Kybertilannekuva 2025 | Traficom
Siirry pääsisältöön
Vuosiraportit

Kybertilannekuva 2025

Vuonna 2025 Suomen kyberturvallisuuden uhkataso säilyi selvästi kohonneena. Kyberturvallisuuskeskukselle ilmoitettujen vakavien tapausten määrä ei osoittanut laskun merkkejä, vaan säilyi korkealla tasolla. Kyberhyökkäyksiä tehdään jatkuvasti ja ne kohdistuvat laajasti koko yhteiskuntaan, niin yksityisiin yrityksiin kuin julkisiin palveluihin.

Tällä sivulla

Miltä vuosi 2025 näytti?

Kyberturvallisuuden uhkataso on pysynyt Suomessa edelleen kohonneena. 

Kyberturvallisuuskeskukselle raportoitujen vakavien tapausten määrät ovat pysyneet korkealla tasolla. Kyberhyökkäyksiä tehdään jatkuvasti ja ne kohdistuvat laajasti yhteiskunnan eri sektoreihin. 

Monet kyberturvallisuuden trendit, kuten kriittisten haavoittuvuuksien nopea hyväksikäyttö, ovat jatkuneet aiempien vuosien kaltaisina. Tietomurtojen keskeisimmät juurisyyt olivat edelleen tietojenkalastelu sekä haavoittuvien reunalaitteiden hyväksikäyttö. Verkon reunalaitteiden näkyminen ja avoimuus internetiin on huolestuttava, organisaatioiden hyökkäyspinta-alaa lisäävä tekijä. 

Toimitusketjujen merkitys korostuu entisestään toimintaympäristön monimutkaistuessa ja digitaalisten riippuvuuksien kasvaessa. Teknologinen kehitys, kuten tekoälyn lisääntyminen, niin ikään muovaavat uhkakenttää.

Keskeinen osa Kyberturvallisuuskeskuksen koostamaa tilannekuvaa ovat keskukselle tehtävät ilmoitukset, palveluista saatava data sekä kansainvälisistä verkostoista tuleva tieto. Vuonna 2025 voimaan astunut kyberturvallisuuslaki (NIS2) ja siihen liittyvä raportointivelvoite lisää näkyvyyttä kriittisten toimialojen kyberturvallisuustilanteeseen. Suurin osa Kyberturvallisuuskeskuksen vastaanottamista poikkeamailmoituksista perustuu kuitenkin edelleen vapaaehtoisuuteen, eivätkä läheskään kaikki tapahtumat tule viranomaisten tietoon.

Vuonna 2025 Kyberturvallisuuskeskus vastaanotti 20 890 kyberpoikkeamailmoitusta. Automaattisesti käsiteltyjä ilmoituksia kertyi 225 031. Luvut ovat linjassa aiempien vuosien lukujen kanssa. 

Kyberturvallisuuskeskus julkaisi vuoden aikana 25 haavoittuvuustiedotteita. Vuoden ainoa varoitus julkaistiin syyskuussa M365-tietojenkalasteluaallon vuoksi. 

Värikkäät pylväsdiagrammit kuvaavat Kyberturvallisuuskeskuksen toiminnan tunnuslukuja vuosilta 2020-2025, useimmissa on pientä kasvua edellisvuoteen. Vuonna 2025 merkittäviä kyberpoikkeamanhallinnan operaatioita oli 18, poikkeamailmoituksia yhteensä 20890, Huijauksia ja kalasteluita ilmiitettiin 16729, tietomurron yrityksiä 492 ja tietomurtoja 977. Automaattisesti käsiteltiin 225031 havaintoa.

Kyberturvallisuuskeskus käsitteli vuonna 2025 enemmän ilmoituksia ja havaintoja kuin aiempina vuosina.

Huijaus- ja kalastelutapaukset

Vuonna 2025 Kyberturvallisuuskeskuksessa kirjattiin 16 729 verkkohuijaus- ja tietojenkalastelutapausta. Tapausten määrä on kasvanut jopa 20 prosenttia edellisestä vuodesta. Edelleen merkittävin osa huijausyrityksistä on ollut pankkitunnusten kalastelua tavalla tai toisella. Rikollisia kiinnostaa rahallinen rikoshyöty. Lisäksi käyttäjätilejä kaapataan kalastelemalla käyttäjiltä niiden tunnuksia ja salasanoja.

