Kyberturvallisuuskeskuksen viikkokatsaus - 5/2026

Haittaohjelmien levitystä Discord-viesteillä

Kyberturvallisuuskeskus on saanut ilmoituksia erilaisista haittaohjelmahavainnoista, joissa haitallista tiedostoa on jaettu Discord-keskustelualustalla. Ilmoituksissa yhtenäistä on se, että joko keskusteluryhmässä taikka yksityisviestillä jo murretulta tililtä on lähetetty haittaohjelman sisältävä liitetiedosto ja pyydetty käyttäjää suorittamaan se koneellaan.

Erityisesti erilaiset tietoja varastavat haittaohjelmat (ns. infostealerit) ovat aktiivisesti levityksessä keskustelualustalla. Nämä haittaohjelmat voivat olla .exe -tiedostomuodossa tai piiloitettuina muihin tiedostomuotoihin, kuten .pdf tai .doc -tiedostoihin. Käyttäjän käynnistäessä haittaohjelman sisältävän tiedoston haittaohjelma asentaa itsensä tietokoneelle ja kerää tietoja laitteelta. Rikollisten havittelemia tietoja ovat muun muassa sähköpostitilin sisältö, salasanat ja käyttäjätunnukset sekä muut päätelaitteella sijaitsevat tiedostot.

Mikäli haittaohjelman sisältävä tiedosto on lähetetty murretulta entuudestaan tutulta ja luotetulta tililtä, on haastavaa tunnistaa tiedosto haitalliseksi. Usein rikolliset tarkastelevat kaapatun tilin viestihistoriaa ja käyttävät haittaohjelmien peittelyssä aiheita, joista tilin käyttäjä on aiemminkin keskustellut. Tämän takia ilmiö on hyvä tiedostaa ja kaikkia liitetiedostoja tulee kohdella harkiten, vaikka lähettäjä olisikin jo entuudestaan tuttu käyttäjä.

Haittaohjelmien estämiseksi ja päätelaitteen turvaamiseksi tulisi huolehtia, että päätelaite ja ohjelmistot ovat ajantasaisesti päivitettyjä. Lisäksi erilaiset virusten ja haittaohjelmien torjuntapalvelut voivat havaita ja estää haittaohjelmien toimintaa. Mikäli kuitenkin haittaohjelma on päässyt asentumaan tietokoneelle, katkaise verkkoyhteys laitteelta ja puhdista laite haitallisilta ohjelmilta. Vaihda myös kaikki salasanat palveluihin, jotka ovat tallennettuna laitteella ja käytä mahdollisimman yksilöllisiä salasanoja sekä kaksivaiheista todennusta. Tietomurrosta myös suositellaan tekemään rikosilmoitus poliisille sekä tapahtumasta voi aina ilmoittaa Kyberturvallisuuskeskukselle.

Rikolliset ovat M365-tilien perässä edelleen

M365-tilien kaappaukseen pyrkiviä kalasteluviestejä on liikkeellä edelleen paljon. Organisaatioiden tulee panostaa M365-ympäristön suojaukseen ja mahdollisuuksien mukaan ottaa käyttöön edistyneitä tunnistautumismenetelmiä ja ehdollisia käyttöoikeuskäytäntöjä.

Kyberturvallisuuskeskuksen tietoon tulee viikottain useita M365-tilikaappauksia ja sellaisten yrityksiä. Monissa tapauksissa joku organisaation ulkopuolinen tunnistaa tilin kaapatuksi esimerkiksi sieltä tulleen kalasteluviestin perusteella. Hyökkääjät peittelevät jälkiään muun muassa sähköpostien käsittelysäännöillä ja tyypillisesti tilikaappauksen uhri ei siis itse havaitse tilinsä olevan hyökkääjän hallussa.

Syksyllä 2025 julkaisimme vakavan varoituksen M365-tilikaappauksista ja tietojenkalastelusta. Murrettujen tilien määrä oli kesän jälkeen selkeästi kasvanut ja varoituksella sekä aktiivisella tiedonvaihdolla tilikaappausten määrää saatiin alaspäin. Poistimme varoituksen marraskuussa, mutta tapauten määrän laskusta huolimatta uhka on edelleen oleellinen kaikille M365-ympäristöä käyttäville organisaatioille.

Tunnetulta tililtä tulevat laadukkaat kalasteluviestit ja AiTM-kalastelua hyödyntävät kalastelusivut tekevät petoksen tunnistamisesta todella vaikeaa yksittäiselle työntekijälle. Syksyllä jakamamme ohjeet ovat edelleen relevantteja.

Tekoälyagentit muuttavat kyberuhkia

Tekoälyagenttien potentiaali piilee niille annettavissa oikeuksissa erilaisiin järjestelmiin ja työkaluihin. Mitä arkaluontoisempaan dataan agentilla on pääsy, ja mitä kriittisempiä päätöksiä se saa tehdä, sitä suuremmaksi kasvaa myös järjestelmän riskipotentiaali. Tekoälyagenttien käyttöönotto muuttaa olennaisesti tapaa, jolla organisaatiot hallitsevat kyberturvallisuutta.

Tekoälyagenttien suurin riski ei ole se, mitä ne osaavat tehdä – vaan se, mitä niille annetaan lupa tehdä.

Traficomin ja Huoltovarmuuskeskuksen uusi selvitys auttaa organisaatioita suunnittelemaan, rakentamaan ja ylläpitämään agenttisia tekoälyjärjestelmiä turvallisesti. Se on toteutettu Traficomin ja Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelman yhteistyönä ja osana tulevaisuuteen varautumista.

Kyberturvallisuuden vuosi 2025 on julkaistu!

Millainen oli kyberturvallisuuden vuosi 2025, millaisia uhkia kohtasimme ja miten ne vuoden aikana kehittyivät? Entä mihin organisaatioiden tulisi varautua vuonna 2026? Muun muassa näihin kysymyksiin pureudutaan Kyberturvallisuuskeskuksen tuoreessa kyberturvallisuuden vuosikatsauksessa.

Keskuksen asiantuntijoiden koostama tiivis katsaus tarjoaa kokonaiskuvan vuoden 2025 keskeisistä kyberuhista Suomessa, hyökkäystapojen muutoksista sekä ilmiöistä, jotka nousivat erityisen merkittäviksi. Samalla katsaus antaa suuntaviivoja organisaatioille: mihin asioihin kannattaa kiinnittää huomiota vuonna 2026 ja millaisia toimenpiteitä muuttuva uhkakenttä edellyttää.

Tietoturva 2026 -seminaari järjestetään lokakuussa Cyber Security Nordic -messuilla

Vuosittainen kyberturvallisuuden ajankohtaisia teemoja ja ilmiöitä käsittelevä tietoturvaseminaarimme järjestetään tänä vuonna Cyber Security Nordic -messuilla 29.lokakuuta Helsingin Messukeskuksessa. Tietoturva 2026 -seminaari toteutetaan yhteistyössä Huoltovarmuuskeskuksen kanssa.

Vuonna 2025 tietoturvaseminaari (Tietoturva 2025) järjestettiin poikkeuksellisesti kahdesti. Maaliskuussa pidetty tilaisuus keräsi ennätysyleisön, peräti 3300 osallistujaa. Toinen seminaari toteutettiin marraskuussa Cyber Security Nordic -messujen yhteydessä Helsingin Messukeskuksessa.

Tänä vuonna yhteistyö Cyber Security Nordic -tapahtuman kanssa jatkuu. Tietoturva 2026 -seminaarin ja Cyber Security Nordic -messujen tarkempi ohjelma julkaistaan kevään aikana.

Cyber Security Nordic on yksi Pohjoismaiden merkittävimmistä kyberturvallisuusalan tapahtumista. Se järjestetään vuosittain Helsingin Messukeskuksessa. Viime vuonna kaksipäiväisille messuille osallistui yli 2600 kävijää. Tänä vuonna messut järjestetään 28.–29. lokakuuta.

Tapahtuma tarjoaa laajan kattauksen kotimaisia ja kansainvälisiä huippupuhujia. Lisäksi valtionhallinnon organisaatiot ja yritykset esittelevät toimintaansa ja palveluitaan.

Tervetuloa kyberturvallisuusasetuksen (CSA2) ja NIS 2-muutosdirektiivin sidosryhmätilaisuuteen

Euroopan komissio antoi 20.1.2026 ehdotukset kyberturvallisuusasetuksen uudistamisesta (CSA2) ja NIS 2 -direktiivin muuttamisesta. Osana Suomen kantojen valmistelua Liikenen- ja viestintäministeriö järjestää sidosryhmätilaisuuden keskiviikkona 4.2.2026 klo 12.00–13.30, lämpimästi tervetuloa.

Tilaisuudessa esittelemme komission keskeisimpiä ehdotuksia:

• ENISA:n rooli ja tehtävät
• Kyberturvallisuuden sertifiointikehyksen uudistus
• Tieto- ja viestintätekniikan toimitusketjujen turvallisuus
• NIS 2-direktiiviin liittyvät muutokset mm. soveltamisalassa ja vaatimuksenmukaisuuden osoittamisessa

Tavoitteena on kuulla sidosryhmien näkemyksiä osana Suomen EU-kantojen muodostusta. Toivomme, että voitte osallistua ja tuoda arvokkaan näkemyksenne valmisteluun.

Ilmoittaudu mukaan 3.2.2026 mennessä. Ilmoittautumissivulla on alustava ohjelma ja lisätietoa tilaisuudesta.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Haavoittuvuudet

CVE: CVE-2026-24858
CVSS: 9.4
Mikä: Aktiivisesti hyväksikäytetty kriittinen haavoittuvuus, joka mahdollisti autentikoinnin ohituksen
Tuote: Fortinetin tuotteet, joissa on käytössä FortiCloud SSO autentikointi
Korjaus: Korjaava päivitys
Haavatiedote: https://kyberturvallisuuskeskus.fi/fi/haavoittuvuus_02/2026

CVE: CVE-2026-1281 ja CVE-2026-1340
CVSS: 9.8
Mikä: Kriittisiä haavoittuvuuksia, jotka mahdollistavat komentojen suorittamisen etänä ilman tunnistautumista
Tuote: Endpoint Manager Mobile (EPMM)
Korjaus: Korjaava päivitys
Haavatiedote: https://kyberturvallisuuskeskus.fi/fi/haavoittuvuus_03/2026