Tietojenkalastelu yrityksessä: yleisimmät huijaukset ja käytännön malli varautumiseen

Miksi tietojenkalastelu osuu yrityksiin – ja miksi torjunta on usein prosessiongelma

Tietojenkalastelu (phishing) on yrityksissä edelleen yksi todennäköisimmistä tavoista, joilla hyökkääjä saa jalansijaa: tunnukset, maksuliikenteen ohjauksen, pääsyn sähköpostiin tai reitin haittaohjelmaan. Ilmiö ei ole vain “huijausviestejä” – se on toimintamalli, jossa hyödynnetään kiirettä, luottamusta ja arjen rutiineja. Siksi pelkkä tekninen suodatus ei riitä. Tarvitaan yhtä aikaa selkeät käytännöt, henkilöstön osaaminen ja päätöksenteon tuki.

Monessa organisaatiossa tietojenkalastelun torjunta kaatuu kolmeen käytännön esteeseen:

  • Toimintamalli puuttuu: epäilyttävästä viestistä ei tiedetä, kenelle ilmoitetaan ja mitä tehdään seuraavaksi.
  • Vastuut ovat epäselvät: johto, talous, IT ja henkilöstö ajattelevat riskin olevan “jonkun muun” tontilla.
  • Arjen painetilanne voittaa: kiireessä hyväksytään poikkeuksia (esim. maksupyyntö, tilin jakaminen, pikainen kirjautuminen linkistä).

Käpy A.I. Oy:n näkökulma on käytännönläheinen: tietojenkalastelun torjunta rakennetaan niin, että se toimii myös tavallisena tiistaina. Tämä tarkoittaa kohdennettua tietoturvakoulutusta, nykytilaa selkeyttävää tietoturvakartoitusta sekä tarvittaessa konsultointia, jolla päätetään mitä suojauksia kannattaa tehdä ja missä järjestyksessä.

Yleisimmät tietojenkalastelun muodot yrityksessä (ja mihin prosesseihin ne kohdistuvat)

Tietojenkalastelu kehittyy jatkuvasti, mutta yrityksissä toistuvat samat peruskuviot. Alla on yleisimmät huijaustyypit ja se, mihin liiketoiminnan käytäntöön ne tyypillisesti iskevät.

1) Tunnusten kalastelu (Microsoft 365 / sähköposti / pilvipalvelut)

Tyypillinen viesti väittää, että salasana vanhenee, postilaatikko on täynnä tai käyttäjätunnus lukitaan. Linkki johtaa näköissivulle, johon syötetään tunnukset. Jos monivaiheinen tunnistautuminen on heikko tai puuttuu, seurauksena on usein tilikaappaus ja sisäisen viestinnän väärinkäyttö.

Torjunta ei ole vain “älä klikkaa” -ohje. Yrityksen kannattaa varmistaa:

  • kirjautumisen peruskäytännöt: mistä palveluihin kirjaudutaan ja miten URL-osoitteet tarkistetaan
  • ilmoituskanava epäilyttävistä viesteistä (matala kynnys, nopea käsittely)
  • toipumismalli: mitä tehdään heti, jos tunnukset on annettu (tilin lukitus, istuntojen päättäminen, tarkistukset)

2) Toimitusjohtajahuijaus ja maksuliikenteen ohjaus (BEC)

“Hei, hoida tämä maksu heti” -tyyppinen pyyntö tulee näennäisesti johdolta tai kumppanilta. Se voi perustua aidon sähköpostiketjun jatkamiseen tai domainin hyvin pieneen kirjoitusasueron. Kohteena on taloushallinnon prosessi: hyväksyntä, poikkeusmenettely ja kiiretilanteet.

Käytännössä toimivin suoja on selkeä kaksikanavainen varmistus: maksupyyntö tai tilinumeroiden muutos varmistetaan aina erikseen (esim. puhelu aiemmin varmistettuun numeroon). Tämän pitää olla kirjattu käytäntö, ei henkilön “hyvä tapa”.

3) Laskuhuijaukset ja ostoreskontran manipulointi

Huijaus voi olla uusi lasku “uudelta toimittajalta” tai muutos olemassa olevan toimittajan maksutietoihin. Jos yrityksessä ei ole sovittua toimittajarekisterin muutosten kontrollia, huijaus läpäisee prosessin yllättävän helposti.

Riskin pienentämiseksi tarkennetaan roolit ja hyväksynnät: kuka saa muuttaa maksutietoja, millä perusteella ja millä tavalla muutos varmistetaan.

4) Haittaohjelmalinkit ja liitteet (”skannaamattomat” työjonot)

Liitteet (”lasku”, ”kuljetusasiakirja”, ”työsopimus”) ja linkit (”jaettu tiedosto”) ovat edelleen tehokkaita. Jos päätelaitteiden suojaus, oikeusmallit tai varmuuskopiointikyky eivät ole kunnossa, seuraukset voivat kasvaa nopeasti.

Organisaation kannattaa yhdistää koulutus ja käytännöt: miten liitteitä käsitellään, milloin epäillään, miten raportoidaan ja mitä ei tehdä (esim. makrojen salliminen kiireessä).

5) Smishing ja vishing: tekstiviestit ja puhelut

Tekstiviestit ja puhelut kohdistuvat usein henkilöihin, joilla on oikeuksia: IT-tuki, HR, johto tai talous. Puhelussa voidaan pyytää MFA-koodia tai saada henkilö hyväksymään kirjautuminen. Tämä on erityisen hankalaa, koska sosiaalinen paine on kova ja tilanne on “reaaliaikainen”.

Ratkaisevaa on, että henkilöstö tunnistaa pyynnön luonteen (”kukaan ei tarvitse kertakäyttökoodeja”) ja että yrityksessä on selkeä tapa eskaloida puhelu epäilyttäväksi ilman nolostumisen pelkoa.

Miten Käpy A.I. Oy auttaa: koulutus + kartoitus + konsultointi samaan toimintamalliin

Yritykset kysyvät usein, pitäisikö aloittaa koulutuksesta vai teknisestä suojaamisesta. Käytännössä paras tulos tulee, kun tehdään molemmat, mutta oikeassa järjestyksessä ja järkevällä rajauksella.

1) Tietoturvakartoitus: mitä oikeasti pitää korjata, jotta kalastelu ei muutu vahingoksi

Tietoturvakartoitus antaa selkeän kuvan siitä, missä kohtaa tietojenkalastelu todennäköisimmin läpäisee organisaation ja millaiset seuraukset siitä syntyy. Kartoituksessa tyypillisesti tarkennetaan:

  • Identiteetti ja pääsyt: miten kirjautuminen, palautusprosessit ja oikeudet on rakennettu.
  • Sähköpostiturva ja arjen asetukset: mitä suojauksia on käytössä ja miten ne tukevat toimintaa.
  • Maksuprosessi ja hyväksyntäketjut: missä on poikkeuspolut ja miten ne hallitaan.
  • Poikkeamien käsittely: miten ilmoitukset tulevat, kuka reagoi, miten tutkitaan ja miten opitaan.

Lopputulos ei ole pelkkä lista ongelmia, vaan priorisoitu etenemissuunnitelma: mitä korjataan ensin, mitä voidaan tehdä nopeasti ja mihin tarvitaan projektimaisempaa tekemistä.

2) Tietoturvakoulutus: henkilöstön taidot ja yhteinen tapa toimia

Kalastelu onnistuu, kun ihminen joutuu tekemään päätöksen epäselvän signaalin perusteella. Siksi henkilöstön tietoturvakoulutus kannattaa rakentaa tilanteiden ympärille, ei terminologian. Hyvin toimiva koulutusyrityskohtaisesti:

  • opettaa tunnistamaan viestien tyypilliset varoitusmerkit (kiire, uhkailu, poikkeukselliset pyynnöt)
  • harjoittelee päätöksentekoa: mitä teen nyt, mitä en tee, miten varmistetaan
  • selkeyttää roolikohtaiset riskit (talo, johto, HR, myynti, IT)
  • normalisoi ilmoittamisen: mieluummin “turha” ilmoitus kuin yksi ohitettu tapaus

Kun koulutus sidotaan organisaation omaan toimintamalliin (esim. maksujen varmistus, tunnusten palautus, raportointikanava), oppi siirtyy arkeen paremmin ja virheiden todennäköisyys pienenee.

