Ohessa artikkelilyhennelmä Kyberuhkatiedustelun käsikirjasta, käsikirja laadittu Cyberwatch Finlandin ja DNV Cyberin yhteistyössä. Lyhennelmä ilmestyi Cyberwatch Finland Magazine 1/2026 -julkaisussa.
Käsikirja julkaistaan 26.5.2026 sekä suomeksi että englanniksi ja tuote tulee kaikille vapaasti saataville. Sähköinen versio tullaan julkaisemaan sekä Cyberwatch Finlandin omilla kotisivuilla, että DNV Cyberin sivuilla.
Johdanto
Kyberuhkat muuttuvat ja kehittyvät jatkuvasti, ja organisaatioilta on alettu edellyttämään yhä enemmän kykyä omaksua ja hyödyntää kyberuhkia koskettavaa tietoa. Tämä korostuu paitsi nykyisissä käytännön tarpeissa kuin myös lainsäädännön vaatimuksissa. Vaikka EU:n verkko- ja tietoturvadirektiivi NIS2-direktiivi (EU2022/2555) ja sen kansallisesti sovellettavat versiot (Kyberturvallisuuslaki, Laki julkisen hallinnon tiedonhallinnasta ja Laki sähköisen viestinnän palveluista) eivät suoraan velvoita kyberuhkatiedon hankintaan tai hyödyntämiseen, velvoittaa se arvioimaan ja hallitsemaan kyberuhkia, muodostamaan näiden pohjalta organisaation kyberriskienhallinnan toimintamallin ja raportoimaan merkittävistä poikkeamista valvovalle viranomaiselle. Yrityksen johto onkin uuden kyberturvallisuuslain myötä entistä velvoittavammassa roolissa, ja uusissa velvoitteissa korostuu johtohenkilöstön henkilökohtaisen vastuun kasvaminen riskienhallinnan toimenpiteiden toteuttamisessa – ja toteuttamatta jättämisessä. Kyberriskienhallinnan toimenpiteitä on lähes mahdotonta toteuttaa ilman reaaliaikaista uhkatietoa, jolloin näkyvyys uhkakuvaan on hyvin rajallinen ja epätodenmukainen. Mitä kattavampi kyberuhkatieto yrityksellä on, sen paremmin valmistautumisaikaa sillä on.
Modernissa tietoyhteiskunnassa jokainen organisaatio joutuu varautumaan kyberuhkiin – joko suoraan tai välillisesti. Kyberuhka on potentiaalinen tilanne, tapahtuma tai toiminta, joka voi vahingoittaa tai häiritä viestintäverkkoja ja tietojärjestelmiä, tällaisten järjestelmien käyttäjiä ja muita toimijoita. Liian usein organisaatioiden varautumisen aste ei ole sillä tasolla, että kyberuhkan realisoitumiseen osattaisiin suhtautua riittävällä vakavuudella. Edelleen toimintamalleissa korostuu reaktiivinen ote proaktiivisen sijaan ja toimenpiteitä toteutetaan vasta, kun kyberuhka on tapahtunut, mainehaittaa on ehtinyt syntymään ja viranomaiset ovat kiinnostuneet tapahtuneesta. Merkityksellinen ja oikea-aikainen uhkatieto pyrkii tuomaan toimenpiteisiin ennakoitavuutta ja tehokkuutta, samalla minimoiden vahinkojen kustannukset. Kyberuhkatiedolla on pyrkimys saada aika ja taustatieto päätöksentekoon. Jotta uhkatiedosta on organisaatiolle hyötyä, pitää organisaation johdolla olla myös riittävä kyky tehdä siihen pohjautuvia päätöksiä viedäkseen organisaatiota oikeaan suuntaan. Kyberuhkatieto on edellytys entistä kehittyneempään ja tarkempaan tiedolla johtamiseen, kun suunnitellaan ja toimeenpannaan kybersuojausta.
Kyberuhkatiedon tasot
Kyberuhkatiedolla tarkoitetaan toimintaympäristöstä hankittua tai sitä koskevaa tietoa siitä, mitkä tai minkälaiset uhkat ovat kaikkein todennäköisimpiä ja miten niiltä voidaan suojautua. Käytännössä se on tietoa, joka ohjaa organisaation päätöksiä kyberturvaan tehtävistä investoinneista, toimintamalleista tai teknisistä ratkaisuista. Kyberuhkatieto, ja sen tuottamisen prosessi, on hyvin samankaltainen tiedusteluprosessin kanssa. Perinteinen tiedusteluprosessi on jatkuva, vaiheittainen toimintamalli, jolla kerätään, analysoidaan ja toimitetaan tietoa päätöksenteon tueksi. Organisaatioiden ja etenkin ylimmän johdon on tärkeä ymmärtää, minkälaista erilaista uhkatietoa on saatavilla. Kyberuhkatieto jaetaan usein kolmeen tasoon auttamaan hahmottamista: strateginen, operatiivinen ja tekninen (joskus myös taktinen) uhkatieto.
