top of page
Etsi

Kyberhyökkäykset eivät katso yrityksen kokoa - miksi vanhat keinot eivät enää riitä?

Päivitetty: 18.12.2025

Olemme nähneet kasvavan määrän hyökkäyksiä, jotka kohdistuvat erityisesti myös pienyrityksiin. Erilaisia kalasteluyrityksiä tulee kiihtyvällä tahdilla, ja ne ovat entistä aidomman näköisiä. Tekoälypalvelut mahdollistavat todella hyvien suomenkielisten tekstien ja jopa puheen käytön. Tässä blogissa kerron, miten pk-yritykset voivat suojata liiketoimintansa tehokkaasti ja ilman merkittäviä lisäkustannuksia.


ree

Kyberrikollisten uhka pk-yrityksille


Monissa PK-yrityksissä ajatellaan, että kyberrikolliset kohdistavat hyökkäyksensä vain suuriin konserneihin. Todellisuudessa hyökkäykset ovat nykyään pitkälti automaattisia. Hakkerit käyvät läpi valtavia määriä yrityksiä ja etsivät heikkoja kohtia. Pienet ja keskisuuret yritykset ovat usein jopa mielenkiintoisempia kohteita kalasteluyrityksille ja hyökkäyksille. Tämä johtuu siitä, että niiden kyky ja halukkuus panostaa tietoturvaan on usein heikommalla tasolla kuin suurilla yrityksillä. Pienet yritykset tekevät kuitenkin usein yhteistyötä isompien yritysten kanssa. Siksi ne ovat mielenkiintoisia kohteita myös hyökkäyksille.


Kun hyökkäys osuu kohdalle, seuraukset voivat olla kohtalokkaita:


  • Taloudelliset menetykset: Suorat kustannukset, asiakaskato ja pahimmassa tapauksessa jopa liiketoiminnan keskeytys.

  • Mainehaitta: Asiakkaiden ja kumppaneiden luottamus yritykseen luotettavana tekijänä voi kärsiä nopeasti, varsinkin jos on sopimuksellisia velvoitteita.


Miksi vanhat keinot eivät enää riitä?


Monessa yrityksessä luotetaan yhä salasanoihin ja kaksivaiheiseen tunnistautumiseen (kuten puhelimeen tulevaan vahvistukseen kirjautumisen yhteydessä). Tämä on ollut tärkeä askel, mutta rikolliset ovat oppineet kiertämään nämäkin keinot.


Kuvittele tilanne, jossa suomalaisen pienyrityksen johtotasolla työskentelevä henkilö saa sähköpostin, joka näyttää tulevan tutulta yhteistyökumppanilta. Sähköpostissa pyydetään tarkistamaan uusi tilausvahvistus.


  1. Sähköposti näyttää aidolta: Viesti on huolellisesti laadittu, ja siinä käytetään yhteistyökumppanin logoja ja tuttua kieltä. Siinä ei ole ilmeisiä kirjoitusvirheitä, ja lähettäjän sähköpostiosoite näyttää lähes oikealta, pienellä mutta ratkaisevalla erolla, jota kiireessä on vaikea huomata.

  2. Klikkaat linkkiä ja päädyt aidon näköiselle kirjautumissivulle: Linkki ohjaa verkkosivulle, joka näyttää täsmälleen Microsoft 365:n kirjautumissivulta. Myös URL-osoite on lähes identtinen virallisen osoitteen kanssa.

  3. Syötät yrityksesi sähköpostitunnukset ja salasanan: Koska käytössä on kaksivaiheinen tunnistautuminen, puhelimeesi ilmestyy kirjautumispyyntö, jonka hyväksyt. Et kuitenkaan tiedosta, että pyyntö on tullut rikolliselta, joka on käyttänyt syöttämiäsi tunnuksia. Nyt rikollisella on pääsy yrityksesi sähköposteihin, tiedostoihin ja muihin tärkeisiin tietoihin.


Käyttäjä ei usein edes huomaa, että on tullut huijatuksi. Tiedot on kerätty, ja rikolliset ovat jo sisällä. Tässä kohtaa alkaa usein viikkojakin kestävä jakso, jossa kerätään tietoa, haetaan erilaisia yhteistyökumppaneita, salasanoja, pankkitunnuksia ja yritetään löytää keinoja väärinkäytöksille, kuten esimerkiksi maksuliikennehuijauksille.



Katso webinaaritallenne alta, ja opi samalla miten liiketoimintanne voidaan suojata moderneja uhkia vastaan.




Miten yritys voi oikeasti suojautua?


Onneksi tällaisten hyökkäysten estämiseen on olemassa ratkaisuja. Teknisesti yksinkertaisin tapa on estää kirjautumiset yrityksen pilvipalveluihin miltä tahansa laitteelta. Käytännössä tämä tarkoittaa seuraavaa:


  • Yrityksen sähköpostiin estetään kirjautuminen muilta kuin yrityksen laitteilta: Esimerkiksi kotikoneilta tai kaverin tableteilta. Pääsy sallitaan vain yrityksen hallitulta ja luotetuilta laitteelta (hallitun laiteen politiikka).

  • Jos hyökkääjä saa salasanan haltuunsa, se ei yksin riitä avaamaan ovea.

  • Järjestelmään ei pääse kirjautumaan "väärästä paikasta" tai epäilyttävästä verkosta.


Tämä kuulostaa yksinkertaiselta, ja sitä se onkin. Hyökkääjälle tällaisen suojauksen kiertäminen on lähes mahdotonta. Tämä on myös helppo ottaa käyttöön pilvipalveluissa, kuten Microsoft 365:ssa, jossa tämä kuuluu osana ehdollisen pääsyn politiikkoja.


Usein isoin kynnys on yrityksen johdon puolelta. Tämä koetaan työtä rajoittavana tekijänä, jota se oikein suunniteltuna ei ole. Toinen yleinen harhaluulo on, että eihän meitä kukaan hakkeroisi. Jos teillä on asiakkaita ja liiketoimintaa, jossa liikkuu rahaa, olette aina kiinnostavia kohteita.


Conditional Accessin yksinkertaistettu arkkitehtuuri.
Ehdollisen pääsyn (Conditional Access) yksinkertaistettu arkkitehtuuri. Kuva: Microsoft.

Johdon rooli on ratkaiseva


Tietoturva ei ole enää pelkkä IT-osaston asia. Se on johdon vastuulla varmistaa, että yrityksessä on sellaiset tietoturvapolitiikat, käytännöt ja tekniset ratkaisut, että hyökkäykset pystytään havaitsemaan ja estämään. Johdon vastuulla on varmistaa, että:


  • Resurssit ovat kunnossa: Esimerkiksi tietoturvapäällikön rooli löytyy talosta tai tähän on hankittu ulkopuolista apua.

  • Riskit on tunnistettu ja niitä johdetaan systemaattisesti.

  • Henkilöstölle kerrotaan selkeästi, miksi tietoturvakäytännöt ovat tärkeitä ja miksi niitä tulisi noudattaa.

  • Tekniset suojauskeinot ovat kunnossa ja niitä testataan ja kehitetään säännöllisesti.

  • Henkilöstöä koulutetaan säännöllisesti ja mahdollisesti testataan myös kykyä havaita kalasteluyritykset. Pelkkä tekninen suojaus ei riitä!


Kun tietoturva on osa yrityksen strategiaa, se tukee liiketoiminnan jatkuvuutta ja kilpailukykyä.


Kolme asiaa, joilla pääset heti alkuun


  1. Tämä on tehokkain tapa estää ulkopuolisia pääsemästä yrityksen tietoihin, vaikka käyttäjätunnus ja salasana olisivatkin vuotaneet.

  2. Järjestä säännöllisiä tietoturvakoulutuksia ja tekaistuja kalasteluyrityksiä, jotta henkilöstö pysyy valppaana.

  3. Pidä Microsoft 365 -ympäristö ja päätelaitteet ajantasalla. Poista tarpeettomat palvelut ja varmista, että päivitykset ovat kunnossa. Vanhentuneet ohjelmistot ja käyttämättömät palvelut luovat turhia haavoittuvuuksia.


Yhteenveto


Kyberrikolliset eivät katso yrityksen kokoa. Pienet yritykset ovat rikollisille usein helpompia kohteita kuin suuret. Perinteiset suojaukset, kuten pelkät salasanat ja tekstiviestikoodit, eivät enää riitä.


Vain luotetuilla käyttäjillä ja luotetuilla laitteilla pitää olla pääsy yrityksen tietoihin. Tämä on kustannustehokas ratkaisu, joka tekee rikollisten työstä monin verroin vaikeampaa. Se antaa yritykselle mahdollisuuden jatkaa liiketoimintaansa turvallisesti myös tulevaisuudessa.

◄ Takaisin

Miten voimme auttaa?
Ota yhteyttä

Lähetä viesti alla olevalla lomakkeella tai varaa tapaaminen ja ratkaistaan liiketoimintanne tai IT:n tarpeet yhdessä.

Olen lukenut ja hyväksyn rekisteri- ja tietosuojaselosteen*

Bitmore on luotettava kumppani

Bitmore on työntekijöidensä omistama moderni sekä innovatiivinen pilviaikakauden IT-kumppani, yksittäisistä palveluista kokonaisvaltaiseen IT-infran täysulkoistukseen.

Y-tunnus: 2707904-6

Evästekäytäntö | Rekisteri- ja tietosuojaseloste

Yhteystiedot:

myynti@bitmore.fi

020 703 2981

Miestentie 9, 02150 Espoo

Copyright © 2024 Bitmore Oy. Kaikki oikeudet pidätetään.

Seuraa meitä:

  • Bitmore - Linkedin
  • Bitmore - Facebook
  • Bitmore - Instagram
  • Itewiki icon
bottom of page