True crimea ja tietoturvaa yhdistävä Kyberrosvot-podcast jatkuu uusilla jaksoilla. Ensimmäinen niistä käy läpi Nordeaa viime vuonna piinanneen palvelunestohyökkäyksien sarjan, jossa tavalliset kodinkoneet hyökkäsivät Nordean nettipalveluita vastaan. Mitä tästä tapauksesta jäi käteen, mitä opittiin?
Syyskuussa 2024 Nordeaa alkoi piinata ennennäkemättömän laaja palvelunestohyökkäyksien sarja. Yhteensä 360 hyökkäystä 30 päivässä. Tällaisilla hyökkäyksillä yritetään ruuhkauttaa ja heikentää toimintaa. Joku halusi siis häiritä, testata, mitata – ja ehkä myös horjuttaa luottamusta siihen, että yhteiskunnan kriittinen infra on turvassa. Nordean kilpi kesti.
Pankki on kertonut onnistuneensa pysäyttämään 90 prosenttia iskuista. Läpi päässeet 10 prosenttia hyökkäyksistä aiheuttivat hitautta pankkipalveluissa, väliaikaisia katkoja ja uudelleenkäynnistyksiä. Asiakkaiden varat ja tiedot olivat kuitenkin koko ajan turvassa, sillä pankin järjestelmiin ei yritetty murtautua.
Kuka oli asialla ja miksi?
Nordean tapaus ja sen opit käydään läpi Kyberrosvot-podcastin uusimmassa jaksossa, jossa Peter Nymanin vieraaksi saapuu Nordean henkilöasiakasliiketoiminnan johtaja Jani Eloranta ja DNA:n kyberturvallisuusliiketoiminnan johtaja Toni Vartiainen.
Sekä hyökkäyksen motiivit että tekijät ovat syksyllä 2025 edelleen hämärän peitossa, mutta arvauksia on esitetty. Ensinnäkin, Nordeaan kohdistunut hyökkäys käynnistyi vain neljä päivää sen jälkeen, kun Ruotsi oli ilmoittanut laajasta, yli 400 miljoonan euron arvoisesta tukipaketista Ukrainalle. On yleisesti tiedossa, että Pohjoismaissa – erityisesti Ruotsissa – on viime vuosina nähty voimistuvaa kyberpainetta.
Toiseksi, tällaiset hyökkäykset vaativat sekä poikkeuksellista osaamista että huomattavat taloudelliset resurssit.
”Palvelunestohyökkäykset liitetään tyypillisesti haktivismiin, mutta tilanteen jatkuessa alkoi hahmottua, että taustalla täytyy olla joku isompi taho”, kertoo DNA:n Vartiainen.
“Onhan osa tietoturva-asiantuntijoista arvioinut, että hyökkääjillä on täytynyt olla kaksinumeroinen summa miljoonia takataskussa. Kyse ei liene ihan koulupoikien puuhastelusta”, tähdentää Nordean Eloranta.
Voima, kesto, tekotapa ja laajuus viittaa suunnitelmallisuuteen
Mikä teki hyökkäyksestä niin poikkeuksellisen?
”Voima, kesto, tekotapa sekä se, miten laajasti hyökättiin”, kertoo Nordean Eloranta.
Kun aiemmin samana vuonna Nordealla oli nähty yhteensä noin 20 palvelunestohyökkäystä, nyt hyökkäyksiä tuli muutamassa viikossa 360. Pahimmillaan pyyntöjä tuli 15 miljoonaa sekunnissa. ”Aikaisempien hyökkäysten kesto on ollut pisimmillään neljä päivää, nyt näimme 4–6 viikkoa päivittäisiä hyökkäyksiä, vaihtuvia tekniikoita, useita tulosuuntia. Kun yksi hyökkäys torjuttiin, toinen alkoi eri kulmasta”, Eloranta kertoo.
”Se, että erilaisia työkaluja käytetään näin monipuolisesti saman hyökkäyksen aikana, viittaa siihen, että tekoja on suunniteltu etukäteen ja toteutuksessa noudatettu jonkinlaista käsikirjoitusta”, Vartiainen analysoi.
Kodinkoneet valjastettiin hyökkäykseen
Nordea on kertonut, että hyökkäyksissä hyödynnettiin myös pohjoismaisia IP-osoitteita ja niissä kiinni olevia laitteita kuten jääkaappeja, valvontalaitteita ja muita kodinkoneita. Tämä on ovelaa, sillä eihän pohjoismainen pankki voi geoblokata pohjoismaista tulevaa liikennettä.
Asiantuntijat muistuttavat, että mikä tahansa älyllä varustettu laite on potentiaalinen kohde, kun se on verkossa. Jos laitteessa on haavoittuvuus, joku voi käyttää sitä. Kun aukkoja on sadoissa ja tuhansissa laitteissa, niistä voidaan rakentaa bottiverkko. Laitteen omistajalla ei todennäköisesti ole mitään tietoa siitä, että hänen laitteensa on valjastettu rikolliseen käyttöön.
”Mikään ei indikoi hyökkäystä. Huomaamme korkeintaan, että netti vähän hidastuu”, Vartiainen huomauttaa.
Hänen mukaansa käsillä on maturiteettiongelma, sillä kuluttajina emme vielä osaa suojata älylaitteitamme tarpeeksi. Myös esimerkiksi hinta voi ohjata valitsemaan älylaitteita, jotka eivät ole parhaalla tavalla suojattuja.
”Kodin ja auton ovet kyllä lukitaan, mutta verkkoon yhdistettyä jääkaappia ei”, Vartiainen vertaa.
Verkossa olevissa laitteissa sokea piste, myös yrityksissä Myös yrityksillä on valtavasti laitteita verkossa. Onko tilanne paremmin hallussa yrityksissä? Asiantuntijoiden mukaan kyllä ja ei.
”Mitä isompi yritys on kyseessä, sitä enemmän siellä on IT-asiantuntijoita, jotka päivätöikseen näitä miettivät. Mutta pienemmissä yrityksissä ollaan lähempänä samaa tasoa kuin kotitalouksissa – riippuen siitä, kuinka hyvin asia on tiedostettu”, Nordean Eloranta toteaa.
DNA:n Vartiainen nostaa esiin yhden tyypillisen sokean pisteen, joka koskee kaikkia yrityksiä:
”Varsinainen yritysten infra suojataan hyvin, mutta toimipisteiden taloautomaatiojärjestelmät tai muut järjestelmät, jotka ohjaavat esimerkiksi neuvottelutilojen älylaitteita ja varaussysteemejä ovat jostain syystä todella huonosti suojattuja.”
Viestinnän rooli on kriittinen
Hyökkäystä seurattiin mediassa aktiivisesti, ja Nordean viestintää arvosteltiin hitaudesta ja vähäsanaisuudesta. Miltä tilanne näytti Nordean näkökulmasta? Millaisia haasteita viestinnän kanssa kohdattiin ja mitä nyt tehtäisiin eri tavalla?
Mitä pk-yritysten kannattaa oppia Nordean kohtaamasta hyökkäyksestä? Ja mitä varautumisessa kannattaa ottaa huomioon?
Kuuntele jakso!
Artikkeli on julkaistu alunperin Tivissä 26.9.2025