Pankkitunnuskalasteluissa tekstiviestihuijausten määrä on lisääntynyt. Huijausviestejä tehtaillaan pankkien lisäksi myös monenlaisten viranomaisten ja terveyspalveluiden nimiin. Rikolliset käyttävät uhreihin vetoavia teemoja, kuten lastensuojelu ja terveydenhoito, joiden avulla uhrit säikytetään klikkaamaan pankkitunnuskalasteluun johtavaa linkkiä. Myös sakkomaksuilla ja poliisiseuraamuksilla pelottelemalla yritettiin huijata. Huijauksista yritetään saada uskottavampia tekoälytyökaluilla.

Esimerkkejä huijausviesteistä

Huijaus voi olla esimerkiksi ohittamaton tarjous, viranomaisen viesti, uusi ihastus, hakukonetulos, joka vie valesivulle, avuntarjous, avunpyyntö tai muka maksamatta jäänyt lasku.

Tietomurrot, tietojenkalastelu ja käyttäjätilien kaappaukset

Viime vuosina on havaittu enemmän merkittäviä kyberpoikkeamatapauksia, jotka ovat vaatineet aktiivisia toimenpiteitä sekä kohteilta että viranomaisilta. Osa tapauksista on ollut kriittisiä, joiden perusteella Kyberturvallisuuskeskus teki asiakasorganisaatioiden ja muiden viranomaisten kanssa tiiviimpää yhteistyötä. Aktiivisia puolustustoimia vaatineiden tietomurtojen määrä osana näitä tapauksia on ollut myös nousussa. Tällaisissa tapauksissa selvitys on vaatinut merkittävää työpanosta yrityksiltä ja/tai Kyberturvallisuuskeskukselta, ja siitä on voinut koitua merkittäviä taloudellisia, toiminnallisia tai muita vaikutuksia.

Tietomurtojen keskeisimmät juurisyyt olivat edellisvuosien tapaan erityisesti tietojenkalastelu sekä haavoittuvien reunalaitteiden hyväksikäyttö. Vuonna 2025 Kyberturvallisuuskeskus vastaanotti runsaasti ilmoituksia organisaatioihin kohdistuneista Microsoft M365 -käyttäjätileihin liittyvistä tietojenkalasteluhyökkäyksistä. Merkittävä osa näistä tapauksista johti sähköpostitilien tietomurtoihin. Syyskuussa Kyberturvallisuuskeskus julkaisi vakavan M365-varoituksen, minkä seurauksena tapausten määrä kääntyi viiveellä hienoiseen laskuun vuoden vaihdetta kohti.

Tietomurtoyritykset kehittyvät jatkuvasti, ja hyökkääjät käyttävät vaihtuvia teemoja houkutellakseen uhrit luovuttamaan tunnuksensa.

Esimerkiksi:

  • Viestit, joissa vastaanottajalle tarjotaan tiedoston jakoa (esim. SharePoint, Dropbox, DocuSign)

  • Aidolta vaikuttavat sähköpostit, joissa kehotetaan päivittämään kirjautumistiedot

Rikollisten uudet tekniikat vaativat organisaatioilta suojausmenetelmien vahvistamista

Kyberturvallisuuskeskukselle on raportoitu tapauksista, joissa M365-tili on kaapattu monivaiheisesta tunnistamisesta huolimatta. Niin kutsutut AitM (Adversary-in-the-middle) -hyökkäykset ovat jo yleistyneet. Näissä hyökkäyksissä hyökkääjä sieppaa käyttäjän ja palvelun välillä kulkevan liikenteen, jolloin tunnistautumisen ylimääräiset suojaukset voidaan ohittaa.

Infografiikka siitä, kuinka rikollinen käyttää AiTM-palvelinta kirjautumisen välikätenä. Käyttäjä joutuu kalastelusivulle ja syöttää kirjautumistunnuksensa sinne. Rikollisen palvelin välittää kirjautumispyynnön aitoon palveluun ja kopioi käyttäjän tunnukset sinne. Aito palvelu lähettä käyttäjälle MFA-kyselyn ja käyttäjä hyväksyy sen. Aito palvelu päästää rikollisen sisään. Rikollisen palvelin kopioi istuntoevästeen talteen, ja näin tili on murrettu.

