Miten tietoturvallinen yrityksesi on?

Tietoturva ja kyberturvallisuus ovat läheisiä käsitteitä joita käytetään usein ristiin. Tietoturva keskittyy tiedon suojaamiseen – luottamuksellisuuteen, eheyteen ja saatavuuteen. Kyberturvallisuus kattaa laajemmin digitaalisten järjestelmien ja verkkojen suojaamisen. Käytännössä pk-yrityksen kannalta tärkeintä on, että kumppanisi ymmärtää molemmat – eikä sinun tarvitse tietää eroa niiden välillä.

Yli 70 % tietomurroista alkaa inhimillisestä virheestä – joku klikkaa huijauslinkkiä, luovuttaa salasanansa tai avaa haitallisen liitetiedoston. Tekninen suojaus ei auta jos ihminen itse avaa oven hyökkääjälle.

Kyberturvakoulutus opettaa työntekijät tunnistamaan huijausyritykset ja toimimaan oikein uhkatilanteessa. Koska huijaustaktiikat kehittyvät jatkuvasti, koulutuksen pitää olla säännöllistä – ei kertaluonteista.

SSO (Single Sign-On) tarkoittaa, että työntekijä kirjautuu kerran sisään – esimerkiksi aamulla tietokoneelle – ja pääsee sen jälkeen suoraan kaikkiin yrityksen sovelluksiin ilman erillisiä kirjautumisia. Teams, SharePoint, hubspot, Salesforce, sähköposti ja muut sovellukset avautuvat ilman uutta salasanaa.

Hyödyt ovat kaksisuuntaiset. Käyttäjälle se tarkoittaa vähemmän salasanoja muistettavaksi ja sujuvampaa työpäivää. Tietoturvan kannalta se tarkoittaa, että käyttöoikeudet hallitaan yhdestä paikasta – kun tunnukset suljetaan, pääsy kaikkiin sovelluksiin katkeaa samalla kertaa.

SSO toteutetaan Microsoft Entra ID:n kautta ja se sisältyy M365-lisensseihin. Praecom konfiguroi SSO:n osaksi käyttäjähallintaa.

Kaksivaiheinen tunnistautuminen (2FA) tai monivaiheinen tunnistautuminen (MFA) tarkoittaa, että pelkkä salasana ei riitä kirjautumiseen – sisään pääseminen vaatii myös toisen varmistuksen, kuten puhelimeen tulevan koodin tai sormenjälkitunnistuksen.

Käytännössä: vaikka hakkeri saisi salasanasi käsiinsä tietojenkalasteluviestillä tai tietovuodosta, hän ei silti pääse sisään ilman puhelintasi. Tämä yksi muutos estää valtaosan identiteettipohjaisista hyökkäyksistä.

MFA otetaan käyttöön Microsoft Entra ID:n kautta koko organisaatiolle yhdellä kertaa – ei tarvitse säätää jokaista sovellusta erikseen. Praecom hoitaa käyttöönoton osana IT-palvelua.

Yksi yleisimmistä tietoturva-aukoista syntyy siitä, että ihmisillä on pääsy järjestelmiin ja tietoihin, joita he eivät työssään tarvitse. Kun entinen työntekijä lähtee tai käyttäjätunnukset vuotavat, liian laajat oikeudet tarkoittavat liian suuria vahinkoja.

Hyvä käyttäjäoikeuksien hallinta perustuu ns. vähimpien oikeuksien periaatteeseen – käyttäjillä on oikeuksia juuri sen verran, mitä heidän toimenkuvansa edellyttää, ja laajoja admin-tunnuksia annetaan mahdollisimman vähän.

Käytännössä tämä hoidetaan Microsoft Entra ID:n (entinen Azure AD) kautta, joka on M365-ympäristön käyttäjähallinta-alusta. Sen avulla voidaan:

• Lisätä ja poistaa käyttäjät sekä heidän oikeutensa hallitusti

   

• Määrittää kenellä on pääsy mihinkin – tiedostoihin, sovelluksiin ja järjestelmiin

   

• 'Asettaa kaksivaiheinen tunnistautuminen pakolliseksi kaikille tai tietyille rooleille

   

• Rajoittaa jatkuvaa järjestelmänvalvojakäyttöä tiettyjen oikeuksien rooleille ja valvoa oikeutettua käyttöä Suomen Asiakastieto

• Kun työntekijä vaihtaa roolia tai lähtee yrityksestä, oikeudet päivitetään tai suljetaan yhdestä paikasta – ei tarvitse muistaa sulkea tunnuksia erikseen jokaisesta järjestelmästä.

Praecom hallinnoi M365-ympäristön käyttäjäoikeuksia osana IT-palvelua – niin uusien työntekijöiden onboarding kuin lähteneiden offboarding hoituu hallitusti ja tietoturvallisesti.

EDR (Endpoint Detection and Response) on kehittyneempi suojausmenetelmä kuin perinteinen virustorjunta. Perusvirustorjunta tunnistaa vain jo tunnetut uhat vertaamalla tiedostoja tunnistepankkiin. EDR sen sijaan seuraa miten tietokone käyttäytyy – ja hälyttää jos jokin toiminta näyttää epäilyttävältä, vaikka uhkaa ei olisi koskaan aiemmin nähty.

Nykyiset hakkerit kehittävät uusia hyökkäystapoja jatkuvasti. EDR on se syy miksi suojaus toimii myös tuntemattomia uhkia vastaan.

SOC (Security Operations Center) on tietoturvavalvomo jossa asiantuntijat seuraavat yrityksenne IT-ympäristöä ympäri vuorokauden – myös yöllä ja viikonloppuisin. Kun järjestelmä havaitsee poikkeavan toiminnan, asiantuntija reagoi välittömästi.

Suurin osa vakavista hyökkäyksistä tapahtuu juuri silloin kun kukaan ei ole töissä. Pk-yritys ei tarvitse omaa SOC-tiimiä – Praecomin palvelu tuo saman suojan kuukausihintaisena palveluna ilman omaa henkilöstötarvetta.

Ransomware eli kiristyshaittaohjelma salaa yrityksen tiedostot ja vaatii lunnaita niiden palauttamiseksi. Ilman kunnollista suojausta ja toimivaa backupia vahinko voi olla mittava – tiedostot voivat olla lopullisesti poissa.

Praecomin tietoturvapalvelu suojaa kolmella tasolla: EDR-suojaus havaitsee hyökkäyksen ajoissa, pilvibackup varmistaa tiedostojen palautuksen ja SOC reagoi uhkaan ennen kuin se ehtii levitä. Tavoite on se, ettei hyökkäys koskaan pääse perille – mutta jos pääsee, vahingot jäävät mahdollisimman pieniksi.

Varmuuskopiointi tarkoittaa sitä, että tiedoista on erillinen kopio tallennettuna muualle kuin alkuperäiseen sijaintiin – niin, että se voidaan palauttaa jos alkuperäinen häviää, tuhoutuu tai salataan.

Tässä on yleinen väärinkäsitys: monet luulevat, että M365 tai Google Workspace hoitaa varmuuskopioinnin automaattisesti. Ne eivät hoida.

Mitä Microsoft ja Google tekevät: Ne pitävät palvelunsa toiminnassa ja varmistavat että infrastruktuuri toimii. Microsoft vastaa fyysisestä infrastruktuurista, verkon saatavuudesta ja alustan tietoturvasta. Tietojen varmuuskopiointi, pääsynhallinta ja palautus ovat asiakkaan vastuulla.

Mitä ne eivät tee: Microsoft ei suojaa tahattomalta tai tahalliselta poistamiselta, ransomwarelta, joka salaa OneDriveen synkronoituja tiedostoja, tai mistään tietohäviöstä, joka johtuu käyttäjien - tietoisesta tai tahattomasta - toiminnasta palvelussa.

Käytännön esimerkki: jos tärkeä tiedosto poistetaan tai ylikirjoitetaan viikko sitten – ja huomaatte sen vasta nyt – roskakorista löytyy poistettu tiedosto vain rajoitetun ajan. Ransomware-hyökkäyksissä yksi ensimmäisistä toimista on tyhjentää roskakorit ja poistaa säilytyskäytännöt – hyökkääjät nimenomaan haluavat estää helpon palautuksen.

Vuonna 2025 jo 30 % organisaatioista raportoi menettäneensä tietoja M365:ssä – luku on lähes kaksinkertaistunut edellisestä vuodesta. 

Ratkaisu on erillinen pilvibackup – palvelu joka kopioi tiedostot, sähköpostit ja Teams-datan säännöllisesti erilliseen sijaintiin. Jos yksittäinen dokumentti häviää tai ylikirjoittuu, se voidaan palauttaa täsmälleen sellaisena kuin se oli – ilman että muuta dataa tarvitsee koskea.

Microsoft itse suosittelee asiakkaitaan varmuuskopioimaan tietonsa kolmannen osapuolen ratkaisulla: "Suosittelemme, että varmuuskopioit säännöllisesti sisältösi ja tietosi, jotka tallennat palveluihin."

Praecomin pilvibackup-palvelu hoitaa tämän automaattisesti – ilman että sinun tarvitsee miettiä sitä.

Kun kyseessä on hävinnyt laite tai lähtevän on lähtevän työntekijän 'Bring Your Own Device (BYOD) -laite monessa yrityksessä ajatellaan, että kun lisensien tunnukset suljetaan, tilanne on hoidettu. Tämä on yleinen ja kallis väärinkäsitys.

Tunnusten sulkeminen estää pääsyn pilvipalveluihin – sähköpostiin, SharePointiin,  Teams-tiimeihin ja CRMään. Mutta se ei vaikuta siihen, mitä laitteella on paikallisesti tallennettuna.

Mitä laitteelle jää tunnusten sulkemisen jälkeen:

• Työpöydälle tai Latauksiin tallennetut tiedostot ja kuvat
• Selaimen välimuistiin jääneet kirjautumiset ja salasanat
• Muistiinpanoihin, kalenteriin ja kontakteihin kopioitunut tieto
• Puhelimessa olevat yrityssähköpostit, WhatsApp-keskustelut ja kuvat
• Mahdolliset VPN-tunnukset tai tallennettuja salasanoja

Jos laite on henkilön omistuksessa tai katoaa, näihin tietoihin päästään käsiksi ilman minkäänlaista estettä.

Mitä laitehallinta (MDM – Mobile Device Management) ratkaisee:

Laitehallinnassa jokainen yrityksen laite rekisteröidään hallintajärjestelmään – tietokoneet, puhelimet ja tabletit. Tämä mahdollistaa:

• Etätyhjennyksen – jos laite katoaa tai varastetaan, tai kun työntekijä lähtee, laite voidaan tyhjentää etänä täysin tai valikoivasti vain yritystiedoista
• Pakkoasetukset – salauksen, näyttölukon ja tietoturvapolitiikkojen pakottaminen kaikille laitteille
• Sovellushallinnan – mitkä sovellukset voidaan asentaa ja mitä tietoja ne saavat käyttää
• Inventaarion – tiedetään tarkalleen mitä laitteita yrityksessä on, missä ne ovat ja milloin ne pitää uusia

Miksi mobiililaitteet ovat erityinen riski:

Puhelimessa on usein pääsy sähköpostiin, yrityksen tiedostoihin ja jopa kirjautumistunnuksiin kaksivaiheisen tunnistautumisen kautta. Hallitsematon puhelin on avoin ovi – vaikka pilvipalveluiden tunnukset olisi suljettu. Praecomin MDM-palvelu kattaa sekä Android- että Apple-laitteet yhdestä hallintanäkymästä

NIS2 on EU:n tietoturvadirektiivi, joka laajentaa tietoturvavaatimukset koskemaan aiempaa useampia toimialoja ja yrityksiä. (NIS2 on lisäys NIS-direktiiviin) 

Jos yrityksenne toimii esimerkiksi energia-, liikenne-, terveydenhuolto- tai digitaalisella alalla, tai jos olette merkittävä alihankkija jollekin näistä sektoreista – NIS2 todennäköisesti koskee teitä.
Helpoin tapa selvittää asia on kartoitus. Praecom auttaa selvittämään vaatimusten tason ja rakentamaan tietoturvan sen mukaisesti.

Se riippuu lähtötilanteesta ja valituista palveluista. Yksinkertaisimmillaan perustietoturva – EDR-suojaus, pilvibackup ja kaksivaiheinen tunnistautuminen – saadaan käyttöön muutamassa päivässä. SOC-valvonta ja laajemmat kokonaisuudet vaativat lyhyen käyttöönottoprojektin.

Aloitetaan aina kartoituksella: selvitetään missä teillä mennään ja mitä kannattaa tehdä ensimmäisenä.

Palvelu on kuukausihintainen ja hinta määräytyy käyttäjämäärän, laitteiden ja valittujen palveluiden mukaan. Hintalaskurin avulla saat suuntaa-antavan arvion muutamassa minuutissa.

→ Laske hinta laskurilla
→ Tai varaa maksuton kartoitus