Kyberresilienssin stressitesti

Kyberresilienssin stressitesti

Finanssivalvonta selvitti vuoden 2025 aikana kahdentoista merkittävän valvottavan kyberhäiriöiden sietokykyä stressitestillä. Stressitestissä arvioitiin, miten valvottavat toimisivat vakavassa mutta uskottavassa kyberhäiriötilanteessa ja palautuisivat siitä. Stressitestistä nousi yleisenä huomiona, että valvottavilla on käytäntöjä, joiden mukaisesti kyberhyökkäyksissä toimitaan ja niistä palaudutaan, mutta niitä on varaa vielä parantaa. Stressitestin tulokset ovat lisänneet valvottavien tietoa niiden kyberhäiriöiden sietokyvyn vahvuuksista ja heikkouksista.

Maaliskuussa 2025 käynnistettyyn stressitestiin sisältyi kuvitteellinen skenaario, jossa valvottavan kaikki varotoimet epäonnistuivat ja kyberhyökkäys aiheutti vakavia häiriöitä sen tärkeimpien järjestelmien tietokantoihin. Stressitestissä ei siis arvioitu valvottavien kykyä estää kyberhyökkäyksiä ennalta, vaan niiden kykyä reagoida kyberhyökkäykseen ja palautua siitä.

Stressitestiin osallistui 12 Suomen finanssimarkkinoiden merkittävää valvottavaa, jotka täyttivät kyselylomakkeen ja toimittivat vastauksia tukevaa näyttöä. Kyselyn vastausten ja valvottavien toimittamien asiakirjojen perusteella Finanssivalvonta arvioi valvottavien kyberhäiriöiden sietokykyä.

Jotta valvottava pystyi testaamaan toimensa skenaarion mukaisessa tilanteessa, sen piti osoittaa kykenevänsä

• ottamaan käyttöön kriisitoimintasuunnitelman sekä sisäiset kriisinhallintamenettelyt ja toiminnan jatkuvuussuunnitelman
• kommunikoimaan kaikkien ulkopuolisten sidosryhmiensä, kuten asiakkaidensa, palvelutoimittajiensa ja viranomaisten kanssa
• suorittamaan analyysin siitä, mitä palveluita häiriö koskee ja miten
• toteuttamaan häiriöiden lievennystoimenpiteitä turvautumalla esimerkiksi hätäratkaisuihin, joiden avulla valvottava pystyy jatkamaan toimintaansa tietojärjestelmien täyden toimintakapasiteetin palautumisen vaatiman ajan.

Jotta valvottava pystyi testaamaan valmiutensa palautua skenaarion mukaisesta tilanteesta, sen piti osoittaa kykenevänsä

• ottamaan käyttöön palautumissuunnitelmansa sekä varmuuskopioidut tietonsa ja koordinoimaan toimensa kriittisten palvelujen toimittajien kanssa häiriötilanteen poistamiseksi
• varmistamaan, että häiriöstä kärsineet kohteet saatiin palautettua toimintakuntoon
• tekemään kokemustensa pohjalta muutoksia esimerkiksi kriisi- ja palautumissuunnitelmiinsa.

Finanssivalvonta jatkaa yhteistyötä valvottaviensa kanssa niiden kyberhäiriöiden sietokyvyn vahvistamiseksi ja kannustaa valvottavia jatkamaan toimia valvontaodotusten täyttämiseksi. Valvottavien pitäisi esimerkiksi varmistaa, että niillä on asianmukaiset jatkuvuus-, viestintä- ja palautumissuunnitelmat, joissa otetaan huomioon riittävän laaja valikoima kyberriskiskenaarioita.

Valvottavien tulisi myös pystyä saavuttamaan omat palautumistavoitteensa ja arvioimaan riippuvuutensa kriittisten tieto- ja viestintäteknisten palvelujen ulkoisista toimittajista. Lisäksi niiden tulisi pystyä laatimaan arviot kyberhyökkäyksen aiheuttamista suorista ja välillisistä tappioista.

Finanssivalvonta on antanut tulosten pohjalta valvottavakohtaista palautetta ja ryhtynyt tarvittaviin jatkotoimiin. Jotkin valvottavat ovat jo korjanneet testissä paljastuneita puutteita tai laativat suunnitelmia niiden poistamiseksi.

Lisätietoja antaa

Juha Kalm, johtava asiantuntija, 09 183 5525 tai juha.kalm(at)finanssivalvonta.fi.

Asiasanat

Jaa tämä sisältö