Kyberturvallisuuden ensimmäinen vuosipuolisko 2026: kyberuhkien torjuminen vaatii vahvempaa varautumista ja resursointia

Kyberturvallisuuden tilanne Suomessa on vuoden 2026 ensimmäisellä puoliskolla pysynyt vakaana. Vaikka uhkakuvassa ei ole tapahtunut merkittäviä äkillisiä muutoksia, kyberuhkat ovat kehittyneet teknologian ja hyökkääjien toimintatapojen mukana. Erityisesti tekoälyn hyödyntäminen hyökkäyksissä, Microsoft 365 -tilimurtojen kasvu sekä toimitusketjuihin kohdistuvat riskit ovat nousseet keskeisiksi huolenaiheiksi.

"Vuoden 2026 ensimmäinen puolisko osoittaa, että kyberuhkien torjuminen pitää olla vakiintunut osa normaalia toimintaa. Ratkaisevaa on se, kuinka hyvin organisaatiot pystyvät ennakoimaan, varautumaan ja sopeutumaan muutoksiin", Traficomin Kyberturvallisuuskeskuksen ylijohtaja Anssi Kärkkäinen sanoo.

Microsoft 365 -tilimurrot ja tietojenkalastelu lisääntyvät

Alkuvuoden näkyvimpiä ilmiöitä ovat olleet Microsoft 365 -tilimurrot, joita on havaittu eri toimialoilla sekä julkisella että yksityisellä sektorilla. Hyökkäyksissä käytetään yhä useammin AiTM-tekniikkaa (Adversary-in-the-Middle), jonka avulla voidaan ohittaa perinteinen monivaiheinen tunnistautuminen kaappaamalla käyttäjän istuntotunnisteita. Murrettuja käyttäjätilejä hyödynnetään jatkohyökkäyksissä ja kalastelukampanjoissa, mikä laajentaa hyökkäysten vaikutuksia organisaatiosta toiseen. 

Samalla erilaiset verkkohuijaukset ja tietojenkalastelu ovat jatkuneet aktiivisina. Rikolliset hyödyntävät ajankohtaisia tapahtumia, viranomaisviestintää ja sesonkiluonteisia aiheita (kuten esimerkiksi veronpalautukset sekä Black Friday -alennusmyynnit) luodakseen uskottavia huijausviestejä käyttäjätunnusten ja maksutietojen varastamiseksi.

"Microsoft 365 -tilimurrot ja tietojenkalastelu ovat yhä keskeisiä kyberuhkia, ja niiden toteutustavat ovat muuttuneet aiempaa vaikeammin havaittaviksi. Erityisesti kirjautumissuojausten kiertämiseen perustuvat hyökkäykset korostavat vahvojen tunnistautumisratkaisujen ja käyttäjien valppauden merkitystä”, ylijohtaja Kärkkäinen sanoo.

Tekoäly muuttaa kyberuhkien luonnetta

Tekoäly on noussut kansainvälisesti yhdeksi merkittävimmistä kyberturvallisuuteen vaikuttavista tekijöistä vuonna 2026. Hyökkääjät hyödyntävät tekoälyä haavoittuvuuksien etsimiseen, hyökkäysten automatisointiin, tiedusteluun sekä uskottavien tietojenkalasteluviestien tuottamiseen. Tämä nopeuttaa hyökkäysten valmistelua ja lisää niiden tehokkuutta.

Samalla tekoälyjärjestelmät ovat muodostuneet uudeksi hyökkäyskohteeksi. Hyökkääjät voivat pyrkiä harhauttamaan tekoälyratkaisuja syöttämällä niille virheellistä tai manipuloitua tietoa, mikä voi johtaa virheellisiin päätöksiin, tietovuotoihin tai turvallisuuskontrollien heikkenemiseen. Myös tekoälyjärjestelmiin kohdistuvat toimitusketjuhyökkäykset ovat nousseet uudeksi riskitekijäksi.

Generatiivinen tekoäly on lisäksi tehnyt huijauksista ja sosiaalisesta manipuloinnista aiempaa uskottavampia. Hyökkääjät voivat rakentaa luottamusta kohteeseensa pitkän ajan kuluessa ja hyödyntää tekoälyn tuottamaa sisältöä kalastelussa, huijauksissa ja informaatiovaikuttamisessa. Deepfake-teknologian kehittyminen lisää entisestään väärän tiedon levittämisen mahdollisuuksia.

"Vaikka tekoäly kasvattaa hyökkääjien toimintamahdollisuuksia, se tarjoaa myös merkittäviä hyötyjä puolustajille. Tekoälyä voidaan hyödyntää poikkeamien havaitsemisessa, lokitietojen analysoinnissa, uhkien tunnistamisessa sekä haavoittuvuuksien löytämisessä. Tekoäly ei kuitenkaan ainakaan vielä korvaa asiantuntijoita, vaan sen turvallinen hyödyntäminen edellyttää jatkuvaa valvontaa, osaamista ja riskienhallintaa", ylijohtaja Kärkkäinen muistuttaa.

Kyberhyökkäykset hyödyntävät pienimpiäkin heikkouksia

Haittaohjelmat ovat säilyneet keskeisenä uhkana, ja niiden levittämisessä yhdistetään yhä useammin tietojenkalastelua, ohjelmistojen haavoittuvuuksia ja toimitusketjuihin kohdistuvia hyökkäyksiä. 

