Kybertilannekuva 2024 | Traficom
Siirry pääsisältöön
Vuosiraportit

Kybertilannekuva 2024

Kyberturvallisuuden uhkataso on edelleen kohonnut. Kiristyneen kansainvälisen turvallisuustilanteen myötä varautuminen erilaisiin laaja-alaisiin häiriötilanteisiin sekä elintärkeiden toimintojen jatkuvuuden turvaaminen ja niiden varmistaminen ovat olleet suomalaisessa yhteiskunnassa esillä kuluneen vuoden aikana. Keskeisenä teemana esiin nousi yhä entisestään yhteiskunnan kriittisiin toimintoihin liittyvä avoin data ja sen suojaaminen, ja toisaalta sen mahdollisesta väärinkäytöstä muodostuva riski yhteiskunnalle.

Tällä sivulla

Miltä vuosi 2024 näytti?

Erilaisia kyberhyökkäyksiä tehdään jatkuvasti ja niitä kohdistuu laajasti kaikkiin eri yhteiskunnan sektoreihin. Erilaisista kyberhyökkäyksistä on tullut nopeampia ja hyökkäyksiin käytetyt menetelmät kehittyvät jatkuvasti. Ilmiöön vastaamiseksi tarvitaan laaja-alaista kyberturvallisuuden osaamista. 

Myös rajat toimijoiden välillä ovat hämärtyneet, mikä tekee hyökkäyksen takana olevan tahon ja todellisten motiivien tunnistamisen vaikeammaksi. Hyökkääjät ovat taloudellista hyötyä hakevia rikollisia, mahdollisesti valtiollisista tai valtioon kytköksissä olevia kyberuhkatoimijoita sekä poliittisesti motivoituneita haktivisteja. 

Kuluneen vuoden aikana Kyberturvallisuuskeskus käsitteli noin 150 vakavaa tapausta, jotka vaativat hieman enemmän toimia poikkeamien kohteena olevilta organisaatioilta. Osa tapauksista oli kriittisiä, joiden perusteella tehtiin asiakasorganisaation kanssa tiiviimpää yhteistyötä ja seurattiin tapausta aktiivisemmin. 

Keskeinen osa Kyberturvallisuuskeskuksen koostamaa tilannekuvaa ovat meille tehtävät ilmoitukset, palveluista saatava data sekä kansainvälisistä verkostoista tuleva tieto. Yleisesti organisaatioiden ja kansalaisten ilmoituskynnys heihin kohdistuvista poikkeamista on madaltunut, mutta siitä huolimatta arvio on, että Kyberturvallisuuskeskuksen tietoon tulee vain murto-osa kansallisista tapauksista.  

Kyberturvallisuuskeskuksen tilannekuvatuotteet saivat Kyberturvallisuuskeskuksen tilannekuvatuotteet 2024 -palautekyselyssä keskiarvoksi 4,6 (1 = huono, 5 = erinomainen). 

Vuonna 2024 nähdyt ilmiöt ja merkittävimmät tapaukset

Toukokuussa 2024 Helsingin kaupungin kasvatus- ja koulutustoimialaan kohdistunut tietomurto nousi kuluneen vuoden merkittävimmäksi tietomurtotapaukseksi Suomessa. Tietomurrosta käynnistettiin ensimmäinen kyberturvallisuutta koskeva Onnettomuustutkintakeskuksen (OTKES) poikkeuksellisen tapahtuman tutkinta. Kyberturvallisuuskeskus tuki Helsingin kaupunkia tapauksen tutkinnassa ja viestinnässä.

Kuluneen vuoden aikana havaittiin useita maa- ja merikaapeleihin kohdistuneita häiriöitä, joilla ei kuitenkaan ollut merkittävää vaikutusta tietoliikenneyhteyksiin Suomessa. Tietoliikenneyhteydet ovat varsin vikasietoisia, eikä esimerkiksi yhden merikaapelin vaurioituminen lähtökohtaisesti vaikuta maiden väliseen tietoliikenteeseen. 

Vuoden 2024 aikana nähtiin useita merkittäviä hyökkäyksiä, jotka eivät kohdentuneet suoraan organisaatioon vaan vaikutukset tulivat osana toimitusketjua. Toimitusketjujen turvaaminen on tärkeä osa kokonaisturvallisuutta. Toimitusketjuhyökkäyksessä organisaation tietojärjestelmiin murtaudutaan sen käyttämien verkostojen, palveluiden, tuotteiden tai avoimen lähdekoodin projektien kautta. 

Kulunut vuosi oli globaalisti merkittävä vaalivuosi, mikä osaltaan heijastui informaatio- ja kyberturvallisuuteen. Kyberturvallisuuskeskus seurasi presidentin- ja europarlamenttivaalien sujumista yhdessä muiden viranomaisten kanssa. Suomessa vaalit sujuivat rauhallisesti, eikä merkittäviä poikkeamia raportoitu. 

Syksyllä 2024 havaittiin runsaasti palvelunestohyökkäyksiä finanssialan toimijoita kohtaan. Nordean tapauksessa poikkeuksellista oli harvinaisen pitkä yhtäjaksoinen hyökkäys ja hyökkäyksillä aikaansaadut vaikutukset organisaation palveluihin, mikä sai laajasti näkyvyyttä myös mediassa. Palvelunestohyökkäykset yleistyivät Venäjän aloittaman hyökkäyssodan myötä vuonna 2022, ja ilmiö on jatkunut siitä asti aalloittain ja niitä on kohdistunut laajasti eri sektoreihin. 

Tilannekuvatoiminta ja sen kehitys 2024 aikana

Kyberturvallisuuskeskuksen keskeinen tehtävä on kansallisen kyberturvallisuuden tilannekuvan tuottaminen. Kyberturvallisuuden tilannekuvaa koostetaan laajassa yhteistyössä kansallisten ja kansainvälisten viranomaisten ja muiden sidosryhmien kanssa.

Kyberturvallisuuden tilannekuva auttaa suomalaista yhteiskuntaa ennakoimaan ja torjumaan kyberuhkia, sekä mahdollistaa nopean reagoinnin mahdollisiin häiriöihin. Tilannekuvan pohjalta voidaan suunnitella toimenpiteitä, joilla kyberturvallisuutta parannetaan ja riskit minimoidaan.

Vuoden 2024 aikana olemme kehittäneet erityisesti kriittisten toimialojen organisaatioiden verkostoille (ISAC-verkostot) toimitettavaa toimialojen tilannekuvaa. Sen luo yleistä tilannekuvaa ISAC-verkostojen organisaatioiden asiantuntijoille, tietoturvapäälliköille, keskijohdolle ja operatiiviselle tasolle ja tukee organisaatioiden varautumista.

Olemme jatkaneet viranomaisten yhteisen kybertilannekuvan kehitystyötä esimerkiksi jakamalla päivittäistä tilannekuvaa, luomalla yhteisiä toimintamalleja yhteistyössä muiden viranomaisten kanssa ja tiivistämällä yhteistyötä poikkeamatapauksissa. 

Kyberturvallisuuskeskus tuottaa ajantasaista tietoa tilannekuvan eri tasoilla. Alati muuttuva toimintaympäristö haastaa myös päätöksentekijät, jotka kaipaavat tuekseen ajantasaista tilannekuvaa ymmärrettävässä muodossa. Kyberturvallisuuden strategista tilannekuvatuotetta kehitetään jatkuvasti vastaamaan muuttuvaa toimintaympäristöä ja päättäjien tarpeita. 

Kyberturvallisuuskeskus tuottaa ja tarjoaa palveluita organisaatioille niiden tieto- ja kyberturvallisuuden parantamiseksi. Palveluilla organisaatiot saavat arvokasta tietoa omasta kyberturvallisuuden kypsyystasostaan sekä parantavat kansallista kyberturvallisuuden tilannekuvaa. 

Kyberilmiöt vuonna 2024

Vuonna 2024 Kyberturvallisuuskeskus vastaanotti yli 18 000 kyberpoikkeamailmoitusta. Automaattisesti käsiteltyjä ilmoituksia kertyi noin 185 000. Luvut ovat linjassa aiempien vuosien lukujen kanssa.

Vuoden 2024 tilastot osoittavat, että kyberturvallisuuden kokonaistilanne on pysynyt vakaana. Huijaus- ja tietojenkalasteluyritykset ovat edelleen merkittävä uhka, ja tietomurtoyritysten määrä on nousussa, vaikka toteutuneiden tietomurtojen määrä on hieman laskenut.

Vuonna 2024 kyberuhkat kehittyivät entistä monimuotoisemmiksi ja kohdennetummiksi. Erityisesti tietojenkalastelu ja tietomurtoyritykset ovat olleet keskeisiä uhkatekijöitä.

Kyberuhkien torjunta vaatii edelleen aktiivista seurantaa, nopeaa reagointia ja vahvaa varautumista.

Esimerkkejä huijausviesteistä

Huijaus voi olla esimerkiksi ohittamaton tarjous, viranomaisen viesti, uusi ihastus, hakukonetulos, joka vie valesivulle, avuntarjous, avunpyyntö tai muka maksamatta jäänyt lasku.

Vuonna 2024 kirjattiin noin 14 000 huijaus- ja tietojenkalastelutapausta. Tilastointimenetelmän muutoksen vuoksi luvut eivät ole täysin vertailukelpoisia aiempien vuosien kanssa. Kuitenkin havaittiin, että aggressiiviset sähköpostihuijauskampanjat levisivät laajasti.

Tietomurtoyritysten ja tietovuotojen määrät kasvoivat hieman. Samalla toteutuneiden tietomurtojen määrä kuitenkin laski verrattuna edellisvuosiin. Tietomurtojen yrityksissä havaittiin erityisesti verkon reunalaitteisiin kohdistuvia automatisoituja kirjautumisyrityksiä (password spraying ja brute-force). Muutamissa tapauksissa kirjautumisyritys onnistui vuoden 2024 aikana ja johti esimerkiksi kiristyshaittaohjelmatartuntaan. 

Vaikka tietomurtojen lukumäärä laski, uhrien määrä, joita murrot koskettivat, oli merkittävä. Tietomurtojen koon kasvaessa myös uhrimäärät usein kasvavat tietojen vaarantuessa hyökkäysten yhteydessä. 

Tietojenkalastelulla anastettujen tunnistetietojen käyttö on yleisimpiä keinoja murtautua yritysten järjestelmiin.

Kyberturvallisuuskeskus vastaanotti useita ilmoituksia Microsoft M365 -käyttäjätileihin kohdistuneista tietojenkalasteluhyökkäyksistä. Osa hyökkäyksistä johti sähköpostitilien tietomurtoihin, mikä mahdollisti hyökkääjille pääsyn organisaatioiden sisäisiin viestintäkanaviin.

Tietomurtoyritykset kehittyvät jatkuvasti, ja hyökkääjät käyttävät vaihtuvia teemoja houkutellakseen uhrit luovuttamaan tunnuksensa. Esimerkiksi:

  • Viestit, joissa vastaanottajalle tarjotaan tiedoston jakoa (esim. SharePoint, Dropbox, DocuSign)
  • Aidolta vaikuttavat sähköpostit, joissa kehotetaan päivittämään kirjautumistiedot
  • Monivaiheisen tunnistautumisen (MFA) kiertäminen

Huolestuttava kehitys on, että kyberrikolliset ovat onnistuneet kaappaamaan sähköpostitilejä myös monivaiheisesta tunnistautumisesta (MFA) huolimatta. Tämä on mahdollista niin kutsuttujen Adversary-in-the-Middle (AitM) -hyökkäysten avulla, jotka ovat yleistyneet nopeasti. Näissä hyökkäyksissä hyökkääjä sieppaa käyttäjän ja palvelun välillä kulkevan liikenteen, jolloin tunnistautumisen ylimääräiset suojaukset voidaan ohittaa.

Kaapattuja tilejä käytetään usein edelleen seuraaviin tarkoituksiin:

  • Laskutuspetokset – hyökkääjät lähettävät organisaation nimissä väärennettyjä laskuja
  • Jatkokalasteluviestit – kaapattua tiliä hyödynnetään tuhansien uusien huijausviestien lähettämiseen

Tietojenkalastelu ja tietomurrot ovat muuttuneet entistä kohdennetummiksi. Viime vuosina hyökkäyksiä on suunnattu erityisesti valtionhallintoon, huoltovarmuuskriittisiin toimitusketjuihin. Näihin kohteisiin hyökkäämällä rikolliset pyrkivät saamaan arkaluontoista tietoa ja häiritsemään yhteiskunnan keskeisiä toimintoja.

Organisaatioiden on tärkeää varautua näihin uhkiin ja kouluttaa henkilöstöä tunnistamaan tietojenkalasteluyritykset.

Palvelunestohyökkäykset yleistyivät merkittävästi Venäjän hyökättyä Ukrainaan vuonna 2022, ja ilmiö on jatkunut siitä lähtien. Haktivistit käyttävät näitä hyökkäyksiä saadakseen näkyvyyttä ja edistääkseen ideologiaansa, usein poliittisessa tai yhteiskunnallisessa kontekstissa.

Tyypillisesti hyökkäykset kohdistuvat verkkosivustoihin ja sähköisiin palveluihin, joiden toimintaa pyritään häiritsemään. Vaikka ilmiö on muuttunut pysyvämmäksi, se saa yhä mediahuomiota, mikä kannustaa hyökkääjiä jatkamaan toimintaansa.

Palvelunestohyökkäykset ovat yleensä lyhytkestoisia eivätkä aiheuta pysyvää haittaa, mutta niiden tarkoitus on herättää julkista keskustelua ja vahvistaa hyökkääjien sanomaa.

Vuoden 2024 palvelunestohyökkäysten erityispiirteitä

Tilastojen perusteella palvelunestohyökkäysten määrä vaihteli vuoden aikana. Helmikuussa havaittiin merkittävä piikki, kun NoName-haktivistit kohdistivat hyökkäyksiä useille eri toimialoille.

Syyskuussa rahoitusalaan kohdistui useita palvelunestohyökkäyksiä. Julkisuudessa raportoitiin erityisesti Nordea-pankkiin kohdistuneista hyökkäyksistä. (Lähde: Yle). Pankin mukaan palveluhäiriöitä aiheuttivat sekä toistuvat DDoS-hyökkäykset että tekniset päivitykset. Keskusrikospoliisi aloitti tapauksen tutkinnan törkeänä tietoliikenteen häiriönä. (Lähde: Yle)

Teknologian kehitys ja hyökkäysten vaikutukset

Palvelunestohyökkäyksissä käytetyt tekniset menetelmät ovat kehittyneet viime vuosina, mutta suurin osa vuoden 2024 hyökkäyksistä ei aiheuttanut merkittäviä häiriöitä loppukäyttäjille. Pahimmillaan hyökkäykset johtivat lyhyisiin palvelukatkoihin, mutta laajempia häiriöitä ei raportoitu.

Valtaosa Kyberturvallisuuskeskukselle raportoiduista hyökkäyksistä kohdistui valtionhallintoon, mikä osoittaa, että julkishallinto on edelleen yksi keskeisimmistä kyberuhkien kohteista.

Vuonna 2024 Kyberturvallisuuskeskukselle raportoitiin 21 kiristyshaittaohjelmatapausta. Kohteina olivat jälleen useat eri toimialat. Ilmoitusten määrä oli kuitenkin lähes puolet pienempi kuin aiempina vuosina – tyypillisesti tapauksia raportoidaan noin 40 vuodessa.

Suomessa kiristystapauksista ilmoittaminen viranomaisille on vapaaehtoista, joten kaikki tapaukset eivät välttämättä tule tietoon. Tämä on valitettavaa, sillä ajantasainen tieto auttaa organisaatioita varautumaan ja antaa viranomaisille paremmat edellytykset tarjota tukea ja ohjeistusta uhriksi joutuneille yrityksille. Todellinen tapausmäärä voi olla suurempi.

Mitä nopeammin Kyberturvallisuuskeskus tai Keskusrikospoliisi saa tiedon tapauksista, sitä tehokkaammin voidaan jakaa ennakoivia ohjeita ja auttaa yrityksiä hyökkäysten torjunnassa.

Akira jatkoi yleisimpänä kiristyshaittaohjelmana

Vuonna 2024 yleisin kiristyshaittaohjelma Suomessa oli Akira, kuten edellisenäkin vuonna. Sen toiminnassa tai menetelmissä ei havaittu merkittäviä muutoksia, mikä vastaa myös kansainvälisten kumppaneiden havaintoja.

Kiristyshaittaohjelmien torjunta ja koulutus

Marraskuussa 2024 Kyberturvallisuuskeskus järjesti maksuttoman Kiristyshaittaohjelmawebinaarin, jossa käsiteltiin Suomessa yleisimpiä haittaohjelmia sekä niiden torjuntaa ja varautumiskeinoja. Webinaariin osallistui noin 400 kuulijaa eri toimialoilta.

