Microsoftin Digital Defense Report 2025 julkaistiin viime vuoden lopulla ja jos et ole vielä lukenut sitä, kannattaa se ehdottomasti ottaa lukulistalle. Ei siksi, että se olisi erityisen piristävää luettavaa, vaan siksi että se näyttää tarkalleen missä tilanteessa olemme tänään: Uhat kiihdyttävät vauhtiaan ja vauhti on paljon nopeampi kuin useimmat organisaatiot pystyvät vastaamaan. Kuilu sen välillä mitä pitäisi tehdä ja mitä oikeasti tehdään kasvaa koko ajan.
Raportti perustuu Microsoftin analysoimiin yli 100 biljoonaan päivittäiseen turvallisuussignaaliin, mikä kuvaa kokonaisuuden laajuutta. Tässä kirjoituksessa tuodaan esiin raportin keskeisiä havaintoja, joilla on ajankohtaista merkitystä erityisesti yrityksen johdolle.
Seuraamalla rahaa löytyy tarina
Yli 52 % tunnetuista kyberhyökkäyksistä liittyy kiristykseen tai lunnasohjelmiin, kun taas vakoiluun keskittyy vain 4 %. Suurin uhka yrityksille ovat taitavat rikolliset, joiden tavoitteena on ansaita mahdollisimman paljon rahaa, ei niinkään valtioiden vakoilu.
Viime vuonna tutkituista kyberhyökkäyksistä selvisi, että motiivi noin 80 % tapauksia oli taloudellinen, tavoitteena oli datan varastaminen ja sen hyödyntäminen taloudellisesti. Ei vakoilu tai tiedustelu, ohjaavana tekijänä oli puhtaasti raha.
Ikävä totuus on, että nykypäivän kyberrikollisuus on yritystoimintaa ja täysin teollista sellaista. Automaation kehitys ja valmiiden työkalujen helppo saatavuus ovat mahdollistaneet sen, että rikolliset – vain jopa rallisin tiedoin varustetut – voivat laajentaa ja tehostaa toimintaansa merkittävästi. Hyökkäyksen käynnistäminen ei enää tarvitse erityislaatuista osaamista, tarvitaan vain rahaa työkaluihin ja halu käyttää niitä.
Hyökkääjä ei enää murtaudu, vaan kirjautuu
Yksi koko raportin turhauttavimmista tilastoista on seuraava: Yli 97 % identiteettiin kohdistuvista hyökkäyksistä on salasanaan liittyviä hyökkäyksiä, jotka kasvoivat yli 32 % vuoden 2025 ensimmäisellä puoliskolla.
Emmekä me puhu nyt edistyneistä uhista tai nollapäivähaavoittuvuuksia hyödyntävistä uhista, puhumme siitä, että hyökkääjät käyttävät joko varastettuja tai arvattuja salasanoja ja sen jälkeen yksinkertaisesti kirjautuvat sisään.
Ratkaisu tämän toiminnan estämiseen on yksinkertainen: Raportin mukaan oikein konfiguroitu ja käytössä oleva monivaiheinen tunnistautuminen (MFA) estää yli 99 % tällaisista hyökkäyksistä, myös tilanteissa, joissa hyökkääjällä on tiedossa oikea käyttäjätunnus ja salasana.
Ja tästä huolimatta käymme edelleen vuonna 2025 keskustelua siitä, pitäisikö se MFA pakottaa kaikkialla ja voiko sitä oikeasti käyttää kaikille käyttäjille. Edelleen organisaatiot tekevät poikkeuksia osalle käyttäjistä tai järjestelmistä koska ”MFA on hankalaa”. Jos omassa organisaatiossasi MFA ei ole kunnossa, pitää sen olla ykkösprioriteetti, ei myöhemmin, ei loppuvuonna vaan nyt heti.