Uhkaprosessin kehittäminen ja arviointi
Tärkein kriteeri, jota uhkatiedolle voidaan määrittää, on sen käyttökelpoisuus. Tällä tarkoitetaan sitä, että uhkatieto, jota organisaatio tuottaa tai hankkii, on luonteeltaan ja sisällöltään sellaista, että se vastaa tarpeisiin, johtaa suoriin toimenpiteisiin tai vahvistaa jo tehtyjen toimenpiteiden oikeellisuutta. Jokaisella organisaatiolla on omat resurssit ja tavoitteet, jotka määrittävät sen, minkä laajuiseen uhkatietoprosessiin pyritään, ja missä suhteessa oma toiminta ja kumppanien hyödyntäminen tapahtuu. Organisaation kyberkypsyyden kasvattaminen on prosessi, jossa organisaatio siirtyy sattumanvaraisesta tietoturvasta systemaattiseen, riskipohjaiseen ja ennakoivaan toimintatapaan, jossa yhdistyy ihmiset, prosessit ja teknologia.
Kyberuhkatietoprosessin laatua on mahdollista arvioida kybermaturiteetin kautta. Kypsyystaso kertoo sen, millainen kyberkyvykkyys organisaatiolla on suojautua kyberuhilta ja varmistaa liiketoiminnan jatkuvuus häiriötilanteissa. Kyberkypsyys kasvaa sitä mukaan, kun toimintatapoja ja prosesseja kehitetään palautteen ja muuttuvan kybertoimintaympäristön mukaan. Oman kypsyystason mittaaminen voi olla tarpeen toimittajia ja muita yhteistyökumppaneita valittaessa. Alihankkijoiden kohdalla on hyödyllistä arvioida näiden teknologisia valmiuksia, eli mitä järjestelmiä he käyttävät tai minkälaisiin tietolähteisiin heillä on pääsy. Kyberuhkatietoprosessi perustuukin lähes aina tiedon jakamiseen ja yhteistyöhön. Se on luonteeltaan niin laaja ja monipuolinen kokonaisuus, että parhaimminkaan resursoidun organisaation ei ole järkevää pyrkiä tekemään kaikkea itse, vaan tärkeä osa onnistunutta prosessia on oikeanlaisten yhteistyökumppanien hankinta. Kumppanuudet voivat olla niin tasavertaisia tiedonjakoverkostoja kuin alihankkija- tai toimittajasuhteita, joiden kautta hankitaan tietoa tai osaamista. Paras kumppanuus on sellainen, jossa molemmat osapuolet voivat antaa ja saada tietoa. Tämä mahdollistaa molemmin puolisen kasvun ja kehityksen.
Kyberuhkatiedon prosessi (CTI-prosessi, Cyber Threat Intelligence -process) jaetaan tässä käsikirjassa ohjauksen, keräyksen, analysoinnin ja jakelun vaiheisiin. Kyberuhkatiedon kohdalla tavoite on tuottaa lisäaikaa päätöksentekoon ja muuttaa reaktiivinen toiminta proaktiiviseksi eli ennakoivaksi. Syklisen uhkatietoprosessin avulla johdon kyvykkyyksiä ymmärtää kyberuhkatietoa on mahdollista kehittää ja ohjata. Se sisältää kaikki vaiheet ensimmäisestä suunnitelmasta alkaen tiedon keräämiseen ja hyödyntämiseen sekä toiminnasta saatujen kehittämistarpeiden toimeenpanoon seuraavaa keräyskertaa varten. Prosessin aikana kerätty raakadata muokkautuu informaatioksi ja lopulta päätöksentekoa tukevaksi tai ohjaavaksi tiedoksi. Todellisuudessa ympyrän jokainen vaihe on käynnissä samanaikaisesti muiden vaiheiden kanssa rinnakkain, ja useita CTI-prosesseja voi olla samanaikaisesti käynnissä.
