Kyberturvallisuuden uhkataso on edelleen kohonnut. Kiristyneen kansainvälisen turvallisuustilanteen myötä varautuminen erilaisiin laaja-alaisiin häiriötilanteisiin sekä elintärkeiden toimintojen jatkuvuuden turvaaminen ja niiden varmistaminen ovat olleet suomalaisessa yhteiskunnassa esillä kuluneen vuoden aikana. Keskeisenä teemana esiin nousi yhä entisestään yhteiskunnan kriittisiin toimintoihin liittyvä avoin data ja sen suojaaminen, ja toisaalta sen mahdollisesta väärinkäytöstä muodostuva riski yhteiskunnalle.
Miltä vuosi 2024 näytti?
Erilaisia kyberhyökkäyksiä tehdään jatkuvasti ja niitä kohdistuu laajasti kaikkiin eri yhteiskunnan sektoreihin. Erilaisista kyberhyökkäyksistä on tullut nopeampia ja hyökkäyksiin käytetyt menetelmät kehittyvät jatkuvasti. Ilmiöön vastaamiseksi tarvitaan laaja-alaista kyberturvallisuuden osaamista.
Myös rajat toimijoiden välillä ovat hämärtyneet, mikä tekee hyökkäyksen takana olevan tahon ja todellisten motiivien tunnistamisen vaikeammaksi. Hyökkääjät ovat taloudellista hyötyä hakevia rikollisia, mahdollisesti valtiollisista tai valtioon kytköksissä olevia kyberuhkatoimijoita sekä poliittisesti motivoituneita haktivisteja.
Kuluneen vuoden aikana Kyberturvallisuuskeskus käsitteli noin 150 vakavaa tapausta, jotka vaativat hieman enemmän toimia poikkeamien kohteena olevilta organisaatioilta. Osa tapauksista oli kriittisiä, joiden perusteella tehtiin asiakasorganisaation kanssa tiiviimpää yhteistyötä ja seurattiin tapausta aktiivisemmin.
Keskeinen osa Kyberturvallisuuskeskuksen koostamaa tilannekuvaa ovat meille tehtävät ilmoitukset, palveluista saatava data sekä kansainvälisistä verkostoista tuleva tieto. Yleisesti organisaatioiden ja kansalaisten ilmoituskynnys heihin kohdistuvista poikkeamista on madaltunut, mutta siitä huolimatta arvio on, että Kyberturvallisuuskeskuksen tietoon tulee vain murto-osa kansallisista tapauksista.
Kyberturvallisuuskeskuksen tilannekuvatuotteet saivat Kyberturvallisuuskeskuksen tilannekuvatuotteet 2024 -palautekyselyssä keskiarvoksi 4,6 (1 = huono, 5 = erinomainen).
Vuonna 2024 nähdyt ilmiöt ja merkittävimmät tapaukset
Toukokuussa 2024 Helsingin kaupungin kasvatus- ja koulutustoimialaan kohdistunut tietomurto nousi kuluneen vuoden merkittävimmäksi tietomurtotapaukseksi Suomessa. Tietomurrosta käynnistettiin ensimmäinen kyberturvallisuutta koskeva Onnettomuustutkintakeskuksen (OTKES) poikkeuksellisen tapahtuman tutkinta. Kyberturvallisuuskeskus tuki Helsingin kaupunkia tapauksen tutkinnassa ja viestinnässä.
Kuluneen vuoden aikana havaittiin useita maa- ja merikaapeleihin kohdistuneita häiriöitä, joilla ei kuitenkaan ollut merkittävää vaikutusta tietoliikenneyhteyksiin Suomessa. Tietoliikenneyhteydet ovat varsin vikasietoisia, eikä esimerkiksi yhden merikaapelin vaurioituminen lähtökohtaisesti vaikuta maiden väliseen tietoliikenteeseen.
Vuoden 2024 aikana nähtiin useita merkittäviä hyökkäyksiä, jotka eivät kohdentuneet suoraan organisaatioon vaan vaikutukset tulivat osana toimitusketjua. Toimitusketjujen turvaaminen on tärkeä osa kokonaisturvallisuutta. Toimitusketjuhyökkäyksessä organisaation tietojärjestelmiin murtaudutaan sen käyttämien verkostojen, palveluiden, tuotteiden tai avoimen lähdekoodin projektien kautta.
Kulunut vuosi oli globaalisti merkittävä vaalivuosi, mikä osaltaan heijastui informaatio- ja kyberturvallisuuteen. Kyberturvallisuuskeskus seurasi presidentin- ja europarlamenttivaalien sujumista yhdessä muiden viranomaisten kanssa. Suomessa vaalit sujuivat rauhallisesti, eikä merkittäviä poikkeamia raportoitu.
Syksyllä 2024 havaittiin runsaasti palvelunestohyökkäyksiä finanssialan toimijoita kohtaan. Nordean tapauksessa poikkeuksellista oli harvinaisen pitkä yhtäjaksoinen hyökkäys ja hyökkäyksillä aikaansaadut vaikutukset organisaation palveluihin, mikä sai laajasti näkyvyyttä myös mediassa. Palvelunestohyökkäykset yleistyivät Venäjän aloittaman hyökkäyssodan myötä vuonna 2022, ja ilmiö on jatkunut siitä asti aalloittain ja niitä on kohdistunut laajasti eri sektoreihin.
Tilannekuvatoiminta ja sen kehitys 2024 aikana
Kyberturvallisuuskeskuksen keskeinen tehtävä on kansallisen kyberturvallisuuden tilannekuvan tuottaminen. Kyberturvallisuuden tilannekuvaa koostetaan laajassa yhteistyössä kansallisten ja kansainvälisten viranomaisten ja muiden sidosryhmien kanssa.
Kyberturvallisuuden tilannekuva auttaa suomalaista yhteiskuntaa ennakoimaan ja torjumaan kyberuhkia, sekä mahdollistaa nopean reagoinnin mahdollisiin häiriöihin. Tilannekuvan pohjalta voidaan suunnitella toimenpiteitä, joilla kyberturvallisuutta parannetaan ja riskit minimoidaan.
Vuoden 2024 aikana olemme kehittäneet erityisesti kriittisten toimialojen organisaatioiden verkostoille (ISAC-verkostot) toimitettavaa toimialojen tilannekuvaa. Sen luo yleistä tilannekuvaa ISAC-verkostojen organisaatioiden asiantuntijoille, tietoturvapäälliköille, keskijohdolle ja operatiiviselle tasolle ja tukee organisaatioiden varautumista.
Olemme jatkaneet viranomaisten yhteisen kybertilannekuvan kehitystyötä esimerkiksi jakamalla päivittäistä tilannekuvaa, luomalla yhteisiä toimintamalleja yhteistyössä muiden viranomaisten kanssa ja tiivistämällä yhteistyötä poikkeamatapauksissa.
Kyberturvallisuuskeskus tuottaa ajantasaista tietoa tilannekuvan eri tasoilla. Alati muuttuva toimintaympäristö haastaa myös päätöksentekijät, jotka kaipaavat tuekseen ajantasaista tilannekuvaa ymmärrettävässä muodossa. Kyberturvallisuuden strategista tilannekuvatuotetta kehitetään jatkuvasti vastaamaan muuttuvaa toimintaympäristöä ja päättäjien tarpeita.
Kyberturvallisuuskeskus tuottaa ja tarjoaa palveluita organisaatioille niiden tieto- ja kyberturvallisuuden parantamiseksi. Palveluilla organisaatiot saavat arvokasta tietoa omasta kyberturvallisuuden kypsyystasostaan sekä parantavat kansallista kyberturvallisuuden tilannekuvaa.
Kyberilmiöt vuonna 2024
Vuonna 2024 Kyberturvallisuuskeskus vastaanotti yli 18 000 kyberpoikkeamailmoitusta. Automaattisesti käsiteltyjä ilmoituksia kertyi noin 185 000. Luvut ovat linjassa aiempien vuosien lukujen kanssa.
Vuoden 2024 tilastot osoittavat, että kyberturvallisuuden kokonaistilanne on pysynyt vakaana. Huijaus- ja tietojenkalasteluyritykset ovat edelleen merkittävä uhka, ja tietomurtoyritysten määrä on nousussa, vaikka toteutuneiden tietomurtojen määrä on hieman laskenut.
Vuonna 2024 kyberuhkat kehittyivät entistä monimuotoisemmiksi ja kohdennetummiksi. Erityisesti tietojenkalastelu ja tietomurtoyritykset ovat olleet keskeisiä uhkatekijöitä.
Kyberuhkien torjunta vaatii edelleen aktiivista seurantaa, nopeaa reagointia ja vahvaa varautumista.
Viestintäverkot toimivat luotettavasti Suomessa vuonna 2024
Vuonna 2024 viestintäverkkojen toiminta jatkui Suomessa edelleen vakaana. Toimivuushäiriöiden kokonaismäärä kasvoi noin kymmenellä prosentilla, mutta vakavimpien toimivuushäiriöiden määrä pysyi samalla tasolla edellisvuoteen verrattuna. Häiriöt aiheuttivat katkoksia alueellisiin palveluihin tai hätäliikenteeseen hetkellisesti, ja yli kahdeksan tunnin katkokset olivat edelleen melko harvinaisia.
Myrskyjen määrä vuonna 2024 jatkoi edelleen kasvuaan, mikä näkyi myös sähkökatkosten määrän ja niistä aiheutuneiden katkosten syyn huomattavana kasvuna. Pitkällä aikavälillä tarkasteltuna yleisten viestintäpalveluiden toimivuushäiriöiden, ja erityisesti kaikkein vakavimpien vikatilanteiden määrä jatkaa lievää laskuaan, vaikkakin edellisvuoteen verrattuna toimivuushäiriöiden lukumäärä kokonaisuudessaan hieman kasvoikin.
Viranomaiset jatkavat tiivistä yhteistyötä suomalaisten teleyritysten kanssa verkkojen toiminnan luotettavuuden korkean tason ylläpitämiseksi.
Merenalaisen infrastruktuurin vauriot vuonna 2024
Vuoden 2024 ehkä näkyvimpiä kyberturvallisuustapauksia olivat Suomen kansainvälisiin yhteyksiin kohdistuneet vauriot.
Vuoden ensimmäiset merenalaiseen infrastruktuuriin kohdistuneet vauriot tapahtuivat marraskuussa, kun Cinian Suomen ja Saksan välisen C-Lion1 -tietoliikennekaapelin havaittiin katkenneen ulkoisen voiman aiheuttamana 18.11.2024. Vielä saman päivän aikana todettiin myös Gotlannin ja Liettuan välisen Arelionin omistaman merenalaisen tietoliikennekaapelin vaurioituneen edellisen vuorokauden aikana.
Seuraavan kerran merenalaisen infrastruktuurin resilienssiä koeteltiin 25.12.2024, jolloin useiden sähkönsiirto- ja tietoliikennekaapelien todettiin katkenneen tai vaurioituneen Suomenlahdella. Katkenneet kaapelit olivat Suomesta Viroon kulkeva Fingridin EstLink 2 -sähkönsiirtokaapeli sekä Elisan Helsingistä Tallinnaan kulkevat merikaapelit. Lisäksi Cinian Helsingistä Saksaan menevä merikaapeli Helsingin ja Hangon väliltä sekä CITIC-yhtiön merikaapeli Helsingin ja Tallinnan välillä vaurioituivat.
Molemmissa edellä mainituissa tapauksissa, vioittuneiden kaapelien kautta kulkeva teleyritysten liikenne ohjautui normaalien varautumiskäytäntöjen mukaan välittömästi varayhteyksiin ja tietoliikenne Suomesta Eurooppaan ja muualle maailmaan toimi pääosin ongelmitta. Katkoksilla ei ollut vaikutusta yleisten viestintäpalvelujen toimivuuteen Suomessa. Molempien tapausten epäiltiin aiheutuneen ulkoisen tahon vaikutuksesta ja näin ollen kummastakin tapauksesta käynnistettiin poliisitutkinta.
Vuoden 2024 aikana tapahtuneiden merikaapelikatkosten lisäksi 2.12.2024 Suomen ja Ruotsin välisissä tietoliikenneyhteyksissä havaittiin myös toisenlainen vika. Kyseisen vian todettiin aiheutuneen kahdessa erillisessä maakaapelissa normaalien maanrakennustöiden yhteydessä tapahtuneista kaivuvahingoista, joiden johdosta tietoliikenne GlobalConnectin omistamassa Suomen ja Ruotsin välisessä merikaapeliyhteydessä häiriintyi. Tapaus vaikutti noin sataan yritysasiakkaaseen ja vaikutuksia havaittiin myös kuluttajien tietoliikenneyhteyksissä. Kaapelivauriot saatiin korjattua seuraavan vuorokauden aikana. Vaurioiden todettiin aiheutuneen normaaleista vahinkotilanteista eikä Poliisi näin ollen aloittanut tutkintaa asiassa.
Kaapelirikkoja tapahtuu Suomessa satoja vuosittain. Marraskuussa katkenneen C-Lion1 -kaapelin korjaaminen vei alle kaksi viikkoa ja suunnilleen yhtä kauan kesti myös joulupäivänä vaurioituneiden merenalaisten tietoliikennekaapeleiden toimintakuntoon saattaminen. Maalla vastaavanlaiset vauriot pystytään toteamaan ja korjaamaan jopa tunneissa. Häiriöihin varaudutaan, ja tärkeimmät yhteydet on varmennettu varayhteyksillä.
Yleisten viestintäverkkojen ja -palvelujen eli teletoiminnan toimintavarmuudesta ja varautumisesta huolehtiminen on ollut osa toimijoita koskevaa lainsäädäntöä ja viranomaisohjausta ja -valvontaa jo 1990-luvulta lähtien. Tällä ja Kyberturvallisuuskeskuksen jatkuvasti tekemällä teleyritysyhteistyöllä on merkittävä vaikutus siihen, että mm. merikaapelien katkeamisista on tuskin lainkaan näkyviä vaikutuksia teleyritysten asiakkaille.
Merikaapelikatkosten käsittely jatkuu edelleen sekä kansallisesti että Itämeren maiden eri viranomaisten kesken. Kyberturvallisuuskeskus jatkaa kansallista ja kansainvälistä yhteistyötä teleyritysten ja muiden viranomaisten kanssa viestintäverkkoinfrastruktuurin suojaamiseksi sekä mahdollisten ongelmien ennaltaehkäisemiseksi, havaitsemiseksi ja korjaamiseksi.
Kyberturvallisuuden näkymiä vuodelle 2025
Monet kyberturvallisuuden trendit ovat pysyneet vuosia muuttumattomina. Kohonnut uhkataso, pätevien asiantuntijoiden puute, teknisen velan aiheuttamat uhat ja teknisen kehityksen mahdollistamat hyökkäysmenetelmät työllistävät myös tulevaisuudessa. Lisääntyvien sääntelyvaatimusten myötä nämä ongelmat tulevat näkyväksi yhä laajemmalle joukolle organisaatioita.
Useiden organisaatioiden kyberturvallisuuden tilanne on kaksijakoinen. Toisaalta saatetaan keskittyä torjumaan edistyneitä hyökkäyksiä, mutta samalla laiminlyödään perustavanlaatuisia tietoturvakäytäntöjä. Tyypillisesti puutteita löytyy perustason kyberhygieniassa kuten säännöllisessä päivitysten asentamisessa, alihankkijoiden hallinnassa, järjestelmien riittävässä lokituksessa ja hyökkäysten kattavassa havainnoinnissa. Tietoturvaan ja -tekniikkaan keskittyneen työvoiman vähäisyys sekä puutteelliset prosessit ja työkalut voivat johtaa siihen, että organisaatiot reagoivat verkkaisesti ja tehottomasti vakaviin tietoturvaloukkauksiin kuten kiristyshaittaohjelmiin.
Vuonna 2025 automaatiota pyritään hyödyntämään yhä laajemmin asiantuntijapulan paikkaamiseksi. Organisaatiot pyrkivät hyödyntämään entistä enemmän tekoälyä ja koneoppimista vähentääkseen manuaalisia toistuvia tehtäviä ja tehostaakseen asiantuntijatyötä. Tekoälyavusteisuus saattaa parhaimmillaan mahdollistaa joitakin työtehtäviä laajemmalle joukolle tekijötä. Samalla kyberasiantuntijoiden rooli keskittyy kuitenkin entistä enemmän korkeampaa asiantuntemusta vaativiin tehtäviin.
Vuonna 2024 nähtiin ensimmäiset onnistuneet uusien haavoittuvuuksien löytämiseen liittyvät generatiivisen tekoälyn sovellukset. Tekoäly pystyi tunnistamaan ja hyväksikäyttämään piileviä ongelmakohtia ohjelmistoissa merkittävästi aiempaa paremmin. Haavoittuvuuksien löytämiseen ja hyödyntämiseen liittyvät työnkulut alkavat olla yhä laajemmin automatisoituja.
Haavoittuvuuksien löytämisen ja hyödyntämisen myötä ohjelmisto- ja laitteistotoimitusketjujen suojaamisen merkitys korostuu vuonna 2025. Automatisointi mahdollistaa aiempaa kehittyneemmät hyökkäykset, kuten haitalliset koodinlisäykset sekä haavoittuvuuksien etsinnän kolmannen osapuolen kirjastoista. Toimitusketjuhyökkäysuhan kasvu korostaa laadunvarmistuksen, koodianalyysin ja tietoturvatarkastusten merkitystä sekä koodin alkuperän ja eheyden varmistamisen tärkeyttä.
Kyberhygienian parantamisen kannalta on nähtävillä myös myönteisiä teknisiä trendejä. Pitkään trendinä olleen nollaluottamuksen periaatteen käyttöönotto pienentää organisaatioiden hyökkäyspinta-alaa. Passkeys-teknologian käyttöönoton yleistyminen voi vähentää identiteetin hallintaan liittyviä hyökkäyksiä ja huijauksia.
Yhä useammat organisaatiot integroivat generatiivisen tekoälyn tietoturvatestauksen lisäksi osaksi ohjelmistokehityksen prosesseja, mistä on hyötyä, mutta mahdollisesti myös haittaa. Tekoälyn avulla tuotetun koodin on todettu tutkimuksissa sisältävän haavoittuvuuksia, ja organisaatioiden tulee ottaa huomioon tuotetun koodin immateriaalioikeudet. Toisaalta tekoäly voi löytää potentiaalisia tietoturvaongelmia ja jopa ehdottaa korjaavia toimenpiteitä kehittäjille.
Tekoälyjärjestelmien yleistyminen tekee niihin liittyvät riskit konkreettisimmiksi vuonna 2025. Pääsy järjestelmiin ja koulutusmateriaaleihin sekä tietojen vuotaminen haavoittuvuuksia hyödyntämällä ovat hyökkääjien mielenkiinnon kohteina. Monien organisaatioiden on vaikea edes pitää kirjaa kaikista tekoälypohjaisista palveluista, joita tiimit ja työntekijät ovat ottaneet käyttöön. Varjo-IT:n rinnalle voi nousta varjo-AI vastaavan kaltaisine ongelmineen.
Kyberhyökkäysten trendit ovat pysyneet pitkään hyvin samankaltaisina. Kiristyshaittaohjelmien käyttö säilynee tärkeimpänä työkaluna myös tulevaisuudessa, mutta varastettujen tietojen käyttö kiristyksessä, tietovuodoissa ja kauppatavarana voi saada vielä uusia muotoja. Vuonna 2024 palvelunestohyökkäyksiä kohdennettiin sovelluskerrokseen, millä pystyttiin paikoin kiertämään olemassa olevia suojauksia. On odotettavissa, että hyökkääjät kehittävät palvelunestohyökkäyksiä edelleen suurempien vaikutusten aikaansaamiseksi.
Edellisvuosina on nähty pitkälti ennustettuja kehityskulkuja tekoälyn käytöstä hyökkäyksissä. Erityisesti generoitujen tekstien, kuvien, äänen ja videoiden käyttö huijauksissa on yleistynyt. Tekoälymenetelmien käyttö ei kuitenkaan ole vielä kaikilta osin edennyt massahuijauksiin, vaan niitä on käytetty kohdennetusti. Vuoden 2025 aikana tekoälyjärjestelmien yleistyminen ja halventuminen voisivat hyvin johtaa esimerkiksi generoidun äänen ja videon rutiininomaiseen käyttöön huijauksissa.
Tekoälyn avulla on entistä helpompaa tehdä kyberhyökkäyksiä. On jo havaittu ryhmittymiä, joiden koko toiminta on miltei kokonaan tekoälyavusteista. Hyökkääjien määrä tulee siis kasvamaan, kun alalle siirtymisen kynnys madaltuu. Vuoden 2025 aikana tullaan todennäköisesti näkemään entistä selvemmin, kuinka kyvykkäät hyökkääjät onnistuvat tehostamaan hyökkäyksiään tekoälyllä. Mahdollinen merkki tästä on, että haavoittuvuuksien julkistamisen ja niiden hyväksikäytön välinen viive on jo lyhentynyt.
Kvanttikoneiden kehityksessä on nähty vuonna 2024 merkittäviä edistysaskeleita. Kvanttilaskennan edistysaskelien uskotaan jatkuvan vauhdikkaina myös vuonna 2025. Vuonna 2024 Traficom ja useat muutkin valtiolliset tahot julkaisivat ohjeitaan kvanttisiirtymään. Yritysten ja organisaatioiden on syytä tehdä suunnitelmat kvanttiturvalliseen salaukseen siirtymisestä mahdollisimman pian, ja seurata kvanttilaskennan mahdollisuuksia oman toimialansa kehityksen vauhdittamisessa. Kvanttiturvallisten algoritmien käyttöönotto etenee erityisesti kuluttajille suunnatuissa järjestelmissä ja pilvipalveluissa.