Digiturva365
← Takaisin resursseihin
Analyysit 3.3.2026 6 min lukuaika

Kyberuhkakuvien laajeneminen puolustusalan alihankintaketjuissa: Miksi PK-yritys on valtiollisten hyökkääjien kriittinen rajapinta?

Varoitamme puolustusalan verkostoissa toimivia PK-yrityksiä kohdistetuista kyberuhista. Lue analyysimme valtiollisten toimijoiden taktiikoista, alihankintaketjuun kohdistuvista riskeistä ja uhkakentän laajenemisesta.

MK

Mikko Kivinen

Toimitusjohtaja ja tietoturva-asiantuntija

Suomen asema NATO:n eturintamassa on muuttanut suomalaisten pk-yritysten roolia globaalilla pelilaudalla. Kun yritys hakeutuu osaksi turvallisuus- ja puolustussektorin keskeisiä verkostoja ja ekosysteemejä – kuten Prizzdef, DEFINE ja Digital Defence Ecosystem – se avaa merkittäviä liiketoiminnallisia mahdollisuuksia, mutta samalla on tunnistettava uusi todellisuus: yritys nousee välittömästi potentiaaliseksi kohteeksi valtiollisille kybertoimijoille.

Google Threat Intelligence Groupin tuore raportti, Threats to the Defense Industrial Base, sekä muiden johtavien tietoturvatalojen havainnot osoittavat, että hyökkäysten painopiste on laajentunut perinteisestä tiedonkeruusta ja vakoilusta kohti suoraa strategista häirintää ja vaikuttamisoperaatioita.

1. Valtiollisten toimijoiden motiivit: Miksi juuri alihankintaketju?

Hyökkääjät (kuten Venäjän ja Iranin tukemat ryhmät) eivät hyökkää sattumanvaraisesti. Niiden toiminta puolustussektorilla jakautuu kolmeen strategiseen tavoitteeseen:

  • Toimitusketjun halvaannuttaminen: Valmistava teollisuus on haavoittuvainen logistiikalleen. Jos alihankkija, joka valmistaa kriittisiä komponentteja, joutuu kyberiskun kohteeksi, koko lopputuotteen valmistus vaikeutuu. Tämä voi viivästyttää suoraan esimerkiksi Ukrainan avustamiseen tarkoitetun kaluston toimitusaikatauluja.
  • Strateginen vakoilu ja immateriaalioikeuksien varastaminen: Puolustusalan PK-yrityksillä on usein hallussaan spesifiä niche-osaamista tai yksityiskohtaista suunnitteludokumentaatiota laajemmista järjestelmäkokonaisuuksista. Valtiollisten toimijoiden tavoitteena on varastaa teknologista etumatkaa, nopeuttaa omaa tuotekehitystään tai löytää haavoittuvuuksia lopputuotteista.
  • Psykologinen vaikuttaminen ja luottamuksen murentaminen: Hyökkäyksillä ja tietovuodoilla pyritään kyseenalaistamaan puolustusalan alihankintaketjujen luotettavuus. Vastuun hämärtämiseksi iskut tehdään usein aktivistiryhmien nimissä, mikä antaa valtioille mahdollisuuden kiistää osallisuutensa. Tavoitteena on horjuttaa yhteiskunnan kriisinsietokykyä, pelotella alan työntekijöitä ja vaikuttaa suoraan geopoliittiseen päätöksentekoon luomalla epävarmuutta ja painetta päättäjiä kohtaan.

2. Sisältöperusteinen houkuttelu ja äärimmäisen kohdistettu tietojenkalastelu

Hyökkääjät hyödyntävät avointa tietoa (OSINT) ja tekevät kotiläksynsä pelottavan hyvin. Tietojenkalastelu voi olla räätälöityä mm. seuraavasti:

  • Ammattimainen syötti: Yrityksen edustaja voi saada uskottavan kutsun alan konferenssiin tai virallisen tuntuisen tarjouspyynnön. Hyökkääjä saattaa esiintyä esimerkiksi ukrainalaisena puolustusalan toimijana, joka etsii alihankkijaa. Innostus uudesta liiketoimintamahdollisuudesta voi hämärtää arvostelukyvyn, jolloin “projektiaineiston” mukana tuleva haittaohjelma jää huomaamatta.
  • Henkilökohtainen taso: Hyökkäys voi perustua jopa yrityksen edustajan henkilökohtaiseen harrastukseen. Jos hyökkääjä tietää henkilön olevan kiinnostunut vaikkapa purjehduksesta, syötti voi liittyä siihen, jotta kynnys haitallisen linkin klikkaamiseen madaltuu.

3. Soluttautuminen verkostoihin ja rekrytointeihin

Valtiollinen tiedustelu ei tapahdu vain verkon yli:

  • Verkostot: On täysin realistista, että puolustusalan yritysverkostoihin ja ekosysteemeihin pyrkii soluttautumaan jäseniä, joiden todellinen motiivi on tiedonkeruu, kontaktien luominen ja luottamuksen rakentaminen myöhempiä operaatioita varten.
  • Rekrytointi: Soluttautuminen voi tapahtua suoraan rekrytointiprosessin kautta. Tekaistuilla ansioluetteloilla varustetut “asiantuntijat” voivat pyrkiä asemiin, joissa on pääsy yrityksen kriittiseen tietoon tai tuotantojärjestelmiin.