Ohjelmistoissa ja verkkolaitteissa havaittujen haavoittuvuuksien määrä on viimeisten vuosien aikana ollut merkittävässä kasvussa. Tähän vaikuttaa etenkin tekoälyn kehittyminen haavoittuvuuksien löytämisessä. Haavoittuvuuksien hyväksikäyttö on nopeutunut jopa viimeisen vuoden aikana merkittävästi. Hyväksikäyttö alkaa usein hyvin nopeasti julkistamisen jälkeen ja jopa ennen sitä. 

Haavoittuvuuksien määrän lisääntyminen myös haastaa varautumista, kun organisaatiot joutuvat käyttämään enemmän resursseja haavoittuvien järjestelmien kartoittamiseen ja haavoittuvuuksien paikkaamiseen.

“Haavoittuvuuksien nopea korjaaminen, järjestelmien ja laitteiden säännölliset päivitykset sekä laitteiden koko elinkaaresta huolehtiminen ovat keskeisiä keinoja riskien hallinnassa. Myös tietojenkalasteluun varautuminen sekä toimitusketjujen ja järjestelmien jatkuva seuranta vahvistavat kyberturvallisuutta”, Kärkkäinen muistuttaa.

Toimitusketjuriskit korostuvat organisaatioiden riippuvuuksien kasvaessa. Hyökkääjät pyrkivät hyödyntämään ohjelmistotoimittajia, pilvipalveluja ja muita kolmansia osapuolia päästäkseen varsinaisiin kohteisiinsa. Myös heikosti suojatut IoT-laitteet muodostavat kasvavan hyökkäyspinnan, jota voidaan hyödyntää esimerkiksi bottiverkoissa ja palvelunestohyökkäyksissä.

"Toimitusketjujen ja digitaalisten riippuvuuksien kasvaessa myös hyökkäyspinta laajenee. Yksittäinen heikkous ohjelmistotoimittajassa, pilvipalvelussa tai IoT-laitteessa voi avata tien koko organisaatioon”, ylijohtaja Kärkkäinen sanoo.

Verkon reunalaitteiden riskit ovat säilyneet merkittävänä uhkana organisaatioille

Heikosti suojattujen verkon reunalaitteiden muodostama tietoturvariski on korostunut viime vuosina, ja Kyberturvallisuuskeskus on tehnyt useita julkaisuita aiheesta. Verkon reunalaitteilla tarkoitetaan henkilön tai organisaation oman verkon ja julkisen internetin välissä toimivia liikennettä välittäviä laitteita, kuten VPN-yhdyskäytäviä, palomuurilaitteita ja reitittimiä. 

Reunalaitteiden näkyminen ja avoimuus internetiin avaa paljon hyökkäyspintaa pahantahtoisille toimijoille. Haavoittuvuudet sekä virheet laitteiden konfiguraatioissa ovat kirjautumistunnusten vuotamisen ohella merkittävimmät murrolle altistavat tekijät. Valtiolliset uhkatoimijat ja kyberrikolliset voivat myös hyödyntää murrettuja verkon reunalaitteita esimerkiksi kybervakoilun tai palvelunestohyökkäysten toteuttamisessa. 

Viimeisimpänä esimerkkinä aiheesta on kansainvälinen yhteisoperaatio Venäjän sotilastiedustelupalvelun kybervakoilutoimintaan käyttämän infrastruktuurin alas ajamiseksi, johon Kyberturvallisuuskeskus osallistui huhtikuussa yhdessä Suojelupoliisin kanssa. 

Varautuminen ratkaisee

Kyberturvallisuuskeskus korostaa ennakoivan varautumisen merkitystä. Organisaatioiden tulee tunnistaa riskit ajoissa, ylläpitää ajantasaista tilannekuvaa ja kehittää kykyään reagoida nopeasti muuttuviin uhkiin. Keskeisiä toimenpiteitä ovat haavoittuvuuksien nopea korjaaminen, vahvojen tunnistautumisratkaisujen käyttöönotto, järjestelmien jatkuva valvonta, havainnointikyky, henkilöstön kouluttaminen sekä toimitusketjujen ja tekoälyjärjestelmien riskienhallinta. Peruskyberhygienian ylläpitäminen on varautumisen perusta. 

“Kyberturvallisuuden ylläpitäminen edellyttää organisaatioilta kokonaisvaltaista riskienhallintaa, riittävää resursointia, teknisten suojausten kehittämistä, henkilöstön osaamisen vahvistamista sekä kykyä mukautua nopeasti muuttuvaan toimintaympäristöön. Kyberhyökkäysten ennalta estäminen on myös huomattavasti edullisempaa kuin niiden vaikutusten korjaaminen", Kärkkäinen muistuttaa. 

Kyberturvallisuuden merkitys korostuu entisestään digitalisaation ja palveluiden verkottumisen myötä. Samalla kyberuhkien ennakointi ja niihin varautuminen ovat nousseet keskeiseksi osaksi organisaatioiden ja koko yhteiskunnan toimintavarmuutta.

"Traficomin Kyberturvallisuuskeskus tukee osaltaan digitaalisen yhteiskunnan turvallista toimintaa tarjoamalla ajantasaista tilannekuvaa, varoituksia ja ohjeistusta organisaatioille sekä kansalaisille. Tavoitteena on vahvistaa yhteiskunnan kykyä ehkäistä, havaita ja hallita kyberuhkia yhteistyössä eri toimijoiden kanssa”, ylijohtaja Kärkkäinen sanoo.

Lisätietoja: Traficomin mediapalvelu, p. 029 534 5648