Verkkokaupan valittuihin liittymiin 30 € K-ryhmän lahjakortti kaupan päälle! Liittymiin
Tekoäly muuttaa kyberuhkia jo nyt – Moni yritys on auttamattomasti myöhässä
4 min
Yrityksissä otetaan tekoälyä käyttöön ennätystahtia – mutta samalla avataan uusia ovia kyberhyökkääjille. Asiantuntijan mukaan moni organisaatio on jo myöhässä tekoälyn tietoturvariskien hallinnassa.
Tekoäly on noussut nopeasti yritysten arkeen ja tarjoaa merkittäviä mahdollisuuksia tuottavuuden, tehokkuuden ja kilpailukyvyn parantamiseen. Samalla se muuttaa myös yritysten kyberturvan toimintaympäristöä perustavanlaatuisesti. Kun AI-ratkaisuja otetaan käyttöön vauhdilla, yritysjohdolta vaaditaan entistä vahvempaa otetta siihen, miten tekoälyä johdetaan, valvotaan ja suojataan osana liiketoimintaa.
Monessa organisaatiossa tekoälyä hyödynnetään jo laajasti. Kehitys on nopeaa, ja paine uusien työkalujen käyttöönottoon kasvaa jatkuvasti. Tämä avaa yrityksille merkittäviä mahdollisuuksia, mutta edellyttää samalla ennakoivaa otetta riskienhallintaan.
“Teknologian kehitys on niin nopeaa, että käyttöönotto menee helposti edellä ja tietoturva tulee perässä”, sanoo Telian kyberturvapalveluiden tuotejohtaja Juha Lamberg.
Telian kybeturvapalveluiden tuotejohtaja Juha Lamberg
Tutustu Telian tietoturvapalveluihin
Tekoäly tuo yritykseen uuden hyökkäyspinnan
Monessa yrityksessä suurin riski syntyy jo ennen virallista käyttöönottoa.
“Haavoittuvaisimmillaan ollaan silloin, kun työntekijät ottavat tekoälyä käyttöön, mutta yritys ei ole vielä tehnyt mitään linjauksia tai kontrollia sen käytölle”, Lamberg kuvaa.
Tällöin organisaatiolta puuttuu näkyvyys siihen, mitä palveluita käytetään ja mitä tietoa niihin syötetään. Riskit voivat näkyä esimerkiksi tahattomina tietovuotoina, kun luottamuksellista dataa päätyy ulkopuolisiin AI-palveluihin.
Uusi hyökkäyspinta syntyy myös silloin, kun yritykset julkaisevat omia chatbotteja tai tekoälyrajapintoja. Ilman riittäviä suojausmekanismeja niitä voidaan käyttää väärin – joskus jopa täysin eri tarkoituksiin kuin mihin ne on rakennettu.
Tekoäly nähdään vain työkaluna
Moni organisaatio tekee saman virheen: tekoäly nähdään vain uutena työkaluna muiden joukossa.
“Se on tavallaan oikein, mutta samalla liian yksinkertaistava ajatus. Silloin siihen liittyvät riskit jäävät tunnistamatta”, Juha Lamberg sanoo.
Keskeistä on ymmärtää, miten tekoälyä käytetään, kuka siitä vastaa ja millä pelisäännöillä sitä hyödynnetään. Ilman selkeää omistajuutta ja hallintamallia riskit jäävät helposti ilmaan.
Ensimmäinen askel ei ole teknologia, vaan tilannekuva. Yrityksen on ymmärrettävä, mitä AI-työkaluja organisaatiossa jo käytetään.
“Monessa yrityksessä ei edes tiedetä, kuinka paljon tekoälyä käytetään, missä ja mihin tarkoitukseen.”
Kun nykytila on selvillä, voidaan rakentaa AI-politiikat, kontrollit ja valvonta. Käyttäjien ohjeistus ei riitä, jos sen noudattamista ei pystytä varmistamaan teknisesti.
Tutustu tarkemmin Telian tarjoamiin tietoturvaratkaisuihin
Tietojenkalastelut ovat jo taitavia
Tekoäly on muuttanut erityisesti tietojenkalastelua. Aiemmin huijausviestit olivat usein helposti tunnistettavia, mutta nyt tilanne on toinen.
