Turvallinen Wi‑Fi pk-yrityksessä: asetukset, vastuut ja käytännön malli riskien vähentämiseen

Turvallinen Wi-Fi pk-yrityksessä alkaa perustuksista: verkon rooli liiketoimintariskinä

Yrityksen langaton verkko on monessa pk-organisaatiossa kriittinen työväline, mutta samalla se on usein heikoimmin dokumentoitu ja vähiten omistettu osa IT-ympäristöä. Kun Wi-Fi toimii, siihen ei kosketa. Kun se ei toimi, sitä korjataan kiireessä. Tietoturvan näkökulmasta juuri tällainen “toimii-nyt-älä-kosketa” -ajattelu kasvattaa riskiä: asetukset jäävät vanhentuneiksi, laitteet päivittämättä ja vastuut epäselviksi.

Turvallinen Wi-Fi pk-yrityksessä ei tarkoita pelkästään vahvaa salasanaa. Se tarkoittaa hallittua kokonaisuutta, jossa:

  • verkkoon pääsy on rajattu ja todennettu luotettavasti
  • verkko on jaettu tarkoituksenmukaisiin osiin (henkilöstö, vieraat, laitteet)
  • laitteet ja ohjelmistot pidetään ajan tasalla
  • poikkeamat havaitaan ja niihin reagoidaan
  • käytännöt ovat selkeitä ja henkilöstö tietää, miten toimia arjessa

Käpy A.I. Oy:n näkökulmasta Wi-Fi on yksi tyypillisimmistä “hiljaisista riskeistä”, joka nousee esiin tietoturvakartoituksissa etenkin silloin, kun yritys on kasvanut, muuttanut toimitiloja, ottanut käyttöön uusia pilvipalveluja tai ulkoistanut IT:tä usealle toimijalle. Wi-Fi jää helposti “jonkun” vastuulle, mutta käytännössä se ei ole kenenkään.

Yleisimmät Wi-Fi-riskit pk-yrityksessä (ja miltä ne näyttävät käytännössä)

Wi-Fi-haavoittuvuudet eivät yleensä näy dramaattisina hälytyksinä. Ne näkyvät arjen pieninä poikkeamina, jotka hyväksytään normaaliksi. Alla on esimerkkejä tyypillisistä riskeistä, joita Käpy A.I. Oy kohtaa kartoituksissa ja konsultoinnissa.

1) Vanha salaus tai jaettu salasana “kaikille”

Kun sama verkon salasana on henkilöstöllä, kesätyöntekijöillä, alihankkijoilla ja joskus jopa vierailla, ongelma ei ole vain se, että salasana voi vuotaa. Ongelma on myös jäljitettävyys: jos verkossa tapahtuu väärinkäyttöä, on vaikea osoittaa, kuka oli verkossa ja millä laitteella.

Hallittu malli korvaa jaetun salasanan käyttäjä- tai laitekohtaisella tunnistuksella (esimerkiksi yritystunnuksilla), jolloin käyttöoikeudet voidaan katkaista nopeasti ja lokit tukevat selvitystä.

2) Vierasverkko puuttuu tai se on väärin toteutettu

Vierasverkko on usein toteutettu niin, että se on “oma SSID”, mutta se on silti samassa verkossa kuin sisäiset järjestelmät. Tällöin vieraslaitteella voi olla reitti sisäverkkoon, tulostimiin tai hallintaliittymiin. Jos vieraslaitteessa on haittaohjelma, se voi levitä tai kerätä tietoa sisäisestä ympäristöstä.

Turvallinen vierasverkko on eristetty (segmentoitu) ja sillä on selkeä tarkoitus: internet-yhteys, ei pääsyä sisäisiin palveluihin. Kun yrityksessä käy paljon ulkopuolisia, myös vierasverkon käyttöehdot ja aikarajaukset ovat osa riskienhallintaa.

3) IoT- ja oheislaitteet samassa verkossa kuin työasemat

Kamerat, näytöt, kokousjärjestelmät, tulostimet ja muut IoT-laitteet ovat usein pitkään käytössä ja päivittyvät epäsäännöllisesti. Ne voivat myös sisältää oletustunnuksia tai heikomman suojausmallin. Kun ne ovat samassa verkossa kuin työasemat, ne tarjoavat hyökkääjälle reitin liikkua ympäristössä.

Ratkaisu ei ole “kieltää laitteet”, vaan suunnitella niille oma verkko-osa ja ylläpitomalli. Tämä liitetään usein laajempaan päätelaite- ja päivitysprosessiin.

4) Hallintaliittymät näkyvillä ja laitepäivitykset tekemättä

Tukiasemien ja palomuurien hallintaportit, vanhat firmware-versiot ja oletusasetukset ovat tyypillinen yhdistelmä. Wi-Fi-laitteet ovat myös tietoturvatuotteita: niiden ohjelmistot sisältävät haavoittuvuuksia samalla tavalla kuin työasemat ja palvelimet.

Kun Wi-Fi-kokonaisuutta katsotaan osana yrityksen jatkuvaa ylläpitoa, päivityksille ja asetusten muutoksille luodaan selkeä rytmi ja vastuupiste.

5) Liian laajat oikeudet ja “yksi ylläpitotunnus”

Kun usea henkilö käyttää samaa ylläpitotunnusta, muutoksista ei jää luotettavaa jälkeä. Lisäksi tunnuksen vuotaminen voi johtaa koko verkon haltuunottoon. Pk-yrityksessä tämä liittyy usein laajempaan pääkäyttäjäoikeuksien hallintaan: Wi-Fi:n hallinta on vain yksi osa kokonaisuutta.

Tilanne korjaantuu, kun ylläpitoon otetaan yksilölliset tunnukset, monivaiheinen tunnistautuminen ja vähimmän oikeuden periaate. Tarvittaessa ylläpito toteutetaan tilapäisin oikeuksin ja auditointilokein, esimerkiksi pääkäyttäjäoikeuksien hallinnan mallilla.

Turvallinen Wi-Fi käytännössä: malli, joka toimii pk-yrityksen arjessa

Pk-yrityksessä paras Wi-Fi-tietoturva on sellainen, joka on riittävän vahva, mutta myös ylläpidettävä. Käpy A.I. Oy:n palveluissa tavoitteena on rakentaa käytännön malli, joka näkyy konkreettisesti: selkeinä asetuksina, dokumentoituna rakenteena ja toimintatapoina.

1) Verkkoarkkitehtuuri: jaa verkko käyttötarkoituksen mukaan

Toimiva lähtökohta on jakaa Wi-Fi vähintään kolmeen loogiseen kokonaisuuteen:

  • Henkilöstön verkko: yrityksen hallitut päätelaitteet ja työn tekeminen
  • Vierailijaverkko: internet-yhteys, eristys sisäisistä resursseista
  • Laite-/IoT-verkko: kokouslaitteet, tulostimet, kamerat, muut oheislaitteet

Lisäksi monessa ympäristössä tarvitaan erillinen hallintaverkko tukiasemien ja verkkolaitteiden hallinnalle. Segmentointi voidaan toteuttaa VLANeilla ja palomuurisäännöillä, mutta keskeistä on tavoite: rajoittaa liikennettä niin, että “jos jokin osa rikkoutuu”, se ei kaada koko yrityksen kykyä toimia.

2) Tunnistautuminen ja käyttöoikeudet: poistetaan jaettu salasana -ongelma

Henkilöstön Wi-Fi-yhteyden tulisi perustua hallittuun todennukseen. Käytännössä tämä tarkoittaa käyttäjä- tai laitekohtaista pääsyä, jolloin:

  • käyttö voidaan katkaista yhdeltä käyttäjältä ilman salasanan vaihtoa kaikille
  • pääsy voidaan rajata roolin mukaan (esim. toimisto vs. tuotanto)
  • tapahtumat voidaan tarvittaessa jäljittää

Vieraille käytetään erillistä verkkoa, jossa on selkeä elinkaari: käyttöoikeus on voimassa vain tarvittavan ajan. Kun yrityksessä on etätyötä ja useita toimipisteitä, sama periaate kannattaa ulottaa myös muihin yhteyksiin ja käyttöoikeuksiin osana kokonaisuutta. Laajemmissa kehityshankkeissa tämä yhdistyy usein myös tietoturvakoulutuksiin, jotta henkilöstö ymmärtää miksi “helpot oikopolut” ovat riski.

3) Laitteiden kovennus ja päivitykset: Wi-Fi ei ole poikkeus ylläpitosäännöistä

Turvallinen Wi-Fi edellyttää, että tukiasemien, reitittimien ja palomuurien ohjelmistot ovat ajan tasalla ja hallinta on suojattu. Käytännön minimivaatimuksia:

  • yksilölliset ylläpitotunnukset ja monivaiheinen tunnistautuminen, jos saatavilla
  • etähallinta vain tarpeeseen ja rajattuna luotetuista verkoista
  • varmuuskopioidut asetukset ja palautuspolku laitevikojen varalle
  • selkeä päivitysikkuna ja vastuuhenkilö

Jos yrityksessä ei ole omaa IT-osastoa, tärkeintä on sopia, kuka omistaa Wi-Fi-ympäristön: kuka hyväksyy muutokset, kuka dokumentoi ja kuka testaa. Käpy A.I. Oy:n konsultoinnissa tällaiset vastuut konkretisoidaan prosessiksi, jotta tekeminen ei jää yksittäisen henkilön muistin varaan.

4) Lokitus ja valvonta: huomaa poikkeamat ajoissa

Pk-yrityksessä ei välttämättä tarvita raskasta SOC-mallia, mutta perustason näkyvyys on tärkeä. Käytännön kysymyksiä:

  • Näkyykö, mitä laitteita verkkoon liittyy?
  • Saadaanko hälytys poikkeavista kirjautumisista tai uusista laitteista?
  • Onko tieto saatavilla, jos epäillään tietoturvapoikkeamaa?

Kun Wi-Fi:tä kehitetään osana laajempaa tietoturvan hallintaa, valvonta liittyy myös muuhun ympäristöön. Tarvittaessa kokonaisuutta voidaan tukea esimerkiksi XDR-tyyppisillä ratkaisuilla, mutta pk-yritykselle tärkeintä on ensiksi korjata perusasetukset ja selkeyttää toimintamalli.

Miten Käpy A.I. Oy auttaa: kartoitus, GAP-analyysi ja käytännön toteutus

Wi-Fi:n tietoturva paranee nopeimmin, kun se sidotaan yrityksen riskienhallintaan ja vaatimuksiin. Käpy A.I. Oy:n palvelut tukevat tätä kolmella toisiaan täydentävällä tavalla.

1) Tietoturvakartoitus: nykytila näkyväksi ja riskit prioriteettiin

Wi-Fi-kokonaisuus arvioidaan osana laajempaa ympäristöä: verkkoarkkitehtuuri, käyttöoikeudet, laitehallinta, lokitus, toimittajavastuut ja dokumentaatio. Tavoite ei ole tehdä “listaa puutteista”, vaan muodostaa selkeä käsitys siitä, mitkä asiat:

  • altistavat yrityksen tietomurrolle tai palvelukatkolle
  • heikentävät kykyä havaita ja selvittää poikkeamia
  • estävät vaatimustenmukaisuuden osoittamista (esim. auditoinneissa)

Lopputuloksena syntyy toimenpidesuunnitelma, jossa asiat ovat priorisoituja, toteuttamiskelpoisia ja sidottu vastuisiin. Kartoitus on usein tehokkain tapa saada Wi-Fi osaksi hallittua kokonaisuutta ilman ylisuurta projektia.

2) Vaatimustenmukaisuuden GAP-analyysi ja ISO 27001 -ajattelu käytäntöön

Moni pk-yritys joutuu vastaamaan asiakkaiden vaatimuksiin: miten pääsy verkkoon hallitaan, miten vieraat erotetaan, miten laitteet päivitetään ja miten poikkeamiin reagoidaan. Kun yritys valmistautuu auditointiin tai haluaa kehittää johtamisjärjestelmää, Wi-Fi liittyy suoraan kontrollien toteutukseen.

Käpy A.I. Oy:n GAP-kartoitukset ja kypsyyskartoitukset auttavat tunnistamaan erot vaatimusten ja nykytilan välillä. Tärkeää on, että löydökset käännetään tekemiseksi: mitä muutetaan asetuksissa, mitä dokumentoidaan ja miten ylläpito järjestetään.

3) Konsultointi ja toteutuksen tuki: suunnitelmasta rutiiniksi

Wi-Fi:n parantaminen on usein yhdistelmä teknisiä muutoksia ja toimintatapojen muutosta. Käpy A.I. Oy auttaa esimerkiksi:

  • verkko- ja segmentointimallin suunnittelussa (henkilöstö/vieraat/IoT/hallinta)
  • käyttöoikeus- ja ylläpitomallissa (roolit, MFA, vähimmät oikeudet)
  • toimittajayhteistyön ja vastuiden määrittelyssä
  • dokumentoinnissa ja muutosten hallinnassa
  • henkilöstön toimintamalleissa (esim. vierasverkko, omat laitteet, työmatkat)

Kun tarvitaan laajempaa näkyvyyttä päätelaitteisiin tai uhkien havaitsemiseen, kokonaisuus voidaan yhdistää yrityksen muuhun suojaustasoon. Esimerkiksi päätelaitteiden suojaus ja päivityshallinta tai uhkien havaitseminen ja reagointi voivat tukea Wi-Fi-ympäristön turvallisuutta osana kokonaisuutta.

CTA: tee Wi-Fi:stä hallittu osa tietoturvaa

Jos Wi-Fi:n asetukset, vastuut tai segmentointi ovat jääneet ajan mittaan epäselviksi, nopein tapa pienentää riskiä on tehdä käytännönläheinen nykytilan arviointi ja sopia selkeä toteutuspolku.

Tutustu Käpy A.I. Oy:n tietoturvakartoituksiin ja tietoturvakoulutuksiin tai ota yhteyttä, niin käydään läpi, miten turvallinen Wi-Fi rakennetaan yrityksen arkeen sopivalla tavalla: ota yhteyttä.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma