Kyberturvallisuus

Tietoturvapalvelu vai itse tehty — pk-yrityksen punnittu valinta 2026

Pk-yritys voi hoitaa tietoturvansa kolmella tavalla: itse, tuntilaskuttavan IT-kumppanin kautta tai hostingin sisäänrakennettuna palveluna. Vertailu kustannuksista, vasteajoista ja vastuusta.

Olli Junes · · 7 min

Tietoturva ei ole pk-yrittäjälle tekninen kysymys vaan resurssikysymys. Kun yrittäjällä on 50 tuntia töitä viikossa ja 60 tuntia aikaa, jokin jää tekemättä. Useimmiten se on tietoturva, koska sen puute ei näy ennen kuin näkyy. Käyn läpi kolme tapaa hoitaa pk-yrityksen tietoturva ja kerron rehellisesti mitä kukin maksaa, ketä se palvelee ja milloin se pettää.

Vaihtoehto 1: yrittäjä hoitaa itse

Tämä on yleisin malli alle kymmenen hengen yrityksissä. Yrittäjä lukee blogeja, asentaa Wordfencen, vaihtaa salasanat puolen vuoden välein ja toivoo parasta. Rahamenoja ei juuri ole, mutta ajankäyttöä on. Kun lasken realistisesti, hyvin hoidetussa DIY-mallissa menee 5–10 tuntia kuukaudessa pelkkään ylläpitoon ja seurantaan: WordPress-päivitykset, lisäosien tarkistukset, varmuuskopioiden testaus, lokien lukeminen, kirjautumisyritysten tarkastelu ja sähköpostin SPF/DKIM-tietueiden ylläpito.

Kymmenellä tunnilla kuussa ja yrittäjän 80 €/h sisäisellä laskutusarvolla puhutaan 800 € kuukaudessa työpanoksena. Käytännössä tämä jää tekemättä, koska yrittäjällä on tärkeämpääkin tekemistä. Silloin riski jää avoimeksi, kunnes jotain sattuu. WordPress-haavoittuvuuksia julkaistaan noin 8000 vuodessa, ja keskimääräinen aika haavoittuvuuden julkaisusta automatisoituun hyökkäykseen on alle 48 tuntia. Yrittäjä ei ehdi reagoida lomalla, sairaslomalla tai kiireviikolla.

DIY-mallin todellinen hinta paljastuu vasta hyökkäyksen jälkeen. Söderberg & Partnersin 2024 selvityksen mukaan tyypillinen kyberhyökkäys maksaa suomalaiselle pk-yritykselle 5000–20000 euroa. Selvityskustannukset, liiketoiminnan keskeytys ja sähköpostimaineen palautuminen syövät vuosien säästöt yhdellä viikolla.

Vaihtoehto 2: paikallinen IT-tukikumppani tuntilaskutuksella

Toinen yleinen malli on naapurikaupungin IT-firma, joka laskuttaa 75–150 €/h kun jokin hajoaa. Tämä on reagoiva malli. IT-kumppani tulee paikalle kun sähköposti ei toimi tai sivusto on alhaalla, mutta ei seuraa pinoasi proaktiivisesti. Hyökkäyksen havaitseminen kestää keskimäärin viikkoja, koska kukaan ei katso lokeja ennen kuin tulee valitus.

Kuukausikustannus vaihtelee paljon. Hiljaisina kuukausina laskua tulee 0–200 €, mutta kun jotain tapahtuu (palvelinpäivitys, sähköpostimuutto, WordPress-rikkoutuminen), kuukauden lasku voi olla 1500–3000 €. Vuositasolla keskimääräinen pk-yritys maksaa tällaiselle kumppanille 3000–8000 € pelkistä reaktiivisista työtunneista, ilman että tietoturva paranee mihinkään suuntaan.

Suurempi ongelma on osaamisrajaus. Yleis-IT-tuki osaa palauttaa sähköpostin toimimaan ja päivittää WordPressin, mutta ei välttämättä tunnista kun domain on listattu Spamhaus-blacklistille, kun DMARC-tietue puuttuu tai kun WordPress-tietokannassa on injektoitu admin-käyttäjä. Tietoturva-asiantuntemus on oma alansa, eivätkä paikalliset IT-firmat erikoistu siihen. Asiakas saa sen mitä tilaa, ei sitä mitä tarvitsisi.

Vaihtoehto 3: managed-hosting jossa tietoturva on osa tuotetta

Kolmas malli on managed-hosting, jossa tietoturva ei ole erillinen lisäpalvelu vaan rakennettu sisään. Palveluntarjoaja vastaa WordPress-päivityksistä, sähköpostin autentikoinnista, DDoS-suojauksesta, varmuuskopioista ja haavoittuvuuksien paikkauksista yhden kuukausimaksun puitteissa. Asiakas ei osta tunteja vaan lopputuloksen.

Tämä malli toimii pk-yritykselle, koska kustannus on ennakoitava. Hyökkäyksen havaitsemisen ja torjunnan kustannukset on jo maksettu kuukausimaksussa, eivätkä ne tule yllätyslaskuna kriisin keskellä. Lisäksi proaktiivinen seuranta on osa tuotetta: lokit luetaan, hälytykset tutkitaan ja paikkaukset asennetaan ennen kuin asiakas tietää ongelmasta.

Hinnoittelu menee suuruusluokassa 69–189 €/kk pk-yrityksen kokoluokassa. Resahost on tämän mallin mukainen palvelu: Starter-paketti 69 €/kk sisältää yhden WordPress-sivuston, sähköpostin, DDoS-suojauksen ja proaktiivisen seurannan. Business-paketti 189 €/kk lisää dedikoidun yhteyshenkilön ja 4 tunnin vasteajan 24/7.

Suora vertailu kustannuksista ja vastuusta

Lasken kolme mallia rinnakkain vuositasolla, kun pk-yrityksellä on yksi WordPress-sivusto, sähköposti omalla domainilla ja noin kymmenen työntekijää.

DIY-malli: webhotelli 120 €/v + WordPress-lisäosat 100 €/v + yrittäjän aika 5 h/kk × 80 €/h × 12 = 5020 €/v. Tähän päälle riski hyökkäyksestä keskimäärin 5000–20000 € jos asia toteutuu. Vakuutusta ei ole, koska kyberriskivakuutus vaatii dokumentoitua tietoturvaohjelmaa.

IT-tukikumppani: webhotelli 120 €/v + WordPress-ylläpitäjä 2400 €/v + IT-tunnit 4000 €/v = 6520 €/v. Vasteaika 1–3 työpäivää, vastuu jaettu kolmen toimittajan kesken.

Managed-hosting: Resahost Pro 129 €/kk × 12 = 1548 €/v. Yksi sopimus, yksi vastuu, yksi numero. Vasteaika tunteja, ei päiviä.

Numerot eivät ole vertailukelpoisia ilman vastuuelementtiä. DIY ja IT-tuki jättävät yrittäjälle koko juridisen vastuun GDPR:n ja kyberturvallisuuslain edessä. Managed-mallissa palveluntarjoaja on käsittelijä, jolla on oma vastuu prosesseista, ja yrittäjä voi osoittaa due diligencen suorittaneensa.

NIS2 ja toimitusjohtajan henkilökohtainen vastuu

Kyberturvallisuuslaki (124/2025) astui voimaan Suomessa 8.4.2025 ja sisältää NIS2-direktiivin kansallisen toimeenpanon. Olennaisin muutos pk-yrittäjälle on toimitusjohtajan henkilökohtainen vastuu kyberturvallisuusriskien hallinnasta. Vaikka laki koskee suoraan vain tiettyjä toimialoja, vakuutusyhtiöt ja suuremmat asiakkaat alkavat vaatia samaa dokumentaatiota kaikilta alihankkijoiltaan.

Vastaamo-tapauksen jälkimainingit osoittavat, miten toimitusjohtajan vastuu konkretisoituu. Vaikka Ville Tapio vapautettiin Helsingin hovioikeudessa, oikeusprosessi kesti vuosia ja maksoi pk-yrityksen mittakaavassa enemmän kuin yhden ihmisen vuosipalkka. Tämä on se taso jolla "itse tehty" -malli pettää: ei tekniikan vaan dokumentoinnin ja vastuunjaon puutteen takia.

Managed-hostingissa palveluntarjoaja toimittaa kirjallisen kuvauksen siitä, mitä prosesseja on käytössä, miten varmuuskopiot toimivat, miten haavoittuvuuksiin reagoidaan ja mikä on palautusaika. Tämä dokumentaatio on se mitä viranomainen ja vakuutusyhtiö pyytävät. DIY-mallissa dokumentaatio puuttuu, ja yrittäjä joutuu rakentamaan sen jälkikäteen kriisin keskellä.

Milloin DIY on järkevä valinta

DIY toimii silloin kun yrittäjällä on IT-tausta, alle viisi käyttäjää sähköpostissa, ei henkilötietoja käsittelevää sivustoa ja aikaa lukea lokeja viikoittain. Tällaisia tapauksia on Suomessa joitakin tuhansia. Niissä DIY voi olla rationaalinen valinta, koska riski on pieni ja osaaminen on talossa.

Useimmissa pk-yrityksissä tämä ei päde. Yrittäjällä ei ole IT-taustaa, sähköpostia käyttää enemmän kuin viisi henkilöä, sivustolla on tilauslomake ja aikaa lokeille ei ole. Silloin DIY tarkoittaa käytännössä sitä, että tietoturvaa ei hoideta, ja riski siirtyy odottamaan toteutumistaan.

Mistä tunnistat hyvän tietoturvapalvelun

Hyvä tietoturvapalvelu pk-yritykselle täyttää neljä ehtoa. Ensiksi se on suomalainen ja Traficom-rekisteröity, jolloin viestintäpalvelujen vastuukysymyksissä sinulla on suomalainen vastapuoli. Toiseksi se sisältää sekä reaktiivisen tuen että proaktiivisen seurannan, ei pelkästään yhtä niistä. Kolmanneksi hinta on kiinteä kuukausimaksu, ei tuntilasku jolla yrittäjä ei voi ennakoida kustannuksia. Neljänneksi palveluntarjoaja antaa kirjallisen kuvauksen prosesseistaan ja palautusajoista, jotta voit osoittaa vastuusi täytetyksi.

Jos haluat tietää mitä nykyinen tietoturvajärjestelysi sisältää, tilaa ilmainen audit. Tarkistamme WordPress-asennuksen, sähköpostin tietueet, DNS-konfiguraation ja varmuuskopiot. Saat kirjallisen raportin siitä, mikä on kunnossa ja mikä ei. Auditin perusteella voit päättää itse, mikä malli sopii sinulle parhaiten.

Lähteet: Söderberg & Partners 2024 (pk-yritysten kyberriskiselvitys), Traficom (kyberturvallisuuslaki 124/2025), Finlex (laki 124/2025), Wordfence Threat Intelligence Report 2025.