2025 Kybertapahtumatrendit: Mitä yritysten on tiedettävä

Kyberturvallisuusympäristö kehittyy edelleen hälyttävää vauhtia, kun pahansuovat toimijat käyttävät yhä kehittyneempiä tekniikoita häiritäkseen organisaatioita kaikilla aloilla. Tekoälyyn perustuvista tunkeutumisista kansallisvaltioiden tehostuneisiin kampanjoihin, yritykset kohtaavat ennennäkemättömiä haasteita suojellessaan digitaalista omaisuuttaan ja ylläpitäessään toimintakykyä. Näiden uusien uhkien ymmärtämisestä ja vankkojen puolustusstrategioiden toteuttamisesta on tullut ratkaisevan tärkeää organisaatioiden selviytymiselle nykyisessä verkottuneessa digitaalisessa ekosysteemissä.

Tekoäly muuttaa kyberhyökkäysmenetelmiä

Tekoäly on muuttanut perusteellisesti sitä, miten uhkatoimijat toteuttavat kyberoperaatioita. Tuoreet tiedot paljastavat, että noin kuudessatoista prosentissa raportoiduista kyberhyökkäyksistä hyökkääjät käyttävät nykyään tekoälytyökaluja, erityisesti kuvien ja kielten luomismalleja, hienostuneiden sosiaalisten insinöörikampanjoiden toteuttamiseen. Generatiivinen tekoäly on lisännyt hyökkäysten tehokkuutta huomattavasti luomalla entistä vakuuttavampia harhautuksia ja mahdollistamalla tunkeutumisvälineiden laajamittaisen automatisoinnin.

Uhkatoimijat käyttävät tekoälyteknologiaa useilla vaarallisilla tavoilla. Deepfake-teknologian avulla rikolliset voivat luoda realistisia ääni- ja videokuvasimulaatioita johtajista ja tukihenkilöstöstä, joita he käyttävät hyväksyttäessä petollisia tilisiirtoja, varastettaessa käyttäjätunnuksia ja vaarantaessaan tilejä. Eräässä erityisen tuhoisassa tapauksessa hyökkääjät käyttivät julkisesti saatavilla olevaa kuvamateriaalia luodakseen vakuuttavia deepfake-videoita yrityksen talousjohtajasta ja työntekijöistä, jolloin uhri huijattiin onnistuneesti siirtämään rikollisille yli 25 miljoonaa dollaria.

Toinen tekoälyä hyödyntävä uhkakuva on ääniviestillä tapahtuva phishing eli"vishing". Hyökkääjät käyttävät tekoälyn luomia skriptejä ja ääniklooneja kohdennetuissa puhelinkampanjoissa, joiden tarkoituksena on suostutella uhrit lataamaan haitallisia hyötykuormia, luomaan etätukisessioita tai paljastamaan kirjautumistietonsa. Lisäksi uhkaajat käyttävät tekoälytyökaluja tuottaakseen hyvin räätälöityjä phishing-sähköposteja ja tekstiviestejä, jotka sisältävät asiayhteyteen liittyviä yksityiskohtia ja luonnollisen kielen malleja, mikä lisää huomattavasti todennäköisyyttä, että uhrit napsauttavat haitallisia linkkejä ja luovuttavat tunnistetietonsa.

Ransomware-hyökkäykset muuttuvat aggressiivisemmiksi ja kalliimmiksi.

Lunnasohjelmat vaivaavatedelleen organisaatioita kaikilla toimialoilla, ja viimeaikaiset raportit osoittavat, että lunnasohjelmiin liittyvien tietoturvaloukkausten määrä on kasvanut 12 prosenttia edellisvuodesta. Hyökkääjät ovat ottaneet käyttöön yhä aggressiivisempia kiristystekniikoita ja kehittyneempiä työkaluja maksimoidakseen uhreihin kohdistuvan paineen. Nykyaikaisissa lunnasohjelmakampanjoissa yhdistyvät perinteinen tietojen salaus ja häiritsevät taktiikat, kuten työntekijöiden häirintä ja kriittisiin toimintoihin kohdistuvat uhat, mikä johtaa pitkittyneisiin käyttökatkoksiin ja huomattavasti korkeampiin palautuskustannuksiin.

Useat merkittävät lunnasohjelmaryhmät ovat olleet viime aikoina otsikoissa. Scattered Spider -uhkaryhmä on noussut uudelleen esiin käyttämällä kehittyneitä sosiaalisia tekniikoita päästäkseen aluksi käsiksi organisaatioihin eri toimialoilla. Samaan aikaan LockBit-lunnasohjelmaoperaatio ilmaantui uudelleen vuoden 2025 alussa päivitetyllä LockBit 4.0 -työkalupakillaan ja käynnisti aggressiivisia kiristyskampanjoita, jotka kohdistuvat erityisesti yksityiselle sektorille kaikkialla Yhdysvalloissa.