Kuka joutuu kohteeksi ja miksi sillä on väliä
Raportista löytyy myös selkeitä kaavoja siihen, kuka joutuu kohteeksi ja miksi. Vaikka moni yritys joutuu kohteeksi vahingossa, on hyökkääjien tekeminen myös määrätietoista ja hyökkäyksiä kohdennetaan esimerkiksi tiettyihin yrityksiin tai toimialoihin.
Esimerkkinä tästä ovat sairaalat ja kunnat, jotka ovat hyökkääjille mieluisia kohteita, näillä tahoilla on usein hallussaan arkaluontoista tietoa ja niukka tietoturvabudjetti yhdistettynä rajalliseen kyky vastata tietoturvatapahtumiin. Tämän lisäksi näillä organisaatioilla on usein käytössään vanhentuneita järjestelmiä ja sovelluksia.
Erityisesti kuntiin ja sairaaloihin (terveydenhuolto) kohdistetuilla kyberhyökkäyksillä ole viime vuonna todellisia seurauksia: viivästynyttä ensihoitoa, häiriintyneitä hätäpalveluita, peruttuja koulupäiviä ja pysähtyneitä liikennejärjestelmiä.
Lunnasohjelmahyökkääjät tietävät tarkalleen mitä tekevät. He kohdistavat hyökkäykset organisaatioihin, joilla ei ole muuta vaihtoehtoa kuin reagoida nopeasti. Sairaala, jonka järjestelmät on salattu, ei voi odottaa päiviä ongelman ratkaisemista. Ihmiset voivat kuolla. Se on vipuvartta, ja rikolliset käyttävät sitä armottomasti hyödykseen. Rikollisilla on kykyä ja halua optimoida omia tulovirtojaan ja se tapahtuu usein juuri niiden kustannuksella, joilla on eniten korjausvelkaa ja vähiten suojauksia.
Jos kuulut organisaatioon, joka ei työskentele kriittisellä alalla, kannattaa tähän silti kiinnittää huomiota. Toimivat taktiikat tuppaavat leviämään, se mikä toimii tänään sairaaloita vastaan, toimii muita aloja vastaan huomenna. Kannattaa siis omia riskejä miettiessään katsoa myös mitä tapahtuu muualla kuin omalla toimialalla.
Myös valtiot kehittyvät
Vaikka puhtaat kyberrikolliset ovat edelleen määrällisesti suurempi uhka kuin valtiolliset toimijat, eivät valtiolliset toimijat ole kadonneet minnekään. Valtiollisten toimijoiden osalta luovuus on kasvanut ja tietojen varastamiseksi käytetään aiempaan nähden entistä luovempia keinoja.
Kiina jatkaa edelleen laajaa panostustaan eri aloja vastaan, tarkoituksenaan vakoilla ja varastaa arkaluontoista tietoa. Kiina myös kohdistaa yhä useammin hyökkäyksiä ei valtiollisiin organisaatioihin kerätäkseen lisätietoja. Sisäänpääsyyn käytetään usein haavoittuvia, internetiin yhteydessä olevia verkkolaitteita.
Iran on myös aktiivisempi kuin koskaan ja kohdistaa toimenpiteitä aina Lähi-Idästä Pohjois-Amerikkaan osana laajentuvia vakoiluoperaatioitaan. Äskettäin kolme Iraniin yhdistettyä valtiollista toimijaa hyökkäsi laiva- ja logistiikkayritykseen Euroopassa ja Persianlahden alueella.
Venäjä, jolla resurssit ovat edelleen keskittyneet pitkälti Ukrainan sotaan, on pystynyt laajentamaan kohteitaan myös Ukrainan ulkopuolelle. Kymmenen eniten Venäjän kybertoimista kärsivää maata kuuluvat kaikki Natoon ja tämä toiminta on kasvanut 25 % vuodesta 2024.
Ja mainittakoon vielä Pohjois-Korea, jossa tuhannet valtion palkkaamat etätyöntekijät ovat hakeneet töihin yrityksiin ympäri maailman. Jos työntekijät ovat onnistuneet tulemaan palkatuksi, on palkka lähetetty takaisin valtiolle. Paljastuessaan osa näistä työntekijöistä on siirtynyt etätyöstä kiristämään organisaatiota jossa työskenteli.
Tekoäly muuttaa peliä kaikille
Viimeisen vuoden aikana sekä hyökkääjät että puolustajat ovat hyödyntäneet generatiivisen tekoälyn voimaa. Hyökkääjät käyttävät tekoälyä tehostamaan hyökkäyksiään automatisoimalla tietojenkalastelua, skaalaamalla sosiaalista manipulointia, luomalla kohdistettua sisältöä, löytämällä haavoittuvuuksia nopeammin ja luomalla haittaohjelmia, jotka voivat mukauttaa itseään ja ovat näin niitä havaitsevien ohjelmistojen havaitsemattomissa.
Tekoäly muuttaa pelikenttää ja on jo sitä muuttanut niin rajusti, että se pitää helposti tietoturva-asiantuntijan hereillä öisin. Tekoäly ei vain tee hyökkäyksistä tehokkaampia. Se tekee niistä skaalautuvia tavoilla, jotka eivät olleet aiemmin mahdollisia. Tietojenkalastelukampanja, joka olisi vaatinut aiemmin päiviä, voidaan nyt luoda minuuteissa ja sitä voidaan mukauttaa lennosta tilanteen muuttuessa. Sosiaalinen manipulointi, joka vaati aiemmin tutkimusta ja valmistelua, voidaan automatisoida täysin.
Tekoälyssä on toki tärkeä muistaa se, että myös puolustajilla on käytössään samanlaiset työkalut. Microsoft käyttää jo laajalti tekoälyä uhkien havaitsemiin, havaittujen puutteiden korjaamiseen, tietojenkalastelun havainnointiin ja pysäyttämiseen ja esimerkiksi käyttäjien suojelemiseen. Kysymys ei ole siitä pitääkö tekoälyä käyttää puolustamiseen vai ei, kysymys on siitä, käytätkö sitä yhtä tehokkaasti kuin hyökkääjät.
Mitä yrityksen johdon ja hallitusten tulisi tästä kaikesta ymmärtää?
Suoraan sanottuna: Organisaation johtajien on otettava kyberturvallisuus keskeiseksi prioriteetiksi organisaatioiden strategiassa. Se ei ole ”vain” IT-asia, se on osa yrityksen resilienssiä ja sellaiseksi se tulee myös toimintaan alusta alkaen rakentaa.
Neuvona tämä ei ole uusi, mutta sen kiireellisyys on kasvanut entisestään. Uhat liikkuvat ja muotoutuvat nopeammin kuin koskaan, hyökkääjillä on käytössä kehittyneemmät työkalut ja taloudellinen kannustin hyökkäyksiin on korkeampi kuin koskaan.
Raportti antaa selkeitä suosituksia, joita jokaisen yritysjohtajan tulisi kuunnella. Resilienssiä tulisi rakentaa ja vahvistaa sillä olettamalla, että tietoturvaloukkaus on väistämätön ja sitä myöden rakentaa koko infrastruktuuri joustavaksi. Luoda ja seurata mittareita, kuten esimerkiksi monivaiheisen tunnistautumisen kattavuus, haavoittuvuuksien korjausviive ja tietoturvapoikkeamien vastausaika.
Yrityksen tulisi myös investoida ihmisiin, ei vain työkaluihin. Työvoimaa tulisi kehittää ja kouluttaa jatkuvasti ja tietoturvan tulisi olla osa yrityksen kulttuuria. Kulttuurilla ja työntekijöiden valmiudella on iso merkitys, kun puhutaan tietoturvasta.
Suosituksissa yksi asia loistaa kuitenkin edelleen poissaolollaan, ei ole mitään kehotusta investoida jälleen täysin uuteen tietoturvatuotteeseen tai kehittyneimmän suojausteknologian käyttöönottoon. Kyse on perusteista, prosesseista ja ihmisistä. Teknologia ei ratkaise ongelmia, jos perusteet ovat pielessä.
Epämukava totuus
Ja se mikä minua henkilökohtaisesti pitää öisin valveilla on tämä: Useimmat organisaatiot, joiden kanssa keskustelun tietävät mitä tulisi tehdä, he ovat lukeneet raportit ja ymmärtävät uhat, mutta eivät syystä tai toisesta kykene toteuttamaan haluttuja suojaustoimia. Toteutus jää pahimmillaan jälkeen kuukausiksi tai vuosiksi.
Yleensä valmiiksi on jäänyt saattamatta vahva tunnistautuminen (MFA), haavoittuvuuksien hallinnan prosessit ja seuranta. Isot kokonaisuudet eivät saa tarvitsemaansa rahoitusta tai resursseja. Tietoturvakoulutusta tehdään, mutta se tehdään kerran vuodessa, jotta saadaan mahdollisten sertifiointien edellyttämä vaatimus täytettyä. Vanhat (legacy) järjestelmät muodostavat edelleen ison osan yrityksen toimintaympäristöä, vaikka ne olisi pitänyt korvata jo vuosia sitten.
Ongelma ei ole ymmärryksessä, se on toteutuksessa.
Samaan aikaan kun me keskitymme yrityksissä keskustelemaan budjeteista, aikatauluista ja syyttelemään toisiamme, ovat hyökkääjät jo pahimmillaan verkoissa sisällä, yrityksen tunnuksia kaupataan pimeässä verkossa (Dark Web) ja lunnasohjelmat etsivät yrityksen sisäverkossa seuraavaa uhriaan.
Mihin tästä eteenpäin?
Microsoftin Digital Defense Report 2025 tekee yhden asian täysin selväksi: tietoturva ei voi enää olla yrityksessä sivuprojekti. Se ei voi olla asia, johon palataan, kun sen edeltä on saatu hoidettua ”tärkeämmät” asiat. Tietoturvan tulee olla yrityksen ja liiketoimintojen prioriteetti listalla korkealla.
Uhat ovat täällä tänään, ne ovat erittäin kehittyneitä, hyökkääjät ovat hyvin rahoitettuja ja erittäin motivoituneita. Hyökkääjät käyttävät samoja tekoälytyökaluja kuin yritykset usein vain vielä tehokkaammin. Uhat kohdistuvat aiempaa laajemmalle, nykymaailmassa mikä tahansa yritys voi olla kohde.
Sen sijaan, että maalailemme piruja seinille on hyvä muistaa, että emme ole uhkien edessä avuttomia. Meillä on edelleen tehokkaat keinot pienentää riskiä ja kasvattaa yrityksen resilienssiä. Vahva tunnistautuminen (MFA) pysäyttää oikein tehtynä edelleen valtaosan hyökkäyksistä. Säännöllinen päivitys ja toimiva prosessi haavoittuvuuksien hallintaan pienentää mahdollisen hyökkäyksen onnistumisen aikaikkunaa merkittävästi. Hyvät, henkilöstölle koulutetut prosessit auttavat tunnistamaan ja havaitsemaan sellaiset uhat, joita teknologia ei huomaa.
Kysymys ei ole mitä pitäisi tehdä, sen me tiedämme. Kysymys on siitä, aiommeko todella tehdä sen, vai aiommeko edelleen käsitellä tietoturvaa asiana, johon palaamme ensi vuosineljänneksellä.
Yhden asian voin tietoturvasta luvata, hyökkääjät eivät odota seuraavaa vuosineljännestä.
Voit lukea täydellisen Microsoft Digital Defense Report 2025 -raportin osoitteesta: https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/microsoft-digital-defense-report-2025/
