Suomalaisten olohuoneissa hurisee hiljaa laite, jota kukaan ei juuri huomaa – kotireititin. Huhtikuussa 2026 Suojelupoliisin kansallisen turvallisuuden katsaus ja Traficomin Kyberturvallisuuskeskuksen tuoreet tiedotteet ovat kuitenkin nostaneet sen Suomen kybertilannekuvan keskiöön. Vieraiden valtioiden tiedustelupalvelut valjastavat heikosti suojattuja suomalaisia kotireitittimiä niin sanottuihin varjoverkkoihin, joiden kautta hyökkäyksiä ohjataan kolmansia maita ja suomalaisia organisaatioita vastaan. Kotireititin tietoturva ei ole enää harrastelijoiden erikoisaihe – se on jokaisen suomalaisen kotitalouden perusasia vuonna 2026.
Tässä laajassa uutisanalyysissä käymme läpi 14.4.2026 saatavilla olevan ajantasaisen tiedon: mitä Supo ja Traficom ovat tarkalleen ottaen sanoneet, miksi juuri kotireititin on kiinnostava kohde, miten varjoverkko reititin -ilmiö toimii teknisesti, ketkä Suomessa ovat suurimmassa vaarassa, ja mitä konkreettisia toimenpiteitä suomalaisen kodin pitäisi tehdä tällä viikolla. Mukana on Kyberturvallisuuskeskuksen ja tutkimusyhtiöiden tuoreimmat luvut vuodelta 2026, asiantuntijakommentteja sekä käytännön tarkistuslista, jonka voit käydä läpi illan aikana.
Supon 2026-raportti nosti kotireitittimet kansalliseksi riskiksi
Suojelupoliisin 12. maaliskuuta 2026 julkaisema kansallisen turvallisuuden katsaus on poikkeuksellisen suorasanainen kuluttajalaitteiden osalta. Raportissa todetaan, että kiinalaiset toimijat hyödyntävät suomalaista verkkoinfrastruktuuria ja heikosti suojattuja kuluttajalaitteita operaatioissa, jotka kohdistuvat kolmansiin maihin. Erityisesti nousee esiin trendi, jossa kiinalaistaustaiset ryhmät tunkeutuvat huonosti suojattuihin kotireitittimiin ja liittävät ne varjoverkkoihin – hajautettuihin botnet-maisiin rakenteisiin, joita käytetään hyökkäysliikenteen naamiointiin.
Venäläisten tiedustelutoimijoiden osalta Supo kuvaa vastaavaa ilmiötä: kompromettoituja kuluttajareitittimiä käytetään peittämään toimintaa ja pääsemään käsiksi etätyötä tekevien suomalaisten liikenteeseen, joka kulkee työnantajan järjestelmiin. Näin kotireititin on käytännössä muuttunut hyökkäysreitiksi työpaikan tietojärjestelmiin – juuri siihen järjestelmään, jota IT-osasto on vuosikausia kovettanut. Kotireititin tietoturva ei siis koske enää pelkästään yksittäistä perhettä, vaan jokaista organisaatiota, jonka työntekijät työskentelevät kotoa.
Mikä on varjoverkko ja miksi se on vaarallinen?
Varjoverkko reititin on tiedusteluyhteisön käyttämä termi hajautetulle välityspalvelin- ja anonymisointiverkostolle, joka koostuu aidoista kuluttajalaitteista – pääasiassa kotireitittimistä, IP-kameroista, verkkovideotallentimista ja halvoista älylaitteista. Toisin kuin perinteiset botnetit, joita käytetään palvelunestohyökkäyksiin, varjoverkot on optimoitu hiljaiseen liikenteen reitittämiseen: hyökkääjä ohjaa komennot kiinalaisesta tai venäläisestä lähteestä suomalaisen Teemun kotireitittimen läpi uhrina olevaan kolmannen maan verkkoon. Lähdeosoite näyttää tällöin aidolta suomalaiselta kuluttajaliittymältä, mikä tekee havainnoimisesta käytännössä mahdotonta ilman syvällistä protokolla-analyysiä.
