Kyberturvallisuuskeskuksen viikkokatsaus - 15/2025

.fi-pääte ei takaa turvaa – älä lankea huijaussivuihin

Suomalaiset verkkosivustot, joilla on .fi-pääte, koetaan usein turvallisiksi. Aika ajoin ilmenee kuitenkin tapauksia, joissa tätä luottamusta on pyritty hyväksikäyttämään. Kyberturvallisuuskeskus on saanut viime aikoina jälleen ilmoituksia tietojenkalastelusivustoista, jotka on rekisteröity .fi-verkkotunnuksella ja joiden avulla rikolliset yrittävät huijata käyttäjiä luovuttamaan arkaluonteisia tietoja, kuten pankkitunnuksia.

Tällaisia huijaussivustoja on havaittu lähiaikoina esimerkiksi Patentti- ja rekisterihallituksen, Verohallinnon tulorekisterin sekä pankkien nimissä. Kyse ei ole näiden organisaatioiden omista verkkosivuista, vaan niitä muistuttavista huijaussivustoista, jotka käyttävät .fi-päätettä luottamuksen herättämiseksi.

Onkin tärkeää muistaa, ettei .fi-pääte yksinään ole luotettavuuden tae. Verkko-osoite kokonaisuudessaan kannattaa aina tarkistaa huolellisesti. Samaa verkko-osoitetta ei voi rekisteröidä kuin yhdelle toimijalle, joten rikolliset rekisteröivät usein osoitteita, jotka muistuttavat alkuperäisiä, mutta sisältävät pieniä muutoksia, kuten väärin kirjoitettuja sanoja, lisättyjä merkkejä tai väliviivoja.

Lisäksi verkkosivuston ulkoasu ja sisältö voivat paljastaa huijauksen. Esimerkiksi kielioppivirheet, sekava ulkoasu tai linkit, jotka ohjaavat epäilyttäville sivuille, ovat varoitusmerkkejä. Jos sivusto ohjautuu palveluun, joka ei vastaa verkko-osoitteen nimeä, kannattaa sulkea selain välittömästi.

Kyberturvallisuuskeskus tekee jatkuvasti työtä tietojenkalastelun torjumiseksi. Koska Liikenne- ja viestintävirasto Traficom hallinnoi .fi-verkkotunnuksia, tulee keskukselle usein pyyntöjä sulkea huijaussivustoja tai estää niiden rekisteröinti kokonaan. Kuitenkin verkkotunnusten estämiseen liittyy laajempia oikeudellisia ja yhteiskunnallisia näkökohtia.

Verkkotunnuksilla on keskeinen rooli tiedonvälityksessä ja sananvapauden toteutumisessa. Tämä tarkoittaa sitä, ettei verkkotunnusten rekisteröintiä voida ennalta estää, eikä sivuja voida sulkea ilman huolellista tapauskohtaista arviointia. Estot tehdään tilapäisesti ja tapauskohtaisen harkinnan perusteella, jos muut keinot puuttua asiaan eivät tehoa. Kyberturvallisuuskeskuksen asiantuntijat tutkivat jokaisen estettävän sivuston ja varmistavat, että kyseessä todellakin on merkittävä tietoturvauhka, kuten yleisesti saatavilla oleva pankkitunnuksia kalasteleva sivu.

Organisaatioiden laskutustiedot rikollisten kiinnostuksen kohteena

Kyberturvallisuuskeskus on viime aikoina saanut ilmoituksia laskutushuijauksiin tähtäävistä tietojenkalasteluviesteistä. Kalasteluviestejä on lähetetty esimerkiksi Traficomin ja hyvinvointialueiden nimissä. Viesteissä organisaation talouspäällikköä esittävä rikollinen yrittää saada vastaanottajaa lähettämään organisaation avoimet laskut PDF-muodossa. 

Rikollisten tavoitteena on saada haltuunsa avoimia laskuja ja tietoa siitä, kenen kanssa niistä on keskusteltu. Saatuaan laskut, rikolliset voivat muokata niitä tavoitteenaan ohjata maksut rikollisten hallinnoimille tileille. Aitojen laskujen väärentämisen lisäksi rikolliset voivat myös pyytää maksamaan täysin tekaistun laskun.

