Vuonna 2025 Suomen kyberturvallisuuden uhkataso säilyi selvästi kohonneena. Kyberturvallisuuskeskukselle ilmoitettujen vakavien tapausten määrä ei osoittanut laskun merkkejä, vaan säilyi korkealla tasolla. Kyberhyökkäyksiä tehdään jatkuvasti ja ne kohdistuvat laajasti koko yhteiskuntaan, niin yksityisiin yrityksiin kuin julkisiin palveluihin.
Miltä vuosi 2025 näytti?
Kyberturvallisuuden uhkataso on pysynyt Suomessa edelleen kohonneena.
Kyberturvallisuuskeskukselle raportoitujen vakavien tapausten määrät ovat pysyneet korkealla tasolla. Kyberhyökkäyksiä tehdään jatkuvasti ja ne kohdistuvat laajasti yhteiskunnan eri sektoreihin.
Monet kyberturvallisuuden trendit, kuten kriittisten haavoittuvuuksien nopea hyväksikäyttö, ovat jatkuneet aiempien vuosien kaltaisina. Tietomurtojen keskeisimmät juurisyyt olivat edelleen tietojenkalastelu sekä haavoittuvien reunalaitteiden hyväksikäyttö. Verkon reunalaitteiden näkyminen ja avoimuus internetiin on huolestuttava, organisaatioiden hyökkäyspinta-alaa lisäävä tekijä.
Toimitusketjujen merkitys korostuu entisestään toimintaympäristön monimutkaistuessa ja digitaalisten riippuvuuksien kasvaessa. Teknologinen kehitys, kuten tekoälyn lisääntyminen, niin ikään muovaavat uhkakenttää.
Keskeinen osa Kyberturvallisuuskeskuksen koostamaa tilannekuvaa ovat keskukselle tehtävät ilmoitukset, palveluista saatava data sekä kansainvälisistä verkostoista tuleva tieto. Vuonna 2025 voimaan astunut kyberturvallisuuslaki (NIS2) ja siihen liittyvä raportointivelvoite lisää näkyvyyttä kriittisten toimialojen kyberturvallisuustilanteeseen. Suurin osa Kyberturvallisuuskeskuksen vastaanottamista poikkeamailmoituksista perustuu kuitenkin edelleen vapaaehtoisuuteen, eivätkä läheskään kaikki tapahtumat tule viranomaisten tietoon.
Vuonna 2025 Kyberturvallisuuskeskus vastaanotti 20 890 kyberpoikkeamailmoitusta. Automaattisesti käsiteltyjä ilmoituksia kertyi 225 031. Luvut ovat linjassa aiempien vuosien lukujen kanssa.
Kyberturvallisuuskeskus julkaisi vuoden aikana 25 haavoittuvuustiedotteita. Vuoden ainoa varoitus julkaistiin syyskuussa M365-tietojenkalasteluaallon vuoksi.
Viestintäverkot toimivat luotettavasti Suomessa vuonna 2025
Vuonna 2025 viestintäverkkojen toiminta jatkui Suomessa edelleen vakaana. Toimivuushäiriöiden kokonaismäärä laski yli kymmenellä prosentilla, mutta vakavimpien toimivuushäiriöiden määrä vastaavasti nousi yli 40 prosentilla edellisvuoteen verrattuna johtuen osittain laitevikojen aiheuttamista häiriöistä. Häiriöt aiheuttivat katkoksia alueellisiin palveluihin tai hätäliikenteeseen hetkellisesti, mutta yli vuorokauden pituiset katkokset olivat edelleen melko harvinaisia.
Vaikka loppuvuoteen osunut Hannes-myrsky oli vaikutuksiltaan yksi viime vuosikymmenten pahimmista, niin sähkökatkoksen aiheuttaneiden myrskyjen määrä vuonna 2025 väheni huomattavasti, mikä näkyi niistä aiheutuneiden palvelukatkosten määrän puolittumisena verrattuna edellisvuoteen. Pitkällä aikavälillä tarkasteltuna yleisten viestintäpalveluiden toimivuushäiriöiden trendi jatkaa lievää laskuaan, vaikkakin edellisvuoteen verrattuna erityisesti kaikkein vakavimpien vikatilanteiden lukumäärä kokonaisuudessaan nousikin huomattavasti.
Viranomaiset jatkavat tiivistä yhteistyötä suomalaisten teleyritysten kanssa verkkojen toiminnan luotettavuuden korkean tason ylläpitämiseksi.
Kyberturvallisuuden skenaariot ja jatkuva ennakointimalli
Vuonna 2025 rakennettiin Kyberturvallisuuden skenaariot 2035 tukemaan kyberturvallisuusstrategian poikkihallinnollisen tulevaisuus- ja ennakointityömallin rakentamista ja kyberturvallisuuden uhka-arvion luomista. Mukaan skenaariotyöhön saatiin kyberturvallisuuskeskuksen asiantuntijoiden lisäksi laajasti yrityksiä, akatemian edustajia, kyberturvallisuuskeskuksen kansainvälisiä vastinpareja, julkishallinnon toimijoita ja ministeriöitä, sekä kansalaisyhteiskunnan edustajia (200+). Rakentamiseen ja analysointiin toteutettiin yhteensä kymmenen skenaariotyöpajaa sekä yli 20 asiantuntijan teemahaastattelua.
Kyberturvallisuuden skenaariot 2035 kuvaavat geopolitiikan, kyberturvallisuuden ja teknologian toimintaympäristön muutoksia, syy-seuraussuhteita ja vaikutuksia Suomeen/suomalaiseen yhteiskuntaan. Skenaarioiden pohjalta kehitettiin työkaluja sidosryhmäorganisaatioiden oman ennakointi- ja varautumistyön tukemiseen. Keskeisiksi seurattavaksi ilmiöiksi valikoituivat tekoälyn kehitys, infrastruktuurin kehitys, toimitusketjut, kvanttiteknologia, geopolitiikan kehitys sekä kyberuhat ja haavoittuvuudet. Skenaarioiden ja niissä esiintyvien kyberturvallisuusilmiöiden toteutumista ja vaikutuksia yhteiskuntaan seurataan ja päivitetään vuodesta 2025 eteenpäin jatkuvasti sidosryhmien kanssa.
Ohjeistus itsenäisten tekoälyagenttien kyberturvallisuudesta
Kuluneen vuoden aikana toteutimme yhdessä Huoltovarmuuskeskuksen kanssa ohjeistuksen tekoälyagenttien kyberturvallisuudesta. Ohjeen tavoitteena on auttaa organisaatioita suunnittelemaan, rakentamaan ja ylläpitämään agenttisia tekoälyjärjestelmiä turvallisesti. Ohje nojaa kirjoitushetkellä tuoreimpaan saatavilla olevaan tietoon tekoälyagentteihin liittyvistä tietoturvariskeistä ja uhkamallinnuksen parhaista käytännöistä, joiden avulla jokainen organisaatio voi suunnitella ja rakentaa tekoälyagentin ilman tietoturvan kohtuutonta vaarantamista. Selvitys on suunnattu erityisesti henkilöille, jotka työskentelevät tekoälyn ja tieto- ja kyberturvallisuuden parissa.
Selvitys on osa Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmaa.
Kyberturvallisuuden näkymiä: Vuodesta 2025 kohti käännekohtaa
Vuodesta 2025 eteenpäin kyberturvallisuuden perushaasteet – kasvava uhkakuorma, osaajapula, vanhentuneiden järjestelmien aiheuttama tekninen velka sekä tiukentuva sääntely – eivät katoa, vaan realisoituvat yhä konkreettisempina liiketoimintavaikutuksina. Organisaatiot eivät enää voi puhua abstraktista "riittävästä kyberturvasta", vaan niiden on osoitettava, miten ne täyttävät ulkoiset vaatimukset ja kantavat vastuut vahingoista ja tietomurroista.
Tekoälyn hyökkäyksellinen käyttö
Keskustelu on kääntynyt voimakkaasti tekoälyn rooliin sekä puolustuksessa että hyökkäyksissä. Generatiivisen tekoälyn markkinoiden voimakkaan kasvun vuoksi useat tahot pyrkivät olemaan ensimmäisiä, jotka tunnistavat haittatoimijan hyödyntämässä tekoälyä – joko ilman käyttäjän varsinaista omaa osaamista tai poikkeuksellisen tehokkaasti.
Tähän kehityskulkuun liittyy kaksi riskiä. Yhtäältä riskiarviot saattavat ylikorostua, mikä tuottaa tietoturvatoimittajille perusteetonta myyntiä ja johtaa asiakkaita investoimaan turhiin suojauksiin. Toisaalta ammattilaiset saattavat aliarvioida pidemmän aikavälin uhkakuvaa nähdessään vain nykyisen tekoälyjärjestelmien puutteet eivätkä sitä, miten nämä työkalut voivat kehittyä monimutkaisemmiksi ja autonomisemmiksi. Tämä noudattaa tuttua ennakointivirhettä, jossa lyhyen aikavälin vaikutukset yliarvioidaan ja pitkän aikavälin vaikutukset aliarvioidaan.
Kvanttilaskennan uhkat ja kvantinkestävä salaus
Asiantuntijoiden näkemykset vaihtelevat merkittävästi: joidenkin arvioiden mukaan NISTin asettama vuoden 2035 siirtymäaikataulu saattaa olla huomattavankin optimistinen, ja osa nykyisin käytetyistä RSA-avaimista voivat olla murrettavissa jo tällä vuosikymmenellä. Vaikka tarkkaa aikataulua ei voida antaa, on selvää, että kvantinkestävään salauksen (PQC) siirtymisen prioriteetti kasvaa.
