Kyberuhkat pk-yrityksille 2025: tärkeimmät riskit ja käytännön suojauskeinot

Pk-yrityksissä kyberuhat näkyvät usein arjen häiriöinä: yksi käyttäjätili lukittuu, laskutus ei kulje, Teamsissa jaetaan väärä tiedosto tai joku klikkaa kalasteluviestiä. Yhteistä näille on se, että haitta syntyy nopeasti, mutta korjaaminen vie aikaa ja maksaa. Vuonna 2025 uhkakenttä ei ole “uusi”, mutta se on entistä tehokkaampi: hyökkääjät automatisoivat tiedustelun, hyödyntävät valmiita haittaohjelmapaketteja ja etsivät helpoimmat kohteet – usein juuri pk-yritykset, joissa suojaus ja valvonta eivät ole jatkuvaa.

Tässä artikkelissa käydään läpi, mitkä ovat keskeiset kyberuhkat pk-yrityksille 2025, miten ne tyypillisesti etenevät ja millä käytännön keinoilla riskiä pienennetään. Tavoite ei ole pelotella, vaan tuoda selkeä malli siihen, mitä kannattaa tehdä ensin ja mitä seuraavaksi.

Miltä kyberuhat näyttävät pk-yrityksen arjessa?

Usein kyberuhka ei ala “hakkerielokuvasta”, vaan pienestä poikkeamasta: käyttäjä saa sähköpostin, joka näyttää tutulta, tai laite pyytää kirjautumaan uudelleen. Hyökkäykset kohdistuvat erityisesti niihin kohtiin, joissa pk-yrityksillä on tyypillisesti eniten kitkaa: käyttäjien tunnukset, päätelaitteet, pilvipalvelut ja varmuuskopiointi.

Tyypillinen hyökkäysketju pk-yrityksessä on seuraava:

• Alkutilanne: tunnukset vuotavat tai käyttäjä huijataan antamaan kirjautumistiedot.
• Jalansija: hyökkääjä kirjautuu sähköpostiin tai laitteelle, tekee sääntöjä, lisää ohjauksia tai asentaa haittaohjelman.
• Laajeneminen: etsitään lisää oikeuksia, jaetaan haitallisia linkkejä sisäisesti, tutkitaan tiedostoja ja pilvipalveluita.
• Vaikutus: laskuhuijaukset, tietovuoto, palvelunesto tai kiristyshaittaohjelma.

Kun tämä ketju tunnistetaan, torjunta muuttuu käytännölliseksi: estetään helpoimmat sisäänpääsyt, rajataan oikeudet, parannetaan havaintoa ja varmistetaan palautuminen.

Kyberuhkat pk-yrityksille 2025: 7 yleisintä riskiä

1) Kalastelu ja tilikaappaukset (sähköposti + tunnukset)

Kalastelu (phishing) on edelleen pk-yritysten yleisin hyökkäysreitti. Vuonna 2025 viestit ovat usein kielellisesti parempia ja kohdistetumpia, mutta peruslogiikka on sama: linkki vie kirjautumissivulle, joka näyttää oikealta, ja tunnukset päätyvät hyökkääjälle.

Miksi tämä on vaarallista? Kun sähköpostitili kaapataan, hyökkääjä voi tehdä sääntöjä (esim. ohjata laskuihin liittyvät viestit pois), vastata asiakkaalle “oikealla ketjulla” ja pyytää maksamaan väärälle tilille.

Käytännön torjunta:

• Monivaiheinen tunnistautuminen (MFA) kaikille, ei vain johdolle.
• Sähköpostin suojaukset ja kirjautumisriskien valvonta.
• Henkilöstön tietoturvakoulutus ja säännöllinen kalastelun harjoittelu.

2) Ransomware ja kaksoiskiristys

Kiristyshaittaohjelma (ransomware) ei ole pelkkä “tiedostot lukkoon” -tilanne. Yhä useammin mukaan tulee kaksoiskiristys: ensin varastetaan dataa, sitten lukitaan ympäristö ja lopuksi uhataan julkaista tiedot.

Käytännön torjunta:

• Päätelaitteiden suojaus ja valvonta (EDR/XDR) sekä keskitetty reagointi.
• Haavoittuvuuksien ja päivitysten hallinta – erityisesti selaimet, VPN:t ja etäyhteysratkaisut.
• Varmuuskopiointi, joka on palautettavissa ja suojattu muutoksilta (esim. muuttumattomat varmuuskopiot).

Varmuuskopioinnissa on hyvä muistaa, että Microsoft 365 ei ole varmuuskopiointipalvelu – se tarjoaa käytettävyyttä ja poistojen palautusta tietyin rajoituksin, mutta varsinainen varmistus kannattaa toteuttaa erikseen. Käytännön ratkaisuja löytyy esimerkiksi Microsoft 365 -varmuuskopioinnista.

3) Etätyön ja etäyhteyksien riskit

Etätyö on vakiintunut, mutta siihen liittyvät riskit pysyvät: kotiverkot, henkilökohtaiset laitteet, heikot salasanat ja epämääräiset etäyhteystyökalut. Hyökkääjä etsii reitin sisään – usein juuri etäyhteyden kautta.

Käytännön torjunta:

• Selkeät etätyöpolitiikat ja laitehallinta (MDM) sekä levyjen salaus.
• Turvallinen etäyhteysratkaisu, jossa on vahva tunnistautuminen ja lokitus.
• Pääkäyttäjäoikeuksien erottelu arkitunnuksista.

Etäkäytön turvallisuutta kannattaa tarkastella kokonaisuutena, ei vain VPN:nä. Jos aihe on ajankohtainen, katso myös ohjeet admin-oikeuksien hallintaan ja least privilege -periaatteeseen.

4) Pilvipalvelujen väärät asetukset ja ylijäämäoikeudet

Pilvipalveluissa (kuten Microsoft 365) tietoturva kaatuu usein asetuksiin: jakolinkit ovat liian avoimia, postilaatikoihin on delegoitu oikeuksia ilman kontrollia tai vanhoja tunnuksia ei poisteta ajoissa. Tämä ei ole “paha pilvi”, vaan hallinnan puute.

Käytännön torjunta:

• Roolipohjaiset oikeudet ja säännöllinen oikeuksien läpikäynti.
• Kirjautumisen valvonta, poikkeamien hälytykset ja lokien säilytys.
• Tietojen jakamisen peruslinjaukset (sisäinen/ulkoinen jako, linkkien elinkaari).

5) Toimitusketju ja alihankkijat (”kumppanin kautta sisään”)

Pienikin yritys on osa toimitusketjua. Hyökkääjä voi kohdistaa isomman toimijan, mutta päästä sisään heikomman lenkin kautta: laskutuksen toimittaja, IT-tuki, ohjelmistotalo, kirjanpito tai markkinointikumppani.

Käytännön torjunta:

• Sopimuksiin minimivaatimukset: MFA, varmuuskopiot, lokitus, reagointiajat.
• Alihankkijoiden käyttöoikeuksien rajaus ja määräaikaisuus.
• Yhteiset toimintamallit poikkeamiin (kuka ilmoittaa, kenelle ja millä aikataululla).

6) Heikko näkyvyys: hyökkäys tapahtuu, mutta sitä ei havaita

Monessa pk-yrityksessä suojaus tarkoittaa edelleen vain virustorjuntaa. Ongelma ei ole pelkästään estäminen, vaan havaitseminen: jos kirjautuminen tapahtuu epätavallisesta paikasta tai kone alkaa tehdä outoja yhteyksiä, tilanteeseen pitäisi päästä kiinni nopeasti.

Tässä kohtaa XDR/EDR ja valvonta ovat keskeisiä, koska ne tuovat yhteen päätelaitteiden, palvelimien ja pilven tapahtumat. Jos halutaan ymmärtää, mitä XDR käytännössä tarkoittaa pk-yritykselle, tutustu myös ratkaisuun TEHTRIS XDR AI Platform tai vaihtoehtoihin kuten Heimdal Security.

7) Ihmisten arki: kiire, väärät oletukset ja ohjeiden puute

Kyberuhkien taustalla on usein inhimillinen tekijä: kiireessä hyväksytään kirjautumispyyntö, lähetetään tiedosto väärälle vastaanottajalle tai käytetään samaa salasanaa useassa palvelussa. Tämä ei ratkea moittimisella, vaan selkeillä käytännöillä ja harjoittelulla.

