Energia-alan myyntisektori eskaloituvien kyberuhkien kohteena – suojakeinoja vahvistettava

Vaikka energian tuotantoa ja siirtoverkkoja on perinteisesti suojattu tarkasti osana kriittistä infrastruktuuria, myyntiorganisaatioiden kyberturvallisuus on saanut huomattavasti vähemmän huomiota. Tuotantotalousalan väitöstutkimus osoittaa, että tämä sektori on yhä useammin hybridivaikuttamisen ja kyberhyökkäysten kohteena. Myyntiorganisaatiot käsittelevät miljoonien eurooppalaisten arkaluonteisia henkilötietoja sekä kulutus- ja paikkatietoja, ja ne ovat tiiviisti yhteydessä laajempiin energiajärjestelmiin, jotka ovat keskeisiä yhteiskunnan toimintojen jatkuvuudelle.

Puutteet kyberturvallisuuden resilienssissä voivat tarjota hyökkääjille väylän energiateollisuuden koko arvoketjuun, sillä myyntiorganisaatiot ovat tiiviisti kytköksissä keskeisiin järjestelmiin. Tämä voi johtaaidentiteettivarkauksiin, keskeyttää myyntitoiminnan ja aiheuttaa merkittäviä taloudellisia tappioita sekä heikentää kriittisen infrastruktuurin toimintaa ja huoltovarmuutta. Ukrainan sodan kyberoperaatiot ovat osoittaneet, että IT‑järjestelmiin kohdistuvat hyökkäykset voivat mahdollistaa pääsyn myös sähköntuotannon ja -siirron ohjausjärjestelmiin, Suorsa varoittaa.

Resilienssi rakentuu yrityskulttuurista, tietoturvakontrolleista ja riskienhallinnasta

Suorsa esittää ratkaisuksi kokonaisvaltaista kyberturvallisuuden hallintaa, joka vahvistaa yritysten kykyä sietää häiriöitä ja toipua niistä nopeasti osana kriittisen infrastruktuurin turvaamista. Tutkimus tarjoaa yritysjohdolle myös työkaluja tiukentuvan lainsäädännön vaatimuksiin vastaamiseen, kuten EU:n NIS2-direktiiviin.

– Kyberturvallisuus on strateginen jatkuvuustekijä, ei vain IT-osaston päänvaiva. Turvallisuuskulttuuri vahvistuu, kun tietoturva kytketään osaksi johtamista, työntekijöiden tavoitteita sekä systemaattista ja myönteistä palautetta. Henkilöstöä tulee myös aktiivisesti kannustaa raportoimaan havaittuja riskejä ja tietoturvapoikkeamia, Suorsa painottaa.

Tutkimus tarjoaa kolme keskeistä työkalua kyberresilienssin vahvistamiseen:

1. Johdon sitoutuminen ja henkilöstön osallistaminen – selkeät vastuut, johdon aktiivinen rooli ja henkilöstön kannustaminen tietoturvapoikkeamien raportointiin vahvistavat koko organisaation kyberresilienssiä.

2. Kriittiset tietoturvakontrollit – pääsynhallinta, käyttöoikeuksien valvonta, muutostenhallinta, testaus, haittaohjelmasuojaus sekä henkilöstön koulutus turvaavat keskeiset toiminnot.

3. Riskienhallinta ja ennakointi – tunnistetut kyberriskit hallitaan kerroksellisilla kontrolleilla ja hyökkäys–puolustusmallinnuksella, mikä parantaa tilannekuvaa ja reagointikykyä.

– Ilman kyberresilienssiä pienikin tietoturvapoikkeama voi laajentua kriisiksi, häiritä myyntiä, vaarantaa asiakkaiden tiedot ja heikentää yritysten mainetta ja toiminnan jatkuvuutta. Kriittisen infrastruktuurin näkökulmasta vaikutukset voivat ulottua koko yhteiskuntaan. Hyvin rakennettu resilienssi varmistaa, että energiayhtiöt selviävät kyberhyökkäyksistä suhteellisen nopeasti ja vähin vaurioin, Suorsa tiivistää.

Väitöskirja

Suorsa, Mikko (2026) Strengthening Information Security Resilience in the European Energy Retail Sector: A Multi-Method Study of Cultural Factors, Critical Controls, and Key Risks. Acta Wasaensia 582. Väitöskirja. Vaasan yliopisto.

Julkaisun PDF.

Väitöstilaisuus

KTM, HTM Mikko Suorsan väitöstutkimus “Strengthening Information Security Resilience in the European Energy Retail Sector: A Multi-Method Study of Cultural Factors, Critical Controls, and Key Risks” tarkastetaan maanantaina 8.6.2026 klo 12 Vaasan yliopiston Nissi-auditoriossa.

Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta: 
https://uwasa.zoom.us/j/69254657230?pwd=eC2w2wHnY3i0VqG4nasyIItpgYqaoc.1
Password: 355083

Vastaväittäjänä tilaisuudessa toimii professori Kimmo Halunen (Oulun yliopisto) ja kustoksena professori Petri Helo.

Väitöstilaisuus on englanninkielinen.