Mitä on kyberturvallisuus pk-yritykselle 2026 — perusteet, ei buzzwordeja

Kyberturvallisuus on terminä venynyt niin laajaksi, että se tarkoittaa kaikkea ja samalla ei mitään. Konsulttipuheessa se on "laaja lähestymistapa". Mediassa se on hakkeri kapussa. Pk-yrittäjälle se on jotain, joka pitäisi olla kunnossa, mutta jonka konkreettiset osat jäävät hämäräksi.

Kirjoitan tämän tekstin sinulle, joka pyörität alle 50 hengen yritystä ja haluat ymmärtää mistä on kyse ilman ettei sinun tarvitse osata mitään DEF CON -kontferenssin termistöä. Käsittelen kyberturvallisuuden kolmessa tasossa ja näytän viisi yleisintä aukkoa, joita näemme suomalaisten pk-yritysten ympäristöissä 2026.

Mitä kyberturvallisuus tarkoittaa pk-yrityksen arjessa

Yksinkertaisin määritelmä on tämä: kyberturvallisuus on kaikki ne päätökset ja käytännöt, jotka pitävät yrityksesi tiedot ja palvelut käytettävissä sekä eheinä. Niihin pääsevät käsiksi vain ne, joille pääsy on tarkoitettu.

Asiakasrekisteri ei vuoda. Sähköposti tulee perille ja näyttää sinun lähettämältäsi, ei kalastelulta. Verkkokauppa toimii myös silloin, kun joku yrittää kaataa sen palvelunestohyökkäyksellä. Työntekijä, joka jää lomalle, ei ota pääsyä yrityksen järjestelmiin lompakossaan mukaan.

Tämä jakautuu kolmeen kerrokseen, jotka kaikki vaativat huomiota.

Taso 1 — Tekninen kerros: laitteet ja palvelimet

Tekninen taso on se, mihin useimmiten kyberturvallisuus mielletään: palomuurit ja salaus, päivityskäytännöt sekä varmuuskopiot.

Pk-yrityksessä tekninen kerros tarkoittaa käytännössä seuraavaa. Verkkosivut ja sähköposti pyörivät jonkun palveluntarjoajan palvelimella. Palvelimen käyttöjärjestelmä ja sovellukset (WordPress, sähköpostiserveri, tietokanta) on päivitettävä säännöllisesti. Liikenne käyttäjän ja palvelimen välillä on salattava TLS-yhteydellä. Verkkotunnuksessa pitää olla SPF-, DKIM- ja DMARC-tietueet, jotta sähköpostiasi ei voi väärentää. Varmuuskopioita otetaan päivittäin ja niiden palauttaminen testataan ainakin kerran vuodessa.

Mikään näistä ei ole rakettitiedettä. Ne ovat perusasioita, jotka usein jäävät tekemättä siksi, että vastuu on epäselvä. Webhotellisi tarjoaja olettaa, että sinä huolehdit WordPressin päivityksistä. Sinä oletat, että palveluntarjoaja hoitaa asian. Kumpikaan ei tee mitään.

Taso 2 — Inhimillinen kerros: ihmiset ja salasanat

Tekninen taso on tärkeä, mutta tilastot ovat selvät: valtaosa onnistuneista hyökkäyksistä alkaa ihmisestä, ei rikkinäisestä palvelimesta. Joku klikkasi kalasteluviestin linkkiä. Joku käytti samaa salasanaa Facebookissa ja yrityksen pankkitilillä. Joku jätti tietokoneen lukitsematta kahvilan pöydälle. Etätyössä ja julkisissa verkoissa peruskontrolli on yritys-VPN puhelimessa ja kannettavassa — konkreettinen asennusohje: VPN puhelimeen pk-yritykselle.

Inhimillinen kerros tarkoittaa kolmea konkreettista asiaa. Ensiksi: jokaisella työntekijällä on oma käyttäjätunnus, ei jaettua tunnusta. Toiseksi: kaikki tärkeät tilit on suojattu kaksivaiheisella tunnistautumisella (MFA), erityisesti pääkäyttäjätilit ja sähköposti. Kolmanneksi: työntekijät tietävät, miltä kalasteluviesti näyttää ja ketä lähestyä, kun jokin tuntuu oudolta.

Tämä taso ei vaadi teknologiaa vaan toistoa. Viiden minuutin keskustelu kerran kuussa palaverin alussa tekee enemmän kuin yksittäinen verkkokoulutus.

Taso 3 — Hallinnollinen kerros: sopimukset ja dokumentaatio

Kolmas taso on se, joka unohtuu lähes aina, mutta josta seuraa eniten päänvaivaa, kun jotain sattuu. Hallinnollinen kerros on paperia: kuka vastaa mistäkin, mitä on dokumentoitu, mikä on sopimustaso toimittajien kanssa.

Pk-yrityksen pitää pystyä vastaamaan ainakin näihin: missä asiakasdatasi sijaitsee fyysisesti, kuka on rekisterinpitäjä ja kuka käsittelijä, milloin varmuuskopio on viimeksi testattu, kenen vastuulla on päivitykset, ja onko sähköpostipalvelusi tarjoajan kanssa kirjallinen tietojenkäsittelysopimus.

Tämä kerros nousi 8.4.2025 voimaan astuneen kyberturvallisuuslain (124/2025) myötä keskeiseksi myös pk-yrittäjälle. Vaikka oma yrityksesi ei kuulu lain soveltamisalaan suoraan, vaatimukset valuvat sinulle sopimusteitse, kun olet isomman, säännellyn asiakkaan toimittajaketjussa. Tästä lisää erillisessä NIS2-artikkelissa.

Viisi yleisintä aukkoa suomalaisten pk-yritysten ympäristöissä 2026

Näemme nämä viisi puutetta toistuvasti, kun ajamme tietoturva-audittia uuden asiakkaan verkkotunnukselle. Yksikään ei vaadi merkittävää investointia korjatakseen.

1. DMARC puuttuu — sähköpostiasi voi väärentää kuka tahansa

Suomalaisten verkkotunnusten DMARC-kattavuus on noin 8,9 prosenttia. Käytännössä 91 prosenttia suomalaisista verkkotunnuksista on alttiita sille, että joku lähettää näennäisesti sinun nimissäsi kalasteluviestiä asiakkaillesi. DMARC-tietueen lisääminen vie 15 minuuttia, ja se on yksi parhaista tuotoista verrattuna käytettyyn aikaan koko kyberturvallisuuden kentässä. Lue konkreettinen ohje SPF-, DKIM- ja DMARC-oppaasta ja tarkempi käsittely DMARC-aukoista.

2. Vanhentuneet WordPress-pluginit ja -teemat

WordPress-haavoittuvuuksia raportoidaan noin 7 966 vuodessa, ja valtaosa hyökkäyksistä kohdistuu vanhentuneisiin plugin-versioihin. Pk-yrityksen sivustoilla näemme tyypillisesti 5–15 plugin-päivitystä myöhässä ja pari teemaa, joita ei ole päivitetty 18 kuukauteen. Automaattiset päivitykset päälle, vanhat pluginit pois, kuukausittainen tarkastus. Lue tarkemmin WordPress-haavoittuvuuksien analyysistä.

3. Jaetut salasanat ja MFA puuttuu pääkäyttäjätileiltä

"[email protected]" jolla on yksi salasana, jonka koko tiimi tietää, ja jota ei ole vaihdettu kahteen vuoteen. WordPress-admin "admin"-tunnuksella ilman kaksivaiheista tunnistautumista. Webhotellin hallintapaneeli, jonka salasana on tallennettu tiimin Notion-sivulle selkokielisenä. Nämä eivät ole hypoteettisia esimerkkejä vaan se, mitä todellisuudessa löytyy.

Korjaus on suoraviivainen. Salasanahallinta (Bitwarden, 1Password) käyttöön, jokaisella oma tunnus, MFA pakolliseksi kaikkiin admin-tileihin. Aikaa vie ehkä päivä, kustannus alle 50 euroa kuukaudessa pienelle tiimille.

4. Varmuuskopiot "kerran kuussa" ja niitä ei ole koskaan testattu

Kysymme aina samat kaksi kysymystä: kuinka usein varmuuskopio otetaan ja milloin sitä on viimeksi yritetty palauttaa. Toiseen kysymykseen vastaus on lähes aina "ei koskaan". Varmuuskopio, jota ei ole testattu, ei ole varmuuskopio vaan toiveajattelua.

Päivittäinen automaattinen varmuuskopio palvelimelta, viikoittainen testi palautuksesta erillisessä ympäristössä, kuukausittainen kopio offsite-sijaintiin. Tämä on perustaso, joka pelastaa sinut kiristyshaittaohjelman iskiessä.

5. Pääsyt ei katkaista, kun työntekijä lähtee

Kolme kuukautta vanha eronnut työntekijä, jolla on yhä pääsy Google Workspaceen, Pipedriveen ja WordPress-adminiin. Tämä on yllättävän yleinen löydös. Pääsyjen poisto pitää olla osa lähtöprosessia samalla rivillä kuin avainten palautus.

Ratkaisuksi riittää tarkistuslista offboardingiin: sähköposti deaktivoidaan tai uudelleenohjataan, MFA-laite poistetaan, kaikkien jaettujen palveluiden käyttäjät tarkistetaan, salasanat vaihdetaan jaetuissa tunnuksissa (mieluummin: jaetuista tunnuksista luovutaan).

Mistä lähteä liikkeelle ilman tuhansien eurojen konsulttipalkkiota

Ennen kuin päätät hoidatko turvan itse vai ostatko sen palveluna, lue tietoturvapalvelu vs. itse tehty — punnittu valinta pk-yritykselle. Pk-yrityksen kyberturvallisuus paranee merkittävästi yhden työpäivän aikana, jos teet kolme asiaa. Aja tietoturva-auditti omalle verkkotunnuksellesi ja korjaa siitä löytyvät DMARC- ja TLS-aukot. Päivitä WordPress-asennuksesi ja poista vanhat pluginit. Ota MFA käyttöön kaikkiin admin-tileihin.

Tämän jälkeen on aika miettiä rakenteellisia päätöksiä. Onko hosting-toimittajavalintasi sellainen, että saat dokumentaatiota tarvittaessa? Onko sähköpostipalvelusi sellainen, jonka voit nimetä viranomaiselle ja perustella valintasi? Tähän vastaa yhden oven mallin manifestimme ja konkreettisemmin yhden palveluntarjoajan hosting -teksti.

Resahost auttaa tekemään perusasiat kerralla oikein

Resahost on rakennettu suomalaisen pk-yrityksen tarpeisiin: hosting ja sähköposti yhdestä paikasta, dokumentaatio mukana. Saat tarvittaessa kirjallisen selvityksen siitä, miten ympäristösi täyttää nykyiset velvoitteet.

Aja ilmainen tietoturva-auditti omalle verkkotunnuksellesi nyt. Saat raportin, joka näyttää, missä kohtaa ympäristöäsi on aukkoja, ja konkreettiset ohjeet niiden korjaamiseen. Jos haluat keskustella tilanteesta, ota yhteyttä.

Lähteet: Kyberturvallisuuslaki 124/2025 (Finlex), Traficom 2025, Kyberturvallisuuskeskus 2024–2026, Patchstack WordPress Vulnerability Report 2026, DMARC.org Finland Statistics 2026, Tietosuojavaltuutetun toimisto 2025.