Mielenkiintoista on, että organisaatioiden reaktiot lunnasohjelmahyökkäyksiin näyttävät muuttuvan. Tuoreen alan tutkimuksen mukaan noin 63 prosenttia tutkituista organisaatioista kieltäytyi maksamasta lunnaita viime vuoden aikana, mikä merkitsee kasvua vuoden 2024 59 prosentista. Tämä suuntaus viittaa kasvavaan vastustukseen rikollisten kiristysvaatimuksia kohtaan, mutta se korostaa myös tarvetta vankkoihin varmuuskopiointi- ja palautusominaisuuksiin, joiden avulla organisaatiot voivat palauttaa toimintansa antautumatta hyökkääjille.

Valtioiden väliset uhat voimistuvat geopoliittisten jännitteiden keskellä.

Kansallisvaltioiden uhkatoimijat ovat tehostaneet huomattavasti kybertoimintaansa, ja niiden kohteena ovat tietoliikenneinfrastruktuuri, kriittiset järjestelmät ja strategiset kolmannen osapuolen palveluntarjoajat. Näissä kehittyneissä kampanjoissa käytetään yleisesti verkkovakoilutekniikoita ja kehittyneitä harhautustaktiikoita, joilla varastetaan käyttäjien tunnistetiedot ja hankitaan luvaton pääsy arkaluonteisiin verkkoihin ja tietoihin.

Kiinasta käsin toimivat uhkaajaryhmät ovat kiihdyttäneet toimintaansa huomattavasti viime vuoden aikana, ja tietyillä kohteena olevilla toimialoilla hyökkäykset ovat lisääntyneet kahdesta sadasta kolmeen sataan prosenttia edellisvuoteen verrattuna. Kaksi korkean profiilin tunkeutumiskampanjaa herättivät maailmanlaajuista huomiota: Salt Typhoon ja Volt Typhoon. Salt Typhoon -operaatiossa soluttauduttiin onnistuneesti suuriin televiestintäverkkoihin laajamittaisessa verkkovakoilukampanjassa, kun taas Volt Typhoon -operaatiossa haitallista koodia sijoitettiin ennalta kriittisiin infrastruktuurijärjestelmiin, mikä herätti vakavaa huolta mahdollisesta fyysisestä vahingoittamisesta tai laajamittaisesta häiriöstä.

Valtioihin sidoksissa olevat toimijat ovat hyödyntäneet myös sosiaalista manipulointia teknisten tunkeutumisten lisäksi. Pohjois-Koreaan sidoksissa olevat uhkaajat soluttautuivat yhdysvaltalaisiin yrityksiin väärentämällä asiakirjoja ja luomalla vakuuttavia hakijaprofiileja, jotta he saisivat työpaikan tietotekniikan tukitehtävissä, joita he sitten käyttivät hyväkseen kerätäkseen käyttäjien tunnistetietoja ja toteuttaakseen petollisia rahoitustapahtumia. Iraniin yhteydessä olevat toimijat ovat erityisesti ottaneet käyttöön generatiivisia tekoälytyökaluja, ja erään ryhmän on raportoitu vahvistaneen vuodettuja tietoja tekoäly-chatbottien avulla sen jälkeen, kun heinäkuussa 2025 toteutettiin toimittajien arkaluonteisiin tietoihin kohdistunut hakkerointi- ja vuotokampanja.

Kolmannen osapuolen toimitusketjuun kohdistuvat hyökkäykset aiheuttavat kasvavia riskejä.

Kolmannen osapuolen hyökkäykset tapahtuvat, kun uhkaajat vaarantavat toimitusketjun kumppaneita, myyjiä tai ohjelmistotoimittajia ja käyttävät tätä pääsyä soluttautuakseen kohdeorganisaatioiden verkkoihin. Nämä hyökkäykset leviävät usein toisiinsa kytkettyjen järjestelmien kautta ja vaikuttavat useisiin tuotantoketjun loppupään yksiköihin ja asiakkaisiin, jotka ovat riippuvaisia vaarantuneesta ohjelmistosta tai palvelusta. Viimeaikaiset uhkatiedustelutiedot osoittavat, että taloudellisesti motivoitunut tietoverkkorikollisuus, jonka kohteena ovat ohjelmistotoimittajat, on lisääntynyt ja se on alkupisteenä laajemmissa yritysekosysteemeissä.

Murtautumalla kolmannen osapuolen toimittajiin hyökkääjät voivat ohittaa perinteiset suojaukset ja päästä etuoikeutetusti käsiksi arkaluonteisiin liiketoimintaympäristöihin. Nämä uhkaajat hyödyntävät usein isännöityjä ympäristöjä, kuten pilvipalvelualustoja ja ohjelmisto-palveluekosysteemejä, liikkuvat sivusuunnassa eri asiakaskohteissa, keräävät tunnistetietoja ja poistavat laajamittaisesti omistusoikeudellisia tietoja. Tämä taktiikka mahdollistaa laajamittaisen vaikutuksen erityisesti silloin, kun myyjät palvelevat useita asiakkaita eri toimialoilla.

Kolmannen osapuolen toimitusketjuun kohdistuvista hyökkäyksistä on tullut yksi kalleimmista ja pysyvimmistä kyberuhkakohteista, joita organisaatiot joutuvat nykyään kohtaamaan. Viimeaikaiset tiedot osoittavat, että tällaiset tietoturvaloukkaukset aiheuttavat keskimäärin lähes viiden miljoonan dollarin kustannukset ja että niiden tunnistaminen ja torjuminen kestää kauemmin kuin minkään muun tietoverkkomurron muodon. Myyjäsuhteiden monimutkaisuus ja pitkät odotusajat viivästyttävät vastatoimia ja lisäävät vahinkoa kärsivien organisaatioiden altistumista.

Keskeiset suositukset kyberkestävyyttä varten

Kattavan, riskiperusteisen kyberturvallisuusohjelman ylläpitäminen on edelleen tehokkain puolustus kehittyviä kyberuhkia vastaan. Organisaatioiden olisi asetettava etusijalle häiriötilanteisiin reagoimiseen valmistautuminen järjestämällä harjoituksia, joihin osallistuu keskeisiä johtajia, hallituksen edustajia ja osastopäälliköitä roolien, eskalaatiomenettelyjen ja päätöksentekokehysten validoimiseksi. Näihin harjoituksiin olisi sisällytettävä uusia uhkia, kuten tekoälyn haitallista käyttöä, jotta varmistetaan, että tiimit ovat valmiita realistisiin skenaarioihin.

Toimintatapojen hallinta vaatii jatkuvaa huomiota. Organisaatioiden on säännöllisesti tarkistettava ja päivitettävä vaaratilanteisiin reagoimissuunnitelmat, toiminnan jatkuvuuden varmistamista koskevat menettelyt ja viestinnän hyväksymisprosessit, jotta varmistetaan, että ne vastaavat nykyisiä uhkia ja noudattavat nopeaa ilmoittamista koskevia vaatimuksia, kuten Euroopan unionin NIS2-direktiivin kahdenkymmenenneljän tunnin alkuilmoitusvaatimusta ja arvopaperikomission (SEC:n) neljän pankkipäivän sääntöä, joka koskee olennaisten vaaratilanteiden ilmoittamista. Päivitetyt toimintaperiaatteet olisi jaettava asianmukaisille sidosryhmille, ja niissä olisi käsiteltävä riskinsietokykyä uusien teknologioiden, kuten generatiivisen tekoälyn, osalta.

Kolmansien osapuolten riskien vähentäminen edellyttää vankkaa myyjän due diligence -tarkastusta ja sopimusturvaa. Organisaatioiden olisi tehtävä kriittisyysanalyysejä sellaisten toimittajien ja komponenttien tunnistamiseksi, joiden vaarantuminen aiheuttaisi suurimmat toiminnalliset vaikutukset. Keskeisiä suojatoimenpiteitä ovat muun muassa toimittajien todistusten vaatiminen turvallisista ohjelmistokehityskäytännöistä, vahvojen sopimussuojien käyttöönotto, johon sisältyy vaatimus nopeasta vaaratilanteiden ilmoittamisesta ja tarkastusoikeudet, toimittajien turvallisuuskäytäntöjen säännöllinen arviointi ja vastatoimien testaaminen harjoituksilla, joihin sisältyy kolmannen osapuolen toimittajan skenaarioita.

Haavoittuvuuksien hallintaprosessien on oltava nopeita ja järjestelmällisiä, kun otetaan huomioon tietoturvakorjausten ja tietoturva-aukkojen tiheys. Organisaatioiden olisi ylläpidettävä dokumentoituja prosesseja haavoittuvuuksien tunnistamiseksi, arvioimiseksi, priorisoimiseksi, korjaamiseksi ja seuraamiseksi ja samalla määriteltävä selkeä vastuu ja määräajat korjaustoimille. Kun organisaatiot ottavat käyttöön jatkuvan seurannan ja ennakoivan korjaustenhallinnan työkalut, jotka tuottavat tarkastettavia lokitietoja, ne voivat puuttua haavoittuvuuksiin ennen kuin uhkatekijät voivat hyödyntää niitä.

Lisäksi osallistuminen toimialaryhmiin ja pysyminen ajan tasalla sääntelyn ja lainvalvonnan päivityksistä vahvistaa organisaation tietoturva-asennetta. Huolimatta viimeaikaisesta oikeudellisesta epävarmuudesta, joka liittyy kyberturvallisuustietojen jakamiseen tiettyjen lakisääteisten säännösten voimassaolon päättymisen jälkeen, oikea-aikainen ja koordinoitu tietojen jakaminen on edelleen elintärkeää. Organisaatioiden olisi liityttävä toimialakohtaisiin kyberturvallisuusryhmiin pysyäkseen ajan tasalla alakohtaisista uhkista ja parhaista käytännöistä, seuratessaan viranomaisten päivityksiä ja tilatessaan lainvalvonnan uhkatiedustelutiedotteita.

Vaikka tietoverkkoriskien poistaminen kokonaan on mahdotonta, häiriötilanteisiin reagoimisen valmiuden ja sääntelyn noudattamisen asettaminen etusijalle lisää teknistä kestävyyttä ja parantaa organisaatioiden asemaa sekä toiminnallisesta että oikeudellisesta näkökulmasta, kun ne joutuvat väistämättä tietoverkkohyökkäysten kohteeksi.

Lähde: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know