Pilvipalveluiden varautuminen
Pilvipalveluiden varautumiskysymykset ovat olleet vuoden 2025 aikana esillä julkisuudessa. Jokainen teknologia tuo mukanaan sekä vahvuuksia että heikkouksia. Jos pyritään monistamaan kaikki kriittiset palvelut useiden varmistettujen kopioiden varaan, kohdataan kaksi merkittävää haastetta: kustannusten huomattava kasvu ja järjestelmien hauraus, kun varautumista parantamaan suunnatut mekanismit voivat aiheuttaa enemmän häiriöitä kuin ne ratkaisevat. Monistaminen lisää kompleksisuutta, mikä puolestaan avaa uusia hyökkäyspintoja.
Toimitusketjun läpinäkyvyys ja ohjelmistokehitys
Vuoden 2025 aikana nähtiin lukuisia ohjelmistojen toimitusketjujen heikkouksia hyväksikäyttäneitä hyökkäyksiä. Suoran hyökkäyksen sijaan hyökkääjät pyrkivät yhä useammin lisäämään vaikeasti havaittavia takaovia legitiimeihin ohjelmistoihin ja avoimen lähdekoodin kirjastoihin, joihin organisaatiot luottavat. Vaarantunut riippuvuus voi pahimmillaan saastuttaa tuhansia organisaatioita yhdellä iskulla.
Tekoälyavusteisten koodaustyökalujen yleistyminen vahvistaa tätä riskiä kahdella tavalla. Yhtäältä valtiolliset toimijat saattavat pyrkiä manipuloimaan tekoälypohjaisia koodigeneraattoreita haavoittuvuuksien massalevittämiseen. Toisaalta ohjelmistokehityksen nopeus on kasvanut genAI-työkalujen myötä, mutta laatu vaihtelee – haavoittuvuuksia ja epäselviä riippuvuuksia voi hiipiä tuotantoon aiempaa helpommin.
Tämän vuoksi on elintärkeää pystyä todistamaan, mistä komponentit ovat peräisin ja mitä niihin on tehty. Menestyvät organisaatiot varmistavat jatkuvan, reaaliaikaisen näkyvyyden kaikkiin riippuvuuksiin ja muutoksiin sekä sen, että kaikki tekoälyn tuottama koodi käy läpi samat turvatarkastukset, koodikatselmoinnit ja julkaisun porttivalvonnat kuin perinteinen koodi.
Identiteettien hallinta uutena hyökkäyspintana
Vaikka passkey-tekniikka ja muut phishing-vastaiset tunnistautumisratkaisut vähentävät salasanojen riskiä, hyökkääjät suuntaavat yhä enemmän huomionsa palvelu- ja koneidentiteetteihin, OAuth-virheisiin sekä istuntojen kaappauksiin. Nämä uhkat ilmenevät erityisesti monimutkaisissa pilvi- ja agenttiympäristöissä, joissa elinkaariprosessit eivät aina ole hallittuja.
Tekoälyjärjestelmien hallinta
Varjo-tekoälyn hallinta siirtyy satunnaisista kielloista kohti näkyvyyttä ja valvottuja käyttömalleja. Organisaatioiden on kartoitettava, missä malleja käytetään, mitä dataa niihin syötetään ja miten tuloksia hyödynnetään. Hyökkääjät pyrkivät kohdistamaan huomionsa koulutusdataan, mallien hallintapintoihin ja erityisesti siihen, millaisia oikeuksia tekoälyagentit saavat muihin järjestelmiin. Yksi suurimmista uhkista vuonna 2026 voi olla se, että tekoäly saa liikaa valtuuksia ja liian vähän valvontaa – eikä se murra järjestelmää teknisesti, vaan toimii kuin sisäinen takaportti.
Kiristyshaittaohjelmat ja syväväärennökset
Kiristyshaittaohjelmat säilyvät vahvana uhkana, mutta taktiikka on muuttumassa. Kun varmuuskopioiden suojaus paranee, pelkkä salaus ei enää riitä kiristysmenetelmäksi. Tietovarkaudet ja niiden pohjalta tehtävä painostus nousevat yhä tärkeämmiksi, ja hyökkäykset leviävät yhä helpommin koko toimitusketjuun. Samalla syväväärennökset normalisoituvat arkipäiväisiksi keinoiksi ohittaa organisaatioiden sisäiset hyväksyntäketjut.
Vuodesta 2026 tulossa käännekohta
Vuosi 2026 näyttäytyy käännekohtana, jossa tekoäly antaa sekä hyökkääjille että puolustajille mahdollisuuden toimia nopeammin ja laajemmin kuin koskaan aiemmin. Organisaatiot, jotka onnistuvat hallitsemaan perushygienian, varmistamaan toimitusketjun läpinäkyvyyden, hallitsemaan identiteettien elinkaarta, käyttämään tekoälyä hallitusti ja käynnistämään kryptografian siirtymän ajoissa, pystyvät luomaan perustan ennakoivalle, automatisoidulle ja mitattavalle turvallisuudelle. Tällainen lähestymistapa vähentää riskiä jatkuvasti sen sijaan, että vain reagoitaisiin kriiseihin niiden jo puhjettua.