Kyberturvallisuuden uhkataso pysyi Suomessa vuonna 2025 koholla, ja vakavien tapausten määrä oli edelleen korkea, kertoo Traficom. Selkeä muutos aiempiin vuosiin oli se, että hyökkääjät hyödyntävät kriittisiä haavoittuvuuksia entistä nopeammin, jopa minuuteissa ja tunneissa. Huijausten määrät jatkoivat kasvuaan.
Tietomurtojen keskeisimmät syyt olivat edelleen tietojenkalastelu sekä haavoittuvien reunalaitteiden hyväksikäyttö. Verkon reunalaitteiden näkyminen ja avoimuus internetiin on huolestuttava, organisaatioiden hyökkäyspinta-alaa lisäävä tekijä.
Verkon reunalaitteilla tarkoitetaan henkilön tai organisaation oman verkon ja julkisen internetin välissä toimivia liikennettä välittäviä laitteita, kuten VPN-yhdyskäytäviä, palomuurilaitteita ja reitittimiä. Merkittävässä riskiryhmässä ovat Traficomin mukaan VPN- ja etenkin SSLVPN-yhdyskäytävät, joiden tehtävä on päästää käyttäjät, esimerkiksi etätyöläiset, sisään ulkoverkosta.
– Kyberturvallisuuden uhkakenttä kehittyi vuonna 2025 nopeasti, ja haavoittuvuuksia hyödynnettiin yhä nopeammin. Tämä korosti kansallisen varautumisen kehittämisen ja kansainvälisen yhteistyön tiivistämisen tarvetta. Yhteistyössä viranomaisten ja elinkeinoelämän kanssa paransimme yhteiskunnan kykyä suojautua ja vastata erilaisiin kyberuhkiin. Samalla uudistimme toimintaamme vastaamaan jatkuvasti muuttuviin uhkiin, Traficomin Kyberturvallisuuskeskuksen ylijohtaja Anssi Kärkkäinen kertoo tiedotteessa.
Traficom julkisti tänään Kyberturvallisuuskeskuksen asiantuntijoiden tuottaman katsauksen, jossa tarkastellaan kyberturvallisuuden vuotta 2025 sekä ennakoidaan vuoden 2026 kehityssuuntia.
Traficomin Kyberturvallisuuskeskus käsitteli vuoden 2025 aikana useita vakavia tapauksia ja tuki hyökkäysten kohteeksi joutuneita organisaatioita. Keskukselle ilmoitettujen vakavien tapausten määrä pysyi yhtä korkealla tasolla kuin 2024. Uudistunut kyberturvallisuuslainsäädäntö lisää näkyvyyttä kriittisillä toimialoilla, mutta koska suuri osa ilmoituksista perustuu yhä vapaaehtoisuuteen, kaikki tapaukset eivät välttämättä päädy viranomaisten tietoon.
– Kansallisena tietoturvaviranomaisena muistutamme ja kannustamme organisaatioita ilmoittamaan meille hyvin matalalla kynnyksellä kaikista tietoturvapoikkeamista ja havainnoista. Saamamme tieto auttaa vahvistamaan koko suomalaisen yhteiskunnan kyberturvallisuutta. Sen avulla voimme toimia tehokkaammin yhdessä muiden toimijoiden kanssa ja varmistaa, että yhteiskunnan toiminta säilyy turvattuna uhkakentän jatkuvasti muuttuessa, Kärkkäinen muistuttaa.
Vuonna 2025 Kyberturvallisuuskeskukselle raportoitujen huijausten määrät kasvoivat voimakkaasti. Rikolliset lähettivät viestejä erityisesti pankkien, viranomaisten ja terveyspalvelujen nimissä. Viesteissä hyödynnettiin myös tekoälyä, mikä lisäsi niiden uskottavuutta.
Lisäksi Microsoft 365 -ympäristöihin kohdistuneet tietojenkalastelut ja tilimurrot lisääntyivät selvästi vuoden 2025 aikana. Kyberturvallisuuskeskuksen syyskuussa julkaisema vakava M365-varoitus kuitenkin hillitsi tapausmääriä selvästi loppuvuotta kohti.
Kärkkäisen mukana huijausten nopea lisääntyminen on erittäin huolestuttava kehityssuunta. Vuosi 2025 osoitti, että rikolliset ottavat käyttöön yhä kehittyneempiä menetelmiä ja hyödyntävät tekoälyä entistä laajemmin. Tähän kehitykseen on tärkeää löytää yhteisiä ratkaisuja.
