Tietojenkalastelu on edelleen yksi yleisimmistä tavoista, joilla hyökkääjät saavat pääsyn yritysten verkkoihin. Se jäljittelee laillista päivittäistä yritysviestintää, joten se on ihanteellinen tekniikka arvokkaiden yritystietojen keräämiseen huomaamatta. Yhdistyneen kuningaskunnan hallituksen Cyber Security Breaches Survey 2025 -raportissa tietojenkalastelu oli yleisin tietomurto- tai hyökkäystyyppi niiden yritysten keskuudessa, jotka havaitsivat vaaratilanteita. Se vaikutti 85 prosenttiin niistä, mikä vastaa 37 prosenttia kaikista yrityksistä.
Tietoisuuskoulutuksen on oltava yrityksen velvoite, ei pelkkä sääntöjen noudattamiseen liittyvä tehtävä. Yksi onnistunut tietojenkalasteluyritys voi paljastaa kirjautumistiedot, myöntää pääsyn sisäisiin järjestelmiin ja luoda ongelmia, jotka leviävät laajalle yhden työntekijän saapuneet-kansion ulkopuolelle.
Ongelmana on, että monet organisaatiot luottavat edelleen kertaluonteisiin tietoisuuskampanjoihin, vaikka tietojenkalastelu muuttuu jatkuvasti. Tehokkaampi ohjelma voi tarjota työntekijöille jatkuvaa harjoittelua, selkeämpiä raportointitapoja ja tukitoimia, jotka vähentävät virheiden vaikutusta.
Miltä tietojenkalastelu näyttää yrityskontekstissa
Yrityksiin kohdistuva tietojenkalastelu on kehittynyt selvästi väärennetyistä ja kirjoitusvirheitä täynnä olevista sähköposteista. Käytännössä työntekijät kohtaavat paljon todennäköisemmin realistisen oloisia yrityksiä, kuten:
- Tilinvahvistuspyynnöt
- Ilmoitukset jaetuista asiakirjoista
- Yleisten yritysalustojen kirjautumissivut
- Laskujen hyväksynnät
- Henkilöstöhallinnon päivitykset
- Viestit luotetuilta toimittajilta tai sisäisiltä johtajilta.
Jos tiimin jäsen vastaa, hyökkääjät voivat käyttää työntekijöistä tai yrityksistä keräämiään tietoja tehdäkseen viesteistä vakuuttavampia ja realistisempia, erityisesti kohdistetuimmissa kampanjoissa.
Keihästietojenkalastelu, johdon impersonointi ja kirjautumistietojen kalastelu
Tietojenkalastelukoulutuksen on valmisteltava tiimit useisiin kaavoihin kerralla. Keihästietojenkalastelu on yksi yleisimmistä tietojenkalastelun muodoista. Sen sijaan, että hyökkääjä lähettäisi yleisluontoisen viestin tuhansille vastaanottajille, hän räätälöi sähköpostin tiettyä tehtävää, projektia, kollegaa tai toimittajasuhdetta varten.
Viesti tuntuu uskottavalta, koska se on rakennettu sellaisen asian ympärille, jota työntekijä voisi realistisesti odottaa näkevänsä. Tällaisesta kohdentamisesta saadaan usein vakuuttavampaa yritysten verkkosivustoilta, julkisista profiileista tai muista yhdistetyistä lähteistä kerättyjen tietojen avulla.
Toinen tietojenkalastelun muoto on johdon impersonointi, jota kutsutaan joskus toiminnanjohtajapetokseksi. Tässä hyökkääjä matkii ylempää johtajaa tai tärkeää sidosryhmää luodakseen kiireen tunnetta maksuun, tiedostoon tai kirjautumistietopyyntöön liittyen, painostaen henkilöstöä siirtämään rahaa tai tietoja, ellei tavanomaisia varmistusprosesseja noudateta.
Kolmas kaava on kirjautumistietojen kalastelu. Näissä hyökkäyksissä työntekijä ohjataan valheelliselle kirjautumissivulle, joka on suunniteltu kaappaamaan käyttäjätunnuksia, salasanoja ja joskus jopa OTP-koodeja (kertakäyttösalasanat).
Tietojenkalastelukoulutuksen on heijastettava todellisia liiketoiminnan työnkulkuja sen sijaan, että se antaisi vain yleisluontoisia neuvoja. Monet tietojenkalastelusivut on rakennettu muistuttamaan työkaluja, joita työntekijät käyttävät jo joka päivä.
Miksi rutiininomaiset liikeviestit ovat niin tehokkaita
Tietojenkalastelu pysyy tehokkaana organisaatioissa, koska se sulautuu usein jokapäiväiseen toimintaan. Valheellisen kirjautumiskehotteen tarvitsee tuntua tutulta vain sen aikaa, että joku toimii automaattiohjauksella. Sama pätee toimittajaviesteihin, jaettujen asiakirjojen ilmoituksiin tai kiireellisiin sisäisiin pyyntöihin.
Siksi koulutuksessa ei pitäisi keskittyä vain epäilyttäviin sanamuotoihin tai huonoon kielioppiin. Työntekijöiden on myös ymmärrettävä, miten hyökkääjät hyödyntävät normaaleja työtapoja. Miettikää, miten organisaationne toimii ja miten voitte auttaa henkilöstöä tunnistamaan pyynnöt, jotka jäävät normaalien prosessien ulkopuolelle, erityisesti kun kyse on rahasta, kirjautumistiedoista tai arkaluonteisista tiedoista.
Viimeaikaisia esimerkkejä murroista
Viimeaikainen murroista raportointi vahvistaa sitä seikkaa, että yritysten sisäinen tietojenkalastelu ulottuu nykyään paljon pelkkiä saapuneet-kansion huijauksia pidemmälle.
Protonin Data Breach Observatoryn mukaan onnittelukorttiyhtiö Hallmark Cards joutui rikollisen, kiristystä harjoittavan hakkeriryhmän kohteeksi, joka tunnetaan nimellä ShinyHunters. Ryhmä hankki Hallmark Cardsille kuuluvia tietoja Salesforcesta ja asetti yritykselle määräajan kiristyksen kohteeksi. Lopulta ryhmä vuoti 2,8 miljoonaa ainutkertaista tietoa.
ShinyHunters on tuottelias ja on ottanut kohteekseen monia nimekkäitä yrityksiä viime kuukausina. Tammikuussa 2026 vaatemerkki Canada Goose liitettiin noin 600 000 asiakastiedon murtoon. Tiedot olivat peräisin kolmannen osapuolen murrosta, joka tapahtui elokuussa 2025.
Nämä esimerkit ovat hyödyllisiä, koska ne osoittavat, miltä tietojenkalastelu näyttää nykyään liiketoimintaympäristöissä: kyse ei ole vain saapuneet-kansion harhaanjohtamisesta, vaan hyökkäyksistä, jotka on suunnattu alihankkijoihin, henkilöllisyysjärjestelmiin, sisäiseen pääsyyn ja luottamussuhteisiin, joihin organisaatiot luottavat joka päivä.
Miksi tietoisuus yksinään ei riitä
Tietoisuus tietojenkalastelusta on tärkeää, mutta se ei yksinään riitä. Työntekijät eivät tee virheitä vain siksi, että heiltä puuttuu tietoa. He tekevät niitä myös siksi, että he ovat kiireisiä, häiriintyneitä, paineen alla tai liikkuvat nopeasti työnkuluissa, joissa tietojenkalasteluviesti voi helposti vaikuttaa lailliselta ensisilmäyksellä.
Siksi koulutusta ei pitäisi rakentaa sen ajatuksen ympärille, että jokainen työntekijä pystyy havaitsemaan jokaisen tietojenkalasteluyrityksen. Organisaatiot eivät voi luottaa pelkästään käyttäjien tekemään havainnointiin. Jotkin hyökkäykset pääsevät silti läpi, mikä tarkoittaa, että teknisten hallintalaitteiden, selkeiden prosessien ja käyttäjien koulutuksen on toimittava yhdessä.
Vahvempi tietojenkalastelun tietoisuuskoulutusohjelma rakentuu tämän todellisuuden ympärille. Se auttaa työntekijöitä tunnistamaan yleisiä varoitusmerkkejä, pysähtymään, kun jokin tuntuu oudolta, raportoimaan nopeasti ja työskentelemään järjestelmissä, joissa yhden virheen hallitseminen on helpompaa. Se liittyy myös luonnollisesti häiriötilanteiden valmiuteen.
Jos joku napsauttaa haitallista linkkiä tai jakaa kirjautumistiedot, organisaatio tarvitsee nopean ja selkeän vastauspolun. Koulutuksesta tulee paljon tehokkaampaa, kun työntekijät tietävät, mitä raportin tekemisen jälkeen tapahtuu ja mikä heidän tehtävänsä on. Protonin opas häiriötilanteisiin vastaamisesta voi auttaa organisaatiotanne laatimaan suunnitelman.
Miltä tehokas tietojenkalastelun tietoisuuskoulutusohjelma näyttää?
Tehokas tietojenkalastelun tietoisuuskoulutusohjelma ei rakennu yhden vuotuisen istunnon ja muutaman vanhentuneen esimerkin ympärille. Se on jatkuvaa, käytännöllistä ja suunniteltu sen mukaan, miten ihmiset todellisuudessa työskentelevät. Tämä tarkoittaa säännöllistä vahvistamista, realistisia skenaarioita ja palautetta, joka auttaa työntekijöitä kehittämään parempaa harkintakykyä ajan myötä.
Käytännössä tietoisuuden tietojenkalastelusta tulisi näkyä useammassa kuin yhdessä hetkessä. Sen tulisi olla osa perehdytystä, kertauskoulutusta, lyhyitä skenaariopohjaisia muistutuksia ja häiriötilanteiden arviointeja, ei jotain, jonka työntekijät näkevät kerran ja unohtavat. Sen on myös heijastettava todellista altistumista.
Henkilö, joka käsittelee laskuja, johdon tukea, toimittajaviestintää, etuoikeutettua pääsyä tai arkaluonteisia tietoja, kohtaa todennäköisesti erilaisia tietojenkalastelupaineita kuin henkilö, jolla on pienemmän riskin työnkulku. NCSC:n tietojenkalasteluohjeistus heijastaa tätä todellisuutta huomauttamalla, että henkilöstö, jolla on pääsy arkaluonteisiin tietoihin, taloudellisiin varoihin tai IT-järjestelmiin, voi joutua kohteeksi raskaammin.
Käytäntöä on myös hyödynnettävä hyvin. Simuloitu tietojenkalastelu voi olla hyödyllistä, mutta ei silloin, kun se muuttuu syyllistämiseksi. Huonosti hoidetut simulaatiot voivat vahingoittaa luottamusta ja lannistaa ihmisiä ilmoittamasta virheistä, jos he tuntevat, että heitä yritetään saada kiinni sen sijaan, että heitä tuettaisiin.
Vahvempi ohjelma käyttää simulaatioita huolellisesti, antaa välitöntä palautetta ja lisää vaikeustasoa vähitellen. Sen tarkoituksena ei ole osoittaa, että työntekijöitä on helppo huijata. Se auttaa heitä kehittämään kaavojen tunnistamista, raportointitottumuksia ja lisää itseluottamusta todellisissa tilanteissa.
Viisi tietojenkalastelun varoitusmerkkiä, jotka työntekijät edelleen jättävät huomaamatta
Monet työntekijät tuntevat perinteiset varoitusmerkit, mutta heiltä jäävät silti huomaamatta hienovaraisemmat vihjeet, joita esiintyy todellisissa yrityshyökkäyksissä. Tietojenkalastelun tietoisuuskoulutus on paljon hyödyllisempää, kun se opettaa ihmisiä tunnistamaan heidän päivittäiseen työhönsä sopivia malleja.
1. Työnkulkuun sopiva viesti, joka vaihtaa kanavaa tai kiireellisyyttä
Tehokkaimmat tietojenkalastelusähköpostit eivät näytä lainkaan satunnaisilta. Ne muistuttavat laskupyyntöjä, jaettuja asiakirjoja, palkanmaksuun liittyviä päivityksiä tai kirjautumisilmoituksia, joita työntekijät odottavat saavansa.
Mikä muuttuu, on kiireellisyys, salamyhkäisyys tai prosessi. Hyökkääjä haluaa kohteen ohittavan normaalit tarkistukset. NCSC:n ohjeet varoittavat erityisesti siitä, että hyökkääjät hyödyntävät liiketoimintaprosesseja ja -pyyntöjä, mukaan lukien tietopyyntöjä tai luvattomia maksuja.
2. Uskottava lähettäjän nimi, joka kätkee huonon verkkotunnuksen tai väärennetyn lähteen
Työntekijät keskittyvät usein näyttönimeen eivätkä koko osoitteeseen, vastauspolkuun tai verkkotunnukseen. Se on yksi syy siihen, miksi väärentämisen estämisen hallintakeinot ovat tärkeitä, mutta koulutuksessa on silti opetettava ihmisiä hidastamaan, kun tuttu brändi tai kollega vaikuttaa hieman “oudolta”.
NCSC neuvoo organisaatioita vaikeuttamaan sähköpostin väärentämistä hallintakeinoilla, kuten DMARC (Domain-based Message Authentication, Reporting, and Conformance), SPF (Sender Policy Framework) ja DKIM (DomainKeys Identified Mail). Yhdessä nämä sähköpostin tunnistautumistarkistukset auttavat vastaanottavia järjestelmiä varmistamaan, tuleeko viesti todella siltä verkkotunnukselta, jolta se väittää tulevansa.
3. Kirjautumissivu, joka näyttää riittävän normaalilta
Kirjautumistietojen kalasteluun tarkoitettujen sivujen ei tarvitse näyttää täydellisiltä. Niiden täytyy vain tuntua tutuilta tarpeeksi kauan, jotta työntekijä syöttää käyttäjätunnuksen ja salasanan. Käytännössä suurin vihje voi olla pikemminkin asiayhteys kuin ulkoasu: miksi tämä kirjautumispyyntö ilmestyy nyt ja miksi tätä reittiä pitkin?
4. Pyyntö, jossa pyydetään nopeutta varmennuksen edelle
Johdon esiintyminen toisena henkilönä, laskuhuijaukset ja toimittajahuijaukset nojaavat usein kiireellisyyteen. Viesti on laadittu siten, että varmennus tuntuu epämukavalta tai epälojaalilta. Vahvan tietojenkalastelukoulutuksen tulisi opettaa, että odottamaton kiireellisyys ei ole vain epäilyttävää kieltä; se on merkki siirtyä sähköpostivastaustilasta varmennustilaan.
5. Tilanne, jossa ilmoittaminen tuntuu noloalta
Yksi unohdetuimmista varoitusmerkeistä on sisäinen pikemminkin kuin tekninen: työntekijä huomaa jotain outoa, mutta epäröi ilmoittaa siitä, koska hän on epävarma, liian kiireinen tai huolissaan siitä, että näyttää huolimattomalta.
NCSC varoittaa rankaisemasta käyttäjiä, joilla on vaikeuksia tunnistaa tietojenkalastelua, koska rangaistusten pelko estää ilmoittamisen. Terveet ohjelmat opettavatkin työntekijöille, että huolen esittäminen varhaisessa vaiheessa on hyödyllistä, vaikka viesti osoittautuisikin harmittomaksi.
Mitä tapahtuu, kun koulutus epäonnistuu
Kun tietojenkalastelukoulutus epäonnistuu, vahinko mitataan usein kirjautumistiedoissa ennen kuin se mitataan missään muualla. Käyttäjä syöttää salasanan valheelliseen portaaliin, hyväksyy odottamattoman kehotteen tai jakaa kirjautumistiedot vakuuttavan, sisäiseltä näyttävän pyynnön kautta. Siitä hetkestä lähtien ongelma ei koske enää vain yhtä saapuneet-kansion päätöstä. Siitä tulee pääsynhallintaongelma.
Tässä kohtaa tietojenkalastelun ja salasanojen hygienian välinen yhteys muuttuu kriittiseksi. Jos samaa salasanaa käytetään useissa palveluissa, yhdestä vaarantuneesta kirjautumistiedosta voi tulla reitti sähköpostiin, SaaS-työkaluihin, pilvialustoihin tai ylläpitäjän järjestelmiin. Jos jaettuja kirjautumisia käsitellään edelleen epävirallisilla tai hallitsemattomilla menetelmillä, vastuuvelvollisuus heikkenee entisestään.
Protonin Data Breach Observatory Report toteaa, että nimet ja sähköpostit esiintyvät 9:ssä 10:stä tietomurrosta, että 72 %:ssa murroista on yhteystietoja ja että 49 % sisältää salasanoja. Tämä tarkoittaa, että hyökkääjillä on usein juuri se raakamateriaali, jota he tarvitsevat tehdäkseen tietojenkalastelusta vakuuttavampaa ja hyödyntääkseen salasanojen uudelleenkäyttöä onnistuessaan.
Viimeaikaiset tietomurtoesimerkit osoittavat saman asian toisesta näkökulmasta. Protonin tietomurtoraportoinnissa tietojenkalasteluun liittyvät tapahtumat vuonna 2026 eivät jääneet linkin klikkaamiseen; niistä tuli verkon käyttöoikeuksia, sisäistä altistumista ja laajempia liiketoimintaan vaikuttavia tapahtumia. Siksi tietojenkalasteluhyökkäysten estäminen ei voi koostua pelkästään työntekijöiden suorittamasta tunnistamisesta. Sen on myös vähennettävä sitä, kuinka pitkälle varastetut kirjautumistiedot voivat päätyä, kun yksi tili on altistunut.
Yksilölliset salasanat jokaiselle palvelulle ovat yksi yksinkertaisimmista ja arvokkaimmista hallintakeinoista tässä tilanteessa. Ne eivät estä tietojenkalasteluyritystä tapahtumasta, mutta ne auttavat rajoittamaan seurauksia. Jos yksi salasana varastetaan, se ei saisi avata viittä muuta järjestelmää.
Turvallinen yritysten salasananhallinta tukee tietoturvakulttuuristrategiaa. Proton Pass for Business on suunniteltu auttamaan tiimejä luomaan ja säilyttämään vahvoja, yksilöllisiä salasanoja jokaiselle palvelulle, mikä vähentää mahdollisuutta, että yksi onnistunut tietojenkalastelutapahtuma leviää koko organisaatioon.
Käytännön malli työntekijöiden tietojenkalastelukoulutukseen
Paras paikka aloittaa ei ole yleisluontoisilla koulutusmateriaaleilla, vaan tavalla, jolla organisaationne todellisuudessa toimii.
Keskittykää ensin tietojenkalasteluskenaarioihin, joita työntekijät kohtaavat todennäköisimmin: kirjautumiskehotteisiin, toimittajana esiintymiseen, maksujen hyväksymiseen, jaettujen asiakirjojen ilmoituksiin, johdon pyyntöihin tai henkilöllisyydentarjoajiin kohdistuviin hyökkäyksiin. Koulutuksesta tulee paljon hyödyllisempää, kun ihmiset voivat tunnistaa siitä oman työarkensa.
Raportoinnin on oltava myös yksinkertaista ja turvallista. NCSC:n tietojenkalasteluohjeet tekevät selväksi, että organisaatioiden tulee auttaa käyttäjiä tunnistamaan epäillyt tietojenkalasteluviestit ja raportoimaan niistä, kun taas Reporting Fraud -verkkosivusto(uusi ikkuna) tarjoaa Yhdistyneen kuningaskunnan virallisen raportointiväylän tietojenkalastelulle ja kyberrikollisuudelle. Työntekijöiden tulee tietää, mihin raportoida sisäisesti, mitä tietoja sisällyttää ja mitä tehdä välittömästi, jos he ovat klikanneet linkkiä, syöttäneet kirjautumistiedot tai myöntäneet pääsyn.
Koulutusta tulee tukea hallintakeinoilla, jotka vähentävät virheiden kustannuksia. Näihin kuuluvat sähköpostin suodatus, väärentämisen esto, turvalliset kirjautumisprosessit, 2FA ja vahvempi salasana-hygienia. Protonin yritysohjeet tietojenkalasteluhyökkäysten ehkäisemisestä korostavat myös selkeiden raportointikanavien, jatkuvan harjoittelun ja paljastuneiden kirjautumistietojen valvonnan merkitystä.
Lopuksi, mitatkaa muutakin kuin klikkauksia. Simulaatioiden klikkausprosentit voivat olla hyödyllisiä, mutta raportointiaktiivisuus, raportointiin kuluva aika, toistuvat epäonnistumiset ja kirjautumistietoihin liittyvät tietoturvaloukkaukset antavat usein selkeämmän kuvan siitä, paraneeko sietokyky. NCSC suosittelee myös tietojenkalastelumittareiden huolellista harkintaa, jotta organisaatiot eivät päädy vahingossa lannistamaan turvallista raportointia.
Täydellinen havaitseminen ei ole mahdollista, mutta vahvempi reagointi on
Tietojenkalastelutietoisuuskoulutus on tehokkainta, kun siinä luovutaan ajatuksesta, että työntekijöiden pitäisi pystyä tunnistamaan jokainen hyökkäys täydellisesti. Realistisempi tavoite on rakentaa tiimi, joka tunnistaa tutut varoitusmerkit, raportoi huolenaiheista nopeasti ja reagoi tavoilla, jotka estävät yksittäistä virhettä eskaloitumasta laajaksi vaaratilanteeksi.
Se vaatii muutakin kuin tietoa. Se vaatii toistuvaa harjoittelua, todellisia tehtäviä ja työnkulkuja vastaavia esimerkkejä sekä selkeitä prosesseja, joihin työntekijät voivat luottaa, kun jokin tuntuu väärältä. Se vaatii myös hallintakeinoja, jotka vähentävät kirjautumistietojen varkauden vaikutusta, kun tietojenkalasteluyritys onnistuu. Tästä syystä työntekijöille suunnattu tietojenkalastelukoulutus toimii parhaiten osana laajempaa turvallisuuskulttuuria, ei erillisenä tietoisuusharjoituksena.
Organisaatiot, jotka onnistuvat vähentämään tietojenkalasteluriskejä, yhdistävät tyypillisesti samat elementit: käytännön koulutuksen, selkeät raportointitavat, vahvemman valmiuden vaaratilanteisiin ja tiukemman kirjautumistietojen hygienian. Protonin resurssit tietojenkalasteluhyökkäyksistä ja vaaratilanteisiin reagoimisesta vahvistavat samaa periaatetta: tietoisuus on huomattavasti tehokkaampaa, kun sitä tukevat järjestelmät, jotka helpottavat tietomurron rajoittamista.