“Phishing-viestit ovat tänä päivänä sellaisia, että kukaan meistä ei välttämättä pysty enää tunnistamaan, onko kyse huijauksesta vai ei”, Lamberg sanoo.
Kieli on virheetöntä, sävy uskottava ja viestit voidaan räätälöidä vastaanottajalle yksilöllisesti. Tämä nostaa hyökkäysten onnistumisprosenttia merkittävästi ja haastaa perinteiset keinot tunnistaa huijauksia.
Deepfake-teknologia kehittyy nopeasti, mutta sen merkitys kyberhyökkäyksissä on usein väärin ymmärretty. Suurin riski ei ole vielä täydellinen videohuijaus, vaan ääni.
“Reaaliaikainen puhe on jo nyt niin uskottavaa, että sitä ei käytännössä pysty erottamaan aidosta”, Juha Lamberg toteaa.
Tätä voidaan hyödyntää esimerkiksi tilanteissa, joissa hyökkääjä esiintyy yrityksen johtajana tai kumppanina ja pyrkii vaikuttamaan kriittisiin päätöksiin. Deepfake toimii usein hyökkäyksen loppuvaiheessa.
“Se on tavallaan kirsikka kakun päällä – käytetään silloin, kun hyökkäys on jo pitkällä ja tarvitaan viimeinen varmistus onnistumiselle.”
Yrityksille tämä tarkoittaa, että pelkkä luottamus ääneen tai kuvaan ei enää riitä.
AI-agentit yleistyvät – samoin niihin kohdistuvat uhat
Identiteettivarkaudet ovat jo arkipäivää, mutta tekoäly tuo niihin uuden ulottuvuuden. Yrityksissä yleistyvät AI-agentit toimivat eräänlaisina virtuaalityöntekijöinä, joilla on omat käyttöoikeutensa.
“Kysymys kuuluu, mitä tapahtuu, kun seuraavassa identiteettivarkaudessa menetetään myös AI-agenttien identiteetit”, Lamberg pohtii.
Hyökkäyspinta-ala laajentuu:
- AI-agentit voivat käyttää järjestelmiä, hakea tietoa ja toimia verkostoissa – myös yritysten välillä. Tämä laajentaa hyökkäyspintaa merkittävästi ja tekee riskeistä entistä vaikeammin hahmotettavia.
Hyökkäyksistä tulee kohdennetumpia:
- Hyökkääjä voi analysoida kohdeyrityksen taloudellista tilannetta ja optimoida kiristyksen. Tekoäly pystyy selvittämään esimerkiksi, kuinka paljon yrityksellä on varaa maksaa, jolloin kiristyksestä saadaan maksimaalinen hyöty.
Kyse ei siis ole vain teknisestä uhasta, vaan myös liiketoimintariskistä.
Ihminen ei ehdi reagoida tarpeeksi nopeasti
Tekoälyn aikakaudella kyberturva muuttuu yhä enemmän reaaliaikaiseksi kamppailuksi.
“Jos hyökkääjä pystyy tekemään onnistuneen hyökkäyksen minuuteissa, ihminen ei ehdi siihen reagoida ilman teknologiaa.”
Siksi puolustuksenkin on oltava yhä enemmän automatisoitua ja tekoälyn tukemaa. Tarvitaan jatkuvaa valvontaa, nopeaa reagointia ja kykyä tunnistaa myös AI-toimijoiden käyttäytymistä.
Kyberturvassa on käynnissä varustekilpailu. Hyökkääjät hyödyntävät tekoälyä jo tehokkaasti, joten myös puolustuksen on kehityttävä samaan tahtiin.
Telia auttaa yrityksiä varmistamaan kyberturvan
Telia auttaa yrityksiä tässä muutoksessa yhdistämällä näkyvyyden, asiantuntijuuden ja teknologian. Käytännössä tämä tarkoittaa nykytilan kartoitusta, hallintamallien rakentamista sekä jatkuvaa tietoturvavalvontaa ja reagointikykyä.
“Tässä niin sanotussa kybersodassa kyse on varustelukilpailusta. Tekoälyn pitää olla mukana myös puolustajan työkalupakissa”, Lamberg kiteyttää.
Yritysjohdon näkökulmasta kysymys ei enää ole siitä, muuttaako tekoäly kyberuhkia. Se on jo muuttanut niitä. Olennaista on, ehtiikö yritys rakentaa hallinnan ajoissa.