Mobiililaitteiden tietoturva yrityksessä: käytännön suojausmalli puhelimille ja tableteille (Heimdal, Admin By Request, Veeam, Digiturvamalli)
Miksi mobiililaitteiden tietoturva vuotaa usein juuri arjessa
Mobiililaitteet ovat monessa organisaatiossa kriittisin ja samalla vähiten hallittu työasema. Puhelimella hyväksytään monivaiheinen tunnistautuminen, luetaan sähköposteja, jaetaan tiedostoja Teamsissa, otetaan kuvia työmaalta ja käytetään toiminnanohjausta tai asiakasjärjestelmiä. Kun laite katoaa, varastetaan tai siihen asentuu haitallinen sovellus, riskinä ei ole vain yhden käyttäjän data, vaan pääsy yrityksen tileihin ja pilvipalveluihin.
Haaste ei yleensä ole se, ettei suojausta haluta. Haaste on käytännön toteutus: laitekanta on kirjava (Android/iOS), omia laitteita käytetään työn ohella, sovelluksia tulee ja menee, ja IT-tiimin aika menee muualle. Siksi mobiililaitteiden tietoturva kannattaa rakentaa selkeäksi malliksi, jossa jokaisella kontrollilla on oma roolinsa: uhkien torjunta päätelaitteessa, oikeuksien minimointi, palautettavuus sekä vaatimusten ja todisteiden hallinta.
Käpy A.I. Oy:n tarjoamat ratkaisut muodostavat tähän käytännöllisen kokonaisuuden: Heimdal Security päätelaitesuojaamiseen ja haitallisen liikenteen estoon, Admin By Request hallittuihin korotuksiin ja paikallisten oikeuksien kontrolliin, Veeam kriittisen datan varmistamiseen ja palautukseen (erityisesti Microsoft 365 -ympäristöissä), sekä Digiturvamalli siihen, että tekeminen saadaan dokumentoitua, johdettua ja auditoitua.
Yrityksen mobiililaitteiden tietoturvan 6 peruskontrollia (ja mitä niillä ratkaistaan)
Kun mobiiliturvaa suunnitellaan, keskustelu lähtee helposti yksittäisistä työkaluista. Toimivampi tapa on lähteä kontrollikokonaisuudesta. Alla on kuusi asiaa, jotka näkyvät lähes jokaisessa onnistuneessa käyttöönotossa.
1) Tunnistautuminen ja tilisuojaus: laite on usein vain avain
Monessa hyökkäyksessä kohde ei ole itse puhelin, vaan se, että puhelimen kautta saadaan hyväksyttyä kirjautuminen tai kaapattua istunto pilvipalveluun. Käytännön toimet ovat:
- Pakota MFA ja varmista, että kriittiset roolit on suojattu vahvemmilla menetelmillä.
- Rajoita kirjautumisia riskialttiista maista/verkosta (Conditional Access -tyyppinen logiikka).
- Varmista, että palautuskanavat (esim. SMS, sähköposti) eivät ohita turvaa.
Vaikka tunnistautuminen tehdään usein identiteettialustan kautta, mobiililaitteiden rooli on keskeinen: jos laitteen ilmoituksia hyväksytään ”automaattisesti”, hyökkääjä tarvitsee vain yhden heikon lenkin. Siksi kontrollien pitää ulottua käyttäjän arkeen.
2) Päätelaitesuojaus: uhkien torjunta, haitalliset yhteydet ja näkyvyys
Mobiililaitteissa korostuvat kolme riskiä: haitalliset linkit (phishing), haitalliset sovellukset sekä epäluotettomat verkot. Heimdal Securityn keskeinen hyöty mobiiliajattelussa on kyky tuoda päätelaiteturvaa osaksi yhtenäistä suojauskerrosta: uhkien havaitseminen, estot ja raportoitavuus samalla logiikalla kuin muissa päätelaitteissa.
Konkreettinen tavoite ei ole ”täydellinen turvallisuus”, vaan nopea katkaisu: jos käyttäjä avaa vahingossa linkin, haitallinen yhteys estetään ennen kuin tunnukset tai laitteelle ladattava sisältö ehtii tehdä vahinkoa. Samalla saadaan näkyvyys siihen, mitä päätelaitteissa tapahtuu – ilman että jokainen tapaus muuttuu manuaaliseksi selvitystyöksi.
3) Oikeuksien minimointi: miksi pääkäyttäjyys ei kuulu taskuun
Mobiililaitteissa ei puhuta Windows-tyylisestä paikallisesta administa samalla tavalla kuin työasemissa, mutta periaate on sama: laite ei saa antaa käyttäjälle tai sovellukselle tarpeettomia valtuuksia. Oikeuksien minimointi näkyy esimerkiksi näin:
- Sovellusten asennus vain hallituista lähteistä ja yrityksen hyväksymillä käytännöillä.
- Työ- ja henkilökohtaisen käytön eriyttäminen (yritystili, työprofiili).
- Yritysdatan kopioinnin/jaon rajaukset (esim. ei automaattista synkkaa yksityisiin pilviin).
Admin By Request täydentää kokonaisuutta erityisesti ympäristöissä, joissa mobiililaitteiden rinnalla on kannettavia ja työasemia: kun oikeuksien hallinta on toteutettu Just-in-Time -mallilla ja jokainen korotus lokittuu, myös ”mobiilin kautta aloitettu” ketju saadaan hallintaan. Käytännössä tämä vähentää tilannetta, jossa käyttäjä asentaa ”vain yhden pienen apuohjelman” koneelle, koska se helpottaa työtä – ja samalla avaa hyökkäyspinnan.
4) Päivitykset ja haavoittuvuudet: hallinta ei saa riippua käyttäjän muistista
Mobiililaitteissa päivitysten ongelma ei ole tekninen vaan organisatorinen: päivityksiä siirretään, koska ”nyt ei ehdi” tai ”akku loppuu”. Käytännön malli on:
- Määritä minimitaso (OS-versio ja turvapäivitysten ikä), jonka alle jäävät laitteet menettävät pääsyn yrityspalveluihin.
- Valvo ja raportoi poikkeamat säännöllisesti.
- Sovi poikkeuskäytännöt (esim. toimittajalaitteet, työnjohto, 24/7-roolit).
Kun tämä kytketään Digiturvamalliin, samasta asiasta saadaan myös todisteketju: mitä on vaadittu, miten sitä seurataan ja mitä tehdään, kun laite ei täytä ehtoja. Tämä on käytännössä se ero, joka erottaa ”meillä on ohje” -tason toiminnan ja aidosti hallitun tietoturvan.
5) Palautettavuus: varmistusstrategia myös mobiilityön datalle
Mobiililaitteissa data ei aina asu puhelimessa – se asuu pilvipalveluissa. Siksi palautettavuus tarkoittaa usein erityisesti Microsoft 365 -ympäristön dataa: Exchange Online, OneDrive ja SharePoint. Kun käyttäjän tili kaapataan, haitallinen toimija voi poistaa tai salata sisältöä myös pilvessä. Pelkkä roskakori ei ole varsinainen palautussuunnitelma.
Veeam tuo tähän selkeän mallin: varmistetaan kriittinen pilvidata erilliseen varmistusketjuun ja harjoitellaan palautuksia niin, että palautus ei ole ”projekti”, vaan toistettava rutiini. Käytännössä tämä tarkoittaa:
- Selkeät RPO/RTO-tavoitteet tärkeimmille aineistoille.
- Palautustestit: tiedetään etukäteen, kuinka nopeasti käyttäjän postilaatikko tai OneDrive palautuu.
- Immutable/eriytetty säilytys, jotta hyökkääjä ei pääse varmistuksiin samalla tunnuksella.
6) Vaatimukset, todisteet ja jatkuva parantaminen: Digiturvamalli kokoaa tekemisen
Mobiiliturva ei ole vain tekninen asetuslista. Usein pitää pystyä osoittamaan johdolle, asiakkaille tai auditoinnissa, että suojaus on suunniteltu ja sitä seurataan. Digiturvamalli toimii tässä käytännön työkaluna:
- määritetään vaatimukset (esim. laitteiden lukitus, päivitystasot, hyväksytyt sovellukset)
- kirjataan vastuut (IT, esihenkilöt, käyttäjät, kumppanit)
- kerätään todisteet ja raportit yhtenäisesti
- luodaan korjausjonot ja seuranta (mitä korjataan, milloin ja miksi)
Tulos on erityisen arvokas silloin, kun organisaatio kasvaa, henkilöstö vaihtuu tai asiakasvaatimukset kiristyvät. Kun malli on olemassa, mobiiliturvan kehitys ei nojaa muistiin tai yksittäiseen henkilöön.
Esimerkkitilanteet: mitä tapahtuu, kun jotain menee pieleen
Seuraavat tilanteet kuvaavat, miksi kerroksellinen malli toimii paremmin kuin yksittäinen ”mobiilisuojausprojekti”.
Tilanne 1: Puhelin katoaa – mitä pitää tapahtua ensimmäisen tunnin aikana?
- Nopea reagointi: laite lukitaan/tyhjennetään ja pääsyt katkaistaan.
- Tilisuojaus: tarvittaessa pakotetaan uloskirjautumiset ja resetoidaan tunnistetiedot.
- Todisteet: Digiturvamalliin kirjataan tapahtuma, toimenpiteet ja jälkiseuranta.
Kun prosessi on sovittu etukäteen, katoaminen ei aiheuta kaaosta. Olennaista on, että reagointi ei ole yhden ihmisen varassa.
Tilanne 2: Käyttäjä klikkaa phishing-linkkiä mobiilissa
- Estot ja näkyvyys: Heimdal Securityn suojauskerros voi estää haitallisen liikenteen ja auttaa havaitsemaan poikkeaman.
- Rajat oikeuksissa: jos hyökkääjä saa jalansijan, Admin By Requestin JIT-malli vähentää etenemistä työasemiin ja palvelimiin.
- Palautus: jos pilvidataa manipuloidaan, Veeamilla palautus tehdään hallitusti eikä viime hetken improvisaationa.
Tilanne 3: Sovellus kerää liikaa oikeuksia ja vuotaa dataa
Tässä tilanteessa tekninen estäminen (asennuskäytännöt, sovelluslista, käyttöoikeusrajaukset) on tärkeä, mutta yhtä tärkeää on seurantakyky: poikkeamat pitää pystyä löytämään ja käsittelemään. Digiturvamalli auttaa kirjaamaan hyväksyntäkäytännön ja arviointiperusteet, jolloin ”uuden hyödyllisen sovelluksen” käyttöönotto ei jää yksittäisen käyttäjän päätökseksi.
Käyttöönoton eteneminen: 30–60 päivän realistinen malli
Mobiililaitteiden tietoturvan voi tehdä hallitusti myös ilman raskasta hanketta. Toimiva eteneminen on yleensä:
- Nykytila ja riskit: laitekanta, käyttötavat, kriittiset sovellukset ja roolit.
- Minimivaatimukset: lukitus, päivitystasot, salaus, hyväksytyt sovellukset, tilisuojaus.
- Tekniset kontrollit: Heimdal Securityn suojauskerros + oikeuksien hallinnan malli Admin By Requestillä työasemille ja ylläpitotehtäviin.
- Palautettavuus: Veeamilla varmistus ja palautustestit Microsoft 365 -datalle ja muille kriittisille kohteille.
- Hallinta ja todisteet: Digiturvamalliin vaatimukset, vastuut, raportit ja jatkuvan parantamisen käytäntö.
Tällä mallilla saadaan nopeasti näkyviä hyötyjä: vähemmän riskialttiita laitteita, vähemmän hallitsemattomia asennuksia, ja ennen kaikkea parempi kyky palautua, jos jotain tapahtuu.
CTA: haluatko mobiiliturvan mallin, joka kestää myös poikkeustilanteet?
Jos mobiililaitteiden tietoturva on hajallaan (tai nojaa ohjeisiin, joita ei seurata), kannattaa ottaa asia käsittelyyn yhtenä kokonaisuutena. Käpy A.I. Oy auttaa suunnittelemaan ja toteuttamaan mallin, jossa Heimdal Security, Admin By Request, Veeam ja Digiturvamalli tukevat toisiaan käytännössä.
Ota yhteyttä ja sovitaan lyhyt läpikäynti nykytilasta sekä siitä, mitkä kontrollit kannattaa ottaa käyttöön ensimmäisenä. Tavoitteena on selkeä, mitattava ja ylläpidettävä mobiiliturva – ilman turhaa monimutkaisuutta.



