– Yritysten on hyvä aika alkaa kiinnittää huomionsa hybridiuhkiin, toteaa Turun ammattikorkeakoulun ICT-alan tutkimus- ja koulutuspäällikkö Jarkko Paavola. Hän kertoo, että tulevana syksynä hybridiuhkaosaaminen otetaan esille ensimmäistä kertaa tradenomien osaajakoulutuksessa.

– Olemme järjestäneet ammattikorkeakouluna jo 15 kertaa tietoturvapäivän, ja viime vuosina järjestämme sen osana Business Turun Tech Week -tapahtumaa. Ensimmäistä kertaa otimme esille myös hybridivaikuttamisen uhat ja varautumisen yritysmaailman kannalta, kertoo Paavola.

Paavola toteaa, että hybridiuhat voivat tuntua pienestä yrittäjästä kovin etäisiltä, sillä hybridiuhkissa vaikuttamisella pyritään heikentämään vieraan valtion toimesta toisen valtion yhteiskunnan vakautta hyökkääjän omien tavoitteiden ja aseman vahvistamiseksi.

– Mutta yhteiskunnat pyörivät yritysten kautta. Yrityksen itsensä ei tarvitse olla valtiotasolla merkittävä, mutta jos yritys toimii osana jotain toimitusketjua, niin hybridivaikuttamista pyritään kohdistamaan tähän heikoimpaan lenkkiin, hän toteaa.

Hänen mukaansa pieni yritys voi olla hyökkäykselle helppo kohde ja toimia porttina isompaan toimitusketjuun.

– Esimerkiksi, jos joku isompi yritys ostaa ohjelmiston joltain pienemmältä yritykseltä, ja siihen ohjelmistoon on syötetty haittaohjelma, niin pahimmillaan se avaa pääsyn hyökkääjälle esimerkiksi viranomaisen verkkoon.

Paavolan mukaan yritysten tulisi tehdä riskiarvio hybridiuhkiin liittyvän vaikuttamisen suhteen ja kyetä arvioimaan yrityksen heikot kohdata, jotka on suojattava. Jos on hyvin varautunut, ja häiriö osuu omalle kohdalle, niin on helpompi nousta tilanteesta.

– Samalla tavoin kuin yritykset hankkivat tulipalovakuutuksen tai tietoturvasuojauksen ja ohjeet kyberhyökkäyksien varalta, niin on varauduttava hybridiuhkiin. On pohdittava tilanne ennalta, ja tehtävä suunnitelma, miten toimia, jos joutuu hybridiuhkiin liittyvän vaikutuksen uhriksi, hän suosittelee.

Paavola kertoo, että hybridiuhkien vaikuttamista toteuttavat usein autoritaariset maat, jotka ovat pakotteiden alaisena.

– Sellaiset valtiot voivat kyberhyökkäyksien avulla kiristää rahaa yritykseltä kiristyshaittaohjelmalla, joskus yhteistyössä rikollisjärjestöjen kanssa.

Paavola nostaa hybridiuhkiin liittyvästä hyökkäyksestä esimerkiksi tilanteen, jossa yritys joutuu maalittamisen kohteeksi tekoälyllä luodun valheellisen deepfake-videon avulla.

– Tällaisilla voidaan kiristää yritystä tai yritys voi joutua otsikoihin tai viraaliksi huonossa valossa. Osaavatko yritykset miettiä tekoälyn tuomia vaaroja, ja ovatko he varautuneet niihin?

Marianne Rovio