Ohjaus
CTI-prosessin ohjaus on usein tärkein vaihe prosessin onnistumisessa. Ohjauksessa johto määrittelee prosessin tavoitteet, resurssit ja mandaatin tavoitteiden saavuttamiseksi. Ilman huolellisesti tehtyä ohjausta, on todennäköistä, että resursseja hukataan vääränlaisen tiedon keräämiseen tai käsittelyyn, tai kaikkea saatavilla olevaa ja tarpeellista tietoa ei kerätä tai hyödynnetä. Johdon vastuulla onkin hyvin tehdyn ohjauksen avulla suojata yrityksen IT omaisuus erilaisilta uhkatoimijoilta, koska jo yksikin laiminlyönti voi johtaa merkittävään tietoturvatapahtumaan. Yksinkertaistettuna ohjausvaiheessa on kyse uhkatiedon keräämisen ja hyödyntämisen suunnittelemisesta sekä suunnitelmien käytännön toteuttamisen valmistelusta. CTI-prosessissa on loppukädessä kysymys turvallisuuteen tehtävästä investoinnista, kuten IT-omaisuuden suojaamisesta, ja mikäli sijoitukselle halutaan vastinetta, on se syytä suunnitella ja valmistella huolella.
Keräys ja prosessointi
Ohjausta seuraava vaihe on tiedon keräys ja sen prosessointi. Keräyksellä tarkoitetaan eri vaiheissa prosessointia olevan tiedon (raakadatan tai valmiiksi analysoidun tiedon) hankkimista edellisessä vaiheessa tehtyjen suunnitelmien mukaisesti. Prosessoinnilla tarkoitetaan kerätyn tiedon muuntamista yhtenäiseksi, käyttökelpoiseksi ja kontekstuaaliseksi uhkainformaatioksi, myöhempää analyysiä ja hyödyntämistä varten. Toisin sanoen, jotta tietoa on mahdollista hyödyntää, tulee se ensiksi löytää ja kerätä. Vasta, kun tämä kerätty tieto on jalostettu, on se käyttökelpoista. Uutta kyberuhkatiedon prosessia käynnistäessä keräysvaiheessa sorrutaan usein keräämään mahdollisimman paljon tietoa monesta eri lähteestä. Vaikka runsas tietomäärä on toisinaan hyvä, johtaa toiminta helposti tilanteeseen, jossa syötettä on liikaa ja tietoturvatiimit lamaantuvat turhien hälytyksien ja manuaalista läpikäyntiä vaativan tietomassan kanssa. Keräysvaiheessa onkin tärkeä muistaa edellisessä vaiheessa määritellyt tarpeet, ja ohjata toimintaa sen mukaan. Liiallinen tietomäärä voi johtaa yhtä herkästi virheisiin kuin puutteellinenkin keräys. Vain edistyneimpien ja eniten resursseja kyberuhkatietoprosessiin sijoittaneiden toimijoiden kannattaa kerätä kaikki mahdollinen saatavilla oleva tieto.
Analyysi
Kolmas vaihe on analyysi. Analyysivaiheessa kerätty raakadata muokataan analyysiprosessin myötä uhkatiedoksi. Riippuen kerätyn datan laadusta, tämä voi olla hyvinkin yksinkertaista tai vaatia paljon työstämistä. Tavoitteena on lisätä raakadataan merkityksiä, yhdistellä eri lähteistä saatavaa tietoa johtopäätösten tekemiseksi ja lopulta tuottaa ymmärrettävää tietoa päätöksenteon tueksi ja siten konkreettisiksi toimenpiteiksi. Oleellista lopputuloksen kannalta on prosessin alkuvaiheessa selkeästi määritellyt tiedustelukysymykset ja tiedon tarpeet. Kyberuhkatiedustelussa analyysistä voi vastata yhtä hyvin niin ihminen kuin järjestelmä. Automaatio ja tekoälyn hyödyntäminen etenkin teknisen datan analysoinnissa ja käsittelyssä kehittyy jatkuvasti, mutta ihmisanalyytikoilla on yhä merkittävä rooli etenkin strategisen tason analyysissä.
Jakelu
Viimeinen jakelun ja hyödyntämisen vaihe on edellytys sille, että työstä on käytännön hyötyä. Tärkein kriteeri sille, minkälaista uhkatietoa organisaation tulee hankkia, on sen käytettävyys. Oli uhkatiedon lopullinen vastaanottaja sitten järjestelmä, henkilö tai organisaation osasto, on tämän vaiheen tehtävä varmistaa, että kerätty ja analysoitu tieto päätyy haluttuun paikkaan ja, että vastaanottaja tietää, mitä on saamassa ja mitä sen kanssa tulee tehdä. Kyberuhkatiedon jakelu koskeekin sekä omaa organisaatiota että ulkoisia kumppaneita. Verkostojen toiminta perustuu siihen, että sen kaikki osapuolet sekä tuottavat että vastaanottavat tietoa, joten kyberuhkatiedon kanssa työskentelevien organisaatioiden tulee varautua myös jakamaan hankkimaansa ja käsittelemäänsä uhkatietoa. Etenkin jaettavan uhkatiedon laadusta tulee olla täysi varmuus tai vaihtoehtoisesti epävarmuus pitää pystyä ilmaisemaan. Pohdittava asia onkin se, minkälaista tietoa organisaatio pystyy jakamaan ja kenelle. Uhkatiedon kriittisyys tulee olla määritetty organisaation sisäisesti, ja eri tiedonjakoverkostot tai kumppanit luokiteltuja sen mukaan, kenelle minkäkin tasoista tietoa voidaan jakaa. Jakelun ja hyödyntämisvaiheen tärkein tehtävä on varmistaa, että suunnitelmat toteutuvat, muokata niitä tarvittaessa.
