Cybersecurity Considerations 2025: näkemyksiä finanssialalle

Finanssialan tietoturvajohtajat kohtaavat yhä moninaisempia haasteita siirtyessään yhä digitaalisempiin toimintaympäristöihin ja laajentaessaan pilvipalveluiden käyttöä. Keskeisiä haasteita ovat muun muassa kriittisten tietovarantojen suojaaminen, kasvavan hyökkäyspinta-alan hallinta sekä navigoiminen monimutkaisessa ja nopeasti muuttuvassa sääntely-ympäristössä. Samaan aikaan tietoturvajohtajien on vastattava moniin vaatimuksiin tilanteessa, jossa näkyvyys IT-ympäristöön on heikentynyt ja datan määrän kasvu vaikeuttaa kokonaisuuden hallintaa. Tietoturvajohtajilta vaaditaan myös kykyä tarkastella samanaikaisesti haavoittuvuuksia, kriittisiä resursseja ja tietoturvaloukkauksia.

Vaikka tietoturvabudjetit eivät ole merkittävästi supistumassa, ne eivät myöskään kasva samaa tahtia liiketoiminnan ja sääntelyn asettamien vaatimusten kanssa. Tietoturvajohtajien on jatkuvasti perusteltava nykyisiä investointejaan sekä neuvoteltava lisärahoituksesta kriittisiin osa-alueisiin, kuten automaatioon ja pilviturvallisuuteen. Budjetin kohdentaminen muodostaa merkittävän haasteen: tulisiko panostaa tekoälyä ja koneoppimista hyödyntäviin innovatiivisiin ratkaisuihin vai vastata jatkuvasti tiukentuviin sääntelyvaatimuksiin ja vaatimustenmukaisuuden osoittamiseen?

Sääntelyn kiristyminen näkyy niin Yhdysvalloissa kuin Euroopassa. Yhdysvalloissa OCC ja Federal Reserve ovat tiukentaneet Tier 1 -pankkien valvontaa muun muassa antamalla virallisia huomautuksia, jotka edellyttävät korjaavia toimenpiteitä. Euroopassa DORA-asetus (Digital Operational Resilience Act) asettaa entistä tarkempia vaatimuksia operatiiviselle ja tekniselle kyberresilienssille, ja sen toimeenpano on noussut sääntelyn keskeiseksi kärkihankkeeksi.

Vastatakseen näihin paineisiin tietoturvajohtajat hyödyntävät kehittyneitä teknologioita, erityisesti tekoäly- ja koneoppimisratkaisuja, automatisoinnin lisäämiseksi, väärien hälytysten vähentämiseksi sekä insidenttien hallinnan tehostamiseksi. Teknologia yksin ei kuitenkaan riitä. Kyberturvallisuus tulee integroida osaksi liiketoimintastrategiaa ja päätöksentekoa. Tämä edellyttää jatkuvaa vuoropuhelua ylimmän johdon kanssa ja kyberturvan roolin vahvistamista osana liiketoiminnan suunnittelua. KPMG:n tutkimuksen mukaan 74 prosenttia finanssialan toimijoista kertoo, että kyberturvallisuus on mukana teknologiasuunnittelun alkuvaiheessa ja vaikuttaa merkittävästi investointipäätöksiin.¹

Pandemian jälkimainingeissa monet organisaatiot huomasivat toisen puolustuslinjansa kasvaneen liikaa, mikä johti vastuuroolien uudelleenmäärittelyyn. On tärkeää, että tietoturvajohtajat tekevät tiivistä yhteistyötä toisen puolustuslinjan kanssa, joka vastaa valvontamekanismien toimivuudesta. Yhteistyön painopisteenä tulisi olla keskeiset suorituskykymittarit, jotka toimivat digitaalisen ympäristön terveydentilan mittareina.

Tietoturvajohtajien on jatkossakin oltava ennakoivia, mukautumiskykyisiä ja jatkuvasti arvioitava kyberturvallisuuden nykytilaa, tunnistettava puutteet ja rakennettava vahvoja, mutta joustavia keinoja riskien hallintaan.

Tässä raportissa tarkastelemme finanssisektorin keskeisiä kyberturvallisuuden näkökulmia, ja tarjoamme tietoturvajohtajille käytännönläheisiä suosituksia ja toimenpide-ehdotuksia.

Tietoturvajohtajan kyberagendalla nyt

Ihmisten merkitys
Tekoälyn luotettavuuden varmistaminen
Resilienssin kehittäminen: kyberturvallisuus yrityksille ja yhteiskunnalle

Tekoäly ja koneoppiminen voivat auttaa finanssialan yrityksiä automatisoimaan rutiininomaisia kyberturvallisuustehtäviä, mikä keventää usein aliresursoitujen tiimien työtaakkaa. Nykyiset prosessit tuottavat runsaasti virheellisiä hälytyksiä, koska datassa on paljon epäolennaista ja epäluotettavaa tietoa. Samalla tekijöitä ei yksinkertaisesti ole riittävästi käsittelemään tätä tietomäärää. Tekoäly voi vähentää virhehälytyksiä, ohjata tehtäviä automaattisesti oikeille henkilöille ja nostaa tärkeimmät tapaukset esiin, jotta niihin voidaan reagoida nopeasti ja kriittiset haavoittuvuudet korjata ajoissa. Näin voidaan tehostaa toimintaa ja parantaa sääntelyvaatimusten, kuten GDPR:n ja FFIEC:n, noudattamista.

Keskeiset haasteet

Kyberturvallisuusosaamisen puute

Finanssialan yrityksissä ei usein ole tarvittavaa kyberturvallisuusosaamista. Tämä vaikeuttaa entisestään yhä monimutkaisempien ja lukumäärältään kasvavien kyberuhkien torjumista.

Resurssien jakaminen

Ilman automaatiota asiantuntijoiden aika kuluu rutiinitehtäviin. Tämä vähentää heidän käytettävissään olevaa aikaa monimutkaisten uhkien analysointiin ja ratkaisuun.

Sääntelypaineet

Rahoituslaitokset ovat jatkuvasti muuttuvien sääntelyvaatimusten alaisia. Uusiin vaatimuksiin vastaaminen vie paljon resursseja ja edellyttää huolellista hallintaa virheiden välttämiseksi.

Keskeiset mahdollisuudet

Edistynyt uhkien havaitseminen

Tekoäly ja koneoppiminen tarjoavat kehittyneitä työkaluja uhkien havaitsemiseen, mikä mahdollistaa niiden nopeamman ja tarkemman tunnistamisen. Tämä auttaa ehkäisemään taloudellisia menetyksiä ja suojaamaan arkaluontoisia tietoja. Samalla kyberturvallisuusammattilaiset voivat keskittyä yhä enemmän vaativampiin ja strategisiin tehtäviin. KPMG:n tutkimuksen mukaan 68 prosenttia finanssialan ammattilaisista (joista 24 prosenttia on vahvasti samaa mieltä) kokee, että tekoäly auttaa heitä paikkaamaan osaamisvajetta. ²

Toiminnan tehokkuus

Rutiinitehtävien automatisointi mahdollistaa jatkuvan valvonnan ja nopean tiedon analysoinnin. Tämä johtaa nopeampaan uhkien torjuntaan ja resurssien parempaan hyödyntämiseen. Skaalautuvuus takaa myös kyberturvallisuusvaatimusten yhdenmukaisen noudattamisen ja parantaa koko organisaation kykyä selviytyä uhkatilanteista.

Monet finanssialan toimijat tunnistavat tekoälyn ja koneoppimisen arvon kyberturvallisuudessa, mutta käyttöönoton taso vaihtelee. Suuremmat organisaatiot ovat tässä eturintamassa, sillä niillä on enemmän resursseja ja asiantuntijoita käytettävissään. Pienemmät toimijat jäävät jälkeen budjettirajoitteiden vuoksi. Kaiken kaikkiaan automatisoinnin tarve ja valmius ottaa nämä ratkaisut osaksi kyberturvastrategioita kasvaa. Tulevaisuudessa tekoälyn tuoma muutos tulee vaatimaan merkittäviä panostuksia henkilöstön osaamisen kehittämiseen, sillä 40 prosenttia finanssialan ammattilaisista uskoo tekoälyn muuttavan työrooleja merkittävästi seuraavan kymmenen vuoden aikana. ³

Tekoälyn luotettavuuden varmistaminen

Tekoälyn yleistyminen tarjoaa finanssisalan organisaatioille uusia keinoja tehostaa toimintaa, parantaa asiakaskokemusta ja edistää innovaatioita. Samalla sen yleistyminen herättää kysymyksiä liittyen luotettavuuteen, turvallisuuteen ja yksityisyyteen. Rahoituslaitosten on varmistettava, että tieto pysyy turvassa, sen eheys säilyy ja sääntöjä noudatetaan. Tällä hetkellä monet yritykset hallinnoivat tekoälyä samalla tavalla kuin kaupankäyntialgoritmeja. Tietoturvajohtajien osallistuminen tekoälyn hallintaan on kuitenkin usein vielä liian vähäistä. Monet yritykset ovat myös kokeilleet tekoälyn suojaamista, mutta eivät ole varmoja, miten tekoäly eroaa muusta tärkeästä datasta tai algoritmeista.

Keskeiset haasteet

Tietosuoja ja turvallisuus

Tekoälyjärjestelmät tarvitsevat suuria tietomääriä, mikä altistaa ne kyberhyökkäyksille. Rahoituslaitosten on löydettävä tasapaino tietosuojan ja turvallisuuden välillä samalla, kun ne noudattavat muuttuvia sääntelyvaatimuksia, kuten GDPR:ää, CCPA:ta ja EU:n tekoälyasetusta.

Datan laatu ja vinoumat

Tekoälyn tehokas hyödyntäminen edellyttää puhdasta ja tarkkaa dataa. Luokitteluvirheet, heikko laatu tai epäjohdonmukaisuus voivat johtaa virheellisiin tai vinoutuneisiin lopputuloksiin. Tämä voi heikentää luottamusta tekoälyratkaisuihin.

Läpinäkyvyys ja selitettävyys

Monimutkaiset tekoälymallit, kuten syväoppiminen, toimivat usein “mustina laatikkoina”, joiden päätöksenteon perusteita on vaikea ymmärtää. Tämä heikentää päätöksenteon läpinäkyvyyttä, vaikka ymmärrettävyys on keskeistä luottamuksen säilyttämiseksi ja sääntelyn noudattamiseksi.

Keskeiset mahdollisuudet

Tekoäly tieturvan kehittämisen tukena
Tekoäly voi auttaa hallitsemaan tietoa varmistamalla, että se on luotettavaa, ajantasaista ja sääntelyn mukaista. Tekoäly voi tunnistaa poikkeamia ja uhkamalleja, mikä mahdollistaa nopeamman ja paremman reagoinnin kyberuhkiin.

Datan hallinnan ja vaatimustenmukaisuuden parantaminen

Tekoälyn hyödyntäminen tietohallinnassa voi auttaa ylläpitämään tiedon eheyttä, tarkkuutta ja sääntelyvaatimusten mukaisuutta.Se voi esimerkiksi luokitella tietoa automaattisesti, tunnistaa poikkeavuuksia ja auttaa huolehtimaan tietosuojasta johdonmukaisesti. Tämä vahvistaa luottamusta tekoälyä hyödyntäviin prosesseihin.

Finanssialan toimijat tiedostavat, että tekoälyn käyttö vaatii luottamuksen rakentamista, mutta organisaatioiden valmius vaihtelee. Osa on jo ottanut käyttöön ratkaisuja, jotka tukevat tiedonhallintaa ja tekoälyn läpinäkyvyyttä, kun taas toiset kamppailevat edelleen resurssipulan kanssa. Samalla ymmärrys läpinäkyvyyden, datan laadun ja turvallisuuden tärkeydestä kasvaa, ja uusia strategioita ja teknologioita kehitetään näiden haasteiden ratkaisemiseksi.

Resilienssin kehittäminen: kyberturvallisuus yrityksille ja yhteiskunnalle

Finanssialan yhä verkottuneemmat järjestelmät ovat tehneet kyberresilienssistä liiketoiminnan kannalta kriittisen osa-alueen. Tietoturvajohtajien on hallittava laaja hyökkäyspinta-ala, reagoitava nopeasti poikkeamatilanteisiin ja ylläpidettävä resilienssiä tukevia käytäntöjä. Erityistä huolta aiheuttavat kriittiseen infrastruktuuriin kohdistuvat uhat, jotka voivat häiritä toimintaa ja vaarantaa arkaluonteiset tiedot. Tämän vuoksi resilienssi on noussut keskeiseksi osaksi liiketoiminnan jatkuvuussuunnittelua ja varautumisohjelmia.

Keskeiset haasteet

Laaja hyökkäyspinta

Finanssialan digitalisaatio ja järjestelmien kytkeytyminen toisiinsa ovat kasvattaneet hyökkäyspinta-alaa merkittävästi. Tämä tekee kaikkien sisäänpääsyreittien suojaamisesta entistä haastavampaa.

Nopea reagointi poikkeamiin

Rahoituslaitokset tarvitsevat kehittyneitä havaitsemisjärjestelmiä ja tehokkaita toimintamalleja, joiden avulla poikkeamat voidaan tunnistaa ja torjua nopeasti.

Sääntelyn ja resilienssivaatimusten noudattaminen

Finanssialan toimijoille on asetettu tiukat resilienssiä koskevat sääntelyvaatimukset. Nämä vaatimukset vaihtelevat toimijan roolin ja aseman mukaan rahoitusjärjestelmässä, mikä lisää sääntelykokonaisuuden monimutkaisuutta.

Keskeiset mahdollisuudet

Kehittynyt uhkien havaitseminen ja reagointi
Tekoälyn ja koneoppimisen kaltaisten teknologioiden avulla rahoituslaitokset voivat tunnistaa ja torjua kyberuhkia entistä tehokkaammin. Tämä vähentää vahinkoja ja parantaa koko organisaation resilienssiä.

Jatkuvan kehittämisen sisällyttäminen toimintaan
Resilienssiä voidaan vahvistaa jatkuvan koulutuksen, edistyksellisten teknologiahankintojen ja hyökkäyspinta-alan ennakoivan hallinnan avulla.

Kyberresilienssi ei ole enää vain ensilinjan vastuulla, vaan siitä on tulossa myös toisen puolustuslinjan keskeinen tehtävä. Suuret toimijat ovat jo pitkällä, ja pienemmätkin yritykset kehittävät valmiuksiaan. Resilienssi koskee yhä enemmän myös kriittisiä yhteistyökumppaneita ja pilvipalveluntarjoajia. Kasvava huomio kohdistuu siihen, millaisia häiriöitä keskeisiin liiketoimintatoimintoihin voi syntyä, jos tärkeä toimitusketjun jäsen kohtaa ongelmia.

Miten kyberturvallisuus näkyy finanssialalla käytännössä?

Finanssialalla sääntely vaatii, että organisaatiot hallitsevat tietoturvariskejään paremmin. Haavoittuvuuksien suuri määrä ja niihin liittyvä päätöksenteko vaativat innovatiivisia ratkaisuja, joiden avulla riskejä voidaan käsitellä johdonmukaisesti ja järjestelmällisesti.

Eräs suuri investointipankki halusi kehittää ja ottaa käyttöön tekoälyyn ja koneoppimiseen perustuvia malleja tehostaakseen toimintaansa ja varmistaakseen sääntelyvaatimusten täyttymisen. KPMG:n asiantuntijat toteuttivat pankille kattavan tarvekartoituksen ja loivat koneoppimiseen pohjautuvia ratkaisuja haavoittuvuuksien hallintaan ja tietoturvatapahtumien käsittelyyn.

Ratkaisujen avulla pankki pystyi tunnistamaan nykyisten toimintatapojensa heikkoudet ja löytämään ne alueet, joissa innovaatiot voivat tuoda eniten hyötyä. Kehitetyt käyttötapaukset kattoivat muun muassa haavoittuvuuksien kiireellisyysarvioinnin, vastuun jakamisen sekä kriittisyyden automaattisen määrittelyn. Ratkaisujen avulla pankki pystyi tunnistamaan nykyisten toimintatapojensa heikkoudet ja löytämään ne alueet, joissa innovaatiot voivat tuoda eniten hyötyä. Kehitetyt käyttötapaukset kattoivat muun muassa haavoittuvuuksien kiireellisyysarvioinnin, vastuun jakamisen sekä kriittisyyden automaattisen määrittelyn.

Tällaiset ratkaisut auttavat finanssialan organisaatioita tunnistamaan, priorisoimaan ja korjaamaan haavoittuvuuksia aiempaa nopeammin ja tehokkaammin. Ne mahdollistavat laajemman riskienhallinnan koko toimintaympäristössä sekä vahvistavat organisaation kyberturvallisuutta kokonaisuutena.

Sääntelyn kiristyessä organisaatiot, jotka ottavat käyttöön ennakoivasti innovatiivisia ratkaisuja, ovat paremmin valmistautuneita reagoimaan nopeasti muuttuviin riskeihin. Näin ne voivat suojata omaisuutensa ja maineensa sekä pysyä kehityksen kärjessä alati monimutkaistuvassa kyberturvallisuusympäristössä.

Kybertuvallisuuden painopisteet finanssialalla

Zero Trust -arkkitehtuuri: Keskittyminen identiteettipohjaiseen suojaamiseen ja mikrosegmentointistrategioihin.

Tekoäly ja koneoppiminen: Tietoturvakeskusten rutiinitehtävien automatisointi, jotta kyberturvatiimit voivat keskittyä vaativampiin tehtäviin.

Kolmannen osapuolen toimijoiden jatkuva valvonta: Toimittajaketjun turvallisuuden ja toimintavarmuuden varmistaminen.

Turvallisuuden huomioiminen tekoälyn kehityksessä alusta lähtien: Vältytään kalliilta jälkikorjauksilta ja minimoidaan sääntelyyn tai maineeseen liittyvät riskit.

Yhteistyö sääntelyviranomaisten kanssa: Ennakoiva vuoropuhelu sääntelyvaatimusten ymmärtämiseksi ja täyttämiseksi.

Cybersecurity considerations 2025

Lataa raportti

Miten asiantuntijamme voivat auttaa?

Finanssialan laaja tuntemus tekee KPMG:stä luotettavan kumppanin tietoturvajohtajille, jotka kohtaavat yhä monimutkaisempia kyberturvallisuushaasteita. Autamme muun muassa uhkien tunnistamisessa, automatisoitujen poikkeamien hallinnassa, tekoälyyn perustuvassa haavoittuvuuksien hallinnassa sekä kyberresilienssin vahvistamisessa.

Avustamme myös esimerkiksi valmiussuunnitelmien laatimisessa ja testaamisessa, kolmansien osapuolten riskien arvioinnissa sekä tietoturvan integroinnissa osaksi tekoälyteknologian kehitystä. Lisäksi tuemme sääntelyvaatimusten noudattamisessa ja jatkuvan kehittämisen edistämistä, jotta organisaatiot voivat turvata toimintansa muuttuvien kyberuhkien maailmassa.

Sitoumuksemme alakohtaisten ja innovatiivisten ratkaisujen tuottamiseen antaa tietoturvajohtajille valmiudet vastata ennakoivasti heidän toimialalleen ominaisiin haasteisiin ja vahvistaa organisaation asemaa yhä vaativammassa kyberturvallisuusympäristössä. Kokemuksemme ja ratkaisujemme avulla finanssialan toimijat voivat parantaa tietoturvan tasoa, suojata omaisuuttaan ja mainettaan sekä säilyttää asiakkaidensa ja sidosryhmiensä luottamuksen.

1 KPMG, Global Technology Report, 2024.

2 KPMG, Global Technology Report, 2024.

3 KPMG, Global Technology Report, 2024.