Käytännön torjunta:

• Yhtenäiset ohjeet: miten toimitaan epäilyttävän viestin kanssa, miten ilmoitetaan poikkeamasta.
• Lyhyet, toistuvat koulutukset (15–30 min), ei kerran vuodessa -mallia.
• Tekniset suojaukset, jotka estävät pahimmat virheet (MFA, salasananhallinta, estolistat).

Miten pk-yritys pienentää riskiä nopeasti? Käytännön 30–60–90 päivän malli

Kyberturvallisuus yrityksille ei ole yksittäinen projekti, vaan jatkuva kyky estää, havaita ja palautua. Pk-yrityksessä tekemisen pitää kuitenkin olla realistista. Alla malli, joka toimii useimmissa ympäristöissä, kun halutaan nopeasti parempi perustaso.

0–30 päivää: estä helpoimmat sisäänpääsyt

• MFA käyttöön kaikkialle, missä se on mahdollista (sähköposti, pilvi, etähallinta).
• Päivitykset kuntoon: käyttöjärjestelmät, selaimet, VPN/etäyhteys, reitittimet.
• Admin-oikeuksien siivous: arkitunnus ei ole admin, paikalliset adminit minimiin.
• Varmuuskopioiden tarkistus: palautustesti ja vastuut selväksi.

30–60 päivää: lisää näkyvyyttä ja reagointikykyä

• Lokitus ja hälytykset: kirjautumispoikkeamat, postilaatikkosäännöt, laitepoikkeamat.
• EDR/XDR päätelaitteille ja kriittisiin palvelimiin, selkeä vasteprosessi.
• Sähköpostiturvan parannukset (suodatus, domain-asetukset, liitekäytännöt).

60–90 päivää: tee tietoturvasta hallittavaa

• Tietoturvakartoitus: nykytila, riskit, priorisoitu toimenpidelista ja omistajat.
• Käyttöoikeusmalli: roolit, hyväksynnät, määräaikaisuudet ja poistoprosessi.
• Koulutusrytmi: kuukausittainen mikrotreeni + vuosittainen laajempi harjoitus.

Jos halutaan tehdä tämä hallitusti ja dokumentoidusti, hyvä aloitus on tietoturvakartoitus, jonka pohjalta voidaan rakentaa järkevä tiekartta ja budjetti.

Mitä kannattaa vaatia tietoturvakumppanilta ja palvelulta?

Pk-yrityksessä kyberturvan ongelma ei ole yleensä kiinnostuksen puute, vaan aika ja vastuiden sirpaleisuus. Siksi moni valitsee mallin, jossa osa tekemisestä on jatkuvaa palvelua. Kumppania valitessa kannattaa kysyä suoraan:

• Mitä valvotaan (päätelaitteet, sähköposti, pilvi, verkko) ja miten hälytyksiin reagoidaan?
• Mikä on vasteaika ja kuuluuko toimenpiteet hintaan vai erillislaskutuksena?
• Miten varmistetaan palautuminen: varmistusratkaisu, palautustestit ja dokumentaatio.
• Miten käyttöoikeudet ja admin-oikeudet pidetään kurissa arjessa?
• Miten koulutus toteutetaan: kertaluonteinen vai jatkuva malli?

Tietoturvapalveluissa tärkeää on läpinäkyvyys: mitä tehdään, miksi tehdään ja miten vaikutusta mitataan. Kun tämä on selkeää, kyberriskit pienenevät käytännössä – ja samalla paranee toiminnan jatkuvuus.

CTA: seuraava askel – tee riskeistä näkyviä ja hallittavia

Kyberuhkat pk-yrityksille 2025 ovat pitkälti samoja kuin aiemmin, mutta hyökkäysten tahti ja automaatio nostavat vaatimustasoa. Perustaso syntyy nopeasti, kun tunnistautuminen, oikeudet, varmuuskopiot ja näkyvyys saadaan kuntoon – ja sen jälkeen tekemisestä tehdään jatkuvaa.

Pyydä tarjous tai kysy lisää — tehdään juuri sinun yrityksellesi sopiva tietoturvaratkaisu. Ota yhteyttä yhteystietojen kautta tai tutustu palveluihin sivulla palvelut.