– Viranomaisten ja yritysten laajassa yhteistyössä toteutettu huijauspuhelujen estotoiminta on erinomainen esimerkki onnistuneesta ratkaisusta, joka on merkittävästi vähentänyt huijauspuheluiden määrää ja niistä suomalaisille aiheutuneita taloudellisia menetyksiä. Kehitetty ratkaisu on herättänyt laajaa kansainvälistä kiinnostusta ja saanut tunnustusta, muun muassa kansainvälisen rikostentorjuntapalkinnon. Myös viime vuonna antamamme M365 tilimurtoja koskeva varoitus osoitti, että aktiivinen ja oikea aikainen reagointi voi vähentää tapausmääriä ja estää rikollisten toimintaa, Kärkkäinen kertoo.
Haittaohjelmien määrä on kasvanut viime vuosina tasaisesti, ja hyökkäysten monimuotoisuus on lisääntynyt. Rikolliset hyödyntävät yhä kehittyneempiä tekniikoita, kuten automaattisia hyökkäysalustoja ja sosiaalista manipulointia, mikä tekee hyökkäyksistä aiempaa vaikeammin havaittavia ja torjuttavia.
Kyberturvallisuuskeskukselle raportoidut haittaohjelmatapaukset lisääntyivät vuoden aikana. Erityistä huolta herätti BadBox 2.0 -haittaohjelma, joka liitti Android-laitteita osaksi bottiverkkoa, paikoin jopa esiasennettuna laitteisiin. Tapaukset korostavat toimitusketjujen valvonnan ja laitehankintojen luotettavuuden varmistamisen merkitystä.
Palvelunestohyökkäykset eivät aiheuttaneet Suomessa merkittäviä häiriöitä vuonna 2025, eikä hyökkäyksissä havaittu uusia taktiikoita. Kyberturvallisuuskeskukselle raportoitiin kiristyshaittaohjelmista 14 tapausta, mikä on selvästi aiempia vuosia vähemmän. Todellinen tapausmäärä voi kuitenkin olla ilmoitettua suurempi, sillä raportointi on vapaaehtoista.
Kirityshaittaohjelmien aiheuttama uhka ei ole kuitenkaan vähentynyt. Maailmanlaajuisesti kiristyshaittaohjelmat muodostavat edelleen merkittävän ja kasvavan riskin organisaatioille. Rikolliset kehittävät jatkuvasti uusia menetelmiä suojautumisen kiertämiseksi.
– Kiristyshaittaohjelmat ovat vakava uhka yhteiskunnalle ja organisaatioille. Hyökkäykset kohdistuvat yhä useammin toimialoihin, joiden häiriöt vaikuttavat suoraan kansalaisten arkeen. Rikolliset hyödyntävät kehittynyttä teknologiaa ja toimivat kansainvälisesti. Ilmiöön liittyy piilorikollisuutta, sillä kaikki tapaukset eivät päädy viranomaisten tietoon. Siksi muistutamme ilmoittamaan hyökkäyksistä matalalla kynnyksellä, tieto vahvistaa koko yhteiskunnan kyberturvallisuutta, Kärkkäinen korostaa.
Vuonna 2025 lainsäädäntöä kehitettiin vastaamaan muuttuvaa uhkakenttää. Lainsäädäntö elää uhkien mukana: kansallisen huoltovarmuustoiminnan lisäksi esimerkiksi kyberturvallisuuslain ja kyberkestävyysasetuksen toimeenpano ovat vahvistaneet Suomen varautumista ja kansallista kyberturvallisuutta.
– Sääntely vahvistaa yhteiskunnan varautumista selkeillä velvoitteilla ja yhteisillä pelisäännöillä. Se ohjaa kriittisiä toimijoita panostamaan turvallisuuteen, varmistaa suojatoimien vähimmäistason ja yhtenäistää toimintamalleja. Sääntely myös kehittyy uhkien mukana, Kärkkäinen sanoo.
Kyberturvallisuuskeskuksen asiantuntijoiden mukaan vuosi 2026 muodostaa selkeän murroskohdan kyberturvallisuudessa. Tekoäly vahvistaa sekä hyökkääjien että puolustajien kyvykkyyksiä, mikä tekee toimintaympäristöstä aiempaa nopeamman, laajemman ja vaikeammin ennakoitavan.
Organisaatiot, jotka huolehtivat kyberturvallisuuden perusasioista, kuten varmistavat toimitusketjujen läpinäkyvyyden, hallitsevat identiteettejä koko niiden elinkaaren ajan, käyttävät tekoälyä vastuullisesti ja valmistautuvat ajoissa kvanttiaikakauteen, pystyvät turvaamaan toimintansa myös tulevaisuudessa. Kokonaisvaltainen lähestymistapa siirtää painopisteen reagoinnista ennakointiin, mikä on välttämätöntä tilanteessa, jossa uhkat kehittyvät nopeammin kuin koskaan aiemmin.