Kun hyökkääjä saa haltuunsa identiteetin, hän voi usein liikkua järjestelmissä huomaamatta pitkään ja saada aikaan monenlaista harmia. Kaapattuja tilejä käytetään usein edelleen seuraaviin tarkoituksiin:

  • Laskutuspetokset – hyökkääjät lähettävät organisaation nimissä väärennettyjä laskuja

  • Jatkokalasteluviestit – kaapattua tiliä hyödynnetään tuhansien uusien huijausviestien lähettämiseen

Useissa organisaatiossa M365-palveluja ollaan vasta ottamassa lähitulevaisuudessa käyttöön. Tähän saakka M365-tietomurtoilmiö on voinut vaikuttaa organisaatioihin, joilla ei ole ollut itsellään M365-palveluja käytössä, esimerkiksi sidosryhmien kautta. Nyt ongelma voi tulla esille omien palveluiden välityksellä.

Organisaatioiden on tärkeää varautua tietojenkalastelun uhkaan sekä teknisin toimenpitein että henkilöstöä kouluttamalla. Uhrien syyllistäminen on turhaa, sillä saatavilla on tehokkaita teknisiä ratkaisuja, joita ei kuitenkaan monissa organisaatioissa vielä hyödynnetä. M365-ympäristöihin kohdistuvien hyökkäysten jatkumiseen voidaan puuttua, ja siihen on syytä tarttua, sillä ilmiö on mahdollista pysäyttää, organisaatio kerrallaan.

Palvelunestohyökkäykset ja niiden kehitys

Palvelunestohyökkäyksistä on tullut osa digitaalisen yhteiskunnan arkipäiväisiä ilmiöitä. Tyypillisesti hyökkäykset kohdistuvat verkkosivustoihin ja sähköisiin palveluihin, joiden toimintaa pyritään häiritsemään. 

Palvelunestohyökkäyksiä tekevät usein haktivistit, jotka hakevat toiminnallaan näkyvyyttä sekä pyrkivät siten edistämään ideologiaansa, usein poliittisessa tai yhteiskunnallisessa kontekstissa. Palvelunestohyökkäyksiä tapahtuu myös ilman ideologista liityntäpintaa. 

Palvelunestohyökkäykset ovat yleensä lyhytkestoisia eivätkä aiheuta pysyvää haittaa, mutta niiden tarkoitus on herättää julkista keskustelua ja vahvistaa hyökkääjien sanomaa. Lisäksi jatkuvien palvelunestohyökkäysten torjuntatoimet kuluttavat puolustajan resursseja, rahaa ja henkilötyötunteja. 

Vuoden 2025 palvelunestohyökkäysten erityispiirteitä

Vuonna 2025 palvelunestohyökkäykset eivät ole aiheuttaneet merkittäviä vaikutuksia Suomessa. Viimeisin merkittäviä vaikutuksia aiheuttanut palvelunestohyökkäystapaus Suomessa on Nordean syksyllä 2024 kohtaamat palvelunestohyökkäykset. 

Kyberturvallisuuskeskuksen tietoon tulleissa palvelunestohyökkäyksissä ei ole havaittu uusia taktiikoita tai tekniikoita. Jo vuonna 2024 yleistynyt mattopommitustekniikka sekä jo useamman vuoden ajan erityisesti haktivistien suosiossa olleet sovellustason palvelunestohyökkäykset ovat jatkuneet myös vuonna 2025.

Vuoden aikana maailmalla on raportoitu kasvavissa määrin hypervolumetrisisiin palvelunestohyökkäyksiin kykenevistä rikollisten infrastruktuureista sekä ennätyksellisen suurista palvelunestohyökkäyksistä. Hypervolumetrisista palvelunestohyökkäyksistä, eli jopa tuhatkertaisesti yleisempiä hyökkäyksiä isommista palvelunestohyökkäyksistä ei ole ennakkotapauksia Suomessa. On todennäköistä, että hypervolumetrisiin palvelunestohyökkäyksiin kykeneviä rikollisten infrastruktuureja rakennetaan tulevaisuudessa lisää. 

Tilastojen perusteella Kyberturvallisuuskeskuksen tietoon tulleiden palvelunestohyökkäyksien kokonaismäärässä nähtiin lievää laskua (noin 9%) vuoteen 2024 verrattuna. Luvut eivät kuitenkaan kerro todellista tilannetta, koska ilmoittaminen palvelunestohyökkäyksistä Kyberturvallisuuskeskukselle on vapaaehtoista. Palveluestohyökkäysten todelliset määrät ovat hyvin suurella todennäköisyydellä korkeampia. 

Kiristyshaittaohjelmat

Vuonna 2025 Kyberturvallisuuskeskukselle raportoitiin 14 kiristyshaittaohjelmatapausta. Kohteina olivat jälleen useat eri toimialat. Ilmoitusten määrä oli kuitenkin pienempi kuin aiempina vuosina – tyypillisesti tapauksia raportoidaan noin 40 vuodessa ja vuonna 2024 vastaavia tapauksia raportoitiin 21 kappaletta.

Maailmalla on raportoitu useita kiristyshaittaohjelmatapauksia, joilla on ollut merkittäviä seurauksia organisaatioiden toiminnalle. Esimerkiksi syksyllä 2025 kiristyshaittaohjelmatoimijat hyökkäsivät eurooppalaisiin lentokenttiin, minkä seurauksena syntyi suuria viivästyksiä ja haittaa kansainväliselle logistiikalle Euroopan alueella. Kyberturvallisuuskeskuksen vähäisestä ilmoitusmäärästä huolimatta kiristyshaittaohjelmat ovat edelleen yksi suurimmista organisaatioiden toimintaan ja turvallisuuteen kohdistuvista uhkista. 

Suomessa kiristystapauksista ilmoittaminen viranomaisille on vapaaehtoista, joten kaikki tapaukset eivät välttämättä tule tietoon. Tämä on valitettavaa, sillä ajantasainen tieto auttaa organisaatioita varautumaan ja antaa viranomaisille paremmat edellytykset tarjota tukea ja ohjeistusta uhriksi joutuneille yrityksille. Todellinen tapausmäärä voi olla suurempi.

Mitä nopeammin Kyberturvallisuuskeskus tai Keskusrikospoliisi saa tiedon tapauksista, sitä tehokkaammin voidaan jakaa ennakoivia ohjeita ja auttaa yrityksiä hyökkäysten torjunnassa.

Vuonna 2025 yleisin kiristyshaittaohjelma Suomessa oli Akira, kuten edellisenäkin vuonna. Sen toiminnassa tai menetelmissä ei havaittu merkittäviä muutoksia, mikä vastaa myös kansainvälisten kumppaneiden havaintoja. Kiristyshaittaohjelmatyyppien määrä on kuitenkin kirjava ja useita eri kiristyshaittaohjelmia on havaittu vuoden aikana.

Suomi ei ole tyypillisesti kiristyshaittaohjelmatoimijoille erityisen kiinnostava kohde. Useimmat toimijat ovat taloudellisesti motivoituneita ja suuntaavat hyökkäyksensä suurempiin tai helpommin hyödynnettäviin markkinoihin. Kuitenkin viime vuosina on havaittu kehitystä siihen suuntaan, että pelkän rahallisen hyödyn lisäksi myös data itsessään kiinnostaa rikollisia yhä enemmän.

Vuonna 2025 kiristysuhkien kohteeksi joutuneet organisaatiot pystyivät pääsääntöisesti toipumaan hyökkäyksistä nopeasti, keskimäärin muutamassa viikossa. Nopea palautuminen oli mahdollista ajantasaisten varmuuskopioiden ansiosta, jotka mahdollistivat järjestelmien palauttamisen ilman lunnaiden maksamista.

Muut haittaohjelmat

Vuonna 2025 Kyberturvallisuuskeskukselle ilmoitetut haittaohjelmatapaukset kasvoivat määrällisesti noin 28 prosenttia vuoteen 2024 verrattuna. Haittaohjelmat vaikuttivat merkittävästi niin yksittäisten henkilöiden kuin organisaatioidenkin tietoturvallisuuteen. Viime vuonna erilaiset bottiverkot ja näiden vaikuttavuus sekä määrä kasvoi huomattavasti. Merkittävimpänä näistä oli BadBox 2.0 -haittaohjelma, joka liitti erilaisia Android-käyttöjärjestelmällä toimivia älylaitteita osaksi bottiverkkoa.

