IO:n kolmas vuosittainen Tietoturvan tilaraportti paljasti turvallisuusjohtajien vuonna 2025 kohtaamat keskeiset haasteet tekoälyhyökkäyksistä vaatimustenmukaisuusongelmiin. Eri toimialojen ammattilaiset jakoivat kokemuksiaan toimitusketjun turvaamisesta, tiukkojen sääntelyvaatimusten täyttämisestä ja tekoälyn aiheuttamien uhkien torjumisesta.

Vastaajiimme kuului yli 130 rahoitusalalla työskentelevää tietoturva-ammattilaista eri puolilla Yhdysvaltoja ja Isoa-Britanniaa. Heidän vastauksensa valottivat suurimpia tietoturvahaasteita, joita rahoitusalalla on kohdannut viimeisten 12 kuukauden aikana, johtajien toteuttamat toimet organisaation selviytymiskyvyn rakentamiseksi ja heidän prioriteettinsa tulevalle vuodelle.

Tutustu tämän vuoden raportin 11 tärkeimpään rahoitusalan tilastoon.

Keskeiset tietoturvatilastot finanssialalle

Supply Chain

  1. 51 % rahoitusorganisaatioista on kärsinyt kolmannen osapuolen toimittajan tai toimitusketjukumppanin aiheuttamasta kyberturvallisuus- tai tietoturvahäiriöstä viimeisen 12 kuukauden aikana.
  2. 88 % rahoitusorganisaatioista on vahvistanut kolmansien osapuolten ja toimittajien riskienhallintaa viimeisen 12 kuukauden aikana.

Kyberongelmat

  1. 43 % rahoitusalan organisaatioista on kokenut tietojenkalastelu-/vishing-tapauksia viimeisen 12 kuukauden aikana.
  2. 98 % rahoitusalan organisaatioista sanoo luottavansa organisaationsa häiriötilanteisiin reagointiin.

Prioriteetit ja haasteet

  1. Rahoitusorganisaatiot arvioivat työntekijöiden turvallisuustietoisuuden ja -käyttäytymisen parantamisen tärkeimmäksi tietoturvaprioriteettikseen (31 %).
  2. Tekoälyn aiheuttama tietojenkalastelu on rahoitusalan organisaatioille suurin uusi uhka (48 %).
  3. Uusien teknologioiden, kuten tekoälyn, koneoppimisen ja lohkoketjun, suojaaminen on rahoitusalan organisaatioiden suurin tietoturvahaaste (47 %).

Johtajuudella on merkitystä

  1. 87 % finanssialan vastaajista on samaa mieltä siitä, että heidän organisaatiollaan on selkeä ja hyvin viestitty tietoturvastrategia.
  2. 87 % on samaa mieltä siitä, että jokaisella yrityksellä tulisi olla hallitustasolla tietoturvasta vastaava henkilö

Vaatimustenmukaisuuden hallinta

  1. 46 % rahoitusalan organisaatioista sanoo, että uusien teknologioiden (esim. pilvipalvelut, tekoäly) turvallisen käyttöönoton kyvyn parantaminen on heidän tärkein motivaationsa vahvan tietoturvan ja vaatimustenmukaisuuden varmistamiseksi.
  2. 36 % rahoitusorganisaatioista on saanut 251 001–1 000 000 punnan sakkoja tietoturvaloukkauksista tai tietosuojasääntöjen rikkomisesta viimeisen 12 kuukauden aikana.

Toimitusketjun turvallisuus

Yli puolet (51 %) kyselyymme osallistuneista rahoitusorganisaatioista kertoi, että niihin oli vaikuttanut kolmannen osapuolen toimittajan tai toimitusketjukumppanin aiheuttama kyberturvallisuus- tai tietoturvapoikkeama viimeisen 12 kuukauden aikana. Yli joka viides (21 %) kertoi, että niihin oli vaikuttanut useita kertoja. Näiden poikkeamien vaikutuspiirissä olleiden organisaatioiden kohtaamat seuraukset vaihtelivat taloudellisista menetyksistä (38 %) mainehaittiin, mukaan lukien asiakkaiden luottamuksen menetys (molemmat 27 %).

Korkean profiilin kyberongelmat kuten hyökkäykset Jaguar Land Rover (JLR) syyskuussa ja vähittäiskaupan jättiläinen Marks & Spencer (M&S) huhtikuussa korostavat toimitusketjujen haavoittuvuuksien mahdollista tuhoa.

JLR-tapauksen ennustetaan aiheuttaneen 1.9 miljardin punnan tappiot ja vaikuttaneen yhteensä 5 000 yritykseen, ja toimittajien maksut viivästyivät ja kassavirta kärsi. Samaan aikaan M&S:ään kohdistunut kiristysohjelmahyökkäys johti yrityksen verkkokauppatilausten täydelliseen lopettamiseen. Molemmissa tapauksissa häiriöt kestivät yli kuukauden.

Tällaisten tapausten yleistyessä rahoitusorganisaatiot selvästi asettavat toimitusketjun turvallisuuden etusijalle. 88 % raportin vastaajista sanoo organisaationsa vahvistaneen kolmansien osapuolten ja toimittajien riskienhallintaa viimeisen 12 kuukauden aikana, kun taas 12 % sanoo aikovansa tehdä niin tulevana vuonna. 58 % aikoo myös lisätä toimitusketjun ja kolmansien osapuolten toimittajien turvallisuuteen liittyviä menojaan seuraavan 12 kuukauden aikana.

Kyberongelmat, haasteet ja prioriteetit

Työntekijät joutuvat usein uhkatoimijoiden kohteeksi portteina organisaation verkkoon – ja sen ulkopuolelle. Monet onnistuneet toimitusketjuhyökkäykset johtuvat siitä, että hyökkääjät vaarantavat työntekijöiden tunnistetiedot, olipa kyseessä sitten kohdeorganisaatiossa työskentelevä työntekijä tai toimittaja.

Ei siis ole yllätys, että rahoitusalan organisaatiot arvioivat työntekijöiden tietoturvatietoisuuden ja -käyttäytymisen parantamisen tärkeimmäksi tietoturvaprioriteetikseen (31 %) ensi vuodelle. Tähän on hyvä syy – lähes kaksi viidestä (43 %) vastaajista kertoi kokeneensa tietojenkalastelu- tai vising-tapauksen viimeisen 12 kuukauden aikana.

Tekoälyn (AI) ja koneoppimisteknologian (ML) nopea kehitys on myös luonut uusia haasteita yrityksille. Rahoitusorganisaatiot arvioivat tekoälyyn perustuvan tietojenkalastelun suurimmaksi nousevaksi uhkaksi (48 %) seuraavien 12 kuukauden aikana, kun uhkatoimijat hyödyntävät teknologiaa yhä vakuuttavammin.

Tekoälyn käyttöönotto on toinen alan kohtaama haaste. Yli puolet (53 %) rahoitusorganisaatioista sanoi, että heidän yrityksensä oli ottanut tekoälyteknologian käyttöön liian nopeasti ja kohtaa nyt haasteita sen skaalaamisessa takaisin tai vastuullisemmassa käyttöönotossa. Tämän mukaisesti vastaajat arvioivat uusien teknologioiden, kuten tekoälyn, koneoppimisen ja lohkoketjuteknologian, suojaamisen suurimmaksi tietoturvahaasteekseen (47 %).

Yritysten pyrkiessä ottamaan käyttöön tiukempia ja eettisempiä tekoälyjärjestelmiä, on tärkeää omaksua strateginen lähestymistapa tekoälyn hallintaan. Standardit, kuten ISO 42001 voi tarjota organisaatioille ohjeita ja suojakaiteita. ISO 42001 tarjoaa erityisesti viitekehyksen tekoälynhallintajärjestelmän (AIMS) vastuulliselle suunnittelulle, kehittämiselle ja käyttöönotolle. Organisaatiot voivat käyttää tätä viitekehystä varmistaakseen EU:n tekoälylain kaltaisten säännösten noudattamisen ja puuttuakseen tekoälyriskiin ennakoivasti.

Ylimmän johdon osallistuminen

Tietoturvaa on perinteisesti pidetty yksinomaan IT-osastojen vastuulla olevana, mutta tämä näkemys on nopeasti muuttumassa. Loppujen lopuksi tietoturva on koko organisaation laajuinen huolenaihe, joka vaatii työntekijöiltä sitoutumista ja tietoisuutta, olivatpa he sitten johtoryhmässä tai vastavalmistuneita.

Tietoturvajohtajat vaativat nyt hallitustason valvontaa ja osallistumista. Lähes 9 kymmenestä (87 %) rahoitusalan vastaajista on samaa mieltä siitä, että jokaisella yrityksellä tulisi olla hallitustasolla tietoturvasta vastaava henkilö. Sama määrä on samaa mieltä siitä, että heidän organisaatiollaan on selkeä ja hyvin viestitty tietoturvastrategia, mikä viittaa siihen, että organisaatiot, joissa hallituksilla on valvonta ja ymmärrys tietoturvan prioriteeteista, hyötyvät selkeistä parannuksista strategisella tasolla.

Vaatimustenmukaisuuden motivaatiot

Yli joka kolmas (36 %) rahoitusorganisaatioista on saanut 251 001–1 000 000 punnan sakot tietomurroista tai tietosuojasääntöjen rikkomisesta viimeisen 12 kuukauden aikana; hieman alle neljännes (24 %) sanoi, ettei ole saanut sakkoa. Kasvavien kyberuhkien lisäksi yritykset kamppailevat myös tiukkojen sääntelyvaatimusten ja valppaiden sääntelyviranomaisten kanssa.

Rahoitusorganisaatiot käyttävät kuitenkin yhä enemmän vaatimustenmukaisuutta katalysaattorina innovaatioiden ja kasvun käynnistämiseksi. Rahoitusalan vastaajat arvioivat kykynsä parantaa kykyään ottaa turvallisesti käyttöön uusia teknologioita, kuten pilvipalveluita ja tekoälyä, tärkeimmäksi motivaatioksi vahvan tietoturvan ja vaatimustenmukaisuuden varmistamiseksi (46 %). Vastaajat arvioivat myös parantuneen liiketoimintapäätösten laadun turvallisen ja luotettavan datan ansiosta parhaana tietoturvan vaatimustenmukaisuuden tuottoprosenttina (42 %) viimeisen 12 kuukauden aikana.

Proaktiivisuus on avainasemassa

Vaikka finanssialan tietoturvajohtajat kohtaavat useita tietoturvahaasteita, aina kasvavasta tekoälyhyökkäyspinnasta toimitusketjun turvallisuuteen, raportti paljastaa, että hekin ottavat tärkeitä askeleita pysyäkseen kehityksen kärjessä. He pyrkivät parantamaan työntekijöiden tietoturvakoulutusta ja -tietoisuutta, investoimaan toimitusketjun turvallisuuteen ja vahvistamaan toimitusketjun riskienhallintaa sekä ottamaan tekoälyjärjestelmiä käyttöön turvallisemmin ja eettisemmin.

Ottamalla tietoturvan parhaat käytännöt ennakoivasti käyttöön koko organisaatiossa yritykset voivat yksinkertaistaa vaatimustenmukaisuustoimiaan, kasvattaa asiakkaiden luottamusta ja parantaa digitaalista sietokykyä. Odotamme innolla, että näemme ensi vuoden raportissa, miten rahoitusorganisaatiot ovat vahvistaneet tietoturvaansa.