3) Konsultointi: päätökset, jotka vähentävät riskiä ilman raskasta byrokratiaa

Tietojenkalastelun torjunta vaatii usein päätöksiä, joilla on vaikutus tuottavuuteen ja käyttäjäkokemukseen: miten vahva tunnistautuminen otetaan käyttöön, miten oikeusmalli rajataan, miten hyväksyntäketjut rakennetaan ja mitä lokitusta tarvitaan. Käpy A.I. Oy:n tietoturvakonsultointi auttaa tekemään nämä päätökset hallitusti ja perustellen, niin että ratkaisut sopivat organisaation kokoon ja toimintatapaan.

Konkreettinen malli: 30–60 päivää kohti parempaa suojaa tietojenkalastelua vastaan

Alla on käytännöllinen etenemismalli, jota voidaan soveltaa monen kokoiseen organisaatioon. Mallin idea on varmistaa, että henkilöstö tietää mitä tehdä, ja että organisaatio pystyy reagoimaan nopeasti, jos jotain tapahtuu.

Päivä 1–10: toimintamallin peruspalikat kuntoon

  • Määritä “ilmoita tästä” -kanava (esim. IT:n tiketti, tietoturvapostilaatikko tai muu sovittu käytäntö) ja tee se näkyväksi.
  • Kirjaa selkeä ohje: mitä työntekijä tekee epäilyttävän viestin kanssa (älä välitä eteenpäin, älä kirjaudu linkistä, ilmoita).
  • Sovi maksuprosessin varmistus: tilinumero- ja maksupyynnöt varmistetaan kaksikanavaisesti.

Päivä 11–30: kartoitus ja riskien priorisointi

  • Tee rajattu tietoturvan nykytilan arviointi: identiteetti, sähköposti, päätelaitteet, varautuminen.
  • Nosta 5–10 konkreettista kehitystoimenpidettä, joista osa on “nopeita voittoja”.
  • Sovi omistajat ja aikataulu: kuka tekee, milloin ja miten todennetaan, että muutos toteutui.

Päivä 31–60: koulutus, harjoittelu ja mittaaminen

  • Pidä roolikohtainen koulutus (yleinen henkilöstö + talous/johto/IT -painotukset).
  • Harjoittele vähintään yksi skenaario: toimitusjohtajahuijaus tai tunnusten kalastelu ja siihen reagointi.
  • Määritä 2–3 mittaria: ilmoitusten määrä, reagointiaika, toipumisvaiheiden läpimeno.

Tavoite ei ole luoda raskasta hallintamallia, vaan rakentaa kyky: epäily tunnistetaan, tieto kulkee nopeasti, vahinko rajataan ja opitaan.

Milloin tietojenkalastelu on merkki laajemmasta riskistä

Yksittäinen huijausviesti on arkipäivää. Huolestuttavampaa on, jos organisaatiossa näkyy toistuvia merkkejä siitä, että hyökkääjä voi edetä helposti:

  • tunnuksia joudutaan palauttamaan usein “kiireellisillä poikkeuksilla”
  • maksuprosessissa on jatkuvasti poikkeuksia tai ohituksia
  • ilmoituksia ei tule, koska henkilöstö ei tiedä mihin tai kokee ilmoittamisen turhaksi
  • vastuut ja päätöksenteko ovat hajallaan (”meillä on kyllä joku hoitamassa”)

Näissä tilanteissa nykytilan selkeyttäminen ja konkreettinen kehityssuunnitelma on usein nopein tapa pienentää riskiä. Käpy A.I. Oy:n palveluissa painotus on juuri tässä: tekeminen sidotaan arjen prosesseihin ja vastuisiin, ei pelkkään tekniseen listaukseen.

CTA: aloita kevyesti – pyydä arvio tietojenkalastelun riskeistä

Jos organisaatiossa halutaan vähentää tietojenkalastelun todennäköisyyttä ja erityisesti sen seurauksia, järkevin aloitus on selkeä nykytilakuva ja yhteinen toimintamalli. Käpy A.I. Oy auttaa yhdistämään kartoituksen, koulutuksen ja tarvittavan konsultoinnin niin, että kokonaisuus on toteutettavissa ja mitattavissa.

Seuraava askel: tutustu tietoturvakartoituksiin ja tietoturvakoulutuksiin tai ota yhteyttä ja sovitaan lyhyt aloituskeskustelu: yhteystiedot.