Kyberturvallisuus

Kyberturvallisuuskoulutus pk-yritykselle 2026 — mitä henkilöstön pitää oikeasti osata

Pk-yrityksen henkilöstö on kyberhyökkäysten ensisijainen maali 2026. Käyn läpi viisi osaamisaluetta, koulutusmuodot hintoineen ja kyberturvallisuuslain 124/2025 vaatimukset.

Olli Junes · · 8 min

Verizon DBIR 2025 -raportin mukaan noin 70 prosenttia phishingiin liittyvistä tietomurroista osuu pk-yrityksiin. Samaan aikaan 82,6 prosenttia tämän vuoden phishing-viesteistä on AI-generoituja: ne ovat kieliopillisesti virheettömiä, kohdistettuja ja imitoivat lähettäjän puhetyyliä saumattomaksi kokonaisuudeksi. Vanha "tarkkaile kirjoitusvirheitä" -ohje ei toimi enää, ja se on poistettava jokaisen pk-yrityksen koulutusmateriaalista.

Suomessa BEC-huijausten (Business Email Compromise) keskimääräinen tappio yritystä kohden on 4,67 miljoonaa Yhdysvaltain dollaria. Tämä ei ole suurten yritysten ongelma. Pk-yritys, jolla on yksi taloushallinnon työntekijä ja yksi ostolaskuprosessi, on tyypillisin uhri.

Miksi henkilöstön osaaminen on nyt teknistä kovennusta tärkeämpää

Tietomurto alkaa nykyään useimmiten työntekijän klikkauksesta tai laitekoodin syöttämisestä, ei palomuurin haavoittuvuudesta. Toukokuussa 2026 havaittiin laaja aalto AI-avusteisia device code phishing -kampanjoita, jotka kohdistuvat Microsoft 365 -ympäristöihin. Hyökkääjä lähettää kohdistetun viestin, jossa pyydetään syöttämään laitekoodi, ja saa pääsyn koko tilille ohi MFA:n.

Tekninen suojaus pysäyttää suuren osan massahyökkäyksistä, mutta kohdistettu AI-phishing menee teknisten suodattimien läpi, koska viesti on sisällöltään aito. Ainoa puolustus on, että viestin vastaanottaja tunnistaa kontekstin: pyytääkö tuntematon henkilö kiireellistä rahasiirtoa, poikkeamaan maksuprosessista tai syöttämään tunnistautumistietoja epätavallisessa paikassa.

Viisi osaamisaluetta, jotka pk-henkilöstön pitää hallita

1. Phishing-tunnistus 2026

Kielelliset vihjeet eivät enää toimi. Sen sijaan henkilöstön on opittava kolme asiaa. Domain-tarkastus: linkin todellinen osoite (hover-näkymä, ei näkyvä teksti) ja sen kirjoitusasu merkki merkiltä. Sense check: poikkeaako viesti normaalista prosessista, vaaditaanko kiirettä tai salaisuutta. Toisen kanavan vahvistus: epäilyttävä rahasiirto- tai tunnistautumispyyntö varmistetaan aina puhelimella tai sisäisellä chatilla, ei sähköpostilla vastaamalla.

Tekniset otsikkotiedot (SPF, DKIM, DMARC) ovat IT-vastaavan työkalu, mutta jokaisen työntekijän pitää tietää, että jos viesti vaatii laitekoodin syöttämistä tai tunnistautumista uudella tavalla, pyyntö on aina varmennettava.

2. Salasanat, MFA ja passkeys

Passkeys on vuonna 2026 saatavilla suurimmassa osassa työvälineitä. Pk-yrityksen kannattaa siirtyä niihin niissä järjestelmissä, joissa se on mahdollista. Muualla käytössä on salasananhallinta (Bitwarden, 1Password) ja MFA. MFA on pakollinen sähköpostissa, pankkitileissä ja admin-pääsyissä — tämä ei ole valinnainen.

Yksi konkreettinen sääntö: kukaan ei jaa salasanaa kollegan kanssa, eikä kirjoita sitä Slackiin tai sähköpostiin. Jos prosessi vaatii salasanan jakamista, prosessi on rikki.

3. Laitteiden suojaus

Käyttöjärjestelmän ja selaimen päivitykset päälle automaattisina. Levynsalaus (BitLocker, FileVault) kaikkiin kannettaviin. Kadonneen laitteen etäpyyhintä konfiguroituna ennen kuin laite katoaa, ei sen jälkeen. Yhteiskäyttöisiä tunnuksia ei käytetä — jokaisella työntekijällä on oma tili, oma salasana ja oma MFA. Etätyössä ja julkisissa WiFi-verkoissa työntekijän puhelin ja kannettava kuuluvat yritys-VPN:n taakse: VPN puhelimeen pk-yritykselle käy läpi konkreettiset vaihtoehdot.

4. Tietosuoja ja GDPR arjen tasolla

Jokaisen työntekijän pitää osata vastata kolmeen kysymykseen omasta työstään. Mitä henkilötietoa kerään tai käsittelen. Missä se on tallessa. Kuka muu siihen pääsee. Jos näihin ei pysty vastaamaan, tietosuojakoulutus on jäänyt kesken.

5. Reagointi poikkeamaan

Henkilöstön on tiedettävä ilmoitusketju ulkoa: oma esimies, IT-vastaava tai hosting-toimittaja, ja tietosuojavastaava jos kyseessä on GDPR-rikkomus. Tietosuojavaltuutetulle on ilmoitettava 72 tunnin kuluessa. Kyberturvallisuuslain 124/2025 piiriin kuuluvat yritykset ilmoittavat merkittävän poikkeaman Traficomin Kyberturvallisuuskeskukselle 24 tunnin kuluessa havainnosta, ja jatkoilmoituksen 72 tunnin sisällä.

Jos epäilyttävää linkkiä on klikattu, toimet ovat tässä järjestyksessä. Katkaise laitteen verkkoyhteys. Vaihda kyseisen tilin salasanat toiselta laitteelta ja pakota kaikki sessiot ulos. Ilmoita IT-tuelle tai hosting-toimittajalle. Älä yritä siivota itse, vaan dokumentoi mitä klikkasit ja milloin.

Koulutusmuodot ja niiden hinnat 2026

Koulutuksen rinnalla tulee päätös siitä, hoidatko tekniset kontrollit itse vai ostatko ne palveluna. Punnittu vertailu: tietoturvapalvelu vs. itse tehty pk-yritykselle.

Pk-yritys ei tarvitse kalleinta vaihtoehtoa. Tarvitaan vaihtoehto, joka tulee tehdyksi.

  • Phishing-simulaatiot jatkuvana (KnowBe4, Hoxhunt): 15–35 € käyttäjää kohden vuodessa. Lähettää työntekijöille säännöllisiä testiviestejä ja antaa mikro-oppimista lankeamisen yhteydessä. Tämä on pk-yrityksen vaikuttavin yksittäinen panostus.
  • Verkkokurssit (WithSecure, Coursera, alan toimittajat): muutamia kymppejä per käyttäjä per kurssi. Sopii peruskoulutukseen ja uuden työntekijän perehdytykseen.
  • Lähikoulutus tai työpaja (KPMG, PwC, WithSecure, paikalliset toimijat): 1 000–5 000 € per työpaja. Sopii johdon NIS2-koulutukseen, tabletop-harjoituksiin ja räätälöityihin tarpeisiin.
  • Traficomin Kyberturvallisuuskeskus: ei tarjoa kaupallista koulutusta, mutta julkaisee ilmaisia oppaita ja ylläpitää tilannekuvaa. Hyvä peruslähde sisäisen materiaalin pohjaksi.
  • Sisäinen mentorointi: ilmainen mutta vaatii, että yrityksessä on osaaja, joka osaa kouluttaa. Toimii vain jos osaaminen on todella olemassa.

Traficom voi myöntää pk-yritykselle kyberturvallisuuden kehittämiseen rahoitustukea. Tämä kannattaa selvittää ennen koulutuskumppanin valintaa.

Mitä kyberturvallisuuslaki 124/2025 vaatii koulutukselta

Suomen kyberturvallisuuslaki (124/2025), joka panee toimeen EU:n NIS2-direktiivin, tekee henkilöstön ja johdon kouluttamisesta lakisääteistä lain soveltamisalaan kuuluville organisaatioille. Pk-yritys, joka toimii alihankkijana isolle NIS2-velvoitteen alaiselle yritykselle, joutuu osoittamaan vastaavat käytännöt sopimusvaatimuksen kautta.

