Tietojen salaus käytännössä: miten varmistat avainten hallinnan, laitesalauksen ja vaatimustenmukaisuuden

Miksi tietojen salaus on edelleen rikki monessa organisaatiossa

Tietojen salaus on yksi harvoista tietoturvatoimista, joka pienentää riskiä myös silloin, kun muut suojaukset pettävät. Silti käytännössä salaus jää monessa yrityksessä irralliseksi tekniseksi asetukseksi: levy on salattu, pilvipalvelussa ”on jotain päällä” ja sähköpostissa luotetaan siihen, että yhteys on suojattu. Todellinen suoja syntyy vasta, kun ymmärretään mitä salataan, missä salataan, kuka hallitsee avaimia ja miten salaus liittyy käyttöoikeuksiin, varmuuskopioihin ja toimintamalleihin.

Vuonna 2026 yleisimmät ongelmat eivät yleensä ole salausalgoritmeissa, vaan arjessa:

  • avainten hallinta on epäselvää (”kuka omistaa avaimet ja miten ne palautetaan?”)
  • salauksen kattavuus on osittainen (laitteet kyllä, mutta siirto, varmuuskopiot tai pilvidata ei)
  • salauksen käyttö ei ole linjassa vaatimustenmukaisuuden kanssa (esim. todentaminen ja audit trail)
  • henkilöstö ei tunnista tilanteita, joissa salaus on olennaista (liitetiedostot, jakolinkit, USB-media, mobiili)

Käpy A.I. Oy auttaa organisaatioita tekemään salauksesta hallitun kokonaisuuden: koulutusten avulla henkilöstö ymmärtää käytännön toimintatavat, kartoituksilla varmistetaan nykytilan ja riskien näkyvyys, ja konsultoinnilla suunnitellaan tekniset sekä hallinnolliset ratkaisut niin, että ne kestävät myös auditoinnin ja poikkeamatilanteet. Kun tavoitteena on konkreettinen riskin pienentäminen, salaus toteutetaan aina osana kokonaisuutta, ei irrallisena projektina.

Mitä ”tietojen salaus käytännössä” tarkoittaa: kolme suojauskerrosta

Salausta kannattaa tarkastella kolmessa kerroksessa, koska riskit kohdistuvat eri vaiheisiin: data levossa, data liikkeessä ja data käytössä.

1) Salaus levossa: päätelaitteet, palvelimet ja pilvidata

”Levy on salattu” on hyvä lähtökohta, mutta ei vielä takaa hallittua suojaa. Käytännön varmistettavia asioita ovat:

  • Päätelaitesalaus: työasemat ja kannettavat (myös offline-tilanteet), palautusavainten hallinta ja prosessi.
  • Mobiililaitteet: laitteen salaus, lukituskäytännöt ja etähallinta (esim. kadonneen laitteen tyhjennys).
  • Palvelin- ja tallennusympäristöt: tallennus- ja tietokantasalaus, avainten eriytys sekä varmistus siitä, ettei salausavaimia säilytetä samassa paikassa datan kanssa.
  • Pilvipalvelujen data: ymmärrys siitä, mitä palveluntarjoaja salaa automaattisesti ja mitä organisaation on suojattava itse (esim. asiakirjakohtainen luokittelu ja salaus, avainten omistus).

Käpy A.I. Oy:n tietoturvakartoitus tekee näkyväksi, missä salaus on oikeasti käytössä ja missä se on oletusasetusten varassa. Kartoituksessa tunnistetaan myös tyypilliset heikot kohdat: laitteet ilman salausta, vanhat järjestelmät, epäselvät palautusavaimet, sekä hallintamallit, jotka eivät toimi henkilöstövaihdoksissa tai palveluntarjoajan muutoksissa.

2) Salaus liikkeessä: tiedonsiirto, integraatiot ja jakaminen

Moni organisaatio ajattelee, että TLS/HTTPS ”hoitaa salauksen”. Se on välttämätön, mutta ei aina riittävä. Käytännön riskit liittyvät siihen, miten tietoa jaetaan ja miten integraatiot rakennetaan:

  • Jakolinkit ja tiedostojen jakaminen: linkin suojaus, vanhentuminen, oikeuksien periytyminen ja ulkoiset käyttäjät.
  • Sähköpostin liitteet: väärälle vastaanottajalle lähtenyt liite on edelleen yksi yleisimmistä tietovuotokanavista. Tarvitaan toimintamallit ja tarvittaessa lisäsuojaus (esim. suojatut linkit, luokittelu, DLP-käytännöt).
  • API:t ja integraatiot: autentikointi, tokenien elinkaari, salaisuuksien (secrets) hallinta ja lokitus.
  • Etäyhteydet: VPN/Zero Trust -mallit, laitteiden kunnon tarkastukset ja vahva tunnistautuminen.

Käpy A.I. Oy:n konsultointi auttaa määrittämään, missä riittää siirtosuojaus ja missä tarvitaan lisäksi sisällön suojaus (esim. tiedoston tai viestin salaaminen niin, että sisältö pysyy suojattuna myös palvelun ulkopuolella). Tämä korostuu erityisesti silloin, kun käsitellään henkilötietoja, sopimuksia, tuotekehityksen aineistoa tai liiketoimintakriittisiä raportteja.

3) Data käytössä: käyttöoikeudet, pääkäyttäjäoikeudet ja avainten hallinta

Vaikka data olisi salattua levossa ja liikkeessä, käytössä se on aina lopulta luettavissa niille, joilla on oikeus. Siksi salaus kytkeytyy aina identiteettiin ja rooleihin. Käytännössä tämä tarkoittaa:

  • Vähimmän oikeuden periaate: käyttäjille annetaan vain ne oikeudet, joita työ vaatii.
  • Pääkäyttäjäoikeuksien hallinta: tilapäiset oikeudet, hyväksyntä, lokitus ja jäljitettävyys.
  • Avainten hallinta (KMS/HSM): missä avaimet elävät, kuka voi käyttää niitä, miten avainten kierto tehdään ja miten avaimet palautetaan hallitusti.

Kun salauksen avaimet ovat ”yhdellä ihmisellä” tai yksittäisen toimittajan hallussa ilman dokumentoitua prosessia, riski on sekä tietoturvallinen että liiketoiminnallinen: palautus voi epäonnistua, käyttö voi keskeytyä tai auditointi kaatua. Tämän vuoksi Käpy A.I. Oy yhdistää salauksen suunnittelun aina käyttöoikeus- ja hallintamalliin sekä varautumiseen.

Monessa ympäristössä hyvä käytännön askel on ottaa käyttöön hallittu malli paikallisten ylläpito-oikeuksien rajaamiseen. Tätä varten voidaan hyödyntää esimerkiksi pääkäyttäjäoikeuksien hallinnan toimintamallia, jossa oikeudet ovat ajastettuja ja tapahtumat lokitetaan.

Vaatimustenmukaisuus ja salaus: miten varmistetaan todistettavuus

Salaus liittyy suoraan vaatimuksiin, joita organisaatiolle tulee asiakkaiden sopimuksista, toimialasääntelystä ja omista tavoitteista (esim. ISO 27001). Käytännössä auditointi ei kysy vain, onko salaus “päällä”, vaan:

  • mitä tietoa salataan ja millä perusteella (luokittelu ja riskipohjainen päätös)
  • miten avaimia hallitaan (omistajuus, kierto, palautus ja eriytys)
  • miten valvotaan ja todistetaan toiminta (lokit, hälytykset, poikkeamien käsittely)
  • miten henkilöstö toimii arjessa (ohjeistus ja koulutus)

Käpy A.I. Oy tekee vaatimustenmukaisuuden näkökulmasta selkeän polun: kartoituksessa tunnistetaan puutteet ja riskit, ja niiden pohjalta muodostetaan konkreettinen kehityssuunnitelma. Kun tavoite on ISO 27001 -linjainen kokonaisuus, kypsyyskartoitus ja GAP-analyysi auttavat kohdistamaan työn oikein: mitä pitää muuttaa prosesseissa, mitä teknisesti ja miten se todennetaan.

Usein paras lopputulos syntyy, kun salaus kytketään kolmeen käytännön dokumenttiin ja rutiiniin:

  • tiedon luokittelu ja käsittelyohje (miten luottamuksellinen tieto jaetaan, missä se saa olla ja miten se suojataan)
  • avainten hallinnan periaatteet (vastuut, kierto, palautus, toimittajariippuvuudet)
  • palautus- ja jatkuvuusmalli (miten salattu data palautetaan häiriötilanteissa ja miten palautusta testataan)

Miten Käpy A.I. Oy rakentaa salauksesta toimivan kokonaisuuden: koulutus, kartoitus ja konsultointi

Salaus ei ole ”yksi projekti”, vaan jatkuva osa tietoturvan hallintaa. Käytännössä organisaatiot hyötyvät eniten mallista, jossa on kolme toisiaan tukevaa osaa.

Koulutus: henkilöstö tunnistaa tilanteet, joissa salaus ratkaisee

Tekniset kontrollit eivät estä kaikkia virheitä, jos arjen toimintatavat vuotavat. Koulutuksessa keskitytään siihen, miten tieto liikkuu oikeasti: sähköposti, Teams/SharePoint, mobiili, ulkoiset jakolinkit, asiakkaiden portaalit ja henkilökohtaiset laitteet. Tavoite ei ole tehdä kaikista kryptografian osaajia, vaan varmistaa, että henkilöstö osaa:

  • tunnistaa luottamuksellisen tiedon ja käsitellä sitä oikein
  • valita turvallisen jakamistavan (milloin linkki, milloin salattu liite, milloin suojattu kanava)
  • välttää tyypilliset vahingot: väärä vastaanottaja, liian laajat oikeudet, vanhat linkit

Kun koulutus kytketään organisaation omiin käytäntöihin ja työkaluihin, tulokset ovat mitattavia: vähemmän poikkeamia, vähemmän epäselviä tilanteita ja nopeampi reagointi. Käytännön toteutuksesta löytyy lisätietoa sivulta tietoturvakoulutukset.

Kartoitus: nykytila, riskit ja konkreettinen toimenpidelista

Ennen kuin päätetään ”otetaan salaus käyttöön”, pitää tietää missä ollaan nyt. Kartoituksessa käydään läpi ympäristö, prosessit ja kriittiset tietovirrat. Tyypillisiä kartoituksen tuloksia ovat:

  • lista järjestelmistä ja tiedoista, jotka vaativat vahvempaa suojausta
  • havaintoja avainten ja salaisuuksien hallinnasta (esim. missä tokenit säilyvät ja kuka hallitsee niitä)
  • priorisoitu kehityssuunnitelma, jossa yhdistyvät tekniset ja hallinnolliset toimet

Oleellinen hyöty päättäjille on läpinäkyvyys: mitä riskiä pienennetään, miten nopeasti ja millä riippuvuuksilla. Kartoitukset kuvataan tarkemmin sivulla tietoturvakartoitukset.

Konsultointi: suunnittelu, toteutuksen tuki ja valinnat, jotka kestävät muutoksen

Salausratkaisuissa tehdään usein päätöksiä, jotka sitovat vuosiksi: identiteettialusta, avainten hallintatapa, pilvi- ja hybridiratkaisut, varmistus sekä lokitus. Käpy A.I. Oy:n konsultointi tukee erityisesti näissä kohdissa:

  • arkkitehtuuri ja avainten omistus: miten minimoida toimittajariippuvuus ja varmistaa palautus
  • integraatiot ja tietovirrat: salaisuuksien hallinta, tokenien elinkaari ja lokitus
  • muutostilanteet: yritysjärjestelyt, toimittajavaihdot, pilvimigraatiot ja auditointivalmistelut

Kun organisaation tavoitteena on myös vahvistaa kykyä havaita poikkeamia ja reagoida, salauksen rinnalla tarkastellaan usein valvontaa ja suojauskerroksia. Tarvittaessa voidaan arvioida esimerkiksi XDR-tasoisia kyvykkyyksiä, joista löytyy lisätietoa sivulla TEHTRIS XDR -alusta.

Yleisimmät sudenkuopat ja miten ne vältetään

Seuraavat sudenkuopat nousevat esiin toistuvasti, kun ”salaus on olemassa”, mutta tietovuodot ja riskit eivät vähene odotetusti.

  • ”Meillä on pilvessä salaus” – mutta ei ymmärrystä vastuurajoista. Ratkaisu: määritä dataluokat, jakamiskäytännöt ja varmista avainten hallinta.
  • Palautusavaimet ja avaimenkierto on hoitamatta – mikä tekee salauksesta käytännössä riskin. Ratkaisu: selkeä omistajuus, dokumentoitu prosessi ja säännöllinen testaus.
  • Salaus rikkoo prosessin – käyttäjät kiertävät sen. Ratkaisu: koulutus + käytettävät työkalut ja ohjeet, joissa turvallinen tapa on myös helpoin.
  • Varmuuskopiot unohtuvat – salattu tuotantodata, mutta varmistukset ovat heikosti suojattuja tai niitä ei testata. Ratkaisu: varmistusstrategia ja palautusharjoittelu.

Erityisesti varmistusten kohdalla on hyvä muistaa, että salaus ei korvaa palautettavuutta. Jos organisaatiossa käytetään Microsoft 365 -ympäristöä, varmistuksen ja palautuksen suunnittelu kannattaa tehdä erikseen. Tähän löytyy käytännön vaihtoehtoja sivulta Microsoft 365 -varmuuskopiointi.

CTA: aloita salauksen nykytilasta ja tee siitä hallittu kokonaisuus

Jos organisaatiossa on epävarmuutta siitä, mitä on salattu, miten avaimet hallitaan tai miten ratkaisu kestää auditoinnin ja poikkeamat, järkevin aloitus on selkeä nykytilakuva ja riskien priorisointi.

Tutustu Käpy A.I. Oy:n tietoturvakartoituksiin ja tietoturvakoulutuksiin, tai ota yhteys ja sovitaan lyhyt läpikäynti siitä, mikä teillä on olennaisinta: laitesalaus, avainten hallinta, pilvidata vai turvallinen jakaminen. Yhteystiedot löytyvät sivulta yhteystiedot.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma