Verkkohyökkäys on yleinen kattotermi, joka viittaa tilanteeseen, jossa ulkopuolinen taho pyrkii käyttämään yrityksen tietojärjestelmiä luvattomasti. Pk-yritysten osalta perimmäinen tarkoitusperä hyökkääjällä on usein suoraan taloudellinen (varastaminen tai kiristäminen), kuitenkin vuonna 2025 motiivit voivat myös olla vakoilua tai liiketoiminnan häiritsemistä.
Tähän artikkeliin on pyritty tiivistämään pk-yritysten osalta kriittisin tieto tietoturvallisuuden nykytilanteesta.
Voit myös kuunnella tämän artikkelin tekoälyn tekemässä Podcast -muodossa! (Kesto 20min)
Vuodelle 2025 verkkohyökkäykset ovat monipuolistuneet ja niiden laatu on selkeästi aikaisempaa parempi. Erilaiset viestit ovat ovelampia, ne ovat kirjoitettu hyvää suomenkieltä käyttäen eikä niissä ole silmiinpistäviä graafisia virheitä, joista petos olisi helppo tunnistaa. Juuri nyt korostuvat seuraavat uhat:
Haittaohjelmat leviävät pk-yrityksissä lähinnä sähköpostin haitallisten liitteiden tai linkkien kautta. Käyttäjä huijataan kirjautumaan työpaikan Microsoft 365 -tunnuksilla haittaohjelmaan, jotta saa aidonnäköisen ”turvallisen” linkin tai liitetiedoston auki.
Kirjautuminen käynnistää automaation, joka asentaa joko käyttäjän päätelaitteelle, tai esimerkiksi Microsoft 365 -ympäristöön haittaohjelman. (Oletusasetuksin tämä onnistuu kaikkien työntekijöiden tunnuksilla.)
Haittaohjelmat keräävät käyttäjien laitteista tai Microsoft 365 -ympäristöstä arkaluonteisia tietoja. Näitä tietoja myydään rikollisverkostoille tai käytetään jatkohyökkäyksiin, kuten tilimurtoihin ja kiristyshaittaohjelmien levittämiseen. Riski kasvaa erityisesti silloin, kun työntekijät käyttävät henkilökohtaisia, heikosti suojattuja laitteita työasioihin.
Huom! Vanha keino resetoida käyttäjän salasana ei enää riitä palautumiseen, sillä asennetulla haittaohjelmalla on edelleen pääsy koko yrityksen Microsoft 365 -ympäristöön.
Verkkoyhteyksien kautta toteutettujen hyökkäysten skaala on sanalla sanoen laaja. Pyrin kiteyttämään vuoden 2025 tilanteen näin: Olemme tilanteessa jossa käytännössä 100% riskeistä verkon haavoittuvuuksissa toteutuu. Meillä Suomessa esim. Telia Cygate on omassa viestinnässään nostanut asiaa toistuvasti esiin. Siitä on uutisoinut esim Iltasanomat, Mikrobitti, Etelä-Suomen sanomat ja Keskisuomalainen. Ikävä kyllä, pk-yrityksien johdolle saakka tämä viesti on yltänyt harvoin.
Hyökkääjän näkökulmasta tilanne on seuraava:
Yleistyvä ongelma on myös avoimet verkot ja kodin omat yhteydet, joita työskentelyssä käytetään. Todettakoon että meille Jalo IT:lle tietoon tulleet yrityksiin kohdistuneet hyökkäykset, joissa hyökkäys on toteutettu avoimen verkon kautta ovat käytännössä kaikki tulleet suuremmista tapahtumista, kuten Nordic Business Forum tai Slash.
Käytännössä kuka tahansa voi luoda uuden avoimen verkon ja nimetä verkon esimerkiksi nimelle ”Messukeskus Open”. Mikäli hyökkääjä on luonut verkon, voi hyökkääjä ”kuunnella” kaiken, mitä yhteyden yli tapahtuu:
Työnantajan näkökulmasta kodin verkkoon liittyy haaste. Etätyötä tehdään kotoa ja työntekijä kytkee / voi kytkeä työvälineen kotona samaan verkkoon, mihin kodin muut älylaitteet ovat yhdistetty. Valvontakamerasta, telkkarista, ilmastointilaitteesta, hammasharjasta tai ”Temun ilmaisesta tilaajalahjasta” hyökkääjä saa vähintäänkin tukikohdan, jolla pystytään pommittamaan sisäverkosta muihin laitteisiin hyökkäyksiä.
Vuonna 2025 erilaiset sosiaaliset huijaukset ovat nousseet yhdeksi merkittävimmistä kyberuhista. Hyökkääjä pyrkii käyttämään hyväkseen esimerkiksi ihmisten luottamusta tai kiireen tuntua teknisen haavoittuvuuden sijasta. Yleisimmät huijaukset pk-yrityksissä ovat seuraavat:
Meille tietoon tulleissa tapauksissa hyökkääjä on päässyt murtautumaan toimitusketjun jonkin toimijan sähköpostiin ja on jäänyt lukemaan viestintää ja seuraamaan tilannetta. Sopivalla hetkellä, kun esimerkiksi on aika lähettää lasku, hyökkääjä korvaa laskuun omat maksutietonsa. Tietoomme on myös tullut tapauksia, joissa laskun lähettämisen hetkellä hyökkääjä on tehnyt kokonaan uuden sähköpostiosoitteen (saman näköinen kuin aikaisempi, sisältäen aikaisemman keskustelun) ja lähettää väärennetyn laskun sieltä. Tämä viittaa tilanteeseen jossa hyökkääjällä ei enää ole pääsyä sähköpostiin, vaan pystyy seuraamaan liikennettä esimerkiksi Microsoft 365 haittaohjelman kautta tai jonkin sähköpostin edelleenlähetys-säännön kautta.
Soittaja saattaa väittää olevansa esim. teidän IT tukipalvelunne ja pyytää asentamaan laitteelle etähallintaan tarkoitetun sovelluksen. Vastaavia huijauksia olemme toki nähneet aikaisemmin, kuitenkin ne ovat muuttuneet entistäkin tarkemmiksi. Soittaja saattaa esiintyä IT-tukipalvelun tarjoajan oikealla nimellä ja pahimmassa tapauksessa pystyy myös väärentämään soittajan äänen.
Viimevuosina esimerkiksi WhatsApp -huijauksissa usein kuvat, nimet, profiilit ja muut ovat jo paikallaan, samoin viesti tulee kotimaisesta +358 -alkuisesta numerosta. Tyypillisesti huijaus on toimitusjohtajan nimissä tehty ja alkaa esimerkiksi ”Moikka, laitan viestiä mun henkilökohtaisesta puhelimesta. Mulla jäi työläppäri, työpuhelin ja lompakko kotiin ja nyt pitäisi nopeasti käydä R-Kioskilta ostamassa 5kpl 100e arvoisia Applen lahjakortteja, jotka annan täällä tilaisuudessa missä olen hyväntekeväisyyteen. Satutko olemaan sellaisessa paikassa että voit auttaa? Terkun, [Toimitusjohtajan nimi tähän]”.
Jotta emme unohda, edelleen kaikki vanhemmatkin hyökkäykset ovat aktiivisia. Tuntemattomia USB -tikkuja ei tule yhdistää omaan työvälineeseen ja esimerkiksi sähköpostilla pyritään välittämään edelleen perinteisiä viruksia ja haittaohjelmia.
Verkkohyökkäyksellä voi olla monenlaisia vaikutuksia, tyypillisesti sekä suoria että välillisiä.
Tietoturvallisuus jaetaan usein pienempiin paloihin. Ennen vuotta 2020 on usein riittänyt uhkakuvien tunnistaminen, suojautuminen uhkia vastaan ja mahdollisuus palautua tilanteesta varmuuskopioinnin kautta. 2025 tilanne on kuitenkin merkittävästi hankalampi. Jos hyökkääjä saa tietoonsa esimerkiksi käytetyn VPN järjestelmän tiedot, oikean käyttäjätunnuksen ja oikean salasanan, mikä järjestelmä antaa hälytyksen että järjestelmään on murtauduttu? Kyseessä ei ole virus, johon antivirusohjelmisto reagoisi. Markkinoiden kalleinkin palomuuri sallii liikenteen, sillä käyttäjätunnus ja salasana on ollut oikein ja kirjautuminen on onnistunut.
Jotta verkkohyökkäys voidaan tunnistaa ajoissa, tietoturvaan tarvitaan uusia toiminnallisuuksia. Vuoden 2025 tietoturvallisuus sisältää kolmen edellämainitun lisäksi vielä it-ympäristön tapahtumien havainnointia, kyvykkyyttä reagoida erilaisiin havaintoihin sekä governanssia (eli paperihommien pitää olla myös kunnossa).
Esimerkkejä ilmoituksista, joita tapahtumien havainnoinnissa voidaan seurata:
Poikkeusten havainnoinnin avulla verkkohyökkäys kyetään tunnistamaan ajoissa.
Kyberturvallisuuskeskus on Liikenne- ja viestintäviraston alainen viranomainen, joka seuraa kyberuhkien ja verkkohyökkäyksien vaaroja. Traficom tekee myös kansalliset suositukset pk-yrityksille siitä, kuinka ympäristö tulisi suojata. Meidän mielestämme palveluita tarjoavat myyjät ovat väärä taho kertomaan kuinka suojautuminen tulee tehdä, ilmeisen eturistiriidan vuoksi.
Edellisessä otsikossa mainitsin kuusi osa-aluetta, joita verkkohyökkäyksiltä suojautumiseen tarvitaan. Suojautumisen osa-alueet ovat kerätty Traficomin esittelemän kansainvälisen Cybersecurity Framework -viitekehyksen mukaan: Tunnistetaan suojattavat järjestelmät ja niiden uhkakuvat, suojataan järjestelmiä tunnetuilta uhilta, havainnoidaan poikkeamia, varmistetaan kyvykkyys reagoida havaintoihin, varmuuskopiointi ja viimeisenä, tätä kaikkea tekemistä tulisi vielä hallinnoida.
Me Jalo IT:llä haluamme tarjota helpot pakettiratkaisut, jossa kokonaisuus on hoidettu asianmukaisesti. Asiakkaat usein kertovat meille että tietoturvallisuuteen liittyvien asioiden halutaan olevan ”hyvällä perustasolla”. Traficomin suositukset osuvat minusta tähän vaatimukseen täydellisesti.
Mitä sitten tarkoittaa jos riskejä halutaan pienentää edelleen tai tietoturvan vaatimukset esim. omilta asiakkailta ovat yli kansallisten suositusten? Vasten ehkä yleistä luuloa, kustannukset eivät nouse merkittävästi, vaikka pk-yrityksen tietoturvallisuudessa halutaan ottaa viimeisetkin askeleet ja käyttää huipputeknologiaa suojautumiseen.
Microsoftin lisenssit, joilla tietoturvan minimisuositukset voidaan hoitaa, sisältävät jo mahdollisuuden koventaa ympäristön tietoturvaa merkittävästi lisää. Oikeastaan ainoa kustannus, jota käyttöönoton lisäksi syntyy, on kustannus käytettävyydessä. – Kun tietoturvaa kovennetaan esimerkiksi niin että ainoastaan ennakkoon määritellyillä laitteilla pystytään kirjautumaan työpaikan järjestelmiin, ei todella muilla laitteilla, tai selaimen incognito tilassa enää järjestelmään pääse kirjautumaan mitenkään.
Microsoft on lisäksi julkaissut keväällä 2025 kehittyneemmän tietoturvan (Security E5) -paketin saataville myös pk-yrityksiin. Kustannuksiltaan noin 12e/kk/henkilö kustantavalla lisenssillä, saadaan mm. tekoäly valvomaan ja reagoimaan ympäristön poikkeuksiin. Tällöin esimerkiksi tilanteessa, jossa työntekijänne vahingossa luovuttaa kalasteluun käyttäjätunnukset ja hyökkääjä pyrkii kirjautumaan järjestelmään – tekoäly kykenee havaitsemaan tilanteen, kirjaamaan työntekijän kaikista järjestelmistä ulos ja lukitsemaan tunnukset, kunnes havaittu poikkeus on käsitelty ihmisen toimesta. Microsoftin kertoman mukaan reagointiaika on jo nykyisin alle sekunti tapahtumasta, joka osaltaan varmistaa että hyökkääjä ei ehdi tekemään ympäristössä mitään. Tekoäly ei myöskään koskaan väsy valvomaan ympäristöänne, vaan valvonta on päällä 24/7 arjet ja pyhät.
Kirjoittaja:
Toimitusjohtaja
Ville on kokenut tietotyön tehostaja ja Microsoft-tuottavuustyökalujen osaaja.
