Tietomurrot 2026: Mitä oikeat tapaukset kertovat yritysten tietoturvasta?
Kolme tuoretta tietomurtoa, kolme opetusta. Katsotaan mitä Caset Valtori, Vercel ja Booking.com kertovat yritysten tietoturvasta vuonna 2026
Kolme tuoretta tietomurtoa, kolme opetusta. Katsotaan mitä Caset Valtori, Vercel ja Booking.com kertovat yritysten tietoturvasta vuonna 2026
Tietomurrot tuntuvat usein kaukaisilta asioilta. Jotain, mitä tapahtuu isoille yrityksille tai julkishallinnolle, ei meille. Totuus on kuitenkin toinen. Vuosi 2026 on tuonut jo useita merkittäviä tapauksia niin Suomesta kuin maailmalta, ja jokainen niistä kertoo jotain oleellista siitä, miten tietomurrot nykyään tapahtuvat ja miksi ne koskevat myös teidän yritystänne.
Tässä blogissa käydään läpi kolme tuoretta tapausta – Miten ne tapahtuivat, mitä ne oikeasti tarkoittavat yritysten näkökulmasta ja mitä niistä voi oppia.
Tietomurrot eivät ole harvinaisia poikkeuksia. Vuonna 2025 Yhdysvalloissa kirjattiin ennätysmäärä yli 3 300 tietomurtoa, ja kehitys jatkuu samanlaisena. Elisan teettämän tutkimuksen mukaan 92 % suomalaisista yritysjohtajista kokee kyberuhat kasvaneen viime vuosina - 60 % pitää kasvua merkittävänä.
Lue Elisan koko raportti tästä
Hyökkäykset eivät myöskään kohdistu enää pelkästään suuryrityksiin. Rikolliset etsivät helpointa reittiä sisään, ja usein se löytyy pienemmästä toimijasta, kumppanista tai alihankkijasta. Pk-yritykset ovat houkuttelevia kohteita juuri siksi, että niillä on arvokasta dataa mutta rajallisemmat resurssit sen suojaamiseen.
Katsotaan mitä tänä vuonna on tapahtunut.
Tammikuun lopussa 2026 valtion tieto- ja viestintätekniikkakeskus Valtori havaitsi tietomurron mobiililaitteiden hallintapalvelussaan. Hyökkääjä oli hyödyntänyt käytetyn ohjelmiston nollapäivähaavoittuvuutta, eli tietoturva-aukkoa, johon ei ollut vielä julkaistu korjausta.
Valtori asensi korjauspäivityksen tuntien sisällä sen julkaisusta. Mutta myöhässä. Hyökkääjä oli jo päässyt sisään.
Aluksi arvioitiin, että murto koskee noin 20 000 laitteen tietoja. Tutkinnan edetessä kävi ilmi, että vaarantuneita käyttäjätietoja oli lähes 50 000 ja tapaus kosketti kaikkien ministeriöiden henkilökuntaa. Hyökkääjä sai haltuunsa nimiä, työsähköpostiosoitteita, puhelinnumeroita ja laitetietoja. Lisäksi paljastui, että hallintajärjestelmä ei ollut koskaan oikeasti poistanut vanhoja tietoja, vaan ainoastaan merkinnyt ne poistetuiksi. Tietojen elinkaari oli siis huomattavasti pidempi kuin kukaan oli ajatellut.
Keskusrikospoliisi otti tapauksen tutkintaan, ja tapaus eteni vakoiluepäilyksi. KRP:n mukaan samantyyppisiä hyökkäyksiä tapahtui samaan aikaan muuallakin Euroopassa.
Mitä tämä opettaa? Nollapäivähaavoittuvuuksia ei voi aina estää, mutta reagointinopeus ja tietojen minimointi ratkaisevat sen, kuinka pahaksi tilanne muodostuu. Arkaluontoinen tieto, jota ei enää tarvita, pitää myös oikeasti poistaa.
Lue lisää tapauksesta tästä
Huhtikuussa 2026 paljastui laaja tietomurto pilvipalvelualusta Vercelissä, joka tunnetaan erityisesti kehittäjien suosimana sivusto- ja sovellusalustana. Murto sai alkunsa yhdestä työntekijästä ja yhdestä sovelluksesta.
Vercelin työntekijä oli ottanut käyttöön tekoälytyökalun nimeltä Context.ai ja liittänyt sen yrityksen Google Workspace -tiliin. Jossain vaiheessa Context.ai:n järjestelmä oli vaarantunut haittaohjelmatartunnan kautta. Hyökkääjät hyödynsivät OAuth-tokeneja eli kirjautumisvaltuutuksia, jotka sovellus oli saanut käyttöoikeuden myöntämisen yhteydessä. Näiden avulla he pääsivät käsiksi Vercelin sisäisiin järjestelmiin ja asiakkaiden ympäristömuuttujiin, kuten API-avaimiin, salasanoihin ja muihin tunnistetietoihin.
ShinyHunters-hakkerointiryhmä otti vastuun hyökkäyksestä ja tarjosi varastettua dataa myyntiin pimeässä verkossa.
Tapaus on erityisen merkittävä kahdesta syystä. Ensinnäkin Vercelin asiakas ei ollut millään lailla osallinen, mutta joutui silti alttiiksi. Toiseksi hyökkäys lähti liikkeelle yhdestä tekoälysovelluksesta, joita yritykset ottavat käyttöön nyt nopeammin kuin koskaan.
Mitä tämä opettaa? Jokainen sovellus, jolle myönnetään pääsy yrityksen järjestelmiin, on potentiaalinen hyökkäysreitti. Tekoälytyökalujen käyttöönotto pitää tehdä hallitusti, ei ad hoc- tyyliin.
Lue lisää tapauksesta tästä
Huhtikuussa 2026 Booking.com ilmoitti tietomurrosta, jossa hyökkääjät olivat päässeet käsiksi asiakkaiden varaustietoihin. Murto ei tapahtunut suoraan Booking.comin omiin järjestelmiin, vaan hotellikumppaneiden kautta.
Hyökkääjät käyttivät niin sanottua ClickFix-tekniikkaa, jolla huijataan hotellihenkilökuntaa asentamaan haittaohjelma omalle laitteelleen. Kun hotellin järjestelmä oli vaarantunut, hyökkääjillä oli pääsy kaikkiin kyseisen hotellin asiakasvarauksiin, mukaan lukien asiakkaiden nimet, sähköpostiosoitteet, puhelinnumerot ja yksityisviestit.
Booking.com ei ole toistaiseksi kertonut kuinka monta asiakasta tapaus koskee, mutta vahvistettua dataa on jo käytetty kohdennettuihin huijausviesteihin. Huijarit esiintyvät hotelleina ja lähettävät viesteissä tarkkoja varaustietoja, mikä tekee huijauksista poikkeuksellisen uskottavia.
Tämä ei ole Booking.comin ensimmäinen vastaava tapaus. Sama kaava on toistunut aiemminkin, aina hotellikumppaneiden kautta.
Mitä tämä opettaa? Toimitusketjun tietoturva on osa omaa tietoturvaa. Jos kumppani tai alihankkija on heikko lenkki, se voi olla reitti omiin tietoihin tai asiakkaisiin.
Lue lisää tapauksesta tästä
Kaikissa kolmessa tapauksessa on yksi yhteinen tekijä: murto ei tapahtunut pääjärjestelmän kautta, johon tietoturva yleensä keskitetään.
Valtorilla ongelma oli haavoittuvuus kolmannen osapuolen ohjelmistossa ja tietojen säilyttäminen kauemmin kuin tarve vaati. Vercelissä sisäänpääsy tuli yksittäisen työntekijän käyttämän tekoälysovelluksen kautta. Booking.comissa heikko lenkki oli kumppaniverkosto, ei oma infrastruktuuri.
Hyökkääjät etsivät aina helpointa reittiä. Tämä tarkoittaa, että tietoturvaa pitää ajatella laajemmin kuin pelkkänä palomuurina tai virustorjuntana. Kaikki järjestelmät, kaikki sovellukset, kaikki kumppanit ja etenkin yrityksen omat työntekijät ovat osa kokonaisuutta.
Heikoin lenkki ei ole välttämättä siellä missä sitä etsitään.
Nämä tapaukset eivät vaadi yrityksiä muuttumaan teknologiajäteiksi. Ne muistuttavat muutamasta perusasiasta, jotka jäävät helposti hoitamatta kiireessä.
Päivitykset eivät voi odottaa. Valtori asensi korjauksen heti kun se oli saatavilla, mutta hyökkääjä oli jo sisällä. Päivityskäytäntöjen pitää olla niin kunnossa, että kriittiset korjaukset asennetaan mahdollisimman nopeasti.
Tekoälysovellusten käyttöönotto vaatii pelisäännöt. Vercel-tapauksen kaltaiset murrot yleistyvät sitä mukaa kun yritykset ottavat käyttöön uusia AI-työkaluja. Jokaisella sovelluksella, joka saa pääsyn yrityksen tietoihin tai järjestelmiin, pitää olla selkeä hyväksyntä ennen käyttöönottoa.
Kumppanien tietoturva on osa omaa tietoturvaa. Booking.com-tapaus osoittaa, että toimitusketjuhyökkäykset toimivat juuri siksi, että kukaan ei tarkista koko ketjua. Tärkeimpien kumppaneiden tietoturvakäytännöt kannattaa tuntea.
Vanhentunut data on riski. Valtori-tapauksessa vahinkoa kasvatti se, että poistettuja tietoja ei oltu oikeasti poistettu. Tiedot, joita ei enää tarvita, pitää myös oikeasti hävittää.
Tietoturva ei ole kertaprojekti. Se on jatkuva prosessi. Uhat muuttuvat, järjestelmät muuttuvat ja kumppanit muuttuvat. Tietoturvatilanne kannattaa arvioida säännöllisesti - vähintään vuosittain! Ei vain silloin kun jotain on jo mennyt pieleen.
Jätä yhteystiedot alle ja kerro lyhyesti tilanteesta, niin olemme yhteydessä.
.png)
