Tietojenkalastelu yrityksessä: yleisimmät huijaukset ja käytännön malli varautumiseen

Miksi tietojenkalastelu osuu yrityksiin – ja miksi pelkkä tekninen suoja ei riitä

Tietojenkalastelu (phishing) on yrityksissä sitkeä ongelma, koska se kiertää perinteiset suojaukset hyödyntämällä ihmisten päätöksentekoa. Hyökkäys ei yleensä ala “hakkeroimalla” järjestelmiä, vaan luomalla uskottava tilanne: kiire, auktoriteetti, poikkeava maksupyyntö tai kirjautumislinkki, joka näyttää oikealta. Kun yksikin käyttäjä antaa tunnuksensa tai hyväksyy haitallisen MFA-kyselyn, hyökkääjä pääsee etenemään nopeasti.

Tyypillinen seuraus ei ole vain yhden postilaatikon kompromissio. Usein nähdään ketju: sähköposti → tunnukset → sivuttaisliike → laskuhuijaus, datavuoto tai kiristyshaittaohjelman levitys. Siksi tietojenkalastelun torjunta kannattaa rakentaa kokonaisuutena, jossa yhdistyvät selkeät pelisäännöt, henkilöstön osaaminen sekä organisaation kyky havaita ja reagoida poikkeamiin.

Käpy A.I. Oy auttaa organisaatioita vähentämään tietojenkalastelun riskiä käytännönläheisillä tietoturvakoulutuksilla, riskiperusteisilla tietoturvakartoituksilla ja arjen tekemistä tukevalla tietoturvakonsultoinnilla. Tavoite ei ole lisätä byrokratiaa, vaan varmistaa, että ihmiset, prosessit ja tekniset kontrollit toimivat yhteen.

Yleisimmät tietojenkalasteluhuijaukset yrityksessä (ja mitä niissä tavoitellaan)

Tietojenkalastelu ei ole yksi huijaus, vaan joukko toimintamalleja, jotka muuntuvat organisaation mukaan. Seuraavat ovat yrityksissä toistuvia ja käytännössä merkittäviä.

1) Kirjautumissivun klooni (Microsoft 365 / pilvipalvelut)

Hyökkääjä lähettää linkin “tiedostoon”, “Teams-viestiin” tai “salattuun sähköpostiin”, joka ohjaa kirjautumissivulle. Sivun ulkoasu jäljittelee Microsoftia tai muuta palvelua. Tavoite on varastaa käyttäjätunnus ja salasana – ja usein myös saada käyttäjä syöttämään kertakäyttökoodi tai hyväksymään kirjautuminen.

Torjunta ei ole vain “älä klikkaa linkkiä”. Tarvitaan yhtenäinen käytäntö: miten kirjautumispyynnöt tunnistetaan, mitä kanavaa pitkin kirjautuminen tehdään, ja miten epäilyttävä tilanne raportoidaan. Lisäksi autetaan organisaatiota arvioimaan, ovatko tunnistautumisen ja sähköpostin suojausasetukset oikeasti riskitasoon nähden kunnossa (esimerkiksi ehdolliset käytännöt, kirjautumisriskin hallinta ja käyttöoikeuksien vähimmäistaso).

2) Toimitusjohtajahuijaus ja maksupyyntöjen manipulointi (BEC)

Business Email Compromise -huijauksessa hyödynnetään johdon, taloushallinnon tai projektipäälliköiden rooleja. Viesti voi tulla “toimitusjohtajalta” tai “toimittajalta”, ja siinä pyydetään kiireellinen maksu, tilinumeron muutos tai laskun uudelleenlähetys. Usein viesti on lyhyt, painostava ja pyrkii ohittamaan normaalit hyväksyntäketjut.

Toimiva torjunta rakentuu ennen kaikkea prosessista: maksuliikenteen varmistussoitto, tilinumeromuutosten kaksivaiheinen hyväksyntä ja selkeä toimintamalli poikkeustilanteisiin. Koulutuksessa nämä harjoitellaan konkreettisten esimerkkien kautta ja sovitetaan yrityksen omiin käytäntöihin.

3) MFA-väsytystaktiikka (MFA fatigue / push bombing)

Kun hyökkääjällä on salasana, hän voi pommittaa käyttäjää monivaiheisen tunnistautumisen hyväksyntäpyynnöillä. Tavoite on saada käyttäjä hyväksymään pyyntö “vahingossa” tai ärsyyntyneenä. Tämä on yleistynyt erityisesti ympäristöissä, joissa MFA perustuu pelkkään hyväksy/estä -pushiin.

Käytännön vastatoimia ovat mm. kirjautumisen vahvistaminen numerokoodilla, selkeä ohjeistus siitä, että odottamaton MFA-pyyntö tarkoittaa aina epäilyä, sekä raportointipolku, jonka kautta IT tai tietoturvavastaava saa tilanteen heti tutkintaan. Yritykselle sopiva MFA-koulutus ja asetuskartoitus vähentävät riskiä nopeasti.

4) Haitallinen liite ja “talousdokumentti”

Liitteet, kuten “lasku”, “tarjous” tai “kuljetusvahvistus”, ovat klassinen tapa ujuttaa haittaohjelma tai ohjata käyttäjä kirjautumishuijaukseen. Nykyisin liite voi olla myös PDF, joka sisältää linkin haitalliselle sivulle, tai dokumentti, joka pyytää kirjautumaan “nähdäkseen sisällön”.

Torjunnassa korostuu perushygienia: liitteiden käsittelyn ohjeistus, tiedostojen jakamisen käytännöt, suojattu esikatselu sekä käyttäjien kyky tunnistaa epäloogisuuksia (lähettäjä, kieli, konteksti, kiire). Koulutus on tehokkain, kun se perustuu yrityksen omiin esimerkkitilanteisiin eikä yleisiin malliviesteihin.

5) Tuki- ja IT-huijaukset (vishing / smishing)

Hyökkääjä soittaa, tekstaa tai lähettää viestin esiintyen IT-tukena ja pyytää asentamaan “päivityksen”, antamaan kertakäyttökoodin tai hyväksymään etähallinnan. Usein tilanne rakennetaan uskottavaksi: “tililläsi on epäilyttävää toimintaa, toimi heti”.

Näissä onnistumisen todennäköisyys kasvaa, jos organisaatiolla ei ole yksiselitteisiä pelisääntöjä: miten IT-tuki ottaa yhteyttä, voiko tuki koskaan pyytää koodeja, ja mitä kanavaa pitkin tunnistetaan tuen henkilöllisyys.

Toimiva varautumisen malli: ihmiset, prosessi ja kontrollit samaan kokonaisuuteen

Tietojenkalastelun torjunnassa ongelma ei yleensä ole “ettei mitään ole tehty”, vaan se, että tekeminen on pirstaleista. Yhdessä paikassa on sähköpostisuodatus, toisessa ohjeistus, mutta henkilöstö ei tiedä mitä tehdä, ja poikkeamien käsittely on epäselvää. Käpy A.I. Oy:n lähestymistapa yhdistää kolme osa-aluetta käytäntöön:

Ihmiset: käytännönläheinen koulutus ja roolipohjaiset toimintatavat

Pelkkä yleiskoulutus kerran vuodessa ei riitä, jos se jää irralliseksi arjesta. Toimiva koulutusmalli on lyhyt, konkreettinen ja roolien mukaan kohdennettu: taloushallinto, johto, myynti, asiakaspalvelu ja IT kohtaavat eri huijausmuotoja.

Käpy A.I. Oy:n koulutuksissa keskitytään siihen, että jokainen osaa:

  • tunnistaa tyypilliset varoitusmerkit (lähettäjä, linkin kohde, poikkeava pyyntö, kiire)
  • keskeyttää toiminnan turvallisesti (“stop, verify, report”)
  • varmistaa pyynnön toista kanavaa pitkin (erityisesti maksut ja tilinumeromuutokset)
  • raportoida epäily nopeasti ja oikein

Lisäksi koulutus voidaan kytkeä mittareihin: raportointimäärät, havaittujen huijausten laatu ja toistuvat riskit. Tämä tukee myös laajempaa tietoturvan nykytilan arviointia, koska ihmisten toiminta on osa kokonaisriskiä.

Prosessi: selkeä raportointi ja poikkeamien käsittely

Kun työntekijä epäilee tietojenkalastelua, ratkaisevaa on mitä tapahtuu seuraavien 10 minuutin aikana. Hyvin suunniteltu prosessi vähentää vahinkoa ja rauhoittaa toimintaa.

Käytännössä prosessin kannattaa vastata ainakin näihin:

  • Mihin raportoidaan? (esim. IT-tuki/tietoturvakanava, selkeä ohje yhdellä sivulla)
  • Mitä tietoa tarvitaan? (viesti, otsikko, lähettäjä, linkki, mitä ehdittiin tehdä)
  • Miten tilanne triagoidaan? (onko kyse tunnusten luovutuksesta, haitallisesta liitteestä, BEC-riskistä)
  • Mitä tehdään heti? (salasanan vaihto, istuntojen katkaisu, pääsyn rajoittaminen, asiakkaiden informointi tarvittaessa)
  • Miten opitaan? (juurisyy, prosessin korjaus, lyhyt jälkiviestintä henkilöstölle)

Kun prosessi on dokumentoitu ja harjoiteltu, yksittäinen huijaus ei kaada arkea. Käpy A.I. Oy voi fasilitoida organisaatiolle käytännön työpajan, jossa sovitaan roolit ja toimintamalli juuri teidän ympäristöönne.

Kontrollit: varmistetaan, että tekniset asetukset tukevat toimintaa

Tekniikan tehtävä ei ole korvata ihmistä, vaan pienentää vahingon todennäköisyyttä ja rajoittaa vaikutusta. Tietojenkalastelun kannalta keskeisiä ovat esimerkiksi:

  • tunnistautumisen vahvistaminen ja sopivat MFA-käytännöt (ei pelkkää “hyväksy”-pushia kriittisissä rooleissa)
  • pääsynhallinta ja vähimmäisoikeudet (erityisesti sähköposti, SharePoint/Teams ja talousjärjestelmät)
  • kirjautumisten valvonta ja poikkeamien hälytykset
  • sähköpostin suojaus ja domain-suojaukset
  • varmistus siitä, että palautuminen on realistista, jos pahin tapahtuu

Jos yrityksessä on käynnissä Microsoft 365 -ympäristön kehitys, on hyödyllistä tehdä erillinen arvio siitä, ovatko asetukset ja toimintamallit linjassa riskin kanssa. Tämä linkittyy myös laajempaan kokonaisuuteen, kuten Microsoft 365 -varmuuskopiointiin ja palautumiskykyyn.

Miten Käpy A.I. Oy etenee tietojenkalastelun riskin pienentämisessä

Organisaatiot ovat eri tilanteissa: toisella on ohjeet mutta ei harjoittelua, toisella taas tekniset kontrollit mutta epäselvä prosessi. Siksi järkevin aloitus on kevyt mutta kattava kartoitus, joka tuottaa selkeän listan toimenpiteistä.

1) Nykytilan kartoitus ja riskiperusteinen priorisointi

Käpy A.I. Oy toteuttaa tietojenkalasteluun liittyvät havainnot osana tietoturvakartoitusta tai erillisellä teemakartoituksella. Tarkoitus on tunnistaa:

  • mitkä huijausmuodot ovat todennäköisimpiä (toimiala, roolit, järjestelmät)
  • mitkä ovat suurimmat vaikutukset (maksuliikenne, asiakasdata, tuotannon keskeytys)
  • missä kohdin prosessi katkeaa (raportointi, reagointi, vastuut)
  • mitä voidaan parantaa nopeasti (”quick wins”) ja mitä kehitetään suunnitelmallisesti

2) Koulutus, joka perustuu yrityksen arkeen

Koulutuksen tavoitteena on vähentää inhimillisiä virheitä ja tehdä toiminnasta ennakoitavaa. Käpy A.I. Oy:n koulutuksissa käsitellään konkreettisesti esimerkiksi:

  • miten erottaa oikea kirjautumispyyntö huijauksesta
  • miten toimia, jos on jo klikannut linkkiä tai syöttänyt tunnukset
  • miten taloushallinto varmistaa maksupyynnöt ja toimittajamuutokset
  • miten johto voi tukea kulttuuria, jossa varmistaminen on sallittua

Samalla vahvistetaan koko organisaation tietoturvakulttuuria: epäilyistä raportoidaan matalalla kynnyksellä, eikä virheistä syyllistetä. Tämä näkyy parempana havaintokykynä ja nopeampana reagointina.

3) Konsultointi päätösten ja käyttöönottojen tueksi

Kun löydetään puutteita, tarvitaan usein myös päätöksiä: mitä muutetaan asetuksissa, mitä ohjeistusta päivitetään, ja miten varmistetaan, että toiminta on vaatimustenmukaista. Käpy A.I. Oy:n konsultointi auttaa tekemään muutokset hallitusti ja dokumentoidusti, niin että kokonaisuus kestää myös auditoinnit ja asiakkaiden vaatimukset.

Jos yrityksessä on tarve vahvistaa havaintokykyä ja reagointia laajemmin, voidaan tarkastella myös kokonaisratkaisuja, kuten XDR-pohjaista uhkien havaitsemista ja siihen liittyviä toimintamalleja.

Lyhyt tarkistuslista: miten varmistat, että tietojenkalastelu ei jää yksittäisten ihmisten harteille

  • Onko maksupyyntöihin ja tilinumeromuutoksiin selkeä varmistusprosessi?
  • Onko odottamattomille MFA-pyynnöille yksiselitteinen ohje ja nopea eskalointipolku?
  • Tietääkö henkilöstö, mihin ja miten epäily raportoidaan?
  • Ovatko kriittisten roolien tunnistautumis- ja käyttöoikeusmallit kunnossa?
  • Onko organisaatiolla harjoiteltu toimintamalli, jos tunnukset vuotavat?

CTA: Aloita tietojenkalastelun riskin pienentäminen käytännön kartoituksella

Jos tietojenkalastelu mietityttää, tehokkain tapa edetä on tehdä nopea nykytilan arvio ja muodostaa konkreettinen, priorisoitu toimenpidelista. Käpy A.I. Oy auttaa yhdistämään koulutuksen, kartoituksen ja konsultoinnin niin, että arjen tekeminen helpottuu ja riski pienenee mitattavasti.

Ota yhteyttä ja kerro lyhyesti ympäristöstä (esim. Microsoft 365, etätyö, kriittiset roolit). Sovitaan kartoituksen laajuus ja eteneminen organisaation tilanteen mukaan.

Päiväys: 2026-04-24T01:00:09.114-04:00

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma