Salasanat ja MFA yrityksen henkilöstölle: selkeät pelisäännöt, käyttöönotto ja valvonta
Miksi salasanat ja MFA kaatuvat arjessa – vaikka tekniikka olisi kunnossa
Monessa organisaatiossa salasanapolitiikka ja monivaiheinen tunnistautuminen (MFA) ovat jo olemassa “paperilla”. Silti tunnukset päätyvät vääriin käsiin, käyttäjät hyväksyvät kirjautumispyyntöjä ajattelematta ja sama salasana kiertää useassa palvelussa. Ongelma ei yleensä ole yksittäinen käyttäjä, vaan toimintamalli: ohjeet ovat epäselvät, poikkeuksia on liikaa ja käyttöönotto on tehty ilman koulutusta, seurantaa ja johdon tukea.
Käpy A.I. Oy auttaa rakentamaan salasanat ja MFA -kokonaisuuden niin, että se toimii käytännössä. Lähtökohtana on yhdistää selkeät pelisäännöt, henkilöstön arkea vastaava koulutus ja nykytilan kartoitus, jonka perusteella suojaukset toteutetaan hallitusti – ilman että tuottavuus kärsii.
Selkeät pelisäännöt: mitä henkilöstön pitää oikeasti osata ja tehdä
Toimiva malli ei synny pitkistä ohjeista, vaan muutamasta selkeästä periaatteesta, jotka näkyvät jokapäiväisessä työssä. Kun pelisäännöt ovat ymmärrettäviä, niiden noudattaminen on realistista myös kiireessä.
1) Salasanat: tavoite ei ole täydellisyys, vaan murtamisen kustannus
Salasanakäytännön tarkoitus on nostaa väärinkäytön kynnystä ja estää ketjureaktio: yhden palvelun tunnuksen vuoto ei saa avata ovea muihin järjestelmiin. Käytännössä tämä tarkoittaa tyypillisesti:
- Uniikit salasanat kaikille tärkeille palveluille (erityisesti sähköposti, VPN, pilvipalvelut, taloushallinto).
- Salasananhallinta (password manager) organisaation hyväksymänä toimintatapana, ei “nörttien työkaluna”.
- Selkeä ohje salasanojen pituudesta ja muodostamisesta (painotus pituuteen ja ainutlaatuisuuteen, ei monimutkaisuustrikkeihin).
- Vuototilanteen toimintamalli: mitä tehdään heti, kenelle ilmoitetaan ja miten vaihdetaan salasanat hallitusti.
Käpy A.I. Oy:n koulutuksissa salasanakäytännöt puretaan arjen tilanteiksi: miten toimitaan ja miksi. Samalla määritetään yrityksen yhteiset minimitasot ja poikkeusprosessi (esim. tuotantojärjestelmät, integraatiot, jaetut tunnukset, palvelutilit), jotta “pakon sanelemat” ratkaisut eivät jää pysyviksi riskeiksi.
2) MFA: pienin lisävaiva, suurin riskin pieneneminen
MFA vähentää merkittävästi tilikaappauksia, mutta vain jos sitä käytetään oikein. Henkilöstön kannalta kriittisiä osa-alueita ovat:
- Mitä MFA-pyyntö tarkoittaa ja milloin sitä ei saa hyväksyä.
- Väsytystunnistautumisen (MFA fatigue) tunnistaminen: jatkuvat hyväksyntäpyynnöt ovat hälytys, ei rutiini.
- Palautumismalli: toiminta puhelimen vaihtuessa, kadotessa tai rikkoutuessa, jotta ohituksia ei tehdä hätäisesti.
- Rooliperusteisuus: ylläpito- ja talousroolit tarvitsevat usein tiukemmat vaatimukset kuin peruskäyttäjät.
Kun MFA otetaan käyttöön ilman ennakkoviestintää, seurauksena on ohituksia, tukipyyntöruuhkaa ja lopulta “väliaikaisia” poikkeuksia. Käpy A.I. Oy auttaa suunnittelemaan käyttöönoton vaiheistuksen, jossa käyttäjäkokemus huomioidaan, mutta tietoturvan tavoitetaso pidetään kirkkaana.
Käyttöönotto käytännössä: kartoitus, suunnittelu ja hallittu muutos
Salasana- ja MFA-uudistus on muutoshanke, ei vain asetusten ruksi. Siksi onnistuminen edellyttää, että nykytila tunnetaan ja tavoitetila on kuvattu konkreettisesti. Käpy A.I. Oy toteuttaa tämän tyypillisesti kolmella toisiaan tukevalla osa-alueella: kartoitus, koulutus ja konsultointi.
Nykytilan kartoitus: mitä mitataan ennen kuin kiristetään vaatimuksia
Ennen muutoksia selvitetään, missä riski oikeasti on ja mitkä reunaehdot vaikuttavat. Tietoturvan nykytilaa voidaan arvioida esimerkiksi tietoturvakartoituksen avulla. Salasanojen ja MFA:n osalta kartoituksessa tarkastellaan tyypillisesti:
- Onko MFA käytössä kaikissa kriittisissä palveluissa ja kaikille käyttäjäryhmille.
- Miten kirjautumisia valvotaan: hälytykset, poikkeamat, mahdottomat matkustukset, epäonnistuneet kirjautumiset.
- Mitkä ovat yleisimmät poikkeukset ja miksi ne ovat syntyneet.
- Miten identiteetin ja käyttöoikeuksien elinkaari hoidetaan (liittyy/poistuu/roolinvaihto).
Kartoitus tuottaa johdolle ja IT-vastuulle selkeän tilannekuvan: mitä korjataan ensin, mitkä muutokset ovat nopeita ja mitkä vaativat suunnittelua.
Koulutus: henkilöstö tekee päätökset 10 sekunnissa
Henkilöstön tietoturvakoulutuksen tavoite ei ole lisätä sääntöjä, vaan tehdä turvallisesta toiminnasta oletus. Käpy A.I. Oy:n tietoturvakoulutuksissa salasanat ja MFA käsitellään käytännön tilanteiden kautta:
- Miltä näyttää tyypillinen tilikaappausyritys ja missä vaiheessa käyttäjä voi katkaista ketjun.
- Miten tunnistetaan huijaus, joka yrittää ohjata MFA:n ohi (esim. valesivut, kiirepainostus).
- Miten toimitaan, jos vahingossa hyväksyy MFA-pyynnön tai epäilee sitä.
Kun koulutukseen liitetään organisaation oma toimintamalli (keneen otetaan yhteys, miten raportoidaan, mitä tehdään ensimmäisenä), toimintakyky paranee myös poikkeamatilanteissa. Samalla tukikuorma pienenee, kun käyttäjät tietävät perusasiat ja ohjeistus on yhdenmukainen.
Konsultointi ja päätöksenteko: politiikasta valvontaan ja käytäntöön
Pelkkä “ota MFA käyttöön” ei ratkaise kokonaisuutta. Käpy A.I. Oy:n tietoturvakonsultointi auttaa tekemään valinnat, jotka kestävät arjessa:
- Mitkä tunnistautumismenetelmät hyväksytään (sovelluspohjainen, FIDO2/avaimet, SMS:n välttäminen kriittisissä rooleissa).
- Miten riskiperusteinen kirjautuminen ja ehdollinen pääsynhallinta (Conditional Access) rakennetaan hallitusti.
- Miten ylläpitäjätilit erotetaan, miten vähimmäisoikeusmalli toteutetaan ja miten poikkeuksia hallitaan.
Tarvittaessa kokonaisuus kytketään laajempiin vaatimuksiin: esimerkiksi ISO 27001 -kypsyystarkasteluun ja GAP-kartoituksiin, jolloin salasanat ja MFA eivät jää irralliseksi tekniseksi hankkeeksi, vaan tukevat vaatimustenmukaisuutta ja riskienhallintaa.
Valvonta ja jatkuva parantaminen: miten tiedetään, että MFA oikeasti suojaa
Käyttöönoton jälkeen tärkein kysymys on: toimiiko suojaus, ja nähdäänkö poikkeamat ajoissa? Monessa organisaatiossa MFA:n käyttöönotto jää “valmiiksi”, vaikka todellinen hyöty syntyy seurannasta ja reagointikyvystä.
Minimimittarit, jotka kannattaa sopia
Käpy A.I. Oy auttaa valitsemaan mittarit, jotka ovat kevyitä mutta hyödyllisiä. Tyypillisiä käytännön mittareita ovat:
- MFA-kattavuus: prosenttiosuus käyttäjistä ja kriittisistä palveluista, joissa MFA on pakollinen.
- Poikkeusten määrä: ketkä ovat ilman MFA:ta ja miksi (sekä aikaraja poikkeuksille).
- Riskihälytykset: epäilyttävät kirjautumiset, mahdottomat sijainnit, epäonnistuneiden kirjautumisten trendi.
- Raportointikäyttäytyminen: kuinka nopeasti epäilyttävä MFA-pyyntö raportoidaan ja mihin kanavaan.
Harjoittelu ja toisto: “yksi koulutus” ei riitä
Salasanat ja MFA kuuluvat perushygieniaan, mutta perushygienia rapautuu ilman muistuttamista. Siksi koulutusta kannattaa rytmittää ja kohdentaa. Käytännössä tämä voi tarkoittaa lyhyitä tietoiskuja, roolikohtaisia ohjeita ja harjoituksia, joissa testataan reagointia epäilyttävään kirjautumiseen.
Kun nämä yhdistetään säännölliseen nykytilan arviointiin, organisaatio pystyy parantamaan suojaustasoa ilman että arki muuttuu raskaaksi projektiksi.
Yleisimmät kompastuskivet – ja miten ne vältetään
- MFA kaikille, mutta ei kriittisimmille tileille erikseen: ylläpitäjätileille tarvitaan usein tiukempi malli ja erilliset tunnukset.
- Poikkeukset jäävät pysyviksi: “väliaikainen” ohitus pitää aina sitoa aikarajaan ja omistajaan.
- Ohjeet eivät vastaa työarkea: jos prosessi on liian hidas, käyttäjät kiertävät sen. Siksi toimintamalli pitää testata oikeissa tilanteissa.
- Valvonta puuttuu: ilman seurantaa ei tiedetä, onko MFA käytössä siellä missä pitää, tai tapahtuuko tilikaappausyrityksiä.
CTA: aloita salasanat ja MFA -kokonaisuuden kehittäminen hallitusti
Jos organisaatiossa on epäselvyyttä salasanoista, MFA:n kattavuudesta tai siitä, miten poikkeamiin reagoidaan, seuraava järkevä askel on nykytilan selkeyttäminen ja yhteisen toimintamallin rakentaminen.
Tutustu Käpy A.I. Oy:n tietoturvakartoituksiin ja tietoturvakoulutuksiin, tai ota yhteyttä ja kerro lähtötilanne: yhteystiedot. Saat ehdotuksen etenemisestä, jossa yhdistyvät käytännön pelisäännöt, henkilöstön valmiudet ja tekninen toteutus.



