Opinnäytetyö: Tietoturvan tila hämäläisissä pienyrityksissä 2026

Tietoturvakartoitus julkaistiin viime viikon alussa Hämeen Yrittäjien uutiskirjeessä osana opinnäytetyötä, ja se keräsi 13 vastausta mikro- ja pienyrityksiltä. Keskimääräinen vastausaika oli 13 minuuttia, mikä kertoo siitä, että aihe koetaan tärkeäksi.

Valtaosa vastaajista oli 1–5 hengen yrityksiä. Juuri näissä yrityksissä tietoturva ei yleensä ole IT-osaston vastuulla – vaan yrittäjän omalla vastuulla osana arjen toimintaa. Vaikka otos on pieni, tulokset antavat mielenkiintoisen ja suuntaa antavan kuvan alueen pienyritysten tietoturvan tasosta. Tässä viisi tärkeintä havaintoa kartoituksesta:

1. Perustekniikka on hyvällä tasolla

Kaikilla vastaajilla on käytössä näytön lukitus ja salasana. Kaikki myös päivittävät käyttöjärjestelmänsä automaattisesti.

Lisäksi 90 % käyttää virustorjuntaa ja 80 %:lla on palomuuri käytössä.

Tämä on erittäin positiivinen lähtötilanne. Tekniset perussuojaukset ovat selvästi paremmin kunnossa kuin usein oletetaan. Pienyrityksissä on selvästi ymmärretty, että suojaamattomat laitteet muodostavat todellisen liiketoimintariskin.

2. Varmuuskopiointi jakaa yritykset kahteen ryhmään

Puolella vastaajista varmuuskopiointi on automatisoitu päivittäin tai viikoittain. Toinen osa tekee varmuuskopiot harvemmin – ja yksi yritys ei tee niitä lainkaan.

Lisäksi 15 % ei säilytä varmuuskopioita erillään verkosta.

Yksikin varmuuskopioimaton yritys on yksi liikaa. Mikroyrityksessä tiedon menetys ei ole vain tekninen ongelma – se voi pysäyttää laskutuksen, asiakastyön ja pahimmillaan koko liiketoiminnan.

3. Kaksivaiheinen tunnistautuminen on yleistynyt, mutta ei vielä kattava

Kaksivaiheinen tunnistautuminen on jo melko yleistä: 77 % vastaajista ilmoitti käyttävänsä sitä vähintään osassa palveluista. Pilvipalvelujen osalta suojaus ei kuitenkaan ole vielä yhtä kattava, sillä vain 46 % vastaajista ilmoitti sen olevan varmasti käytössä. Tämä osoittaa, että kaksivaiheisen tunnistautumisen merkitys tunnistetaan, mutta sen käyttöönotto ei ole vielä systemaattista kaikissa keskeisissä palveluissa. Koska pilvipalvelut sisältävät usein yrityksen tärkeimmät tiedot, kaksivaiheisen tunnistautumisen käyttöönotto kaikille käyttäjille on yksi tärkeimmistä yksittäisistä tietoturvatoimenpiteistä.

Tämä on selkein yksittäinen kehityskohde. Kaksivaiheinen tunnistautuminen on tällä hetkellä yksi tehokkaimmista ja edullisimmista tavoista estää tilimurrot. Lisäksi vain kolme yritystä käyttää salasananhallintaohjelmaa, mikä lisää riskiä salasanojen uudelleenkäyttöön ja tietomurtoihin.

4. Suurin puute ei ole teknologiassa – vaan toimintamalleissa

Tekniset ratkaisut ovat monella tasolla kunnossa, mutta kirjalliset ohjeet ja toimintamallit puuttuvat usein. Vain kolmella yrityksellä on kirjallinen tietoturvaohje, ja kuudella ei ole toimintamallia tilanteeseen, jossa laite katoaa tai varastetaan. Moni ei ole täysin varma, miten toimia tietoturvahäiriön sattuessa.

Tekniikka voi olla kunnossa, mutta ilman selkeitä ohjeita riskit kasvavat. Tietoturva ei ole pelkkä ohjelmisto tai laite – se on ennakointia, päätöksiä ja yhteisiä pelisääntöjä.

5. Huijausviestit koskettavat jokaista

Kaikki vastaajat ovat saaneet huijaus- tai phishing-viestejä.

Positiivista on, että kaikki tunnistivat testihuijauksen oikein, ja vain muutama vastaaja kertoi joskus klikanneensa epäilyttävää linkkiä. Lisäksi 12 vastaajaa tunnisti epäilyttäviä piirteitä, kuten poikkeavan ulkoasun tai kirjoitusvirheitä.

Huijaus- ja kalasteluviestit nousivat myös suurimmaksi huolenaiheeksi avoimissa vastauksissa. Tämä vahvistaa, että uhka on arkipäivää – mutta myös se, että tietoisuus on hyvällä tasolla.

Kokonaiskuva: hyvä perusta, mutta selkeitä kehityskohtia

Kartoituksen perusteella Hämeen pienyritysten tekninen perustaso on hyvä. Suurimmat kehitystarpeet liittyvät:

• kaksivaiheisen tunnistautumisen laajempaan käyttöön
• varmuuskopioinnin varmistamiseen kaikilla
• kirjallisten ohjeiden ja toimintamallien laatimiseen

Hyvä uutinen on se, että nämä kehityskohteet eivät vaadi massiivisia investointeja. Usein kyse on selkeydestä, päätöksestä ja systemaattisuudesta.

Seuraava askel: testaa ja kehitä tietoturvaosaamisesi

Kartoituksen pohjalta on rakennettu tietoturvakoulutusmateriaali, jonka avulla yrittäjä voi:

• testata oman osaamisensa
• kehittää huijausviestien tunnistamista käytännössä
• verrata osaamistaan ennen ja jälkeen koulutuksen

Materiaali on osa opinnäytetyön ennen–jälkeen-tutkimusasetelmaa, jossa mitataan tietoturvaosaamisen kehittymistä.

Koulutus on maksuton, itsenäisesti suoritettava ja anonyymi. Se ei kerää henkilötietoja, ja lopuksi saat palautteen omasta suorituksestasi.

Pääset tutustumaan koulutukseen sekä testaamaan kunnolla osaamistasi alta olevasta linkistä:

Tietoturva ei ole vain IT-asia. Se on liiketoiminnan jatkuvuutta, luottamusta ja riskienhallintaa.

Kirjoittaja:
Iiro Peltonen
Tietojenkäsittelyn opiskelija, HAMK Hämeen ammattikorkeakoulu
Opinnäytetyön tekijä (pk-yritysten tietoturva)