Lain ydinvaatimukset koulutuksen näkökulmasta ovat seuraavat. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus on sisällytettävä kirjalliseen riskienhallinnan toimintamalliin. Johdon (hallitus, toimitusjohtaja) on hankittava "riittävä perehtyneisyys" kyberturvariskien hallintaan. Koulutuksen ja muiden riskienhallintatoimenpiteiden vaikuttavuutta on arvioitava ja tiedot pidettävä ajantasaisina.

Käytännössä tämä tarkoittaa, että koulutuksen suoritukset on dokumentoitava (kuka, milloin, mistä), tulokset on mitattava (klikkausprosentti simulaatioissa, raportointiprosentti, suoritusaste) ja prosessi on toistettava vuosittain.

Pk-yrityksen vähimmäistaso 2026

Kun pidän koulutusta omille asiakkailleni, suosittelen tätä minimitasoa. Se on saavutettavissa ilman kohtuuttomia kuluja ja se kestää viranomaisen kysymykset.

  • Kerran vuodessa koko henkilöstölle peruskoulutus (phishing, salasanat, laitteet, tietosuoja, reagointi). Uudet työntekijät saavat saman perehdytyksessä.
  • 1–2 phishing-simulaatiota kuukaudessa per työntekijä jatkuvana palveluna. Tämä ylläpitää valppautta.
  • Vuosittainen johdon kertaus NIS2-velvoitteista ja CEO-vastuusta. Lyhyt sessio riittää, mutta se on dokumentoitava.
  • Mittarit kirjattuna: suoritusaste, klikkausprosentti, raportointiprosentti. Raportointiprosentti on tärkeämpi kuin klikkausprosentti — se mittaa puolustuskykyä oikeissa hyökkäyksissä.
  • Vuosittainen tabletop-harjoitus: käydään läpi yksi konkreettinen skenaario (esim. taloushallinnon BEC-yritys) ja varmistetaan, että jokainen tietää oman roolinsa.

Yksi ihminen ei saa kaataa koko yritystä

Koulutus on välttämätöntä, mutta se ei ole riittävää yksin. Tekninen kovennus on toinen puoli yhtälöä. Vaikka henkilöstö olisi koulutettu kuinka hyvin, joku tulee silti klikkaamaan yhden viestin jossakin vaiheessa. Silloin pitää olla varmistettuna, että yhden klikkauksen vaikutus pysähtyy sähköpostin tai yksittäisen tilin tasolle, eikä etene varmuuskopioihin, tuotantotietokantaan tai asiakaslistaan.

Resahost ei myy koulutuspalveluita, mutta autamme teknisen tason kovennuksessa: sähköpostin SPF/DKIM/DMARC, hosting-tilien eriyttäminen, varmuuskopiot eri ympäristössä, MFA-pakko admin-pääsyihin. Suosittelemme koulutuspuolelle partneriverkostoamme ja ajamme tarvittaessa ilmaisen tietoturva-auditin nykyisen ympäristönne tilasta.

Aiheeseen liittyvät artikkelit: NIS2 ja pk-yritys 2026, Mitä on kyberturvallisuus pk-yritykselle, Suojattu sähköposti SPF, DKIM ja DMARC -opas ja Yhden oven mallin manifesti.

Jos haluat keskustella siitä, missä järjestyksessä koulutus ja tekninen kovennus kannattaa rakentaa juuri sinun yritykseesi, ota yhteyttä. Käymme tilanteen läpi puolen tunnin puhelussa veloituksetta.

Lähteet: Verizon Data Breach Investigations Report 2025 (verizon.com/dbir), Microsoft Threat Intelligence — device code phishing -varoitus toukokuu 2026, Traficom / Kyberturvallisuuskeskus, Kyberturvallisuuslaki 124/2025 (finlex.fi), FBI Internet Crime Report 2025 (ic3.gov) BEC-tappiot Suomessa keskimäärin, Tietosuojavaltuutetun toimisto (tietosuoja.fi).