Kehityksen suunta
Kyberuhkatiedon tärkein tehtävä on tuottaa aikaa ja tietoa päätöksentekoa varten. Aikaa on tarkoitus antaa uhkien ennalta tunnistamiseen ja reagointiin. Tämä aika on jatkuvasti käymässä lyhyemmäksi ja ennakkovaroituksen hankkiminen yhä vaikeammaksi. Uhkatoimijoiden operaatiot ovat nopeutuneet ja uusien haavoittuvuuksien julkaisun ja hyödyntämisen välinen aika lyhentynyt. Tällä hetkellä puhutaan usein minuuteista haavoittuvuusjulkaisun ja sitä hyödyntämään pyrkivien hyökkäysten välillä. Teknologinen kehitys suosii hyökkääjiä, ja esimerkiksi tekoäly on jo nyt tuottanut merkittävää etua kyberhyökkäysten toteuttajille. Yhä intensiivisemmäksi käyneen kybervaikuttamisen seurauksena tarve ajantasaisen kyberuhkatiedon saamiselle on kasvanut entisestään. Organisaation kriittisimmän omaisuuden suojaamiseen tarvittavat kontrollikeinot tarvitaan yhä nopeammin, kuin mitä ihminen pystyy niitä yksin toteuttamaan. Akuutin ja nopealla aikataululla hyödynnettävän tiedon lisäksi strategiselle ja operatiiviselle tiedolle on suurempi tarve yleisen turvallisuustilanteen heikentyessä ja valtiollisen kybervaikuttamisen yleistyessä.
Kyberuhkatiedon tarve koskeekin jokaista organisaatiota, mutta ei samalla tavalla. Jokaisen organisaation käytettävissä olevat resurssit ja tarpeet määrittävät ne yksilölliset olosuhteet, joissa organisaatio toimii. Kyberuhkatiedon hankkimisen ja hyödyntämisen prosessi on varsin laaja ja monipuolinen. Sen toteuttaminen onnistuneesti vaatii motivaatiota, resursseja ja kokemusta. Kyberuhkatiedon prosessi tulee ymmärtää jatkuvasti käynnissä olevaksi ja kehittyväksi toiminnoksi. Ympyrän tulee pyöriä ja palautetta tulee kerätä eri vaiheiden toteutumisesta. Tärkein tekijä kehittyvän prosessin kannalta on intressi kehittää sitä. Kyberuhkatietoprosessi ei tule mieltää vain pakolliseksi toimenpiteeksi, vaan lisäarvoa tuottavaksi sijoitukseksi, joka voi pelastaa organisaation lamauttavalta vahingolta, taloudellisilta menetyksiltä ja mainehaitalta.
Lopuksi Cyberwatch Finland on laatinut yhteistyössä DNV Cyberin kanssa kyberuhkatiedustelun käsikirjan tavoitteinaan lisätä suomalaisten kriittisten alojen organisaatioiden ymmärrystä ja kykyä hyödyntää kyberuhkatietoa. Käsikirja on ensisijaisesti tarkoitettu suomalaisille kyberturvallisuuslain piiriin kuuluville kriittisen- tai puolustusalan toimijoille, mutta sen sisältö on hyödynnettävissä myös laajemmin organisaation toimialaan tai kokoon katsomatta. Käsikirjassa CTI-prosessin vaiheita (ohjaus, keräys, analysointi ja jakelu) käsitellään yksitellen, jakaen ne kolmeen eri näkökulmaan. Kirjassa jokaisen vaiheen alussa käsitellään organisaation johdon vastuita ja toimenpiteitä. Tämän jälkeen käsitellään operatiivisen tason toimenpiteitä ja operatiivisen johdon velvollisuuksia. Lopuksi käsitellään käytännön ja teknisen tason työkaluja, joita kyseisessä vaiheessa on mahdollista hyödyntää. Tarkoituksena on, että jokaisen näkökulman edustajat saavat konkreettista hyötyä niin, että kokonaisuus hahmottaa mahdollisimman laajasti ja läpileikkaavasti koko kyberuhkatiedon prosessia
