Kyberturvallisuus

VPN puhelimeen — pk-yrityksen ohje työntekijöille 2026

Yritys-VPN puhelimeen pk-yrityksen näkökulmasta: miksi se ei ole sama kuin NordVPN, mitä NIS2 vaatii etätyöyhteyksiltä ja miten Tailscale otetaan käyttöön viidessä minuutissa.

Olli Junes · · 9 min

Kun työntekijä avaa läppärin tai puhelimen hotellin WiFissä Helsinki-Vantaalla, kahvilassa Tampereella tai mökillä Saimaan rannalla, hänen liikenteensä kulkee verkon kautta, jonka konfigurointia kukaan teidän porukasta ei ole tarkistanut. Tähän ongelmaan VPN on vastaus, mutta sana tarkoittaa pk-yrityskontekstissa eri asiaa kuin mainosvideoissa, joissa hupullinen henkilö estää hakkereita Surfsharkilla. Käydään läpi mitä yritys-VPN puhelimessa oikeasti on, miksi NIS2 vaatii sen 2026 ja miten käyttöönotto hoidetaan ilman, että IT-osasto tarvitsee Cisco-sertifikaattia.

Kaksi täysin eri tuotekategoriaa, sama lyhenne

Sana VPN tarkoittaa kahta täysin eri asiaa sen mukaan, kuka sitä myy. Pk-yrittäjälle ero on käytännössä tärkein osa koko aihetta, koska väärä tuote ratkaisee väärän ongelman.

Kuluttaja-VPN (NordVPN, Surfshark ja vastaavat) reitittää käyttäjän liikenteen kaupallisen palveluntarjoajan palvelimen kautta. Tarkoitus on piilottaa käyttäjän alkuperäinen IP-osoite verkkosivustoilta ja operaattorilta, kiertää geo-rajoituksia ja hankaloittaa mainosseurantaa. Tämä on yksityishenkilön tuote. Se ei tarjoa pääsyä yrityksen sisäverkkoon, ei integroidu yrityksen tunnistautumiseen eikä sisällä mitään työkaluja siihen, että IT-vastaava päättäisi kuka pääsee mihinkin.

Yritys-VPN (Tailscale, self-hosted WireGuard, OpenVPN Access Server, Cisco AnyConnect) yhdistää työntekijän laitteen yrityksen omiin resursseihin: sisäisiin järjestelmiin, tiedostopalvelimiin, intranetiin, hallintapaneeleihin ja palvelinten SSH-yhteyksiin. Hallinta on keskitettyä, käyttöoikeudet määritellään henkilön mukaan ja lokitiedot kertyvät niitä varten kun jotain tapahtuu.

Jos pk-yrityksen työntekijä asentaa puhelimeensa NordVPN:n, hän saa kuluttajatuotteen joka ei ratkaise yhtään yrityksen ongelmaa. Kun samaan puhelimeen asennetaan Tailscale, hän saa yhteyden yrityksen järjestelmiin ja samalla pohjan, jota NIS2-lain vaatimukset edellyttävät.

Miksi puhelin tarvitsee VPN:n pk-yrityksessä

Pk-yrityksen työntekijän puhelin on käytännössä toimiston jatke. Sähköposti, Slack tai Teams, kalenteri, CRM-järjestelmä, hallintapaneelit ja yhä useammin koko ERP kulkevat puhelimen sovelluksissa. Kolme tilannetta toistuu jatkuvasti.

Julkiset WiFit. Hotelli Tornin lobbarista, K-Marketin asiakas-WiFistä tai lentokentän lounge-verkosta lähtevä liikenne kulkee verkon kautta, jonka konfiguraatiota tai päivitystasoa kukaan ei ole tarkistanut. Vaikka HTTPS suojaa itse sovellusliikenteen, DNS-kyselyt vuotavat ja verkon ylläpitäjä näkee mitä palveluja käytetään. VPN salaa liikenteen ja sen mukana DNS-kyselyt.

Etäpääsy yrityksen sisäisiin järjestelmiin. Jos yrityksellä on omia palvelimia, hallintapaneeleja, tietokantoja tai sisäverkossa pyöriviä työkaluja, työntekijän pitää päästä niihin myös toimiston ulkopuolelta. Vaihtoehtoja on kaksi: aukoa palomuuriin julkisia portteja (huono idea) tai käyttää VPN:ää (oikea tapa).

Geo-rajoitukset ulkomaisia toimittajia kohtaan. Joissain B2B-järjestelmissä hintatiedot, varastotilanteet tai API-rajapinnat näkyvät vain tietyistä maantieteellisistä sijainneista. Yritys-VPN:llä voidaan reitittää tietyn käyttäjän liikenne sovitun maan exit-pisteen kautta, kun perusteltu tarve on olemassa.

NIS2 ja etätyöyhteydet: mitä laki sanoo

Kyberturvallisuuslaki 124/2025 toi NIS2-direktiivin Suomen lainsäädäntöön ja edellyttää säännellyiltä toimijoilta oikeasuhtaisia teknisiä ja organisatorisia toimenpiteitä viestintäverkkojen ja tietojärjestelmien turvaamiseksi. Etätyöyhteyksien osalta laki nostaa esiin kolme konkreettista vaatimusta.

Ensimmäinen on vahvat todentamismenettelyt ja pääsynhallinta. Etäyhteyksiä muodostettaessa pitää käyttää monivaiheista tunnistautumista, ja pääsy pitää voida rajata käyttäjäkohtaisesti vain niihin resursseihin, joihin henkilöllä on tehtävänsä puolesta tarve.

Toinen on salatut yhteydet. Toimintamallissa pitää määritellä salausmenetelmien ja suojatun sähköisen viestinnän käyttö. Käytännössä tämä tarkoittaa VPN- tai ZTNA-ratkaisun käyttöä yrityksen verkkoliikenteessä.

Kolmas on päätelaitteiden ja tietoliikenteen perustason turvallisuus. Etätyössä käytettävien laitteistojen, ohjelmistojen ja tietoliikenteen tietoturvakäytännöt pitää olla dokumentoidusti varmistettu.

Laki koskee suoraan keskeisten ja tärkeiden sektoreiden toimijoita, mutta sopimusketjun kautta vaikutus laajenee niiden alihankkijoihin ja palveluntarjoajiin. Pk-yritys, joka palvelee energiasektorin asiakasta tai tekee alihankintaa terveydenhuoltoon, joutuu vastaamaan kysymyksiin omien etätyöyhteyksiensä suojauksesta auditoinnin yhteydessä.

Tailscale pk-yrityksen lähtövalintana

Pienille ja keskisuurille yrityksille perinteisten yritys-VPN-ratkaisujen (Cisco AnyConnect, OpenVPN Access Server) pystytys ja ylläpito on raskasta. Niissä konfiguroidaan reitityssääntöjä, sertifikaatteja, palomuurialueita ja käyttäjäprofiileja, ja pienen organisaation IT-vastaava päätyy ylläpitämään järjestelmää, jonka jokainen päivitys vie iltapäivän.

Tailscale on rakennettu modernin WireGuard-protokollan päälle ja noudattaa Zero Trust Network Access -mallia (ZTNA). Pk-yritykselle sen valintaa puoltaa kolme teknistä asiaa.

Identiteettipohjainen pääsy

Tailscale ei käytä jaettuja salasanoja eikä esiasetettuja avaimia. Sisäänkirjautuminen tapahtuu yrityksen olemassa olevan identiteetinhallinnan kautta: Microsoft Entra ID (entinen Azure AD), Google Workspace, Okta tai GitHub Organization. Jos henkilö lähtee yrityksestä ja hänen Google Workspace -tilinsä deaktivoidaan, hän menettää samalla pääsyn yrityksen Tailscale-verkkoon. Erillisiä VPN-tunnuksia ei tarvitse muistaa lisätä deboarding-listalle.

MFA periytyy automaattisesti

Koska kirjautuminen tapahtuu yrityksen identiteettipalvelun kautta, Tailscale perii sen tietoturvakäytännöt. Jos Microsoft 365:ssä on käytössä monivaiheinen tunnistautuminen ja ehdollinen pääsy (Conditional Access), sama vahva tunnistautuminen koskee välittömästi myös Tailscale-yhteyksiä. NIS2:n vahvan todentamisen vaatimus täyttyy ilman erillisen VPN-tunnistautumisjärjestelmän pystyttämistä.

Pääsy yksittäisiin resursseihin, ei koko verkkoon

Perinteinen VPN avaa käyttäjälle pääsyn kokonaiseen aliverkkoon. Jos hyökkääjä saa työntekijän koneen haltuunsa, hän pääsee samalla kaikkeen, mitä verkossa on. ZTNA-mallissa pääsy myönnetään yksittäisille resursseille henkilön tehtävän mukaan. Tämä noudattaa pienimmän oikeuden periaatetta (least privilege), joka on NIS2:n riskienhallintamallin kulmakiviä.

Hinta ja koko

Tailscalen ilmaisversio kattaa kolme käyttäjää ja 100 laitetta. Pienelle pajalle, putkiliikkeelle tai konsulttitalolle tämä riittää useita vuosia. Maksulliset suunnitelmat alkavat noin 6 dollarista per käyttäjä kuukaudessa, ja yritystason ominaisuuksiin (audit-loki, SCIM-provisiointi, postureen perustuva pääsy) siirrytään vasta kun organisaatio kasvaa.

Vaihtoehdot Tailscalelle

Tailscale ei ole ainoa vastaus, ja joillain yrityksillä on perustellut syyt valita toisin.

Self-hosted WireGuard. Vapaa ja avoin lähdekoodi, ei riippuvuutta kaupalliseen palveluun, kaikki liikenne kulkee yrityksen oman gatewayn kautta. Vaatii ylläpitäjältä Linux-osaamista, palvelimen, sertifikaattien hallintaa ja avainten jakelua. Sopii teknisille tiimeille jotka osaavat ja haluavat hoitaa pystytyksen itse.

OpenVPN Access Server. Vakiintunut yritysratkaisu, jossa on graafinen hallintapaneeli ja tuki klassisiin palomuuri- ja AD-integraatioihin. Toimii hyvin yrityksissä joissa on jo investoitu Active Directory -ympäristöön ja halutaan pitää konfiguraatio talon sisällä.

Cisco AnyConnect (Secure Client). Vakiotuote isommissa organisaatioissa ja siellä missä on jo Cisco-verkkoinfrastruktuuria. Lisensointi ja ylläpito ovat raskaita pk-mittakaavassa, joten harvoin perustelu valinta alle 50 hengen organisaatioissa.

Pienelle ja keskisuurelle yritykselle, jolla ei ole erillistä verkko-osastoa, Tailscalen aloituspolku on lyhyin ja NIS2-vaatimukset täyttävä. Suuremmat tai sääntelyltään raskaammat organisaatiot voivat perustellusti päätyä self-hosted WireGuardiin tai OpenVPN:ään.

Käyttöönotto puhelimeen viidessä minuutissa

Tailscalen käyttöönotto sekä iPhonella että Android-puhelimella on suoraviivainen prosessi. Edellytys on, että yrityksellä on olemassa Google Workspace, Microsoft 365 tai vastaava identiteettipalvelu.

  1. Yrityksen Tailscale-tilin luonti. IT-vastaava (tai vetäjä) menee osoitteeseen tailscale.com ja luo organisaation tilin yrityksen Google- tai Microsoft-tunnuksilla. Identiteetinhallinta on tämän jälkeen jo paikallaan.
  2. Sovellus puhelimeen. Työntekijä asentaa Tailscalen App Storesta tai Google Playsta. Sovellus on virallinen, ilmainen ja ylläpidetty (Tailscale Inc., San Francisco).
  3. Kirjautuminen. Sovellus pyytää kirjautumaan saman identiteettipalvelun kautta. Jos yrityksessä on käytössä MFA, puhelin pyytää sen heti.
  4. Yhteyden avaus. Sovelluksessa on yksi kytkin. Kun se on päällä, puhelin on osa yrityksen Tailscale-verkkoa ja näkee ne resurssit, joihin IT-vastaava on myöntänyt sille pääsyn.
  5. ACL-säännöt. Hallintapaneelissa määritellään, mihin koneisiin tai palveluihin kukin käyttäjäryhmä pääsee. Pieni pajat voi aloittaa yhdellä ACL-säännöllä, jossa kaikki työntekijät pääsevät tiedostopalvelimeen ja kirjanpitäjä lisäksi palkanlaskentajärjestelmään.

Käytännön asennusaika on viisi minuuttia per puhelin. Yhden iltapäivän työ riittää 10 hengen yrityksen koko porukan kytkemiseen järjestelmään, ja samalla työllä saadaan dokumentaatio joka kelpaa NIS2-auditointiin.

Mitä VPN ei tee, vaikka monet luulevat

VPN-keskustelussa toistuu yliarvio siitä, mitä tuote ratkaisee. Pk-yrityksen kannattaa tietää tämä etukäteen, ettei rakenneta perusturvaa väärän palikan päälle.

VPN ei estä phishingiä. Jos työntekijä klikkaa väärennettyä Microsoft-kirjautumissivua ja antaa salasanansa, VPN ei auta. Salasana päätyy hyökkääjälle riippumatta siitä, kulkiko liikenne salatussa tunnelissa. Phishingiin tarvitaan MFA, ehdollinen pääsy ja työntekijöiden säännöllinen koulutus.

VPN ei salaa pilvipalveluiden välistä liikennettä. Office 365:n ja Slackin liikenne kulkee jo TLS-salattuna ilman VPN:ää. VPN:n tehtävä on suojata pääsy yrityksen omiin järjestelmiin ja salata DNS- sekä metatietoliikenne, ei lisätä toista salauskerrosta TLS:n päälle.

VPN ei suojaa BEC-huijaukselta. Jos toimitusjohtajan nimissä lähetetään väärennetty maksupyyntö ja talouspäällikkö maksaa sen, VPN ei ole osa ratkaisua. Tähän tarvitaan DMARC-tason sähköpostisuojaus ja sisäiset prosessit, joissa maksupyyntö varmistetaan toisesta kanavasta.

VPN ei korvaa päivityksiä. Vanhentunut Android-versio puhelimessa on hyökkäysreitti, jota VPN-tunneli ei sulje. Tietoliikenteen suojaus ja päätelaitteen pitäminen ajan tasalla ovat kaksi eri vaatimusta, ja molempia tarvitaan.

Pk-yrityksen tarkistuslista 2026

Jos haluat tarkistaa, missä yrityksesi etätyöyhteyksien turvallisuuden taso on suhteessa NIS2:n vaatimuksiin, käy läpi nämä kohdat.

  1. Onko etäkäyttö yrityksen sisäisiin järjestelmiin järjestetty VPN:n tai ZTNA-ratkaisun kautta vai onko portteja auki suoraan julkisesta verkosta?
  2. Onko VPN-tunnistautuminen sidottu yrityksen identiteettipalveluun, vai onko jokaisella käyttäjällä erillinen VPN-tunnus jota kukaan ei muista lopettaa kun työsuhde päättyy?
  3. Onko monivaiheinen tunnistautuminen vaadittu, vai riittääkö pelkkä salasana?
  4. Onko pääsy rajattu käyttäjäkohtaisesti vain niihin resursseihin, joihin tehtävä edellyttää, vai onko pääsy kaikkialle aliverkossa?
  5. Onko työntekijöiden puhelimissa ja kannettavissa sovellus käytössä, ja onko sen päälläolo tarkistettavissa hallintapaneelista?
  6. Onko etätyökäytäntö dokumentoitu kirjallisesti niin, että se kelpaa esiteltäväksi auditoijalle tai asiakkaalle?

Jos useampaan kohtaan vastaus on "ei" tai "ehkä", etätyöyhteyksien suojaus ei ole NIS2-tasolla, vaikka kyberturvallisuuslaki ei suoraan koskisikaan yritystäsi.

Kokonaisuus yhden katon alla

VPN puhelimessa on yksi pala pk-yrityksen tietoturvan kokonaisuutta. Sen rinnalla pitää olla kunnolla konfiguroitu sähköposti, dokumentoitu tietoturvan perustaso ja realistinen kuva siitä, koskeeko NIS2 omaa yritystä suoraan vai sopimusketjun kautta.

Resahost ei myy VPN-lisenssejä eikä toimi Tailscalen tai muiden VPN-toimittajien jälleenmyyjänä. Autamme suunnittelemaan kokonaisarkkitehtuurin, jossa hosting, sähköposti, etätyöyhteydet ja varmuuskopiointi muodostavat NIS2-tason kokonaisuuden, ja toteutamme käyttöönoton yhden vastuutahon kanssa. Jos haluat tarkistaa nykyisen tilanteen, audit on maksuton ja kestää alle vuorokauden. Raportti kertoo missä etätyöyhteyksien suojauksen taso on suhteessa NIS2:n vaatimuksiin ja mitä konkreettisia askelia seuraavat 90 päivää sisältävät.