Vastaavia huijauskampanjoita on havaittu aiemminkin, kerroimme tästä esimerkiksi viikkokatsauksessa 43/2024 . 

Haktivistien palvelunestohyökkäyksillä varsin rajattuja vaikutuksia suomalaisiin verkkosivuihin

Viikolla uutisoitiinkin venäjämielisen haktivistiryhmä NoName057(16):n tekemistä palvelunestohyökkäyksistä suomalaisiin verkkosivuihin. Viikon aikana ryhmä on ohjannut palvelunestohyökkäyksiä muun muassa energia-, finanssi-, ja logistiikkasektorien organisaatioiden verkkosivuille. Myös poliittisten puolueiden verkkosivut ovat olleet ryhmän kohteena. Viikon ajan jatkuneista hyökkäyksistä huolimatta vaikutukset ovat jääneet maltillisiksi, vaikka kohteiden joukossa oli myös useita organisaatioita, jotka eivät ennen ole olleet NoName-haktivistiryhmän palvelunestohyökkäysten kohteena. Informaatiovaikuttamisen asiantuntijat ovatkin arvioineet, että haktivistien palvelunestohyökkäyksillä todennäköisesti tavoitellaan näkyvyyttä poliittiselle kannanotolle, eikä niinkään käyttäjien palvelun estymistä.

NoName057(16) ryhmän toimintaan kuuluu oleellisesti hyökkäyksillä aikaan saatujen vaikutusten raju liioittelu omassa viestinnässään. Vain minuuttien häiriöistä kerrotaan "sivujen sulkemisena". Hyökkäysten vaikutusten lisäksi ryhmän viestintään sisältyy paljon disinformaatioksi luokiteltavia väitteitä esimerkiksi suomalaisista poliitikoista tai Suomen ulkopolitiikasta. Kärjistetyt ja monille suomalaisille hyvin epäuskottavat väitteet voivat viitata viestinnän kohdeyleisön olevan jossain muualla kuin Suomessa.

Palvelunestohyökkäyksillä ei yleensä ole merkittäviä vaikutuksia, mutta hyökkäysten potentiaalisia vaikutuksia ei myöskään tule vähätellä. Esimerkiksi syksyllä 2024 nähdyissä finanssisektoriin kohdistuneissa hyökkäyksissä vaikutukset olivat pitkäkestoisia.

Nykyisin venäjämielisten haktivistien palvelunestohyökkäykset ovat tuttu riesa Suomessa ja muualla läntisessä maailmassa. Palvelunestohyökkäyksiin onkin varauduttu hyvin. Vaikka palvelunestohyökkäyksiä ei voida estää, niiden aiheuttamia vaikutuksia voidaan rajata. Tekniset ratkaisut hyökkäysliikenteen tunnistamiseksi ja torjumiseksi ovat oleellinen osa kaikkien internetissä palveluja tarjoavien organisaatioiden varautumista. Osana varautumista organisaatioiden tulisi myös valmistautua viestimään mahdollisista häiriöistä. Tähän apua tarjoaa Kyberturvallisuuskeskuksen tänä keväänä julkaistu kriisiviestintäopas.

Alue- ja kuntavaalit huipentuvat viikonloppuna

Ennakkoäänestys päättyi tiistaina ja nyt katseet kääntyvät kohti varsinaista vaalipäivää sunnuntaina 13.4. Myös viranomaisten pitkäjänteinen työ vaalien turvaamiseksi lähestyy tämänkertaista loppuhuipennustaan. Kansallisten vaalien sujuva ja turvallinen läpivienti on hyvä esimerkki monia eri viranomaisia yhdistävästä ponnistuksesta. Parhaiten varautuminen on tehty silloin, kun äänestäjät eivät sitä edes huomaa.

Vaalit on Suomessa aina järjestetty luotettavasti ja suomalainen vaalijärjestelmä on vakaa ja turvallinen. Äänestyslipuilla toteutettavaan vaalitapaan on erittäin vaikea vaikuttaa tietojärjestelmiin hyökkäämällä. Myöskään käsin tehtävän ääntenlaskennan luotettavuuteen ei voida vaikuttaa kyberhyökkäyksillä.

On kuitenkin hyvä taas muistuttaa, että saatamme vaaliviikonlopun yhteydessä nähdä esimerkiksi palvelunestohyökkäyksiä, jotka herkästi nousevat myös uutisoinnin kohteeksi. Joissain tapauksissa hyökkäykset voisivat aiheuttaa hetkellisiä katkoksia vaaleihin liittyvin palveluihin, kuten tulospalveluun, mutta varsinaiseen vaalitulokseen ja sen luotettavuuteen ei kuitenkaan voida vaikuttaa palvelunestohyökkäyksillä. Vaalien yhteydessä palvelunestohyökkäyksiin on varauduttu ja viranomaiset vaihtavat matalalla kynnyksellä tietoa niihin liittyvistä havainnoista, ja myös palveluntarjoajat ovat tilanteen tasalla. Yleisestikin voidaan todeta, että Suomen varautuminen erilaisiin uhkiin on korkealla tasolla.

Voit lukea vaalien kyberturvallisuuteen liittyviä ohjeitamme ja artikkeleitamme vaalisivultamme .

NIS 2 -direktiivin mukaiset velvoitteet tulivat voimaan 8.4.2025

Eduskunta on hyväksynyt hallituksen esityksen kansalliseksi kyberturvallisuuslaiksi, jolla pannaan täytäntöön EU:n kyberturvallisuusdirektiivi (NIS 2 -direktiivi).  NIS 2 -direktiivin tavoitteena on kyberturvallisuuden yhteisen tason varmistaminen kaikkialla Euroopan unionissa. NIS 2 -direktiivin mukaiset velvoitteet tulivat Suomessa voimaan 8.4.2025

NIS 2 -direktiivissä ja sitä koskevassa kansallisessa kyberturvallisuuslaissa osoitetaan yhteiskunnan kriittisille toimialoille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoite merkittävistä poikkeamista. Laissa on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintaansa kohdistuvia kyberturvallisuusriskejä. Toimijoiden tulee myös ilmoittaa valvovalle viranomaiselleen merkittävistä tietoturvapoikkeamista. Näiden lisäksi NIS 2 -sääntelyn soveltamisalaan kuuluvien toimijoiden on ilmoittauduttava oman toimialansa valvovan viranomaisen ylläpitämään toimijaluetteloon.

Kyberturvallisuuslaki tuo mukanaan uusia riskienhallinta- ja raportointivelvoitteita monille toimialoille. Velvoitteet tulevat voimaan vaiheittain. Yksi ensimmäisistä askeleista on toimijaluetteloon ilmoittautuminen 8.5.2025 mennessä. 

Maaliskuun Kybersää on julkaistu 

Maaliskuun Kybersää näyttää aavistuksen auringoisemmalta helmikuuhun nähden, vaikka edelleen tietomurrot, haavoittuvuuksien hyväksikäyttö, huijaukset ja tietojenkalastelu ovat jatkuneet alati muuttuvien toimintatapojen siivittämänä. Toimialojen tilanteiden osalta vuoden ensimmäinen kvartaali on merkinnyt monella toimialalla lisääntyneitä poikkeamailmoituksia vuoden 2024 viimeiseen kvartaaliin verrattuna.

Maaliskuun Kybersäässä tarkasteltiin myös kyberturvallisuuden sääntelyn kehittymistä Kyberturvallisuuslain (NIS 2), Gigabittiasetuksen, sähköisen tiedoksiannon ensisijaisuutta viranomaistoiminnassa koskevan esityksen sekä Kyberkestävyyssäädöksen edistymisen näkökulmista. Raportissa myös luotiin katsaus Euroopan kyberrikollisuuden tilanteeseen.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.