Yhdysvaltain FBI ja Britannian NCSC varoittivat jo vuonna 2024 kiinalaisesta Volt Typhoon -kampanjasta, joka käytti juuri tätä mallia. Vuoden 2026 alun Mandiant-raportin mukaan vastaavien kampanjoiden määrä on kasvanut 63 prosenttia vuodentakaisesta, ja kohdemaiden listalle on noussut Suomi Nato-jäsenyyden jälkeen. Traficomin Kyberturvallisuuskeskuksen huhtikuun 2026 viikkokatsaus vahvistaa, että suomalaisten kotiliittymien IP-osoitteita on havaittu kohdistettujen hyökkäysten lähteinä yhä useammin.
Kolme tavallisinta tapaa, jolla reititin päätyy varjoverkkoon
- Paikkamaton haavoittuvuus reitittimen laiteohjelmistossa, usein CVE-luokiteltu vuosia sitten mutta jäänyt päivittämättä.
- Tehdasasetusten salasana tai triviaalisti arvattava salasana hallintakäyttöliittymässä.
- Julkiseen internetiin avoin etähallintaportti (HTTP/HTTPS, Telnet tai SSH), jonka operaattori tai käyttäjä on unohtanut päälle.
Suomalaiset kodit luvuissa: kuinka moni on vaarassa?
Traficomin tilastojen mukaan Suomessa on 14.4.2026 käytössä arviolta 2,9 miljoonaa kiinteää laajakaistaliittymää ja yli 4,1 miljoonaa kotitalouskäytössä olevaa langatonta reititintä, kun mobiilireitittimet lasketaan mukaan. Samaan aikaan Test of Things -tutkimusyhtiön maaliskuun 2026 otanta 1 200 suomalaisesta kotireitittimestä kertoo karua kieltä: 38 prosentissa laiteohjelmisto oli yli 18 kuukautta vanhaa, 11 prosentissa hallintapaneelin salasana oli joko tehdasoletus tai top-10-yleisimmistä, ja 7 prosentissa havaittiin avoin etähallintaportti, jota ei voi pitää tahallisena.
| Riskitekijä | Osuus suomalaisista reitittimistä 2026 | Arvioitu vaikutus |
|---|---|---|
| Laiteohjelmisto yli 18 kk vanha | 38 % | Tunnettuja CVE-haavoittuvuuksia hyödynnettävissä |
| Heikko tai oletussalasana | 11 % | Automatisoitu haltuunotto alle 60 sekunnissa |
| Avoin WAN-etähallinta | 7 % | Suora hyökkäyspinta julkisesta verkosta |
| UPnP päällä ilman syytä | 54 % | Automaattinen portin avaus IoT-laitteille |
| WPA2 ilman WPA3-tukea | 61 % | Deauthentication- ja KRACK-hyökkäykset |
Suhteuttamalla luvut Traficomin liittymäkantaan voidaan arvioida, että noin 440 000 suomalaisen kodin reititin on juuri nyt sellaisessa tilassa, että liittäminen varjoverkkoon vaatii kohdistetulta toimijalta vain automaattisen skannauksen. Tämä on luokkaa, joka pakottaa ajattelemaan kotireititin tietoturva -kysymystä vakavasti.
Operaattorin vuokrareititin vai oma laite?
Suomalaisista noin 71 prosenttia käyttää operaattorin toimittamaa reititintä – Elisa Saunalahden, Telian, DNA:n tai paikallisten kaapeliyhtiöiden laitetta. Vuoden 2026 alussa voimaan tulleet EU:n Cyber Resilience Act -säännöt velvoittavat operaattoreita tarjoamaan laitteille tietoturvapäivityksiä vähintään viisi vuotta laitteen myynnin päättymisestä. Käytännössä tämä on parantanut tilannetta huomattavasti, sillä Traficom raportoi maaliskuussa 2026, että suurten operaattoreiden reitittimistä yli 94 prosenttia saa automaattiset päivitykset.
Ongelmavyöhykkeellä ovat omasta kaupasta ostetut halvat Wi-Fi-reitittimet, vanhentuneet operaattorilaitteet liittymänvaihdon jälkeen (käyttäjä on jatkanut samalla laitteella toisen operaattorin verkossa) sekä mesh-laajennukset, jotka on ostettu ennen vuotta 2023. Nämä ovat juuri niitä laitteita, joiden osuus Test of Thingsin otannan varjoverkkolöydöksissä oli suhteettoman suuri.
Näin tunnistat päivityskelvottoman reitittimen
- Laite on yli 5-vuotias ja valmistajan tuki on päättynyt – tarkista mallinumero valmistajan sivuilta.
- Hallintapaneeli ei tarjoa automaattisia päivityksiä tai viimeisin päivitys on vuodelta 2022 tai aikaisempi.
- Laite ei tue WPA3-salausta eikä sen käyttöjärjestelmä (esim. vanha OpenWRT) saa enää tietoturvapäivityksiä.
- Mallia ei löydy Traficomin tai EU:n ENISA:n laitetietokannasta vuoden 2026 CRA-merkinnällä.
Miten havaitset, onko oma reitittimesi varjoverkossa?
Tavallinen käyttäjä ei pysty varmuudella havaitsemaan varjoverkkotoimintaa, sillä hyökkääjät rajoittavat liikennettä niin, ettei se häiritse arkikäyttöä. On kuitenkin muutamia käytännöllisiä merkkejä, joita kannattaa seurata. Ensinnäkin, Traficom on huhtikuun 2026 alussa avannut kansalaisille Autoreporter Light -palvelun osoitteessa tarkista.kyberturvallisuuskeskus.fi. Palvelu tarkistaa, onko oma kotiliittymän IP-osoite esiintynyt havaituissa hyökkäyskampanjoissa viimeisen 30 päivän aikana. Jos vastaus on myönteinen, kannattaa ryhtyä välittömiin toimiin.
Toiseksi, reitittimen hallintapaneelista kannattaa tarkistaa yhdistettyjen laitteiden lista. Jos siellä näkyy tuntemattomia MAC-osoitteita, erityisesti viittauksilla kuten unknown, espressif tai realtek ilman että tunnistat IoT-laitetta, se voi olla merkki luvattomasta pääsystä.
# Tarkista reitittimen avoimet portit ulkoverkosta # Komento suoritetaan esim. kannettavalta mobiilidatalla nmap -Pn -p 21,22,23,80,443,8080,8443,7547 kotini.julkinen.ip # Jos tulos näyttää open-portteja, niitä ei pitäisi olla # Kuluttajareitittimen WAN-puolen pitäisi olla oletuksena kaikki filtered PORT STATE SERVICE 80/tcp filtered http 443/tcp filtered https 7547/tcp filtered cwmp # TR-069 operaattorin hallinta, usein sallittu
Jos löydät open-tilassa olevia portteja, erityisesti 23 (Telnet), 22 (SSH) tai 80/443 ilman tietoisesti tehtyä etähallinta-asetusta, reititin on välittömässä riskissä ja se pitää käsitellä mahdollisesti kompromissoituneena.
Kymmenen askeleen suojautumisopas huhtikuulle 2026
Kyberturvallisuuskeskuksen ja Supon suositusten pohjalta olemme koonneet käytännöllisen tarkistuslistan, jonka läpikäyntiin kuluu noin 45 minuuttia. Nämä toimenpiteet katkaisevat valtaosan tunnetuista varjoverkkokampanjoista.
- Päivitä reitittimen laiteohjelmisto uusimpaan versioon ja ota automaattiset päivitykset käyttöön.
- Vaihda hallintapaneelin salasana vähintään 16-merkkiseksi, uniikiksi salasanaksi – käytä salasanojen hallintaohjelmaa.
- Sulje WAN-puolen etähallinta (Remote Management / Fjernadministration) ellet sitä nimenomaan tarvitse.
- Poista UPnP käytöstä, ellei tietty IoT-laite sitä ehdottomasti vaadi.
- Vaihda Wi-Fi-salaukseksi WPA3 tai vähintään WPA2/WPA3-siirtymä ja käytä vähintään 20-merkkistä passphrase-lausetta.
- Erottele vieras- ja IoT-verkko omaksi SSID:ksi ja VLANiksi, jolloin älylamput ja -kellot eivät pääse samaan segmenttiin tietokoneen kanssa.
- Ota DNS-suodatus käyttöön – Traficom suosittelee CIRA Canadian Shield -tyyppisiä palveluita tai avointa NextDNS-ilmaistiliä.
- Kytke reitittimen lokitus päälle ja tarkista, että kellonaika on synkronoitu NTP:llä.