4. Valtiollisten kybertoimijoiden osaaminen ja MFA-suojauksen ohittaminen: Miksi perussuojaus ei enää riitä?

Kun hyökkääjä on saanut uhrin kiinnostumaan aiemmin mainitusta “tarjouspyynnöstä” tai “konferenssikutsusta”, seuraava vaihe on tekninen soluttautuminen. On tärkeää ymmärtää, että valtiollisten toimijoiden kyvykkyys ja resurssit poikkeavat merkittävästi tavanomaisista rikollisryhmistä. Vaikka monivaiheinen tunnistautuminen (MFA) on tietoturvan peruspilari, perinteiset menetelmät ovat menettäneet tehonsa valtiollisia kybertoimijoita vastaan:

  • Authenticator-sovellusten kierto (AitM): Hyökkääjä sijoittuu käyttäjän ja oikean palvelun väliin (Adversary-in-the-Middle) käyttämällä valesivustoa. Kun käyttäjä syöttää sovelluksesta saamansa koodin, hyökkääjä välittää sen reaaliajassa eteenpäin ja kaappaa samalla luotavan istuntoevästeen. Tämän jälkeen hyökkääjä on sisällä järjestelmässä ilman uusia MFA-kyselyitä.
  • MFA-väsymys: Jos hyökkääjällä on salasana tiedossa, hän voi pommittaa käyttäjän puhelinta push-ilmoituksilla, kunnes käyttäjä turhautuneena hyväksyy yhden vahvistuspyynnöistä.
  • Ratkaisu: Suosittelemme siirtymistä kohti kalastelunkestävää (phishing-resistant) tunnistautumista, kuten laitteistopohjaisia avaimia (esim. YubiKey) tai Passkey-tekniikkaa, jotka sitovat tunnistautumisen fyysiseen laitteeseen ja oikeaan verkkotunnukseen.

Toimintasuunnitelma alihankkijalle: Kuusi kriittistä askelta

  1. Riskienhallinta-arviointi ja “kruununjalokivien” tunnistaminen: Mitä tietoa hyökkääjä haluaa ja mikä on vaikutus, jos tuotanto pysähtyy?
  2. Tietoturva- ja palautumissuunnitelma: Dokumentoi tietoturvakäytännöt ja toimintaprosessit tietoturvapoikkeamien estämiseksi ja niistä palautumiseksi. Miten ja kuinka nopeasti toimintakyky ja tiedot palautetaan varmuuskopioista?
  3. Havaitsemiskyky (EDR/XDR): Koska hyökkääjät liikkuvat sekunneissa, IT-ympäristön jatkuva valvonta ja automaattinen vaste on välttämätön. Järjestelmän on eristettävä saastunut laite heti.
  4. Omien alihankkijoiden ja kumppaneiden auditointi: Hyökkääjä ei aina iske suoraan kohteeseen, vaan saattaa soluttautua yritykseen sen oman kumppaniverkoston kautta. Arvioi kriittisesti niiden palveluntarjoajien tietoturvataso, joilla on pääsy tiloihinne tai tietojärjestelmiinne – olipa kyseessä tilitoimisto, IT-tuki tai huoltoyhtiö. Edellytä kumppaneiltasi samoja turvallisuusstandardeja, joita päämiehesi edellyttävät sinulta.
  5. Tarkistusprosessit yhteydenotoille: Luo selkeä protokolla uusien yhteydenottojen varalle. Ohjeista henkilöstöä tarkistamaan lähettäjän taustat useasta luotettavasta lähteestä ja skannaamaan kaikki tiedostot tietoturvaohjelmistolla ennen niiden avaamista. Epäselvissä tilanteissa on aina otettava yhteys tietoturvavastaavaan.
  6. Henkilöstön koulutus: Tietoturvakoulutus ja tietoisuuden lisääminen on tehokkain lääke henkilöön kohdistuvaa tiedustelua ja äärimmäisen kohdistettua tietojenkalastelua vastaan.

Johtopäätökset: Uhkakentän vakavuus

Turvallisuus- ja puolustusalan alihankkijaan kohdistuva kyberisku ei välttämättä ole vain yksittäinen tietoturvapoikkeama. Se voi olla osa suurempaa geopoliittista peliä, jonka kerrannaisvaikutukset ulottuvat kriittisten alihankintaketjujen toimitusvarmuudesta aina kansalliseen turvallisuuteen saakka. Analyysimme ja alan tuoreet havainnot, kuten Google Threat Intelligence Groupin raportit, vahvistavat uhkien skaalan ulottuvan perinteisestä teknisestä vakoilusta aina korkean tason strategiseen häirintään. Tällaisen toiminnan perimmäisenä tarkoituksena on murentaa yhteiskunnallista luottamusta ja kyseenalaistaa alihankintaketjujen turvallisuus.

UhkatyyppiTavoiteEsimerkkejä vaikutuksista yritykselle
Vakoilu & IP-varkausTeknologian ja strategisen tiedon keruu.Tietovuoto, kiristys, kilpailuedun menetys, mainehaitta päämiehen silmissä.
HäirintäTuotannon pysäyttäminen (esim. kiristyshaittaohjelmalla).Toimitusviivästykset, taloudelliset tappiot, sopimussakot, tietojen menetys.
VaikuttamisoperaatiotHenkilöstötietojen vuotaminen, pelottelu.Työntekijöiden turvallisuuden vaarantuminen, luottamuspula.

Me Digiturva365:llä seuraamme kyberuhkaympäristön kehitystä puolestasi. Autamme yritystänne rakentamaan kestävän suojan, joka täyttää niin päämiesten edellyttämät kriteerit kuin lakisääteiset vaatimuksetkin (kuten NIS2). Tietoturvavalvomomme (SOC) valvoo IT-ympäristöänne ja reagoi uhkiin reaaliajassa. Tuemme yritystänne myös riskien arvioinnissa, tietoturva- ja palautumissuunnitelmien laatimisessa sekä henkilöstön jatkuvassa koulutuksessa.

Suomi on kokonaisturvallisuuden kärkimaa – pidetään huoli, että puolustusalan alihankintaketjumme jokainen lenkki on yhtä vahva.