Verizonin DBIR 2026: Ohjelmistovirheet ohittavat salasanat yleisimpänä murtautumistapana

Verizonin DBIR 2026: Ohjelmistovirheet ohittavat salasanat yleisimpänä murtautumistapana

Lähes kahden vuosikymmenen ajan varastetut tai heikot salasanat pitivät kyseenalaista kärkisijaa yleisimpänä tapana, jolla hyökkääjät pääsivät järjestelmiin. Tuo aikakausi on nyt virallisesti ohi. Verizonin vuoden 2026 tietomurtojen tutkintaraportti (DBIR) paljastaa, että haavoittuvuuksien hyödyntäminen aiheuttaa nyt 31 % tietomurroista ja ohittaa varastetut tunnukset ensimmäistä kertaa raportin historiassa. Kiristysohjelmat puolestaan esiintyvät nyt 48 %:ssa kaikista tietomurtotapauksista. Näillä havainnoilla on todellisia seurauksia kaikille, jotka luottavat yhteen ainoaan tietoturvatyökaluun – VPN mukaan lukien – pitääkseen datansa turvassa.

Mitä vuoden 2026 DBIR itse asiassa havaitsi

Otsikkoluku on karu: 31 % tietomurroista saa nyt alkunsa siitä, että hyökkääjä käyttää hyväksi ohjelmistohaavoittuvuutta, kun edellisvuoden raportissa osuus oli noin 20 %. Kyseessä on merkittävä yhden vuoden hyppäys. Tunnusten väärinkäyttö, joka piti kärkisijaa vuosia, on nyt työnnetty toiselle sijalle.

Myös kiristysohjelmahavainto on yhtä merkittävä. Lähes puolet kaikista tietomurtotapauksista liittyy nyt kiristysohjelmiin, mikä viestii siitä, etteivät hyökkääjät ainoastaan murtaudu järjestelmiin ohjelmistovirheiden kautta, vaan käyttävät yhä useammin näitä sisääntulopisteitä vahinkoa aiheuttavien, voittoa tavoittelevien hyötykuormien levittämiseen. Päivittämättömän ohjelmiston ja kiristysohjelmien yhdistelmä synnyttää erityisen vaarallisen kierteen: korjaamaton päivitys aukeaa avoimeksi oveksi, ja tuo avoin ovi johtaa salattuihin tiedostoihin ja lunnaiden vaatimuksiin.

Raportissa todetaan lisäksi, että tekoäly alkaa vauhdittaa hyökkäyspuolta tässä yhtälössä ja auttaa vihollisia tunnistamaan hyödynnettävät puutteet nopeammin kuin monet organisaatiot ehtivät reagoida.

Miksi päivittäminen laahaa ja kuka maksaa hinnan

Yksi vuoden 2026 DBIR:n ohessa liikkuvista pysähdyttävistä yksityiskohdista on, että vain murto-osa kriittisistä haavoittuvuuksista päivitetään ajoissa. Organisaatiot laskevat rutiininomaisesti päivitysten tärkeysjärjestystä, koska päivittäminen vaatii käyttökatkoja, testausta ja koordinointia eri tiimien kesken. Hyökkääjät ovat oppineet hyödyntämään juuri tätä aukkoa.

Kyse ei ole pelkästään suurten yritysten ongelmasta. Pienillä ja keskisuurilla yrityksillä on usein kevyt IT-toiminta, mikä tarkoittaa, että yksi päivittämätön palvelin tai vanhentunut sovellus saattaa altistua viikkoja tai kuukausia. Vuoden 2026 DBIR:n tiedot viittaavat siihen, että tätä altistusikkunaa käytetään nyt aseena aggressiivisemmin kuin koskaan aiemmin.

Tämä muutos vaikuttaa myös siihen, miten ajattelemme identiteetistä ja pääsynhallinnasta. Mobiilikalastelu on noussut samassa raporttisyklissä toiseksi kasvavaksi tietomurtojen lähteeksi, ja kun kalastelu onnistuu keräämään tunnuksia, noita tunnuksia yhdistetään yhä useammin päivittämättömien järjestelmien hyödyntämiseen, jotta verkossa voidaan liikkua sivuttain. Nämä kaksi uhkaa vahvistavat toisiaan.

Miksi pelkkä VPN ei riitä

VPN salaa internet-liikenteesi ja peittää IP-osoitteesi, mikä on aidosti hyödyllistä datan suojaamiseksi siirron aikana, erityisesti epäluotetuissa verkoissa. Mutta VPN ei tee mitään haavoittuvan sovelluksen päivittämiseksi. Jos hyökkääjä tunnistaa päivittämättömän puutteen palvelimella toimivasta ohjelmistosta, hän voi hyödyntää sitä riippumatta siitä, onko tuo palvelin VPN-yhteyden takana.

Tämä on se keskeinen opetus, joka piilee vuoden 2026 DBIR:n luvuissa: tietoturvatyökalut toimivat kerroksina, eikä yksikään kerros kata kaikkia uhkia. Salatut yhteydet suojaavat pisteiden välillä liikkuvaa dataa. Vahvat, uniikit salasanat (salasanahallinnan tukemana) vähentävät tunnusten paljastumista. Monivaiheinen tunnistautuminen nostaa tunnuspohjaisten hyökkäysten kustannuksia. Ja oikea-aikainen päivittäminen sulkee ne ovet, joita haavoittuvuuksien hyödyntäminen edellyttää.

Kiristysohjelma ei tee eroa organisaatioiden välillä sen perusteella, onko niillä VPN vai ei. Se seuraa aina sitä pienimmän vastuksen polkua, jonka päivittämätön järjestelmä tai vaarantunut tunnus tarjoaa.

Mitä tämä tarkoittaa sinulle

Vuoden 2026 DBIR on hyödyllinen todellisuustarkistus niin yksityishenkilöille kuin organisaatioille. Tässä ovat käytännön toimet, joihin datan valossa kannattaa ryhtyä:

• Priorisoi päivittäminen. Ota automaattiset päivitykset käyttöön aina kun mahdollista käyttöjärjestelmille, selaimille, lisäosille ja sovelluksille. Organisaatioissa kannattaa määrittää selkeä päivitysajankohta ja pitää siitä kiinni.
• Tarkasta ohjelmistokarttasi. Et voi päivittää sitä, mitä et tiedä käyttäväsi. Yksinkertainen luettelo sovelluksista ja niiden nykyisistä versioista on hyvä lähtökohta.
• Kerrosta puolustuksesi. Käytä VPN:ää salattuihin yhteyksiin, salasanahallintaa vahvoihin uniikkeihin tunnuksiin ja monivaiheista tunnistautumista jokaisessa sitä tukevassa tilissä.
• Ota kiristysohjelmat vakavasti varmuuskopioiden tasolla. Offline- tai muuttumattomat varmuuskopiot ovat yksi tehokkaimmista keinoista kiristysohjelmia vastaan; ne eivät estä hyökkäystä, mutta ne rajoittavat hyökkääjän hallussa olevaa vipuvartta.
• Älä oleta, että reunatyökalut kattavat sisäiset haavoittuvuudet. Palomuurit ja VPN:t vartioivat reunaa. Verkkosi sisäiset haavoittuvuudet tarvitsevat yhä suoraa huomiota.

Vuoden 2026 DBIR ei kuvaa tulevaisuuden uhkaa, vaan sitä, mitä tapahtuu jo nyt suuressa mittakaavassa. Ne organisaatiot ja yksilöt, jotka kohtelevat tietoturvaa kokoelmana toisiaan täydentäviä tapoja yhden tuoteostoksen sijaan, ovat parhaassa asemassa välttääkseen päätymisen ensi vuoden tilastoihin.