Kulunut vuosi osoitti kuinka tärkeää lainsäädäntö ja markkinoiden valvonta on kyberturvallisuudelle. Esimerkiksi BadBox 2.0 -haittaohjelma oli havaittu olleen esiasennettuna joissakin älylaitteissa jo suoraan tehtaalta. Tämän takia laitteiden toimitusketjujen luotettavuus ja turvallisuus on keskiössä luodessa kyberturvallisempaa yhteiskuntaa.

 

Infografiikka televisiolaitteen toimitusketjusta: ostamaasi laitteeseen on saatettu jo tehtaalla asentaa takaportti. Kun laitteen kytkee verkkoon, se lataa haittaohjelman, joka voi liittää laitteen bottiverkkoon, varastaa tietoja, levittää muita haittaohjelmia ja hidastaa laitetta.

Kansainvälisesti haittaohjelmat ovat aiheuttaneet suuriakin poikkeamia. Syyskuussa 2025 raportoitiin, että haittaohjelmia oli käytetty haittaamaan eri puolella maailmaa sijaitsevien lentokenttien toimintaa. Tämän kaltaiset kyberpoikkeamat olivat aiheuttaneet merkittäviä viivästyksiä ja katkoksia lentoliikenteeseen. Välillisiä vaikutuksia tästä syntyi myös Suomeen lentojen ollessa myöhässä. Voimme siis todeta, että vaikka Suomessa resilienssi ja kyky torjua erilaisia haittaohjelmia on hyvällä tasolla, voi kansainväliset tapahtumat vaikuttaa välillisesti Suomeen.

infografiikka haittaohjelmien ClickFix-levitysmenetelmästä.

ClickFix-hyökkäykset ovat nykyaikainen hyökkäyskeino, jossa käyttäjä erehdytetään suorittamaan haittaohjelma omalla laitteellaan. Tekniikka perustuu siihen, että käyttäjät ovat tottuneet ratkaisemaan "Vahvista, että olet ihminen"- ja CAPTCHA-tarkistusten kaltaisia pieniä tehtäviä arkisen verkkoselauksen yhteydessä.

Kybervakoilu

Kybervakoilua kohdistui Suomessa vuonna 2025 sekä valtionhallintoon että yksityiseen sektoriin. Yksityisellä sektorilla houkuttelevia kohteita kybervakoilulle ovat esimerkiksi puolustus- ja muu teollisuus, teknologia-ala ja kriittinen infrastruktuuri.

Yleisimpiä raportoiduista kybervakoilun muodoista olivat edelleen kohdistetut haitalliset sähköposti- tai muut viestit verkkoon liitettyjen järjestelmien tai laitteiden murtaminen. Sähköpostin lisäksi kohdetta voidaan lähestyä myös sosiaalisen median tai pikaviestimien kautta. Tyypillisesti kohdistetuissa haitallisissa viesteissä pyritään levittämään haittaohjelmia, kalastelemaan kirjautumistunnuksia tai hankkimaan muulla tavoin pääsy kohteen käyttäjätilille tai laitteelle. Lisäksi havaitaan säännöllisesti esimerkiksi verkkopalveluiden ja tietojärjestelmien kartoitustoimintaa, joka voi palvella valtiollisten toimijoiden tietotarpeita, sekä erilaisiin verkkolaitteisiin tai järjestelmiin kohdistuneita tunkeutumisyrityksiä haavoittuvuuksia hyödyntäen.

Merkittäviä julkisuudessa kybervakoiluun yhdistettyjä haavoittuvuuskokonaisuuksia ja niiden tutkintoja on liittynyt sekä Suomessa että maailmalla muun muassa Ivantin, Fortigaten, Citrixin ja Microsoftin tuotteisiin. Hyökkääjät havittelevat haavoittuvuuksien avulla pääsyä esimerkiksi sähköpostiratkaisuihin, palomuuri- tai VPN-laitteille ja järjestelmiin tai palveluihin, joissa organisaatiot säilyttävät tietojaan.

Suomessa havaitut kybervakoilukampanjat ovat tavallisesti sellaisia, että ne koskettavat samanaikaisesti laajaa joukkoa eri maita, ja erityisesti haavoittuvuuksien hyödyntämisen tapauksessa myös laajasti erilaisia organisaatioita. 

Viestintäverkot toimivat luotettavasti Suomessa vuonna 2025

Vuonna 2025 viestintäverkkojen toiminta jatkui Suomessa edelleen vakaana. Toimivuushäiriöiden kokonaismäärä laski yli kymmenellä prosentilla, mutta vakavimpien toimivuushäiriöiden määrä vastaavasti nousi yli 40 prosentilla edellisvuoteen verrattuna johtuen osittain laitevikojen aiheuttamista häiriöistä. Häiriöt aiheuttivat katkoksia alueellisiin palveluihin tai hätäliikenteeseen hetkellisesti, mutta yli vuorokauden pituiset katkokset olivat edelleen melko harvinaisia. 

Vaikka loppuvuoteen osunut Hannes-myrsky oli vaikutuksiltaan yksi viime vuosikymmenten pahimmista, niin sähkökatkoksen aiheuttaneiden myrskyjen määrä vuonna 2025 väheni huomattavasti, mikä näkyi niistä aiheutuneiden palvelukatkosten määrän puolittumisena verrattuna edellisvuoteen. Pitkällä aikavälillä tarkasteltuna yleisten viestintäpalveluiden toimivuushäiriöiden trendi jatkaa lievää laskuaan, vaikkakin edellisvuoteen verrattuna erityisesti kaikkein vakavimpien vikatilanteiden lukumäärä kokonaisuudessaan nousikin huomattavasti. 

Viranomaiset jatkavat tiivistä yhteistyötä suomalaisten teleyritysten kanssa verkkojen toiminnan luotettavuuden korkean tason ylläpitämiseksi.

 

Kyberturvallisuuden skenaariot ja jatkuva ennakointimalli

Vuonna 2025 rakennettiin Kyberturvallisuuden skenaariot 2035 tukemaan kyberturvallisuusstrategian poikkihallinnollisen tulevaisuus- ja ennakointityömallin rakentamista ja kyberturvallisuuden uhka-arvion luomista. Mukaan skenaariotyöhön saatiin kyberturvallisuuskeskuksen asiantuntijoiden lisäksi laajasti yrityksiä, akatemian edustajia, kyberturvallisuuskeskuksen kansainvälisiä vastinpareja, julkishallinnon toimijoita ja ministeriöitä, sekä kansalaisyhteiskunnan edustajia (200+). Rakentamiseen ja analysointiin toteutettiin yhteensä kymmenen skenaariotyöpajaa sekä yli 20 asiantuntijan teemahaastattelua. 

Kyberturvallisuuden skenaariot 2035 kuvaavat geopolitiikan, kyberturvallisuuden ja teknologian toimintaympäristön muutoksia, syy-seuraussuhteita ja vaikutuksia Suomeen/suomalaiseen yhteiskuntaan. Skenaarioiden pohjalta kehitettiin työkaluja sidosryhmäorganisaatioiden oman ennakointi- ja varautumistyön tukemiseen. Keskeisiksi seurattavaksi ilmiöiksi valikoituivat tekoälyn kehitys, infrastruktuurin kehitys, toimitusketjut, kvanttiteknologia, geopolitiikan kehitys sekä kyberuhat ja haavoittuvuudet. Skenaarioiden ja niissä esiintyvien kyberturvallisuusilmiöiden toteutumista ja vaikutuksia yhteiskuntaan seurataan ja päivitetään vuodesta 2025 eteenpäin jatkuvasti sidosryhmien kanssa. 

Ohjeistus itsenäisten tekoälyagenttien kyberturvallisuudesta

Kuluneen vuoden aikana toteutimme yhdessä Huoltovarmuuskeskuksen kanssa ohjeistuksen tekoälyagenttien kyberturvallisuudesta. Ohjeen tavoitteena on auttaa organisaatioita suunnittelemaan, rakentamaan ja ylläpitämään agenttisia tekoälyjärjestelmiä turvallisesti. Ohje nojaa kirjoitushetkellä tuoreimpaan saatavilla olevaan tietoon tekoälyagentteihin liittyvistä tietoturvariskeistä ja uhkamallinnuksen parhaista käytännöistä, joiden avulla jokainen organisaatio voi suunnitella ja rakentaa tekoälyagentin ilman tietoturvan kohtuutonta vaarantamista. Selvitys on suunnattu erityisesti henkilöille, jotka työskentelevät tekoälyn ja tieto- ja kyberturvallisuuden parissa.

Selvitys on osa Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa.

Kyberturvallisuuden näkymiä: Vuodesta 2025 kohti käännekohtaa

Vuodesta 2025 eteenpäin kyberturvallisuuden perushaasteet – kasvava uhkakuorma, osaajapula, vanhentuneiden järjestelmien aiheuttama tekninen velka sekä tiukentuva sääntely – eivät katoa, vaan realisoituvat yhä konkreettisempina liiketoimintavaikutuksina. Organisaatiot eivät enää voi puhua abstraktista "riittävästä kyberturvasta", vaan niiden on osoitettava, miten ne täyttävät ulkoiset vaatimukset ja kantavat vastuut vahingoista ja tietomurroista.

Tekoälyn hyökkäyksellinen käyttö

Keskustelu on kääntynyt voimakkaasti tekoälyn rooliin sekä puolustuksessa että hyökkäyksissä. Generatiivisen tekoälyn markkinoiden voimakkaan kasvun vuoksi useat tahot pyrkivät olemaan ensimmäisiä, jotka tunnistavat haittatoimijan hyödyntämässä tekoälyä – joko ilman käyttäjän varsinaista omaa osaamista tai poikkeuksellisen tehokkaasti.

Tähän kehityskulkuun liittyy kaksi riskiä. Yhtäältä riskiarviot saattavat ylikorostua, mikä tuottaa tietoturvatoimittajille perusteetonta myyntiä ja johtaa asiakkaita investoimaan turhiin suojauksiin. Toisaalta ammattilaiset saattavat aliarvioida pidemmän aikavälin uhkakuvaa nähdessään vain nykyisen tekoälyjärjestelmien puutteet eivätkä sitä, miten nämä työkalut voivat kehittyä monimutkaisemmiksi ja autonomisemmiksi. Tämä noudattaa tuttua ennakointivirhettä, jossa lyhyen aikavälin vaikutukset yliarvioidaan ja pitkän aikavälin vaikutukset aliarvioidaan.

Kvanttilaskennan uhkat ja kvantinkestävä salaus

Asiantuntijoiden näkemykset vaihtelevat merkittävästi: joidenkin arvioiden mukaan NISTin asettama vuoden 2035 siirtymäaikataulu saattaa olla huomattavankin optimistinen, ja osa nykyisin käytetyistä RSA-avaimista voivat olla murrettavissa jo tällä vuosikymmenellä. Vaikka tarkkaa aikataulua ei voida antaa, on selvää, että kvantinkestävään salauksen (PQC) siirtymisen prioriteetti kasvaa.

Pilvipalveluiden varautuminen

Pilvipalveluiden varautumiskysymykset ovat olleet vuoden 2025 aikana esillä julkisuudessa. Jokainen teknologia tuo mukanaan sekä vahvuuksia että heikkouksia. Jos pyritään monistamaan kaikki kriittiset palvelut useiden varmistettujen kopioiden varaan, kohdataan kaksi merkittävää haastetta: kustannusten huomattava kasvu ja järjestelmien hauraus, kun varautumista parantamaan suunnatut mekanismit voivat aiheuttaa enemmän häiriöitä kuin ne ratkaisevat. Monistaminen lisää kompleksisuutta, mikä puolestaan avaa uusia hyökkäyspintoja.

Toimitusketjun läpinäkyvyys ja ohjelmistokehitys

Vuoden 2025 aikana nähtiin lukuisia ohjelmistojen toimitusketjujen heikkouksia hyväksikäyttäneitä hyökkäyksiä. Suoran hyökkäyksen sijaan hyökkääjät pyrkivät yhä useammin lisäämään vaikeasti havaittavia takaovia legitiimeihin ohjelmistoihin ja avoimen lähdekoodin kirjastoihin, joihin organisaatiot luottavat. Vaarantunut riippuvuus voi pahimmillaan saastuttaa tuhansia organisaatioita yhdellä iskulla.

Tekoälyavusteisten koodaustyökalujen yleistyminen vahvistaa tätä riskiä kahdella tavalla. Yhtäältä valtiolliset toimijat saattavat pyrkiä manipuloimaan tekoälypohjaisia koodigeneraattoreita haavoittuvuuksien massalevittämiseen. Toisaalta ohjelmistokehityksen nopeus on kasvanut genAI-työkalujen myötä, mutta laatu vaihtelee – haavoittuvuuksia ja epäselviä riippuvuuksia voi hiipiä tuotantoon aiempaa helpommin.

Tämän vuoksi on elintärkeää pystyä todistamaan, mistä komponentit ovat peräisin ja mitä niihin on tehty. Menestyvät organisaatiot varmistavat jatkuvan, reaaliaikaisen näkyvyyden kaikkiin riippuvuuksiin ja muutoksiin sekä sen, että kaikki tekoälyn tuottama koodi käy läpi samat turvatarkastukset, koodikatselmoinnit ja julkaisun porttivalvonnat kuin perinteinen koodi.

Identiteettien hallinta uutena hyökkäyspintana

Vaikka passkey-tekniikka ja muut phishing-vastaiset tunnistautumisratkaisut vähentävät salasanojen riskiä, hyökkääjät suuntaavat yhä enemmän huomionsa palvelu- ja koneidentiteetteihin, OAuth-virheisiin sekä istuntojen kaappauksiin. Nämä uhkat ilmenevät erityisesti monimutkaisissa pilvi- ja agenttiympäristöissä, joissa elinkaariprosessit eivät aina ole hallittuja.

Tekoälyjärjestelmien hallinta

Varjo-tekoälyn hallinta siirtyy satunnaisista kielloista kohti näkyvyyttä ja valvottuja käyttömalleja. Organisaatioiden on kartoitettava, missä malleja käytetään, mitä dataa niihin syötetään ja miten tuloksia hyödynnetään. Hyökkääjät pyrkivät kohdistamaan huomionsa koulutusdataan, mallien hallintapintoihin ja erityisesti siihen, millaisia oikeuksia tekoälyagentit saavat muihin järjestelmiin. Yksi suurimmista uhkista vuonna 2026 voi olla se, että tekoäly saa liikaa valtuuksia ja liian vähän valvontaa – eikä se murra järjestelmää teknisesti, vaan toimii kuin sisäinen takaportti.

Kiristyshaittaohjelmat ja syväväärennökset

Kiristyshaittaohjelmat säilyvät vahvana uhkana, mutta taktiikka on muuttumassa. Kun varmuuskopioiden suojaus paranee, pelkkä salaus ei enää riitä kiristysmenetelmäksi. Tietovarkaudet ja niiden pohjalta tehtävä painostus nousevat yhä tärkeämmiksi, ja hyökkäykset leviävät yhä helpommin koko toimitusketjuun. Samalla syväväärennökset normalisoituvat arkipäiväisiksi keinoiksi ohittaa organisaatioiden sisäiset hyväksyntäketjut.

Vuodesta 2026 tulossa käännekohta 

Vuosi 2026 näyttäytyy käännekohtana, jossa tekoäly antaa sekä hyökkääjille että puolustajille mahdollisuuden toimia nopeammin ja laajemmin kuin koskaan aiemmin. Organisaatiot, jotka onnistuvat hallitsemaan perushygienian, varmistamaan toimitusketjun läpinäkyvyyden, hallitsemaan identiteettien elinkaarta, käyttämään tekoälyä hallitusti ja käynnistämään kryptografian siirtymän ajoissa, pystyvät luomaan perustan ennakoivalle, automatisoidulle ja mitattavalle turvallisuudelle. Tällainen lähestymistapa vähentää riskiä jatkuvasti sen sijaan, että vain reagoitaisiin kriiseihin niiden jo puhjettua.

Sivu on viimeksi päivitetty