Kehittyneet tekoälymallit ja niiden vaikutus kyberuhkakuvaan finanssiyhteisöissä

Tekoälymallien kyvyt ohjelmistokehityksessä, tietoturvatestauksessa ja järjestelmien analysoinnissa ovat kehittyneet huomattavasti viime vuosina. Tekoälymalleja voidaan hyödyntää myös haavoittuvuuksien havaitsemiseen monimutkaisissa tietojärjestelmissä. Erityisesti laajojen kielimallien kyvyt analysoida suuria määriä lähdekoodia ja löytää haavoittuvuuksia tietojärjestelmien komponenteista ja tietojärjestelmäympäristöistä voivat muuttaa kyberuhkaympäristöä. Viimeaikainen kehitys vahvistaa käsitystä siitä, että kyberuhkien havaitsemisen ja hyödyntämisen aikajänne on merkittävästi lyhentymässä.

Anthropic Mythos – esimerkki kehittyneistä tekoälymalleista

Anthropic-yhtiö kertoi huhtikuun alussa 2026 Claude Mythos -mallin pystyvän tunnistamaan ja myös hyödyntämään ohjelmistohaavoittuvuuksia poikkeuksellisen tehokkaasti. Mallin on raportoitu kykenevän analysoimaan käyttöjärjestelmiä, selaimia, avoimen lähdekoodin kirjastoja sekä organisaatioiden omia ja kolmansien osapuolten ohjelmistoja. Olennaisena uutena piirteenä on haavoittuvuuksien tunnistamisen ja niitä hyödyntävän koodin automaattisen tuottamisen yhdistyminen samaan malliin. Tästä syystä kyse voi olla laajemmasta muutoksesta kyberuhkien toimintaympäristössä.

Havaittuihin riskeihin reagoidakseen Anthropic on viivästyttänyt mallin laajamittaista kaupallistamista ja käynnistänyt Project Glasswing -hankkeen, jonka tavoitteena on varmistaa kriittisten järjestelmien suojaus ennen mallin tuomista laajemmin saataville. Hankkeessa tekoälymalli on jaettu rajatulle joukolle yhdysvaltalaisia teknologiayrityksiä ja rahoituslaitoksia, jotka kehittävät tai ylläpitävät kriittistä infrastruktuuria.

Miten finanssiyhteisöt voivat torjua kehittyvää uhkaa?

Finanssivalvonta korostaa hyvän ja huolellisesti tehdyn ICT-riskienhallinnan merkitystä. Asetus finanssialan digitaalisesta häiriönsietokyvystä (2022/2554, DORA) sääntelee kattavasti keskeisiä torjuntakeinoja erilaisia uhkia vastaan. Uhkaympäristön muuttuminen ei muuta sääntelyn perusvaatimuksia, mutta se korostaa entisestään riskien tunnistamisen sekä kontrollien ja hallintatoimenpeiden tehokkuuden merkitystä. Finanssivalvonta kehottaa finanssiyhteisöjä kiinnittämään erityistä huomiota seuraaviin kokonaisuuksiin.

• Ohjelmistojen laatu ja turvallinen kehittäminen
  Finanssiyhteisöjen tulee painottaa haavoittuvuuksien ehkäisyä jo ohjelmistojen suunnittelu- ja kehitysvaiheessa. Tämä tarkoittaa muun muassa turvallisia kehityskäytäntöjä, kattavaa testausta ennen käyttöönottoa sekä ennakoitavissa olevien heikkouksien karsimista ennen järjestelmien käyttöönottoa.
• Haavoittuvuuksien tunnistaminen
  Finanssiyhteisöillä tulee olla mekanismit, joilla haavoittuvuuksia pystytään tunnistamaan ja luokittelemaan tietojärjestelmäympäristöistä myös suunnittelu- ja kehitysvaiheiden jälkeen, ns. palvelutuotannon aikana.
• ICT-muutosten hallinta ja päivitysprosessit
  Haavoittuvuuksien löytymisen nopeutuminen edellyttää, että finanssiyhteisöt pitävät muutostenhallintansa ja päivitysprosessinsa muuttuvan toimintaympäristön edellyttämällä tasolla. Kriittisiä päivityksiä on pystyttävä tekemään nopeasti palveluiden toimintaa vaarantamatta.
• Suojautuminen
  Kyberuhkien lisääntyminen korostaa toimivien kontrollien merkitystä. Finanssiyhteisöjen tulee huolehtia, että keskeiset suojaus‑ ja hallintatoimet ovat johdonmukaisesti käytössä. Puolustusta tulee myös vahvistaa monikerroksisesti muun muassa paremman valvonnan, verkkoliikenteen seurannan, verkon segmentoinnin ja muiden kehittyneiden suojausratkaisujen avulla.
• Kolmansien osapuolien riskienhallinta
  Finanssiyhteisöjen tulee ottaa huomioon ICT-riskit myös kumppanien ja ulkoistustoimijoiden kanssa toimiessa ja varmistaa, että myös kumppanien menettelyt ovat DORA-asetuksen vaatimusten mukaisia, erityisesti kun niiden tuottamat palvelut tukevat finanssiyhteisöjen kriittisiä ja tärkeitä toimintoja.

Tilanteen seuranta ja ilmoittaminen Finanssivalvonnalle

Finanssivalvonta seuraa tilannetta tiiviissä yhteistyössä mm. Euroopan keskuspankin, yhteisen eurooppalaisen DORA-valvonnan ja kotimaisten viranomaisten kanssa, ja on tarvittaessa valmis ryhtymään valvontatoimiin. Finanssivalvonta odottaa, että valvottavat huomioivat kehittyvien tekoälypohjaisten kyberuhkien vaikutukset omissa riskiprofiileissaan ja varautumistoimissaan. Finanssiyhteisöjen on ilmoitettava laajavaikutteisista tieto- ja viestintätekniikkaan liittyvistä poikkeamista Finanssivalvonnalle viipymättä niiden ilmaannuttua. Finanssivalvonta kehottaa finanssiyhteisöjä ilmoittamaan myös aihetta koskevista muista tiedoista, jos ne pitävät niitä merkittävinä rahoitusjärjestelmän, palvelujen käyttäjien tai asiakkaiden kannalta.

Lisätietoja antaa

Jussi Terho, toimistopäällikkö, puhelin 09 183 5573 tai jussi.terho(at)finanssivalvonta.fi