Yrityksen verkon suojaus käytännössä: segmentointi, palomuuri ja VPN – malli pk-yritykselle

Yrityksen verkon suojaus on riskienhallintaa, ei pelkkä palomuuri

Yrityksen verkko on useimmissa organisaatioissa se kohta, jossa liiketoiminta ja tietoturva kohtaavat konkreettisesti: työasemat, palvelimet, pilvipalvelut, etäyhteydet, tulostimet, IoT-laitteet ja kumppaneiden integraatiot vaihtavat tietoa saman kokonaisuuden läpi. Kun verkon suojaus on suunniteltu vain “yhden laitteen varaan” (esimerkiksi reunapalomuuri), yksittäinen virhe, väärä konfiguraatio tai käyttäjän laitteelle päätynyt haittaohjelma voi liikkua sivuttaissuunnassa ja laajentaa vahingon nopeasti.

Toimiva verkon suojaus ei tarkoita monimutkaista arkkitehtuuria tai valtavaa työmäärää. Se tarkoittaa selkeitä periaatteita, oikein valittuja teknisiä kontrollien kokonaisuuksia sekä käytäntöjä, joilla varmistetaan ylläpidon laatu ja jatkuva parantaminen. Käpy A.I. Oy:n tietoturvakartoitukset, kohdennetut koulutukset ja konsultointi auttavat muodostamaan realistisen tilannekuvan, priorisoimaan toimet ja viemään muutokset maaliin niin, että verkko tukee liiketoimintaa myös häiriötilanteissa.

Tyypillisimmät puutteet pk-yrityksen verkon suojauksessa

Verkon suojausta arvioidessa toistuvat tietyt ilmiöt riippumatta toimialasta. Osa liittyy teknologiaan, osa rooleihin ja omistajuuteen. Yleisiä havaintoja ovat:

  • Yksi taso suojausta: luotetaan reunapalomuuriin, vaikka riskit syntyvät myös sisäverkossa, pilvessä ja päätelaitteissa.
  • Heikko segmentointi: kaikki laitteet ovat samassa verkossa tai VLAN:it on tehty “kauniiksi kartaksi”, mutta liikennesäännöt puuttuvat.
  • Etäyhteydet ilman selkeää mallia: VPN on käytössä, mutta käyttöoikeudet, lokitus ja hallintaprosessit ovat epäselvät.
  • Vanhentuneet tai hajanaiset palomuurisäännöt: sääntöjä on lisätty vuosien aikana “tarpeeseen”, mutta poistot ja tarkastukset jäävät tekemättä.
  • Puuttuva näkyvyys ja valvonta: ei tiedetä, mitä verkossa oikeasti tapahtuu, tai hälytyksiin ei ole sovittua toimintatapaa.
  • Oikeuksien hallinta sekoittuu verkon suojausmalliin: pääkäyttöoikeuksia käytetään arjessa, jolloin laite- ja verkkomurtojen vaikutus kasvaa.

Nämä eivät ole “IT:n ongelmia” irrallaan muusta toiminnasta. Ne näkyvät suoraan liiketoimintariskeinä: käyttökatkoina, tietovuotoina, asiakasluottamuksen heikkenemisenä ja vaatimustenmukaisuuden puutteina. Kun verkon suojaus tehdään hallitusti, muutokset voidaan perustella myös johdolle riskin, vaikutuksen ja kustannustehokkuuden näkökulmasta.

Toimiva malli: palomuuri, segmentointi ja VPN osana kokonaisuutta

Pk-yritykselle järkevä verkon suojausmalli voidaan rakentaa kolmesta keskeisestä palikasta, jotka kytketään selkeään käyttö- ja ylläpitomalliin. Tavoite on estää yleisimmät etenemispolut, rajata vahingon laajuus ja varmistaa, että poikkeamat havaitaan.

1) Palomuuri ja reuna-alue: minimoi hyökkäyspinta ja hallitse liikennesäännöt

Reunapalomuuri on yhä tärkeä, mutta sen rooli on usein väärin ymmärretty. Palomuuri ei korjaa sisäverkon liikkumista eikä päätelaitteiden riskejä, mutta se:

  • rajaa julkiset palvelut ja vähentää avoimia portteja,
  • pakottaa liikenteen kulkemaan valvottujen reittien kautta,
  • tuottaa lokidataa, jota voidaan hyödyntää havaintojen tekemisessä,
  • mahdollistaa perusmuotoisen sovellus- ja haittaliikennesuodatuksen ympäristön tarpeen mukaan.

Käytännön parannus syntyy siitä, että palomuurisäännöille on omistaja ja elinkaari: kuka pyytää muutosta, kuka hyväksyy, millä perusteella sääntö lisätään, miten se dokumentoidaan ja milloin se tarkastetaan. Käpy A.I. Oy:n konsultointi auttaa rakentamaan näihin selkeän prosessin ja varmistamaan, että tekninen toteutus vastaa sovittua riskitasoa.

2) Segmentointi: rajoita sivuttaisliike ja eriytä riskit

Segmentointi on usein suurin yksittäinen parannus, jolla pienennetään vahingon leviämistä. Segmentoinnin ydin ei ole VLAN-numerot, vaan se, että eri toimintojen välillä on tarkoitukselliset ja dokumentoidut liikennesäännöt.

Hyödyllinen perusjaottelu pk-yrityksessä voi olla esimerkiksi:

  • Työasemat (normaali käyttäjäliikenne)
  • Palvelut ja hallintaverkko (AD, tiedostopalvelut, hallintatyökalut)
  • Tuotantolaitteet / OT / IoT (erillään käyttäjäverkoista)
  • Vierailijaverkko (ei reittejä sisäverkkoon)
  • Toimittajayhteydet (rajattu ja valvottu)

Segmentoinnin tavoitteena on, että esimerkiksi yhden työaseman kompromissista ei synny suoraa reittiä palvelimille tai hallintatyökaluihin. Samalla mahdollistetaan se, että riskisempiä laitteita (kuten IoT) voidaan käyttää liiketoiminnassa ilman, että ne jakavat saman luottamusalueen kriittisten järjestelmien kanssa.

Jos segmentointi tuntuu “liian isolta projektilta”, se voidaan tehdä vaiheittain. Kartoituksessa määritetään ensin, mitkä yhteydet ovat kriittisiä ja mitkä voidaan katkaista tai rajata nopeasti. Tämä lähestymistapa tuo tuloksia ilman, että koko verkko rakennetaan uusiksi.

3) VPN ja etäyhteydet: turvallisuus syntyy käyttöoikeuksista, laitteista ja lokituksesta

VPN on monessa organisaatiossa etätyön perusratkaisu, mutta pelkkä “VPN päällä” ei takaa turvallisuutta. Etäyhteyksissä ratkaisevia ovat:

  • Vahva tunnistautuminen: monivaiheinen tunnistautuminen ja selkeä poistoprosessi, kun rooli muuttuu tai työsuhde päättyy.
  • Pääsyn rajaus: käyttäjälle vain ne verkkoresurssit, joita työ vaatii (least privilege myös verkossa).
  • Laitteen kunto: ajantasaiset päivitykset, levy- ja liikennesuojaus sekä hallittu laiteympäristö.
  • Lokitus ja seuranta: poikkeamat näkyviin ja reagointivastuut selkeiksi.

Monessa pk-yrityksessä etäyhteys avaa liian laajan näkyvyyden sisäverkkoon. Kun VPN yhdistyy segmentointiin ja käyttäjäryhmäkohtaisiin sääntöihin, riski pienenee huomattavasti. Käpy A.I. Oy:n tietoturvakoulutukset tukevat tätä käytännössä: henkilöstö ymmärtää, miksi tietyt toimintatavat (esim. omien laitteiden käyttö tai epäselvät jakoratkaisut) kasvattavat riskiä ja miten toimitaan oikein arjessa.

Miten Käpy A.I. Oy auttaa: kartoituksesta toteutukseen ja jatkuvaan kehittämiseen

Verkon suojaus onnistuu, kun organisaatiolla on yhteinen näkemys nykytilasta ja realistinen suunnitelma siitä, mitä parannetaan ensimmäisenä. Käpy A.I. Oy:n palvelut on rakennettu niin, että ne tuottavat päätöksenteon kannalta olennaisen tiedon ja auttavat viemään tekniset toimet käytäntöön.

Nykytilakartoitus ja riskiperusteinen priorisointi

Verkkoa ei kannata suojata “fiilispohjalta”. Kartoituksessa käydään läpi esimerkiksi:

  • verkon rakenne ja luottamusalueet (segmentointi ja reititykset),
  • palomuurisääntöjen hallinta ja dokumentaatio,
  • etäyhteyksien malli ja käyttöoikeuksien rajaus,
  • valvonnan ja lokituksen kattavuus,
  • poikkeamien käsittely: kuka tekee mitä, millä aikataululla ja millä työkaluilla.

Lopputuloksena syntyy ymmärrettävä kokonaiskuva, jossa havainnot sidotaan riskeihin ja liiketoimintavaikutuksiin. Tämä auttaa perustelemaan päätöksiä myös silloin, kun vaihtoehtoja on useita ja budjetti tai resurssit ovat rajalliset.

Vaatimustenmukaisuus ja kypsyys: GAP-näkymä siihen, mitä puuttuu

Monessa organisaatiossa verkon suojaus kytkeytyy suoraan vaatimuksiin: asiakasvaatimukset, toimittaja-auditoinnit ja sertifiointitavoitteet. Käpy A.I. Oy:n kartoituksissa voidaan tehdä vaatimustenmukaisuuden näkökulmasta selkeä GAP-analyysi, jossa tunnistetaan puutteet ja laaditaan toimenpidelista. Tämä tukee myös hallintamallia: tekniset kontrollit eivät jää yksittäisiksi muutoksiksi, vaan ne sidotaan prosesseihin, rooleihin ja todennettavaan tekemiseen.

Konsultointi IT-hankinnoissa ja muutoksissa: turvallisuus mukaan jo suunnitteluun

Verkon suojaus paranee usein “muutosten sivutuotteena”: uusi toimipiste, pilvimigraatio, palomuurin vaihto, laitehallinnan uudistus tai tuotantoverkon laajennus. Riski syntyy, jos turvallisuutta tarkastellaan vasta lopussa. Kun turvallisuus tuodaan suunnitteluun, vältetään yleiset ongelmat: ylisallitut säännöt, väärät oletukset ja puutteellinen dokumentaatio.

Käpy A.I. Oy auttaa määrittelemään vaatimukset ja arkkitehtuuriperiaatteet ennen hankintaa ja varmistaa, että toteutus vastaa tavoitetilaa. Tarvittaessa voidaan tukea myös pääkäyttöoikeuksien hallintaa esimerkiksi mallilla, jossa oikeudet ovat tilapäisiä ja todennettavasti valvottuja; tämä vähentää merkittävästi vahingon vaikutusta, jos käyttäjätili tai laite joutuu hyökkääjän haltuun. Aiheeseen liittyen kannattaa tutustua myös ratkaisuun paikallisten pääkäyttäjäoikeuksien hallintaan, jos organisaatiossa on tarve vähentää pysyviä admin-oikeuksia.

Käytännön tarkistuslista: mitä voi tehdä seuraavaksi (ilman jättiprojektia)

Jos verkon suojaus on “listalla, mutta ei liiku”, eteneminen helpottuu, kun seuraavat askeleet ovat konkreettisia ja rajattuja:

  1. Nimeä omistajuus: kuka vastaa verkon suojausmallista ja palomuurisääntöjen elinkaaresta.
  2. Piirrä karkea luottamusaluekartta: työasemat, palvelut, IoT, vieraat, toimittajat. Tavoite on ymmärrys, ei täydellinen kaavio.
  3. Tee “deny by default” -ajattelu näkyväksi: mitä yhteyksiä oikeasti tarvitaan ja mitä voidaan rajata.
  4. Rajaa etäyhteydet: ryhmäkohtaiset säännöt ja vahva tunnistautuminen.
  5. Ota lokit talteen ja sovi reagointi: mitä seurataan ja kuka käsittelee hälytykset.
  6. Kytke mukaan varautuminen: jos hyökkäys tapahtuu, miten toimitaan ja miten palaudutaan. Palautumisen kannalta tärkeää on myös varmistaa, että varmuuskopiointi kestää hyökkäyksen; tähän liittyen hyvä lähtökohta on immuuttinen varmuuskopiointi ja palautustestauksen malli.

Kun nämä perusasiat ovat kunnossa, seuraava taso on kokonaisvaltainen näkyvyys ja uhkien havaitseminen. Joillekin organisaatioille tämä tarkoittaa XDR-tyyppistä lähestymistä, jossa päätelaitteiden, verkon ja pilvipalveluiden tapahtumat tuodaan yhteen. Tarvittaessa voidaan hyödyntää esimerkiksi XDR-alustaa parantamaan havainnointia ja reagointia – aina organisaation tarpeen ja kypsyystason mukaan.

CTA: ota verkon suojaus haltuun hallitusti

Jos yrityksen verkon suojaus perustuu oletuksiin, vanhoihin sääntöihin tai yksittäisiin laitteisiin, seuraava askel on tehdä näkyväksi nykytila ja päättää, mitkä parannukset pienentävät riskiä eniten. Käpy A.I. Oy auttaa kartoittamaan verkon suojausmallin, priorisoimaan toimet ja vahvistamaan henkilöstön toimintatapoja niin, että suojaus kestää myös arjen poikkeamat ja muutokset.

Aloita keskustelu ja pyydä ehdotus: ota yhteyttä tai tutustu palveluihin sivulla tietoturvakartoitukset.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma