Pk-yrityksen verkkosivujen suojaus: käytännön tarkistuslista HTTPS:stä varmuuskopioihin

Pk-yrityksen verkkosivujen suojaus alkaa perusasioista – ja niiden todentamisesta

Pk-yrityksen verkkosivut ovat usein liiketoiminnan tärkein asiointikanava: yhteydenottolomakkeet, ajanvaraus, rekrytointi, verkkokauppa tai vähintään brändin uskottavuus nojaa sivuston toimintaan. Siksi verkkosivujen tietoturva ei ole erillinen “IT-tekninen” aihe, vaan riskienhallintaa. Tyypillinen ongelma on, että sivuston ylläpito on ulkoistettu ja turvallisuus oletetaan osaksi palvelua – ilman, että kukaan organisaatiossa varmistaa mitä oikeasti tehdään, miten sitä valvotaan ja miten palautuminen onnistuu häiriössä.

Kun verkkosivut vaarantuvat, seuraukset ovat käytännönläheisiä: asiakkaiden tietoja voi vuotaa, sivuille voidaan ujuttaa haitallista sisältöä tai sivustoa käytetään tietojenkalasteluun. Usein myös hakukonenäkyvyys kärsii ja palautuminen venyy, jos varmuuskopiointi ja toipumissuunnitelma ovat puutteellisia.

Tässä artikkelissa käydään läpi pk-yrityksen verkkosivujen suojauksen keskeiset osa-alueet ja se, miten Käpy A.I. Oy:n tietoturvakartoitukset, koulutukset ja konsultointi auttavat tekemään suojauksesta mitattavaa ja arjessa toimivaa – ei pelkkää “toivottavasti kunnossa” -tason varautumista.

Yleisimmät riskit pk-yrityksen verkkosivuilla (ja miksi ne jäävät huomaamatta)

Verkkosivujen tietoturvariski syntyy harvoin yhdestä asiasta. Useammin kyse on usean pienen puutteen ketjusta: vanhentunut lisäosa, heikko ylläpitotunnus, puutteellinen lokitus ja varmuuskopio, jota ei ole koskaan testattu. Kun ketju katkeaa väärästä kohdasta, hyökkääjä saa jalansijaa.

Pk-yrityksissä toistuvat erityisesti nämä kokonaisuudet:

  • Päivitysvelka: CMS, teemat ja lisäosat jäävät päivittämättä, koska pelätään rikkovansa sivuston toiminta.
  • Tunnusten hallinnan puutteet: samoja tunnuksia käytetään pitkään, salasanoja kierrätetään tai käyttäjähallinta on epäselvä (entiset työntekijät ja kumppanit jäävät järjestelmään).
  • Haitalliset lisäosat ja toimitusketjuriskit: “ilmainen” lisäosa tai teema voi tuoda mukanaan haavoittuvuuksia tai jopa takaovia.
  • Varmuuskopiointi, joka ei ole palautuskykyä: varmuuskopio on olemassa, mutta palautusta ei ole harjoiteltu – ja kriittisellä hetkellä data puuttuu tai varmuuskopio on saastunut.
  • Puuttuva näkyvyys: jos lokitusta, valvontaa ja hälytyksiä ei ole, murto voi jatkua viikkoja ennen havaitsemista.

Käytännön ongelma on roolitus: kuka on “omistaja” verkkosivujen tietoturvalle? Jos vastuuta ei ole nimetty, mikään tarkistuslista ei pysy elävänä. Tähän Käpy A.I. Oy:n tietoturvakartoitukset tuovat rakenteen: kartoitetaan nykytila, vastuut, tekniset kontrollit ja toimintamallit, ja sovitaan korjauspolku.

Pk-yrityksen verkkosivujen suojaus – käytännön tarkistuslista

Alla oleva malli toimii sekä oman työn rungoksi että keskustelupohjaksi ulkoisen toimittajan kanssa. Tarkoitus ei ole “ruksi ruutuun” -auditointi, vaan varmistaa, että jokaiselle osa-alueelle on omistaja, todiste ja ylläpitorytmi.

1) HTTPS, HSTS ja turvalliset asetukset

HTTPS on lähtökohta, mutta sen toteutus ratkaisee. Tarkista vähintään:

  • HTTPS pakotetaan kaikille sivuille (ei vain kirjautumiseen).
  • HSTS on käytössä hallitusti (mielellään esilataus harkiten).
  • Heikot salaukset ja protokollat on poistettu palvelimelta.
  • Turvaotsakkeet (esim. CSP, X-Frame-Options/Frame-ancestors, X-Content-Type-Options) on määritetty sivuston tarpeen mukaan.

Konsultoinnissa Käpy A.I. Oy auttaa varmistamaan, että asetukset ovat oikeassa suhteessa sivuston toiminnallisuuksiin: liian tiukka CSP voi rikkoa kolmannen osapuolen integraatioita, liian löysä lisää hyökkäyspintaa. Tavoite on löytää tasapaino, joka kestää arkea ja muutoksia.

2) Päivitysten hallinta ja muutosten hallittu julkaisu

Suurin osa sivustomurroista hyödyntää tunnettuja haavoittuvuuksia. Siksi päivitysten hallinta on verkkosivujen suojauksen ydin. Toimiva käytäntö pk-yritykselle:

  • Ylläpitoikkuna ja rytmi: mitä päivitetään viikoittain, mitä kuukausittain, mitä heti.
  • Testausympäristö (staging) tai ainakin varmistettu palautus ennen isoja päivityksiä.
  • Poista käyttämättömät lisäosat ja teemat – “deaktivoitu” ei ole sama kuin poistettu.
  • Pidä kirjaa kriittisistä riippuvuuksista ja omistajista.

Jos päivitykset jätetään tekemättä pelon vuoksi, riski kasvaa. Jos päivitykset tehdään sokkona, riski siirtyy käyttökatkoihin. Käpy A.I. Oy:n konsultointi tuo mallin, jossa päivitykset ovat ennakoitavia ja palautus on harjoiteltu. Tarvittaessa kokonaisuus kytketään osaksi laajempaa nykytilakartoitusta ja riskienhallintaa.

3) Käyttäjähallinta, vähimmät oikeudet ja ylläpitotunnukset

Verkkosivujen ylläpitoon liittyvät tunnukset ovat monessa pk-yrityksessä suurin yksittäinen heikkous. Hyvä tavoitetaso:

  • Käyttöoikeudet roolien mukaan (toimittaja, sisällöntuottaja, kehittäjä, ylläpito).
  • Ylläpitäjäoikeuksia käytetään vain tarvittaessa, ei päivittäisessä sisällönmuokkauksessa.
  • Monivaiheinen tunnistautuminen (MFA) kaikille ylläpitotunnuksille.
  • Tunnusten elinkaari: poistuvat työntekijät ja kumppanit poistetaan heti.
  • Yhteiskäyttötunnuksia vältetään; jos niitä on pakko käyttää, hallinta ja lokitus on erityisen tiukka.

Kun pääkäyttäjäoikeuksia on liikaa tai ne ovat huonosti hallittuja, yhdestä kalastellusta tunnuksesta voi tulla “avaimet kaikkeen”. Tässä Käpy A.I. Oy tukee käytännön mallilla ja tarvittaessa koulutuksella, jossa käydään läpi turvallinen tunnusten käyttö ja vastuut osana arjen toimintaa. Koulutuksista löytyy lisätietoa sivulta tietoturvakoulutukset.

4) Varmuuskopiointi ja palautustestit: kestävä toipuminen

Varmuuskopiointi on verkkosivun viimeinen turvaverkko – ja samalla yksi eniten väärinymmärretyistä asioista. Pk-yrityksessä varmuuskopioinnin pitää vastata kahteen kysymykseen:

  • Kuinka paljon dataa voidaan menettää? (palautuspiste, RPO)
  • Kuinka nopeasti palvelu pitää saada takaisin? (palautusaika, RTO)

Hyvä käytännön peruspaketti:

  • Automaattiset varmuuskopiot sekä tiedostoista että tietokannasta.
  • Varmuuskopioiden eriytys tuotantoympäristöstä (ei samaan käyttäjätiliin tai samaan palvelimeen).
  • Useampi palautuspiste ja riittävä säilytysaika.
  • Palautustesti sovitulla rytmillä (esim. kvartaalittain) – ja dokumentoitu tulos.

Jos organisaatiossa käytetään Microsoft 365 -ympäristöä laajasti (esim. asiakasviestintä, dokumentit, Teams), kannattaa varmistaa myös pilvidatan palautuskyky. Käpy A.I. Oy auttaa suunnittelemaan ja toteuttamaan Microsoft 365 -varmistusta palvelun kautta Microsoft 365 varmuuskopiointi, ja laajemmissa kokonaisuuksissa hyödyntämään Veeam Data Platform -ratkaisuja immuuttisuuden ja palautusvarmuuden parantamiseksi.

5) Lokitus, valvonta ja reagointi

Murto ei aina näy heti. Siksi lokitus ja valvonta ovat käytännön edellytys: ilman havaintoa ei ole reagointia. Vähintään pitäisi pystyä vastaamaan jälkikäteen:

  • Kuka kirjautui sisään, mistä ja milloin?
  • Mitä asetuksia tai tiedostoja muutettiin?
  • Onko sivuille lisätty uusia käyttäjiä tai integraatioita?

Valvonta voi olla kevyt tai laaja, mutta sen pitää olla tarkoituksenmukaista. Käpy A.I. Oy:n konsultoinnissa määritellään, mitä kannattaa seurata juuri teidän ympäristössä (esim. hallintapaneelin kirjautumiset, tiedostomuutokset, epätyypillinen liikenne) ja miten hälytykset ohjataan oikeille henkilöille. Tarvittaessa kokonaisuutta tuetaan laajemmalla uhkien havaitsemisella, esimerkiksi XDR-valvonnan periaatteilla silloin kun verkkosivu on osa laajempaa hyökkäyspintaa.

Miten Käpy A.I. Oy auttaa: kartoitus, koulutus ja konsultointi samaan käytännön malliin

Verkkosivujen suojaus onnistuu, kun tekniset kontrollit ja toimintatapa tukevat toisiaan. Siksi Käpy A.I. Oy lähestyy aihetta kolmella toisiaan täydentävällä palvelulla:

Tietoturvakartoitus: nykytila, riskit ja korjauspolku

Kartoituksessa selvitetään verkkosivujen (ja niitä ympäröivien palveluiden) keskeiset riskit: päivitysprosessi, käyttöoikeudet, varmuuskopiointi, lokitus, palveluntarjoajan vastuut ja todisteet siitä, että kontrollit toimivat. Lopputuloksena syntyy selkeä lista havaintoja ja suositeltu eteneminen: mitä korjataan heti, mitä suunnitellusti ja mitä seurataan.

Erityisesti pk-yritykselle kartoituksen arvo on käytännössä: se luo yhteisen tilannekuvan johdolle, IT:lle ja toimittajille, jotta kehitys ei jää yksittäisten henkilöiden muistin varaan. Lisätietoa löytyy sivulta tietoturvakartoitukset.

Tietoturvakoulutus: arjen tekeminen kuntoon

Moni verkkosivuhaavoittuvuus syntyy arjen valinnoista: liitetiedoston käsittely, ylläpitotunnuksen käyttö “hätätilanteessa”, tai se, että epäilyttävää toimintaa ei tunnisteta ajoissa. Koulutus on tehokas tapa vähentää inhimillisiä riskejä ja selkeyttää vastuita. Käpy A.I. Oy:n koulutukset räätälöidään roolien mukaan: johdolle riskienhallinta ja päätöksenteko, ylläpidolle käytännön kontrollit ja henkilöstölle turvallinen toiminta.

Konsultointi: turvalliset valinnat ja toimittajahallinta

Pk-yrityksen verkkosivut elävät: tehdään kampanjasivu, lisätään integraatio, vaihdetaan toimittajaa tai otetaan käyttöön uusi maksutapa. Konsultoinnissa varmistetaan, että muutokset tehdään hallitusti: riskit arvioidaan, vaatimukset asetetaan oikein ja toimittajalta osataan pyytää oleelliset todisteet (esim. varmuuskopioiden palautustestin tulos, lokituksen kattavuus, päivitysprosessi).

Toimintamalli, joka kannattaa sopia heti: omistajuus ja mittarit

Verkkosivujen suojaus ei ole projekti, joka “valmistuu”, vaan ylläpidettävä kyvykkyys. Jotta työ ei jää kiireen alle, kannattaa sopia vähintään:

  • Omistaja: kuka vastaa verkkosivujen tietoturvan kokonaisuudesta (myös ulkoistuksessa).
  • Rytmi: päivitykset, käyttäjäauditointi ja palautustestit kalenteriin.
  • Mittarit: esim. kriittisten päivitysten läpimenoaika, MFA-kattavuus, palautustestin onnistuminen.
  • Poikkeamapolku: mitä tehdään, jos sivusto kaatuu, muuttuu epäilyttäväksi tai tulee ilmoitus haavoittuvuudesta.

Käpy A.I. Oy auttaa rakentamaan mallin, joka on sopivan kevyt pk-yritykselle mutta riittävän täsmällinen, jotta se oikeasti vähentää riskiä ja parantaa palautumiskykyä.

CTA: Aloita verkkosivujen tietoturvan parantaminen käytännön kartoituksella

Jos verkkosivujen suojaustaso, vastuut tai varmuuskopioiden palautuskyky mietityttää, järkevin ensimmäinen askel on nykytilan selvitys. Käpy A.I. Oy tekee käytännönläheisiä kartoituksia ja tukee korjauspolun toteutusta koulutuksella ja konsultoinnilla.

Katso lisätiedot tietoturvakartoituksista tai ota yhteyttä ja sovitaan seuraavat askeleet: yhteystiedot.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma