02.06.2025
- Työntekijöiden tietoturva
- Identiteetin- ja pääsynhallinta
- Päätelaitteiden hallinta ja suojaus
- Varmuuskopiointi suojaa pahimmalta
- Verkkoliikenteen suojaus
- Salaus ja turvalliset yhteydet
- Palomuurit ja liikenteen valvonta
- Segmentointi ja Zero Trust
- Wi-Fi ja mobiiliyhteydet
- Sähköpostin ja viestinnän suojaus
- Palvelunestohyökkäysten torjunta
- Yrityksen sisäverkkojen turvaaminen
- Verkon rakenne ja laitteiden suojaus
- Palvelimien suojaus ja varmuuskopiot
- Keskitetty politiikka hallinta
- Ohjelmistojen ja kehitysympäristöjen turvaaminen
- Haavoittuvuuksien hallinta
- Lokitiedot ja valvonta
- Harjoittelu ja varautuminen
- Tietoturvatietoisuus ja -kulttuuri
- Koulutus ja osaaminen
- Johdon rooli ja esimerkki
- Selkeät ohjeet ja pelisäännöt
- Avoin ja kannustava ilmapiiri
- Tietosuoja arjen käytäntöinä
- Viestintä ja luottamus
- Yhteistyö ja tukiverkostot
- Yhteenveto: Tietoturva – koko yrityksen yhteinen tehtävä
Yritysten tietoturva Suomessa
02.06.2025
Suomessa toimii yli 455 000 yritystä (pois lukien alkutuotanto), jotka työllistävät noin 1,46 miljoonaa ihmistä. 95,7 % näistä työllistää alle 10 henkeä. Pienet ja keskisuuret yritykset tuottavat yli puolet liikevaihdosta ja noin 40 % bruttokansantuotteesta, joten niiden digitaalinen turvallisuus on koko yhteiskunnan kannalta kriittinen kysymys.
Kyberrikolliset ovat yhä aktiivisempia ja nykyään lähes puolet kaikista tietoturvahyökkäyksistä kohdistuu pieniin ja keskisuuriin toimijoihin. Traficomin Kyberturvallisuuskeskuksen mukaan Suomessa raportoitiin vuonna 2023 yhteensä 18 625 tietoturvapoikkeamaa (vuonna 2022: 12 947). Kalasteluhuijaukset, tietomurtoyritykset ja petokset ovat yleistyneet nopeasti. Esimerkiksi kalastelutapauksia havaittiin viime vuonna yli 14 000. Samalla lainsäädäntö tiukentuu: GDPR velvoittaa suojaamaan henkilötiedot sakkojen uhalla, ja alkuvuodesta 2025 voimaan tullut kyberturvallisuuslaki (NIS2-direktiivin toimeenpano) tuo uusia vaatimuksia erityisesti kriittisillä aloilla toimiville yrityksille.
Monilla organisaatioilla on erityisiä haasteita tietoturvassa. Resurssit voivat olla rajalliset, eikä omaa IT- tai tietoturvatiimiä aina ole. Tietoturva jää siis helposti muiden töiden jalkoihin. IT-ympäristö voi usein kehittyä tarpeen mukaan ilman selkeää kokonaisarkkitehtuuria, mikä johtaa hajanaisiin ratkaisuihin ja puutteelliseen dokumentointiin. Samalla sääntely koetaan monimutkaiseksi. Kyberuhat ovat muuttuneet vakavammiksi ja kohdennetummiksi: kiristyshaittaohjelmat, toimitusjohtajahuijaukset ja palvelunestohyökkäykset ovat arkipäivää. Geopoliittinen tilanne, kuten Suomen NATO-jäsenyys, voi kaiken lisäksi kasvattaa kybervakoilun riskiä.
Tässä raportissa pureudumme neljään keskeiseen osa-alueeseen, jotka muodostavat vahvan perustan tietoturvalle: 1) työntekijöiden tietoturva, 2) verkkoliikenteen suojaus, 3) sisäverkkojen turvaaminen ja 4) kyberturvatietoisuus. Lähestymme näitä teemoja käytännönläheisesti. Esitämme ajankohtaisia haasteita, tarjoamme selkeitä suosituksia ja nostamme esiin konkreettisia ratkaisuja, kuten identiteetin- ja pääsynhallinta ja päätelaitteiden suojaus.
Tavoitteena on rakentaa vahvempi ja turvallisempi digitaalinen toimintaympäristö – ilman että IT:n hallinta vie kohtuuttomasti aikaa tai resursseja.
Työntekijöiden tietoturva
Ihminen on usein tietoturvan heikoin lenkki ja samalla sen tärkein puolustaja. Suurin osa tietoturvaloukkauksista saa alkunsa inhimillisestä virheestä tai huijauksesta. Tyypillisiä tapauksia ovat huijausviestit, joissa työntekijä erehtyy klikkaamaan haitallista linkkiä tai luovuttaa tietoja luotettavalta vaikuttavalle taholle. Kansainvälisesti arvioidaan, että yli 80 % tietomurroista liittyy tavalla tai toisella työntekijän toimintaan.
Suomessa kalastelut ja sähköpostihuijaukset ovat arkipäivää. Kyberturvallisuuskeskus saa niistä tuhansia ilmoituksia vuosittain. Vuonna 2025 tammikuussa tehdyn yrittäjägallupin mukaan jopa 38 % suomalaisista yrittäjistä on joutunut huijauksen tai sen yrityksen kohteeksi. Yksi yleisimmistä on niin sanottu toimitusjohtajahuijaus, siinä rikollinen esiintyy yritysjohdon nimissä ja ohjeistaa maksamaan kiireellisen laskun väärälle tilille. Esimerkiksi rakennusalan yrityksistä 13% on menettänyt rikollisille yli 10 000€ huijauksissa.
Myös kiristyshaittaohjelmat leviävät usein käyttäjän toiminnan avulla, esimerkiksi haitallisen liitteen avaamisesta. Seuraukset voivat olla vakavia, järjestelmät voivat lamaantua ja liiketoiminta keskeytyä päiviksi.
Siksi tietoturvassa tärkeintä ei ole pelkästään teknologia vaan se, miten ihmiset toimivat. Koulutus, selkeät toimintamallit ja helposti saavutettava tuki ovat avainasemassa. Kun työntekijä tietää, mitä tehdä epäilyttävässä tilanteessa, koko yritys on paremmin suojassa.
Identiteetin- ja pääsynhallinta
Identiteetin- ja pääsynhallinta (IAM) tarkoittaa teknologioita, joilla hallitaan työntekijöiden tunnuksia, käyttöoikeuksia ja kirjautumista yrityksen järjestelmiin. Pk-yrityksille IAM on keskeinen väline tietoturvan arjessa. Sen avulla estetään väärinkäytöksiä ja minimoidaan vahingot, jos käyttäjätunnukset joutuvat vääriin käsiin.
Vahva tunnistautuminen on perusta. Yrityksen tärkeät järjestelmät kuten sähköposti, pilvipalvelut ja VPN-yhteydet tulisi suojata monivaiheisella tunnistautumisella (MFA). Tämä tarkoittaa yleensä joko mobiilisovelluksella luodun, tai tekstiviestinä lähetetyn, kertakäyttöisen koodin hyödyntämistä salasanan lisäksi. Suomessa on viime vuosina nähty useita Microsoft 365 -tilien kaappauksia, jotka on onnistuneesti ehkäisty juuri MFA:n käytöllä ja hyvillä suojauskäytännöillä. Monivaiheinen tunnistus on yksi kustannustehokkaimmista tavoista parantaa tietoturvaa.
Käyttöoikeuksien myöntäminen perustuu tarpeeseen. Jokaiselle työntekijälle tulisi antaa vain ne oikeudet, joita hän työssään tarvitsee. Roolipohjainen malli helpottaa tätä: esimerkiksi myyjällä on pääsy asiakasrekisteriin, kun taas kirjanpitäjä käyttää taloushallinnon työkaluja. Tätä kutsutaan vähimpien oikeuksien periaatteeksi. Mikäli käyttäjätunnus kaapataan, hyökkääjä ei pääse käsiksi kaikkiin yrityksen tietoihin. Oikeuksien säännöllinen tarkistus on tärkeä osa prosessia: kun työntekijä vaihtaa tehtäviä tai lähtee talosta, oikeudet tulee poistaa välittömästi.
Yhtenäinen hallinta tuo selkeyttä. Kertakirjautuminen (Single Sign-On, SSO) mahdollistaa sen, että työntekijä käyttää yhtä vahvasti suojattua tunnusta eri järjestelmiin. Tämä vähentää salasanojen määrää ja ehkäisee huonoja tapoja, kuten salasanojen kirjoittamista muistiin. Samalla IT-vastaava pystyy hallitsemaan käyttäjätietoja keskitetysti. Uudet käyttäjät lisätään yhteen hakemistoon, josta annetaan pääsyt tarvittaviin palveluihin. Kun työsuhde päättyy, tunnus suljetaan yhdestä paikasta.
Hyvin toteutettu IAM tukee myös GDPR-vaatimuksia. Esimerkiksi vuonna 2020 Posti sai 100 000 euron sakon osin siksi, että henkilötietojen käsittelystä ei tiedotettu riittävästi mikä liittyi käyttöoikeuksien hallinnan puutteisiin. IAM auttaa varmistamaan, että vain asianmukaisilla henkilöillä on pääsy henkilötietoihin, ja että tämä voidaan tarvittaessa myös osoittaa viranomaisille.
Päätelaitteiden hallinta ja suojaus
Työntekijät käyttävät yhä monipuolisempia päätelaitteita – kannettavia tietokoneita, älypuhelimia, tabletteja – usein myös etäyhteyksien kautta. Jokainen laite on potentiaalinen sisäänkäynti yrityksen tietoihin, jos sen suojaus ei ole kunnossa. Siksi päätelaitteiden hallinta ja suojaus ovat kriittinen osa tietoturvaa.
Keskitetty laitehallinta tekee arjesta hallittavaa. Modernit MDM- ja EMM-ratkaisut mahdollistavat laitteiden hallinnan keskitetysti. Tietoturvakäytänteet, kuten pakollinen näytön lukitus, PIN-koodit tai biometrinen tunnistus sekä kiintolevyn salaus voidaan ottaa käyttöön kaikilla laitteilla automaattisesti. Mikäli laite katoaa tai varastetaan, se voidaan tyhjentää etänä. Tämä tuo turvaa erityisesti liikkuvaan työhön.
Haittaohjelmasuojaus ja palomuurit kuuluvat perusvarustukseen. Jokaisessa yrityksen laitteessa tulee olla ajantasainen haittaohjelmasuojaus, joka tunnistaa myös käyttäytymispohjaisia uhkia kuten kiristyshaittaohjelmien salausyrityksiä. Palomuurit tulee pitää päällä ja konfiguroida estämään luvattomat yhteydet. Mahdollisuuksien mukaan kannattaa hyödyntää EDR- tai XDR-ratkaisuja, jotka havaitsevat monimutkaisempia hyökkäysketjuja eri päätelaitteiden välillä. Jos omaa osaamista ei ole, valvontaa ja suojausta voi hankkia palveluna (MSP/MSSP), usein kohtuullisin kustannuksin.
Päivitysten hallinta ehkäisee suurimman osan uhkista. Tietoturvapäivitykset on asennettava heti kun ne julkaistaan, mielellään automaattisesti ja keskitetysti. Monet tietomurrot perustuvat tunnettuihin haavoittuvuuksiin, joihin olisi olemassa korjaus. Esimerkiksi vuoden 2023 lopulla julkistetut haavoittuvuudet VPN-ohjelmistoissa (kuten Ivanti ja Palo Alto) johtivat kiireellisiin päivityksiin myös Suomessa. Yrityksen tulisi ottaa käyttöön päivityskäytännöt, jotka kattavat käyttöjärjestelmät, selaimet, sovellukset ja myös laitteistojen ohjelmistot, kuten reitittimet ja tukiasemat.
Inventaario tuo näkyvyyttä ja hallintaa. Yllättävän usein pk-yrityksissä ei ole selvää kuvaa siitä, mitä laitteita ja ohjelmistoja on käytössä. Ajantasainen laite- ja sovellusluettelo auttaa tunnistamaan tarpeettomat tai vanhentuneet kohteet, joihin ei enää tule päivityksiä. Se helpottaa myös uusien työntekijöiden aloitusta sillä heille voidaan varata turvallisesti konfiguroitu ja päivitetty laite valmiiksi.
Työntekijät ovat yrityksen ensimmäinen puolustuslinja, mutta myös heikoin lenkki, ellei heitä tueta oikeilla työkaluilla ja tiedolla. Kun huolehditaan vahvasta tunnistautumisesta, käyttöoikeuksien rajauksista, päätelaitteiden suojauksesta ja ajantasaisista päivityksistä, suurin osa riskeistä voidaan minimoida.
Varmuuskopiointi suojaa pahimmalta
Vaikka kaikki muut tietoturvakäytännöt olisivat kunnossa, inhimillisiä virheitä, laitteistovikoja tai haittaohjelmia ei voida koskaan täysin estää. Siksi varmuuskopiointi on olennainen osa työntekijöiden tietoturvaa. Kun tiedot ovat tallessa myös alkuperäisen järjestelmän ulkopuolella, yritys voi toipua nopeasti häiriötilanteista.
Varmuuskopioinnin tulee olla automaattista, säännöllistä ja testattua. Käytännössä tämä tarkoittaa sitä, että tiedostot, sähköpostit, järjestelmät ja palvelut varmuuskopioidaan automaattisesti taustalla, ilman että työntekijän tarvitsee tehdä mitään. Vähintään yhtä tärkeää on varmistaa, että varmuuskopiot toimivat – eli niitä testataan säännöllisesti palauttamalla tietoa.
Pilvipalvelut tuovat mukanaan oletuksen, että tiedot ovat aina turvassa. Todellisuudessa esimerkiksi Microsoft 365 ei tarjoa kattavaa varmuuskopiointia käyttäjän virheiden tai haittaohjelmien varalta. Siksi omat varmistusratkaisut ovat edelleen tarpeen. Erityisesti pk-yrityksissä tämä voi olla helppo ja kustannustehokas tapa varautua pahimpaan.
TDP:n tarjoamat varmuuskopiointipalvelut skaalautuvat yrityksen koon ja tarpeiden mukaan. Olipa kyseessä yksittäinen laitetiedosto tai koko virtuaalipalvelinympäristö. Kun varmuuskopiointi on kunnossa, myös työntekijät voivat työskennellä huolettomammin, tietäen että vahingon sattuessa tiedot saadaan palautettua.
Verkkoliikenteen suojaus
Kun tiedot liikkuvat verkossa, ne altistuvat monenlaisille uhille: salakuuntelulle, muokkauksille tai estämisyrityksille. Verkkoliikenteen suojaus tarkoittaa, että suojataan sekä sisäisessä verkossa että ulkoisissa yhteyksissä kulkeva data. Tämä on erityisen tärkeää yrityksille, joiden palvelut ovat usein pilvessä ja henkilöstö työskentelee myös etätoimistolta.
Salaus ja turvalliset yhteydet
Kaikki arkaluontoiset tiedot tulisi salata siirron aikana. Käytännössä tämä tarkoittaa esimerkiksi:
- HTTPS/TLS-suojattuja yhteyksiä verkkosivuille ja palveluihin
- SSH- tai VPN-yhteyksiä etäkäyttöön
- Salausta Wi-Fi-verkoissa (vähintään WPA2, mieluiten WPA3)
Salaamattomat protokollat, kuten HTTP, FTP tai Telnet, kannattaa korvata turvallisemmilla vaihtoehdoilla. VPN-yhteys kotikonttorilta voi suojata etätyötä tehokkaasti kunhan ohjelmistot pidetään ajan tasalla. Tarvittaessa myös sähköpostiliikenne voidaan salata (esim. S/MIME tai PGP), jos käsitellään erityisen luottamuksellista tietoa.
Palomuurit ja liikenteen valvonta
Palomuuri on verkkoympäristön perussuojauskeino. Pk-yrityksille sopivat hyvin myös ns. Next-Generation Firewall -ratkaisut, jotka tunnistavat sovellustason liikennettä ja estävät tunkeutumisyrityksiä.
Hyvät käytännöt:
- Palomuuri on sijoitettu oikein (ei suoraan verkon rajalle ilman hallintaa)
- Oletussalasanat on vaihdettu ja etähallinta julkisesta verkosta suljettu
- Liikennesäännöt rajoittavat tarpeettomia yhteyksiä
- Lokitus on käytössä ja lokit tarkistetaan säännöllisesti tai automatisoidusti
Palomuurien käyttöönotossa voidaan myös hyödyntää palveluntarjoajien valvontapalveluita tai DNS-suodatusta, jotka estävät pääsyn haitallisille verkkotunnuksille.
Segmentointi ja Zero Trust
Verkon jakaminen aliverkkoihin, eli segmentointi, rajaa vahingon laajuutta mikäli haittaohjelma pääsee saastuttamaan jonkin laitteen. Verkko voidaan jakaa esimerkiksi siten, että työntekijöiden laitteen ovat omassa verkossaan, palvelimet ja tuotantolaitteet omassaan. Vierailijoille on usein myös hyvä olla erillinen verkko, josta ei ole pääsyä yrityksen sisäisiin resursseihin.
Zero Trust -periaate vie asian pidemmälle: mitään ei oleteta turvalliseksi, vaikka liikenne tulisi sisäverkosta. Jokainen yhteydenotto vaatii todennuksen ja luvan. Käytännön tämä voi tarkoittaa esimerkiksi tunnistautumista myös sisäverkon palveluihin tai pääsyn rajausta siten, että vain päivitetyt ja suojatut laitteet sallitaan verkkoon.
Wi-Fi ja mobiiliyhteydet
Langattomat verkot tulee suojata vahvalla salauksella ja hyvällä salasanalla. Avoimia Wi-Fi-verkkoja ei tule käyttää yrityksen tuotantoympäristössä. Mikäli yrityksen sisäisiä järjestelmiä käytetään etäyhteydellä, niin kannattaa hyödyntää suojattuja VPN yhteyksiä.
Sähköpostin ja viestinnän suojaus
Sähköposti on yhä merkittävä tietoturvariski. Yrityksen kannattaa ottaa käyttöön:
- SPF, DKIM ja DMARC-protokollat estämään osoiteväärennöksiä
- Roskaposti- ja haittaviestisuodattimet
- Selkeät ohjeet työntekijöille: luottamuksellisia tietoja ei jaeta suojaamattomasti
Tarvittaessa hyödynnetään salattua viestintää tai tiedostojen jakoa turvallisten alustojen kautta.
Palvelunestohyökkäysten torjunta
Myös pk-yritykset voivat joutua DDoS-hyökkäysten kohteeksi etenkin, jos toimitaan näkyvästi verkossa. Kannattaa varmistaa, että käytetyt pilvipalvelut tai sivustoalustat tarjoavat suojan DDoS-hyökkäyksiltä. Jos oma palvelu on liiketoimintakriittinen, suojauksia voi laajentaa sisällönjakeluverkon (CDN) tai pilvipalvelun avulla. Tärkeintä on olla varautunut ja tietää, mitä tehdään, jos hyökkäys osuu kohdalle.
Verkkoliikenteen suojaus rakentuu salauksesta, palomuureista, valvonnasta ja verkon järkevästä rakenteesta. Kun nämä perusasiat ovat kunnossa ja niitä tuetaan ajantasaisilla asetuksilla, yritys voi torjua suurimman osan verkon yli tulevista uhkista ilman, että työ vaikeutuu.
Yrityksen sisäverkkojen turvaaminen
Monilla yrityksillä on edelleen omia sisäisiä IT-järjestelmiä, palvelimia ja verkkoja, joita on suojattava yhtä huolellisesti kuin internet-yhteyksiä. Sisäverkon tietoturva kattaa sekä fyysiset laitteet että niiden ohjelmistot ja hallintakäytännöt.
Verkon rakenne ja laitteiden suojaus
Verkon selkeä rakenne ja kunnolla suojatut laitteet ovat perusta turvalliselle sisäverkolle. Varmista, että:
- Reitittimien, kytkimien ja Wi-Fi-tukiasemien oletussalasanat on vaihdettu
- Hallintayhteydet on rajattu (esim. vain sisäverkosta tai tietyistä IP-osoitteista)
- Laiteohjelmistot ovat päivitetty ja tuettuja
- Fyysinen pääsy laitteisiin on rajoitettu (esim. lukitut kaapit ja huoneet)
Hyvä dokumentaatio, kuten kaaviot verkon rakenteesta ja laitteiden sijainneista helpottaa ylläpitoa ja häiriötilanteiden hallintaa.
Palvelimien suojaus ja varmuuskopiot
Jos yrityksellä on omia palvelimia (esim. tiedosto- tai tietokantapalvelin), niiden suojaus on erityisen tärkeää. Palvelimien kohdalla:
- Poista turhat palvelut ja rajaa liikenne palomuurilla vain tarpeellisiin portteihin
- Käytä päivitettyä käyttöjärjestelmää ja sisällytä palvelin päivitystenhallintaan
- Ota säännölliset varmuuskopiot ja säilytä ne erillään käyttöympäristöstä (esim. pilvessä tai offline)
Hyvät varmuuskopiot voivat pelastaa tilanteen, jos yritys joutuu kiristyshaittaohjelman uhriksi. Ne auttavat täyttämään myös GDPR:n saatavuusvaatimukset.
Keskitetty politiikka hallinta
Tietoturvapolitiikkojen keskitetty hallinta tuo järjestelmällisyyttä. Esimerkiksi Windows-ympäristössä voidaan käyttää Group Policy -asetuksia tai Microsoft Intunen kaltaisia pilvipalveluita määrittämään:
- Salasanojen pituus- ja monimutkaisuusvaatimukset
- Automaattinen näyttölukitus
- USB-muistien käytön esto
- Lokitietojen keruu ja varmuuskopiointi
Keskitetty hallinta varmistaa yhdenmukaiset asetukset kaikille työntekijöille ja säästää aikaa laitehallinnassa.
Ohjelmistojen ja kehitysympäristöjen turvaaminen
Jos yritys kehittää omaa ohjelmistoa tai skriptejä, turvallisuus on otettava huomioon jo kehitysvaiheessa. Hyvät käytännöt:
- Erottele kehitys- ja tuotantoympäristöt
- Älä jätä testitunnuksia tuotantoon
- Käytä turvallisia alustoja ja testaa vähintään perushaavoittuvuudet
Usein hyökkääjä löytää tiensä sisään juuri huolimattomasti jätetyn testipalvelimen kautta.
Haavoittuvuuksien hallinta
Tunnetut haavoittuvuudet on korjattava ajoissa. Vastaamon tapaus osoittaa, mitä voi tapahtua, jos suojaus ja päivitykset laiminlyödään: tietoja varastettiin, yritys meni konkurssiin ja sakot olivat yli puoli miljoonaa euroa. Päivittäminen ei ole vain tekninen toimi, se on riskienhallintaa.
Lokitiedot ja valvonta
Sisäverkon laitteet tuottavat arvokasta tietoa, kun lokit kerätään ja niitä tarkastellaan. Yksinkertainen keskitetty lokipalvelin auttaa seuraamaan:
- Epäonnistuneita kirjautumisyrityksiä
- Poikkeuksellista verkkoliikennettä
- Muutoksia suojausasetuksiin
Kevyet SIEM-ratkaisut ovat nykyään saatavilla myös pk-yritysten tarpeisiin, tai valvonta voidaan hankkia palveluna.
Harjoittelu ja varautuminen
Poikkeamiin on syytä varautua etukäteen. Laadi suunnitelma, jossa selviää:
- Kuka tekee mitä, jos havaitaan tietomurto?
- Kenelle ilmoitetaan (poliisi, Kyberturvallisuuskeskus)?
- Miten asiakkaille viestitään, jos tietoja vuotaa?
Harjoitelkaa skenaarioita esimerkiksi kiristyshaittaohjelmasta tai sähköpostitilin kaappauksesta. Näin tositilanteessa toimitaan nopeammin ja hallitummin.
Pidä sisäverkko kunnossa sisältäpäin. Rajaa oikeudet, päivitä järjestelmät, valvo tapahtumia ja dokumentoi rakenteet. Kun sisäverkko on vahva, se muodostaa viimeisen puolustuslinjan siltä varalta, että hyökkääjä pääsee verkon ulkoreunasta sisään.
Tietoturvatietoisuus ja -kulttuuri
Tekniikka yksin ei riitä, jos yrityksen kulttuuri ei tue tietoturvaa. Tietoturvatietoisuus tarkoittaa sitä, että sekä johto että työntekijät ymmärtävät kyberuhat ja toimivat arjessa turvallisesti. Pienyrityksessä jokaisen panos on tärkeä – kaikilla on rooli tietoturvan toteutumisessa.
Koulutus ja osaaminen
Säännöllinen tietoturvakoulutus on yksi tehokkaimmista keinoista ehkäistä inhimillisiä virheitä. Usein tähän riittää vuosittainen koulutus tai lyhyt infohetki, jossa käydään läpi:
- Ajankohtaiset uhat (esim. uusimmat huijaustyypit)
- Perustaidot: salasanahygienia, viestien tunnistus, yrityksen pelisäännöt
Interaktiiviset ja konkreettiset koulutukset toimivat parhaiten. Esimerkiksi valekalastelutestit auttavat tunnistamaan, missä kaivataan lisää tukea. Niistä opitaan yhdessä, ei syyllistämällä.
Johdon rooli ja esimerkki
Johto näyttää suuntaa. Jos tietoturvaa ei arvosteta ylimmällä tasolla, sitä ei priorisoida muuallakaan. Johdon tulisi:
- Osallistua itse koulutuksiin ja noudattaa samoja sääntöjä
- Viestiä selkeästi tietoturvan tärkeydestä
- Varaa budjettiin resursseja koulutukseen, asiantuntija-apuun ja työaikaan
Erityisesti pienyrityksissä yrittäjä toimii usein myös tietohallintovastaavana. Hänen vastuullaan on huolehtia esimerkiksi GDPR-vaatimuksista ja dokumentoinnista.
Selkeät ohjeet ja pelisäännöt
Kirjalliset tietoturvaohjeet auttavat jäsentämään toimintaa. Hyvä ohjeistus vastaa kysymyksiin kuten:
- Miten toimitaan salasanojen kanssa?
- Kenelle ilmoitetaan tietomurtoepäilystä?
- Mitä tietoja saa jakaa ja miten?
- Mitä pilvipalveluita saa käyttää?
- Miten laitteita käsitellään turvallisesti?
Ohjeet tulisi käydä läpi perehdytyksessä ja päivittää säännöllisesti. Esimerkiksi etätyön yleistyessä tulee ohjeistaa myös kotiverkon suojaus.
Avoin ja kannustava ilmapiiri
Turvallinen ilmapiiri kannustaa ilmoittamaan virheistä. On parempi, että työntekijä kertoo epäonnistumisestaan ajoissa. Näin vahinko voidaan ehkäistä tai rajata. Kiitä ja kannusta ilmoittajia. Joissakin yrityksissä on otettu käyttöön vaikkapa kuukausittainen “paras havainnointi” -palkinto, jolla nostetaan esiin kyberturvahuomioita.
Tietosuoja arjen käytäntöinä
GDPR koskee myös pieniä yrityksiä. Henkilötietoja käsiteltäessä on huolehdittava:
- Suostumusten ja selosteiden asianmukaisuudesta
- Tietojen minimoinnista ja säilytysajoista
- Tietoturvaloukkausten ilmoitusvelvollisuudesta (72 h)
Apua on saatavilla, muun muassa Tietosuojavaltuutetun toimisto ja TIEKE ovat tuottaneet pk-yrityksille maksuttomia materiaaleja ja arviointityökaluja.
Viestintä ja luottamus
Tietoturvasta kannattaa viestiä myös ulospäin. Kerro verkkosivuilla, miten asiakastiedot suojataan. Selkeä viestintä lisää luottamusta. Tulevaisuudessa EU:n sertifiointikehykset tarjoavat myös pk-yrityksille tapoja osoittaa turvallisuutta virallisesti, mutta jo sisäinen katsaus tietoturvan tilaan parantaa ryhtiä ja riskienhallintaa.
Yhteistyö ja tukiverkostot
Pk-yritys ei ole yksin. Suomessa toimii useita hankkeita ja verkostoja, kuten Kyberturvallisuuskeskuksen Viikkokatsaukset, KyberTutka ja Digiturvaviikko.
Lisäksi NCC-FI jakaa tukea pk-yritysten tietoturvahankkeisiin. Vuonna 2024 tätä sai 37 yritystä yhteensä 1,5 miljoonan euron edestä.
Yhteenveto: Tietoturva – koko yrityksen yhteinen tehtävä
Yrityksillä on jatkuvasti haasteita tietoturvassa: rajalliset resurssit, monipuoliset uhkat ja jatkuvasti kehittyvä sääntely. Samalla ne ovat yhä useammin kyberrikollisten kohteena. Tässä raportissa tarkastelimme tietoturvaa neljästä näkökulmasta:
- Työntekijöiden tietoturva – ihmiset ovat avainasemassa, ja oikeilla työkaluilla ja koulutuksella heistä voi tulla tietoturvan paras puolustuslinja.Keskitetty hallinta auttaa hallitsemaan identiteettejä, sekä käyttöoikeuksia tehokkaasti ja Tietoturva -palvelu suojaa päätelaitteet
- Verkkoliikenteen suojaus – salaus, palomuurit ja verkon hallinta estävät ulkoiset hyökkäykset.
- Sisäverkkojen turvaaminen – laitteiden ja järjestelmien kunnossapito, päivitykset ja valvonta ehkäisevät haittoja.
- Tietoturvatietoisuus ja -kulttuuri – ilman osaamista ja oikeaa asennetta mikään teknologia ei riitä. TDP Kyberakatemia tarjoaa kaikille käyttäjille koulutusalustan oman tietoturvatietoisuuden kehittämiseksi.
Tietoturva ei ole enää vain IT-osaston asia – se on koko yrityksen kilpailukyvyn, maineen ja jatkuvuuden kannalta ratkaisevaa. Hyvin hoidettu tietoturva säästää aikaa, vähentää riskejä ja lisää asiakkaiden luottamusta.
Kun IT sujuu, liiketoiminta voi keskittyä olennaiseen. TDP auttaa yritystäsi rakentamaan vahvan ja kestävän tietoturvapohjan – käytännönläheisesti, järkevin kustannuksin ja kumppanina, joka kulkee rinnalla. Ota yhteyttä – tehdään tietoturvasta yhdessä yksi vahvuuksistasi.