Suomi ei ole tyypillisesti kiristyshaittaohjelmatoimijoille erityisen kiinnostava kohde. Useimmat toimijat ovat taloudellisesti motivoituneita ja suuntaavat hyökkäyksensä suurempiin tai helpommin hyödynnettäviin markkinoihin. Kuitenkin viime vuosina on havaittu kehitystä siihen suuntaan, että pelkän rahallisen hyödyn lisäksi myös data itsessään kiinnostaa rikollisia yhä enemmän.

Vuonna 2024 kiristysuhkien kohteeksi joutuneet organisaatiot pystyivät pääsääntöisesti toipumaan hyökkäyksistä nopeasti, keskimäärin muutamassa viikossa. Nopea palautuminen oli mahdollista ajantasaisten varmuuskopioiden ansiosta, jotka mahdollistivat järjestelmien palauttamisen ilman lunnaiden maksamista.

Ensisijaiset kohteet

Kybervakoilua kohdistui Suomessa edelleen sekä valtionhallintoon että yksityiseen sektoriin. Yksityisellä sektorilla houkuttelevia kohteita kybervakoilulle ovat esimerkiksi puolustus- ja muu teollisuus, teknologia-ala, konsultointi, finanssisektori, tutkimus- ja kehitystoiminta sekä kriittinen infrastruktuuri.

Yleisimpiä raportoiduista kybervakoilun muodoista olivat edelleen kohdistetut haitalliset sähköposti- tai muut viestit. Tyypillisesti viesteissä pyritään levittämään haittaohjelmia tai kalastelemaan kirjautumistunnuksia. Lisäksi havaitaan säännöllisesti esimerkiksi verkkopalveluiden ja tietojärjestelmien kartoitustoimintaa, joka voi palvella valtiollisten toimijoiden tietotarpeita, sekä erilaisiin verkkolaitteisiin tai järjestelmiin kohdistuneita tunkeutumisyrityksiä haavoittuvuuksia hyödyntäen.

Vuonna 2024 nousi esille myös julkiseen verkkoon paljastettujen palveluiden ja laitteiden hyväksikäyttö ensimmäisen jalansijan saavuttamiseksi. Murrettujen laitteiden avulla voidaan esimerkiksi pyrkiä saamaan tietoa laitetta käyttävästä organisaatiosta tai pääsy organisaation verkkoon.

Toissijaiset kohteet

Vuonna 2024 Suomessakin on selvitetty useita tapauskokonaisuuksia, joissa autoritääristen valtioiden tukemiksi epäillyt kyberuhkatoimijat tai -ryhmittymät ovat saaneet pääsyn verkkolaitteille haavoittuvuuksien avulla. Jalansijan saamisen lisäksi niitä voidaan hyödyntää osana verkkoliikenteen reitittämiseen ja salaamiseen käytettyjä laajoja verkkoja. Pahantahtoiset toimijat käyttävät tällaisia verkkoja esimerkiksi toimintansa naamioimiseen tai liikenteen alkuperän piilottamiseen esimerkiksi kohdistaessaan hyökkäyksiä muihin kohteisiin.

On tavallista, että Suomessa havaitut kybervakoilukampanjat ovat sellaisia, että ne koskettavat samanaikaisesti laajaa joukkoa eri maita, ja erityisesti haavoittuvuuksien hyödyntämisen tapauksessa myös laajasti erilaisia organisaatioita. 

Yksi esimerkki Suomeenkin vaikuttaneista laajoista tapahtumista oli alkuvuodesta 2024 raportoitu Microsoftiin kohdistunut tietomurto, jossa hyökkääjällä oli ollut pääsy myös joukkoon suomalaisten organisaatioiden viestejä. Microsoft kutsuu toimijaa Midnight Blizzardiksi.

Viestintäverkot toimivat luotettavasti Suomessa vuonna 2024 

Vuonna 2024 viestintäverkkojen toiminta jatkui Suomessa edelleen vakaana. Toimivuushäiriöiden kokonaismäärä kasvoi noin kymmenellä prosentilla, mutta vakavimpien toimivuushäiriöiden määrä pysyi samalla tasolla edellisvuoteen verrattuna. Häiriöt aiheuttivat katkoksia alueellisiin palveluihin tai hätäliikenteeseen hetkellisesti, ja yli kahdeksan tunnin katkokset olivat edelleen melko harvinaisia. 

Myrskyjen määrä vuonna 2024 jatkoi edelleen kasvuaan, mikä näkyi myös sähkökatkosten määrän ja niistä aiheutuneiden katkosten syyn huomattavana kasvuna. Pitkällä aikavälillä tarkasteltuna yleisten viestintäpalveluiden toimivuushäiriöiden, ja erityisesti kaikkein vakavimpien vikatilanteiden määrä jatkaa lievää laskuaan, vaikkakin edellisvuoteen verrattuna toimivuushäiriöiden lukumäärä kokonaisuudessaan hieman kasvoikin. 

Viranomaiset jatkavat tiivistä yhteistyötä suomalaisten teleyritysten kanssa verkkojen toiminnan luotettavuuden korkean tason ylläpitämiseksi.

Merenalaisen infrastruktuurin vauriot vuonna 2024

Vuoden 2024 ehkä näkyvimpiä kyberturvallisuustapauksia olivat Suomen kansainvälisiin yhteyksiin kohdistuneet vauriot.

Vuoden ensimmäiset merenalaiseen infrastruktuuriin kohdistuneet vauriot tapahtuivat marraskuussa, kun Cinian Suomen ja Saksan välisen C-Lion1 -tietoliikennekaapelin havaittiin katkenneen ulkoisen voiman aiheuttamana 18.11.2024. Vielä saman päivän aikana todettiin myös Gotlannin ja Liettuan välisen Arelionin omistaman merenalaisen tietoliikennekaapelin vaurioituneen edellisen vuorokauden aikana. 

Seuraavan kerran merenalaisen infrastruktuurin resilienssiä koeteltiin 25.12.2024, jolloin useiden sähkönsiirto- ja tietoliikennekaapelien todettiin katkenneen tai vaurioituneen Suomenlahdella. Katkenneet kaapelit olivat Suomesta Viroon kulkeva Fingridin EstLink 2 -sähkönsiirtokaapeli sekä Elisan Helsingistä Tallinnaan kulkevat merikaapelit. Lisäksi Cinian Helsingistä Saksaan menevä merikaapeli Helsingin ja Hangon väliltä sekä CITIC-yhtiön merikaapeli Helsingin ja Tallinnan välillä vaurioituivat.

Molemmissa edellä mainituissa tapauksissa, vioittuneiden kaapelien kautta kulkeva teleyritysten liikenne ohjautui normaalien varautumiskäytäntöjen mukaan välittömästi varayhteyksiin ja tietoliikenne Suomesta Eurooppaan ja muualle maailmaan toimi pääosin ongelmitta. Katkoksilla ei ollut vaikutusta yleisten viestintäpalvelujen toimivuuteen Suomessa. Molempien tapausten epäiltiin aiheutuneen ulkoisen tahon vaikutuksesta ja näin ollen kummastakin tapauksesta käynnistettiin poliisitutkinta.

Vuoden 2024 aikana tapahtuneiden merikaapelikatkosten lisäksi 2.12.2024 Suomen ja Ruotsin välisissä tietoliikenneyhteyksissä havaittiin myös toisenlainen vika. Kyseisen vian todettiin aiheutuneen kahdessa erillisessä maakaapelissa normaalien maanrakennustöiden yhteydessä tapahtuneista kaivuvahingoista, joiden johdosta tietoliikenne GlobalConnectin omistamassa Suomen ja Ruotsin välisessä merikaapeliyhteydessä häiriintyi. Tapaus vaikutti noin sataan yritysasiakkaaseen ja vaikutuksia havaittiin myös kuluttajien tietoliikenneyhteyksissä. Kaapelivauriot saatiin korjattua seuraavan vuorokauden aikana. Vaurioiden todettiin aiheutuneen normaaleista vahinkotilanteista eikä Poliisi näin ollen aloittanut tutkintaa asiassa.

Kaapelirikkoja tapahtuu Suomessa satoja vuosittain. Marraskuussa katkenneen C-Lion1 -kaapelin korjaaminen vei alle kaksi viikkoa ja suunnilleen yhtä kauan kesti myös joulupäivänä vaurioituneiden merenalaisten tietoliikennekaapeleiden toimintakuntoon saattaminen. Maalla vastaavanlaiset vauriot pystytään toteamaan ja korjaamaan jopa tunneissa. Häiriöihin varaudutaan, ja tärkeimmät yhteydet on varmennettu varayhteyksillä.

Yleisten viestintäverkkojen ja -palvelujen eli teletoiminnan toimintavarmuudesta ja varautumisesta huolehtiminen on ollut osa toimijoita koskevaa lainsäädäntöä ja viranomaisohjausta ja -valvontaa jo 1990-luvulta lähtien. Tällä ja Kyberturvallisuuskeskuksen jatkuvasti tekemällä teleyritysyhteistyöllä on merkittävä vaikutus siihen, että mm. merikaapelien katkeamisista on tuskin lainkaan näkyviä vaikutuksia teleyritysten asiakkaille.

Merikaapelikatkosten käsittely jatkuu edelleen sekä kansallisesti että Itämeren maiden eri viranomaisten kesken. Kyberturvallisuuskeskus jatkaa kansallista ja kansainvälistä yhteistyötä teleyritysten ja muiden viranomaisten kanssa viestintäverkkoinfrastruktuurin suojaamiseksi sekä mahdollisten ongelmien ennaltaehkäisemiseksi, havaitsemiseksi ja korjaamiseksi.

Kyberturvallisuuden näkymiä vuodelle 2025

Monet kyberturvallisuuden trendit ovat pysyneet vuosia muuttumattomina. Kohonnut uhkataso, pätevien asiantuntijoiden puute, teknisen velan aiheuttamat uhat ja teknisen kehityksen mahdollistamat hyökkäysmenetelmät työllistävät myös tulevaisuudessa. Lisääntyvien sääntelyvaatimusten myötä nämä ongelmat tulevat näkyväksi yhä laajemmalle joukolle organisaatioita.

Useiden organisaatioiden kyberturvallisuuden tilanne on kaksijakoinen. Toisaalta saatetaan keskittyä torjumaan edistyneitä hyökkäyksiä, mutta samalla laiminlyödään perustavanlaatuisia tietoturvakäytäntöjä. Tyypillisesti puutteita löytyy perustason kyberhygieniassa kuten säännöllisessä päivitysten asentamisessa, alihankkijoiden hallinnassa, järjestelmien riittävässä lokituksessa ja hyökkäysten kattavassa havainnoinnissa. Tietoturvaan ja -tekniikkaan keskittyneen työvoiman vähäisyys sekä puutteelliset prosessit ja työkalut voivat johtaa siihen, että organisaatiot reagoivat verkkaisesti ja tehottomasti vakaviin tietoturvaloukkauksiin kuten kiristyshaittaohjelmiin.

Vuonna 2025 automaatiota pyritään hyödyntämään yhä laajemmin asiantuntijapulan paikkaamiseksi. Organisaatiot pyrkivät hyödyntämään entistä enemmän tekoälyä ja koneoppimista vähentääkseen manuaalisia toistuvia tehtäviä ja tehostaakseen asiantuntijatyötä. Tekoälyavusteisuus saattaa parhaimmillaan mahdollistaa joitakin työtehtäviä laajemmalle joukolle tekijötä. Samalla kyberasiantuntijoiden rooli keskittyy kuitenkin entistä enemmän korkeampaa asiantuntemusta vaativiin tehtäviin.

Vuonna 2024 nähtiin ensimmäiset onnistuneet uusien haavoittuvuuksien löytämiseen liittyvät generatiivisen tekoälyn sovellukset. Tekoäly pystyi tunnistamaan ja hyväksikäyttämään piileviä ongelmakohtia ohjelmistoissa merkittävästi aiempaa paremmin. Haavoittuvuuksien löytämiseen ja hyödyntämiseen liittyvät työnkulut alkavat olla yhä laajemmin automatisoituja.

Haavoittuvuuksien löytämisen ja hyödyntämisen myötä ohjelmisto- ja laitteistotoimitusketjujen suojaamisen merkitys korostuu vuonna 2025. Automatisointi mahdollistaa aiempaa kehittyneemmät hyökkäykset, kuten haitalliset koodinlisäykset sekä haavoittuvuuksien etsinnän kolmannen osapuolen kirjastoista. Toimitusketjuhyökkäysuhan kasvu korostaa laadunvarmistuksen, koodianalyysin ja tietoturvatarkastusten merkitystä sekä koodin alkuperän ja eheyden varmistamisen tärkeyttä.

Kyberhygienian parantamisen kannalta on nähtävillä myös myönteisiä teknisiä trendejä. Pitkään trendinä olleen nollaluottamuksen periaatteen käyttöönotto pienentää organisaatioiden hyökkäyspinta-alaa. Passkeys-teknologian käyttöönoton yleistyminen voi vähentää identiteetin hallintaan liittyviä hyökkäyksiä ja huijauksia.

Yhä useammat organisaatiot integroivat generatiivisen tekoälyn tietoturvatestauksen lisäksi osaksi ohjelmistokehityksen prosesseja, mistä on hyötyä, mutta mahdollisesti myös haittaa. Tekoälyn avulla tuotetun koodin on todettu tutkimuksissa sisältävän haavoittuvuuksia, ja organisaatioiden tulee ottaa huomioon tuotetun koodin immateriaalioikeudet. Toisaalta tekoäly voi löytää potentiaalisia tietoturvaongelmia ja jopa ehdottaa korjaavia toimenpiteitä kehittäjille.

Tekoälyjärjestelmien yleistyminen tekee niihin liittyvät riskit konkreettisimmiksi vuonna 2025. Pääsy järjestelmiin ja koulutusmateriaaleihin sekä tietojen vuotaminen haavoittuvuuksia hyödyntämällä ovat hyökkääjien mielenkiinnon kohteina. Monien organisaatioiden on vaikea edes pitää kirjaa kaikista tekoälypohjaisista palveluista, joita tiimit ja työntekijät ovat ottaneet käyttöön. Varjo-IT:n rinnalle voi nousta varjo-AI vastaavan kaltaisine ongelmineen.

Kyberhyökkäysten trendit ovat pysyneet pitkään hyvin samankaltaisina. Kiristyshaittaohjelmien käyttö säilynee tärkeimpänä työkaluna myös tulevaisuudessa, mutta varastettujen tietojen käyttö kiristyksessä, tietovuodoissa ja kauppatavarana voi saada vielä uusia muotoja. Vuonna 2024 palvelunestohyökkäyksiä kohdennettiin sovelluskerrokseen, millä pystyttiin paikoin kiertämään olemassa olevia suojauksia. On odotettavissa, että hyökkääjät kehittävät palvelunestohyökkäyksiä edelleen suurempien vaikutusten aikaansaamiseksi.

Edellisvuosina on nähty pitkälti ennustettuja kehityskulkuja tekoälyn käytöstä hyökkäyksissä. Erityisesti generoitujen tekstien, kuvien, äänen ja videoiden käyttö huijauksissa on yleistynyt. Tekoälymenetelmien käyttö ei kuitenkaan ole vielä kaikilta osin edennyt massahuijauksiin, vaan niitä on käytetty kohdennetusti. Vuoden 2025 aikana tekoälyjärjestelmien yleistyminen ja halventuminen voisivat hyvin johtaa esimerkiksi generoidun äänen ja videon rutiininomaiseen käyttöön huijauksissa.

Tekoälyn avulla on entistä helpompaa tehdä kyberhyökkäyksiä. On jo havaittu ryhmittymiä, joiden koko toiminta on miltei kokonaan tekoälyavusteista. Hyökkääjien määrä tulee siis kasvamaan, kun alalle siirtymisen kynnys madaltuu. Vuoden 2025 aikana tullaan todennäköisesti näkemään entistä selvemmin, kuinka kyvykkäät hyökkääjät onnistuvat tehostamaan hyökkäyksiään tekoälyllä. Mahdollinen merkki tästä on, että haavoittuvuuksien julkistamisen ja niiden hyväksikäytön välinen viive on jo lyhentynyt.

Kvanttikoneiden kehityksessä on nähty vuonna 2024 merkittäviä edistysaskeleita. Kvanttilaskennan edistysaskelien uskotaan jatkuvan vauhdikkaina myös vuonna 2025. Vuonna 2024 Traficom ja useat muutkin valtiolliset tahot julkaisivat ohjeitaan kvanttisiirtymään. Yritysten ja organisaatioiden on syytä tehdä suunnitelmat kvanttiturvalliseen salaukseen siirtymisestä mahdollisimman pian, ja seurata kvanttilaskennan mahdollisuuksia oman toimialansa kehityksen vauhdittamisessa. Kvanttiturvallisten algoritmien käyttöönotto etenee erityisesti kuluttajille suunnatuissa järjestelmissä ja pilvipalveluissa.

Sivu on viimeksi päivitetty