kysymyksen.

Raportti nostaa esiin myös datakeskusten ja digitaalisen infrastruktuurin geopoliittisen merkityksen. Suomi on houkutteleva sijainti datakeskuksille viileän ilmaston, vakaan yhteiskunnan ja edullisen sähkön vuoksi. Ulkomaiset investoinnit datakeskuksiin voivat kuitenkin sisältää turvallisuusriskejä, jos niillä on yhteyksiä autoritaarisiin valtioihin.

Datakeskukset voivat mahdollistaa pääsyn laskentatehoon, tekoälykehitykseen ja teknologiaan, joka on muuten vientivalvonnan piirissä. Lisäksi niistä voi tulla osa kriittistä infrastruktuuria esimerkiksi kaukolämmön tuotannon kautta, mikä voi luoda taloudellisia riippuvuuksia.

Yritysten toimintaympäristöön vaikuttaa myös maailmanlaajuinen kilpailu kriittisistä raaka-aineista. Siinä missä 1900-luvun geopoliittinen kilpailu keskittyi öljyyn, 2000-luvulla keskiöön ovat nousseet digitaalisen yhteiskunnan ja energiasiirtymän kannalta välttämättömät mineraalit, kuten litium, koboltti ja harvinaiset maametallit.

Kiina on onnistunut rakentamaan vahvan aseman näiden materiaalien tuotantoketjuissa, mikä antaa sille merkittävää taloudellista ja poliittista vaikutusvaltaa. Tämä voi johtaa tilanteisiin, joissa raaka-aineiden saatavuutta käytetään geopoliittisena painostuskeinona.

Teknologian kehitys tuo myös uusia vaikuttamisen keinoja yrityksiä vastaan. Generatiivinen tekoäly mahdollistaa nopeasti tuotetun disinformaation, deepfake-videoiden ja automatisoidut propagandakampanjat. Tällaisia työkaluja voidaan käyttää esimerkiksi yritysten maineen heikentämiseen, markkinoiden manipulointiin tai poliittisen keskustelun ohjaamiseen. Samalla tekoälyn avulla voidaan kehittää uusia kyberhyökkäysten työkaluja ja automatisoida haitallista toimintaa.

Suojelupoliisin raportin keskeinen johtopäätös on, että yritysturvallisuudesta on tullut keskeinen osa kansallista turvallisuutta. Yritysten innovaatioiden suojaaminen ei ole pelkästään yksittäisen yrityksen etu, vaan myös valtion strateginen kysymys. Samalla turvallisuudesta voi muodostua myös kilpailuetu. Yritykset, jotka pystyvät osoittamaan vahvan turvallisuuskulttuurin ja tietoturvan, voivat saada etua kansainvälisillä markkinoilla, erityisesti puolustus- ja turvallisuussektorilla.

Yhteenvetona voidaan todeta, että Suojelupoliisin turvallisuuskatsaus kuvaa maailmaa, jossa talous, teknologia ja turvallisuus ovat yhä tiiviimmin sidoksissa toisiinsa. Yritykset toimivat ympäristössä, jossa teknologinen osaaminen on strateginen resurssi, data on geopoliittinen omaisuus ja toimitusketjut voivat olla poliittisen painostuksen väline. Tämän vuoksi yritysten on tulevaisuudessa huomioitava turvallisuuskysymykset osana strategista johtamista yhtä vakavasti kuin taloudelliset riskit.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön