Avancerade AI-modeller och deras inverkan på cyberhotbilden i finansiella entiteter

AI-modellernas förmåga inom mjukvaruutveckling, datasäkerhetstester och systemanalys har utvecklats betydligt under de senaste åren. AI-modeller kan utnyttjas också för att upptäcka sårbarheter i komplexa informationssystem. Framför allt de breda språkmodellernas förmåga att analysera stora mängder källkod och identifiera sårbarheter i systemkomponenter och it-miljöer kan förändra cyberhotlandskapet. Utvecklingen under den senaste tiden förstärker uppfattningen om att tidsspannet för identifiering av cyberhot och utnyttjande av sårbarheter håller på att bli avsevärt kortare.

Anthropic Mythos - exempel på avancerade AI-modeller

Bolaget Anthropic berättade vid början av april 2026 att Claude Mythos-modellen har förmåga att identifiera och också utnyttja sårbarheter i mjukvara vara exceptionellt effektivt.  Modellen har rapporterats kunna analysera operativsystem, webbläsare, bibliotek för öppen källkod och organisationens egna och tredje parters mjukvara. En väsentlig ny egenskap är att identifiering av sårbarheter och automatisk generering av kod som utnyttjar sårbarheterna är integrerade i samma modell. Av den anledningen kan det handla om en större förändring i cyberhotlandskapet.

För att kunna reagera på de observerade riskerna har Anthropic skjutit upp en bredskalig kommersialisering av modellen och inlett Project Glasswing med målet att säkerställa skyddet av kritiska system innan modellen lanseras för en bredare användarskara. I projektet har AI-modellen distribuerats till en begränsad grupp amerikanska teknologiföretag och finansiella institut som utvecklar eller underhåller kritisk infrastruktur.

Hur kan finansiella entiteter bekämpa det framväxande hotet?

Finansinspektionen framhäver betydelsen av en god och noggrant upprättad IKT-riskhantering. Förordningen om digital operativ motståndskraft för finanssektorn (2022/2554, DORA) innehåller utförliga bestämmelser om viktiga bekämpningsåtgärder mot olika hot. Det förändrade hotlandskapet förändrar inte de grundläggande regelkraven, men framhåller ytterligare betydelsen av identifiering av risker och effektiva riskkontroll- och hanteringsåtgärder. Finansinspektionen uppmanar de finansiella entiteterna att fästa särskild uppmärksamhet vid följande helheter.

• Mjukvarukvalitet och säker mjukvaruutveckling
  De finansiella entiteterna ska fokusera på att förebygga sårbarheter redan vid planeringen och utvecklingen av mjukvaran. Det innebär bland annat en säker utvecklingspraxis, utförliga tester före införande av modellen och eliminering av förutsebara svagheter innan systemen tas i bruk.
• Identifiering av sårbarheter
  De finansiella entiteterna ska ha mekanismer för identifiering och klassificering av sårbarheter i it-miljöer också efter planerings- och utvecklingsfaserna, under s.k. servicedrift.
• Hantering av IKT-förändringar samt uppdateringsprocesser
  För att sårbarheter ska kunna upptäckas snabbare ska de finansiella entiteterna se till att de håller förändringshanteringen och uppdateringsprocesserna på en nivå som speglar den föränderliga omvärlden. Det ska vara möjligt att göra kritiska uppdateringar snabb utan att äventyra tillgången till tjänsterna.
• Skyddsåtgärder
  De ökade cyberhoten framhäver betydelsen av välfungerande kontroller. De finansiella entiteterna ska sörja för en konsekvent användning av viktiga skydds- och hanteringsåtgärder. Försvaret ska också förstärkas i flera skikt bland annat med hjälp av bättre tillsyn, bevakning av nätverkstrafiken, nätsegmentering och andra avancerade skyddsåtgärder.
• Riskhantering hos tredje parter
  De finansiella entiteterna ska ta hänsyn till IKT-riskerna också i samverkan med sina partners och de aktörer på vilka tjänster har lagts ut och säkerställa att också deras processer ligger i linje med DORA-förordningens krav, framför allt när de utlagda tjänsterna stöder de finansiella entiteternas kritiska och viktiga funktioner.

Uppföljning av läget och rapportering till Finansinspektionen

Finansinspektionen bevakar läget i nära samarbete med bland annat Europeiska centralbanken, den gemensamma europeiska DORA-tillsynen och de finländska myndigheterna, och är vid behov beredd att vidta tillsynsåtgärder. Finansinspektionen förväntar sig att företagen under tillsyn tar hänsyn till effekterna av de framväxande AI-baserade cyberhoten i sina egna riskprofiler och beredskapsåtgärder. De finansiella entiteterna är skyldiga att anmäla allvarliga IKT-relaterade incidenter till Finansinspektionen genast när de inträffat. Finansinspektionen uppmanar de finansiella entiteterna också att informera om andra IKT-relaterade uppgifter som de anser vara av betydelse för det finansiella systemet, användarna av tjänsterna eller kunderna.

Närmare upplysningar lämnas av

byråchef Jussi Terho, telefon 09 183 55 73 eller jussi.terho(at)fiva.fi