Laaja FortiBleed-kyberhyökkäys iski myös Suomeen – parinkymmenen organisaation tiedot vaarantuneet
Janne Yli-Korhonen
23. kesäkuuta, 2026 18:44
Kesäkuussa 2026 paljastunut maailmanlaajuinen FortiBleed-kyberhyökkäyskampanja on ulottanut vaikutuksensa myös Suomeen.
Traficomin Kyberturvallisuuskeskus on kartoittanut kotimaisia kohdeorganisaatioita ja vahvistaa noin parinkymmenen suomalaisen kohteen tietojen vaarantuneen vuodoissa. Kampanja on yksi kuluvan vuoden merkittävimmistä tietoturvauhista, ja se kohdistuu erityisesti tietoturvavalmistaja Fortinetin FortiGate-palomuureihin sekä SSL-VPN-laitteisiin.
"Kyseessä on maailmanlaajuinen kampanja, jonka seurauksena myös Suomessa on havaittu muutamia hyökkäyksiä. Kaiken kaikkiaan parinkymmenen suomalaisen kohteen tiedot ovat vaarantuneet vuodoissa ja olemme olleet yhteydessä näihin organisaatioihin sekä antaneet toimenpideohjeita. Suomen osalta vaikutukset ovat tietojemme mukaan pysyneet maltillisina", kertoo Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Sanna Autio.
Tekniseltä toteutukseltaan kyseessä ei ole uuden tai paikkaamattoman nollapäivähaavoittuvuuden hyödyntäminen.
Hyökkääjät yhdistävät aiemmissa tietomurroissa varastettuja ja vuotaneita kirjautumistunnuksia automatisoituihin massahyökkäyksiin. Laitteisiin kohdistetaan niin sanottuja brute force -hyökkäyksiä, joissa kokeillaan automaattisesti valtavia määriä eri salasanoja, sekä credential stuffing -hyökkäyksiä, joissa muista palveluista anastettuja tunnuksia testataan muihin järjestelmiin.
Maailmanlaajuisesti kampanjan mittakaava on valtava, sillä tutkijat arvioivat yli 70 000 Fortinet-laitteen altistuneen hyökkäyksille peräti 194 eri maassa.
Kohteiden joukossa on suuria yrityksiä kriittisiltä toimialoilta, kuten teollisuudesta, teleoperaattoreista, energiasektorilta sekä julkishallinnosta.
Suurin riski koskee sellaisia organisaatioita, joiden laitteiden hallintakäyttöliittymä on jätetty avoimeksi julkiseen verkkoon, ja joissa ei ole vaihdettu kirjautumistunnuksia tai otettu käyttöön monivaiheista tunnistautumista.
Asiantuntijat muistuttavat, että verkon reunalaitteet toimivat yritysverkkojen portinvartijoina, jolloin pääsyn saaminen niihin voi avata hyökkääjälle suoran tien organisaation sisäverkkoon.
Mahdolliset poikkeamat tulee käsitellä virallisena tietoturvaloukkauksena, ja laitteiden ylläpito- sekä VPN-tunnukset on syytä vaihtaa välittömästi.
Samalla laitteisiin on otettava käyttöön monivaiheinen tunnistautuminen pakollisena kaikille käyttäjille, ja ne on päivitettävä uusimpiin tuettuihin ohjelmistoversioihin. Suositeltavaa on myös rajoittaa laitteiden ulkoista hallintaa esimerkiksi local-in policy -käytännöillä tai poistaa internetin yli tapahtuva hallinta kokonaan.