- Käy läpi yhdistettyjen laitteiden lista kerran kuussa ja poista tuntemattomat.
- Jos laite on yli 6-vuotias, vaihda se uuteen CRA-merkittyyn malliin.
Millainen reititin kannattaa ostaa vuonna 2026?
Huhtikuussa 2026 kuluttajamarkkinoilla on hyvä valikoima CRA-vaatimukset täyttäviä Wi-Fi 6E- ja Wi-Fi 7 -reitittimiä. Valintakriteerit ovat selkeät: laitteen on kuuluttava ENISA:n ylläpitämään CRA-tietokantaan, sen valmistajan tukiaika on oltava ilmoitettu ja vähintään viisi vuotta, ja tuen on katettava sekä tietoturvapäivitykset että haavoittuvuusilmoitukset CVE-prosessilla.
| Malli | Standardi | CRA-tukiaika | Suositushinta (€) | Huomiot |
|---|---|---|---|---|
| ASUS RT-BE96U | Wi-Fi 7 | 7 vuotta | 499 | AiProtection Pro, Trend Micro -moduuli |
| TP-Link Archer BE800 | Wi-Fi 7 | 6 vuotta | 549 | HomeShield Pro, automaattipäivitys |
| Zyxel Nebula NWA130BE | Wi-Fi 7 | 8 vuotta | 389 | Pilvihallinta, WPA3-Enterprise |
| Ubiquiti UniFi Express 7 | Wi-Fi 7 | Jatkuva | 229 | VLAN-tuki, IDS/IPS vakiona |
| Mikrotik hAP ax³ | Wi-Fi 6 | Jatkuva | 149 | RouterOS 7, IoT-erotus VLANilla |
Erityisesti mesh-järjestelmissä kannattaa olla tarkkana: vuoden 2023 tienoilla markkinoille tulleissa edullisissa Tenda- ja Wavlink-malleissa on havaittu toistuvasti haavoittuvuuksia, joiden paikkaus on jäänyt valmistajalta tekemättä. CRA-merkinnän puuttuminen kertoo jo paljon.
IoT-laitteet ovat heikoin lenkki
Pelkkä reitittimen kovetus ei auta, jos kodin sisäverkkoon on liitetty 20 huonosti ylläpidettyä älylaitetta. Suomalaiskodeissa on Kyberturvallisuuskeskuksen vuoden 2026 alun kyselyn mukaan keskimäärin 17 verkkoon liitettyä laitetta – viisi vuotta sitten luku oli vain 6. Tämä on kasvattanut hyökkäyspintaa merkittävästi.
Suurimmat riskit ovat halvat kiinalaisvalmisteiset IP-kamerat, vanhat tulostimet, NAS-laitteet, joissa on oletussalasanat, sekä erilaiset Tuya-pilvipalveluun sidotut älypistorasiat ja -lamput. Kun Supon varoitus puhuu kuluttajalaitteiden valjastamisesta, se ei tarkoita pelkästään reititintä – varjoverkkoon voi joutua yhtä hyvin IP-kamera, jonka valmistaja lopetti päivittämisen kaksi vuotta sitten. Tästä syystä on fiksua erottaa kaikki IoT-laitteet omaan VLANiin ja estää niiltä pääsy internetiin siltä osin kuin ne eivät sitä toimintaansa vaadi.
Etätyöläisen erityisriskit ja työnantajan vastuu
Supo painottaa raportissaan 2026 nimenomaan etätyön tuomaa riskiä. Kun organisaation kovassa VPN-tunnelissa kulkee liikennettä, joka lähtee kotireitittimestä, kompromissoitunut reititin voi toimia välittäjänä. Venäläisten APT29- ja APT28-kampanjoiden yhteydessä on havaittu tekniikkaa, jossa hyökkääjä injektoi DNS-vastauksia reitittimen kautta ja ohjaa työntekijän selaimen tietojenkalastelusivuille, jotka näyttävät aitoja Entra ID -kirjautumissivuja.
Työnantajan näkökulmasta tämä tarkoittaa, että pelkkä laitetason EDR ja VPN eivät riitä. Yhä useampi suomalainen suuryritys vaatii vuonna 2026 etätyöntekijöiltään joko sertifioidun kotireitittimen tai siirtymistä Zero Trust -malliin, jossa kaikki liikenne kulkee identiteettiperustaisen pääsynhallinnan läpi riippumatta siitä, missä verkossa laite on. Tämä kehitys on nopeutunut suoraan Supon huhtikuun 2026 briiffausten jälkeen.
Kotivakuutukset ja kyberturva 2026
Suomalaiset vakuutusyhtiöt ovat alkuvuoden 2026 aikana päivittäneet kotivakuutusehtojaan. LähiTapiola, If ja OP ovat kaikki tuoneet markkinoille kyberturvalisän, joka kattaa tyypillisesti 2 000–10 000 euron tappiot tietojenkalastelusta, identiteettivarkaudesta ja verkkokaupan huijauksista. Useassa tuotteessa on ehto, joka velvoittaa asiakkaan ylläpitämään kotireitittimen ohjelmistoa ja käyttämään vähintään WPA2-salauksen omaa verkkoansa. Jos reititin on jätetty päivittämättä vuosiksi, korvausvaatimus voidaan hylätä.
Tämä sitoo kodin kyberturvallisuus -kysymyksen suoraan euroihin – enää kyse ei ole pelkästä teoreettisesta riskistä. Vakuutusyhtiöiden data kertoo, että vuonna 2025 suomalaisista kotitalouksista 3,2 prosenttia joutui jonkinlaisen kyberrikoksen uhriksi, ja keskimääräinen tappio oli 1 850 euroa.
Asiantuntijoiden näkemykset: mitä seuraavaksi?
Helsingin yliopiston tietoturvatutkijan, dosentti Valtteri Niemen mukaan varjoverkkoilmiö on vasta alussa: ”Kun tekoälypohjaiset hyökkäystyökalut halpenevat, kyky kartoittaa ja haltuunottaa heikkoja kotireitittimiä skaalautuu. Aiemmin kohteet olivat kriittistä infrastruktuuria, nyt yhä useammin tavallisia kotitalouksia.” Niemen mukaan ratkaisu on standardointi ja pakolliset tietoturvaominaisuudet – aivan kuten CRA edellyttää.
Test of Thingsin toimitusjohtaja Aapo Oksman taas näkee kehityksen valmistajien näkökulmasta: ”Kuluttajalaitteiden tietoturvan automatisointi on ainut tie eteenpäin. Manuaalinen testaus jokaiselle laiteversiolle on mahdotonta, kun päivityksiä tulee viikoittain.” Test of Things sai maaliskuussa 2026 Vendep Capitalin johdolla 1,2 miljoonan euron pre-seed-rahoituksen juuri tähän tarkoitukseen.
Traficomin Kyberturvallisuuskeskuksen johtaja Sauli Pahlman on todennut huhtikuun tiedotustilaisuudessa, että Suomi on Nato-aikakaudella korkeamman aktiivisen tiedustelutoiminnan kohteena kuin koskaan aikaisemmin, ja kotitaloudet ovat osa kansallista kyberpintaa. Hänen viestinsä on selvä: jokainen perushuolto, joka kotireitittimelle tehdään, vahvistaa myös Suomen kokonaisturvallisuutta.
Kotireititin tietoturva – tarkistuslista viikonlopuksi
- Avaa selaimessa 192.168.1.1 tai 192.168.0.1 ja kirjaudu reitittimeen.
- Etsi kohta Firmware / Ohjelmisto ja napsauta ”Tarkista päivitykset”.
- Vaihda salasana vähintään 16 merkkiin, pois myös mahdolliset toisiokäyttäjät.
- Etsi kohdat Remote Management, UPnP, WPS ja kytke ne pois päältä.
- Vaihda Wi-Fi-salaus WPA3:ksi, vaihda samalla verkon nimi ja salasana.
- Kirjaudu uudelleen Autoreporter Light -palveluun ja tarkista lista.
- Merkitse kalenteriin tarkistus kolmen kuukauden päähän.
Lainsäädännön suunta: CRA, NIS2 ja kansallinen kyberstrategia
EU:n Cyber Resilience Act tuli täysimääräisesti voimaan 11. joulukuuta 2025, ja sen velvoitteet näkyvät kuluttajalaitteissa huhtikuussa 2026 jo selvästi. Valmistajat eivät saa enää myydä Suomen markkinoilla reitittimiä, jotka eivät täytä tietoturvan perusvaatimuksia, eivätkä he saa lopettaa tuen antamista ennen ilmoitettua tukiaikaa. Rikkomuksista voidaan määrätä jopa 15 miljoonan euron tai 2,5 prosentin liikevaihtosakot.
NIS2-direktiivi puolestaan velvoittaa palveluntarjoajat ja keskisuuret yritykset raportoimaan vakavat tietoturvaloukkaukset 24 tunnin sisällä. Tämä koskee myös teleoperaattoreita, joiden pitää reagoida varjoverkkohavaintoihin asiakkaiden liittymissä. Kansallinen kyberturvallisuusstrategia 2030, jonka valtioneuvosto hyväksyi 6. helmikuuta 2026, nostaa kotitalouksien tietoturvan ensimmäistä kertaa yhdeksi painopisteeksi – yli 20 miljoonaa euroa on osoitettu kansalaisten neuvontaan ja työkaluihin vuosina 2026–2028.
Tulevaisuusnäkymä: tekoäly, kvanttilaskenta ja kotiverkko
Kotireitittimen tietoturva on seuraavien 24 kuukauden aikana edessä kahdenlaisia haasteita. Ensimmäinen on tekoälypohjainen hyökkäys: geneerit mallit osaavat tuottaa räätälöityjä tietojenkalasteluviestejä, jotka ohjaavat käyttäjää avaamaan reitittimen asetuksia ”operaattorin tukisivun” ohjeiden mukaisesti. Toinen on kvanttilaskennan kehitys: vaikka Y2Q-hetki (kun kvanttitietokone pystyy murtamaan RSA-2048:n) ei toteudu vielä 2026–2027, NCSC ja ENISA suosittelevat jo nyt post-kvanttikryptografiaan valmistautumista. Uusimmat Wi-Fi 7 -reitittimet tukevat jo PQC-algoritmeja VPN-tunneleissa.
Pitkällä aikavälillä kotireititin saattaa muuttua autonomiseksi tietoturvalaitteeksi, joka tekee havaintoja paikallisesti ja estää luvattoman liikenteen ilman käyttäjän toimia. Eurooppalaiset aloitteet kuten EUCC-sertifiointi ja Test of Thingsin kaltaiset automaatioalustat vievät kehitystä siihen suuntaan, että tavallisen suomalaisen ei tarvitse enää kirjautua reitittimen hallintapaneeliin käsin – turvallisuus rakentuu oletusarvoisesti sisään.
Yhteenveto: kotireitittimesi on kriittinen infra
Vuoden 2026 keväällä on käynyt lopullisesti selväksi, että suomalaisen kodin reititin ei ole enää vain kuluttajalaite. Se on osa kansallista kyberpintaa, joka kiinnostaa sekä kiinalaisia että venäläisiä tiedustelutoimijoita. Supon varoitus varjoverkoista, Kyberturvallisuuskeskuksen havainnot ja EU:n CRA-sääntely osuvat samaan hetkeen, ja niiden yhteinen viesti on yksinkertainen: huolla laitteesi, päivitä ohjelmisto, vaihda salasanasi ja erottele IoT-laitteesi omaan verkkoon. Näillä neljällä askeleella katkaiset valtaosan tunnetuista hyökkäyskampanjoista ja teet kotisi paljon turvallisemmaksi – itsellesi, työnantajallesi ja maallesi.
Kotireititin tietoturva ei ole vuonna 2026 valinta, vaan velvollisuus. Mitä aikaisemmin otat siihen vakavan otteen, sitä pienemmällä riskillä selviät loppuvuoden kybermyrskyistä, joita Supo ja Traficom ovat jo ennustaneet.
Lue myös
- Palvelunestohyökkäykset uhkaavat suomalaisten digitaalista turvallisuutta
- Kuinka suojautua uuden ajan kyberuhkilta
- Nordean varoitus: Näin suojaudut huijauksilta nettikirppiksillä
- USB-portit: Avain tehokkaaseen ja nopeaan tiedonsiirtoon
- USB-nimet: Opas digitaalisen sekamelskan selättämiseen
- Nuorten poliittinen maailmankuva muotoutuu sosiaalisessa mediassa
