Pienten ja keskisuurten yritysten työtavat ovat muuttuneet lopullisesti — mutta samoin ovat muuttuneet myös tavat, joilla heihin hyökätään. Tiimit ovat hajautettuja, SaaS-työkalut käsittelevät kaikkea palkanlaskennasta projektinhallintaan, ja urakoitsijat sekä toimittajat vaihtuvat järjestelmissä säännöllisesti. Jokaisen uuden työkalun tai pääsyn saavan työntekijän myötä mahdollisten sisääntulopisteiden määrä kasvaa.
Tuo laajentuva hyökkäyspinta-ala on merkityksellinen, koska kirjautumistietoihin perustuvista hyökkäyksistä, mukaan lukien tietojenkalastelu, tilien haltuunotot ja salasanojen varkaudet, on tullut yksi yleisimmistä tavoista, joilla yrityksiin tehdään murtoja. Ne toimivat juuri siksi, että käyttöoikeudet ovat hajallaan, mikä tekee niiden seuraamisesta vaikeaa. Hyökkääjän tarvitsee nykyään vain löytää yhdet kelvolliset kirjautumistiedot ohittaakseen yrityksenne puolustuksen.
Tässä yhteydessä pitäisi olla rohkaisevaa, että yli puolet pienyrityksistä käyttää nykyään yritysten salasananhallintaa. Mutta Protonin SMB Cybersecurity Report 2026 — 3 000 pk-yritysten päättäjää koskeva maailmanlaajuinen tutkimus — havaitsi, että joka neljäs koki silti tietomurron viime vuonna.
Kaikki tämä viittaa kuiluun sen välillä, miten työkaluja otetaan käyttöön ja miten niitä todellisuudessa käytetään.
Miten pk-yritykset käyttävät salasananhallintaa nykyään
Useimmat salasananhallintatyökalut on suunniteltu tekemään yksi asia hyvin: auttamaan teitä muistamaan salasananne. Käytännössä tämä tarkoittaa monimutkaisten ja ainutlaatuisten salasanojen luomista ja niiden hallitsemista salatussa holvissa. Se on huomattavasti parempi vaihtoehto kuin normina oleva samojen kirjautumistietojen uudelleenkäyttö eri tilien ja alustojen välillä.
Mutta koska salasanat ovat hyökkääjän helpoin sisääntulopiste, pk-yritykset tarvitsevat salasananhallintaa paljon muuhunkin kuin vain muisti- ja mukavuusongelmien ratkaisemiseen. He tarvitsevat sitä käyttöoikeuksien turvaamiseen.
Pääsy on paljon laajempi kysymys. Onko oikeilla ihmisillä oikeat kirjautumistiedot — ja tietäisittekö te, mitä ne avaavat, tai jos ne joutuisivat vääriin käsiin? Ja kun tiimit kasvavat, tilaukset kertyvät ja urakoitsijat vaihtuvat, organisaationne näkökulmien täytyy siirtyä pelkästä salasanojen vahvistamisesta todellisen maailman turvallisuusuhkien huomioimiseen.
Tämä on se muutos, jota useimmat yritykset eivät tee ennen kuin jotain menee vikaan.
Missä salasananhallinnan käyttöönotot menevät vikaan
Raporttimme keskeinen havainto oli, että salasananhallinnan käyttöönottavat yritykset eivät käytä niitä johdonmukaisesti.
Kirjautumistietojen turvaton jakaminen jatkuu edelleen yllättävän suurissa määrin:
- 33 % jakaa niitä jaetuissa asiakirjoissa tai laskentataulukoissa
- 30 % jakaa kirjautumistietoja sähköpostitse
- 27 % jakaa niitä viestisovellusten kautta
- 25 % kirjoittaa ne muistiin
- 24 % jakaa ne suullisesti
Se on kuva kiireisistä ihmisistä, jotka valitsevat kyseisellä hetkellä nopeimman mahdollisen reitin. Sen sijaan, että he vaihtaisivat salasananhallintasovellukseen ja jakaisivat uudet kirjautumistiedot niiden omassa holvissa, he saattavat liittää ne Slackiin tai sähköpostiin.
Kiertotiet tuntuvat yksittäistapauksissa harmittomilta. Mutta ajan myötä kirjautumistiedot päätyvät sirotelluiksi saapuneiden kansioihin, keskusteluhistorioihin ja jaettuihin asiakirjoihin tavoilla, joita on vaikea purkaa. Kun työntekijä lähtee, ette voi myöhemmin mitätöidä hänen pääsyään. Ja salasanojen päivittäminen lyhyellä varoitusajalla tietomurron jälkeen muuttuu mahdottomaksi, ellei niitä ole tallennettu keskitettyyn, turvalliseen sijaintiin.
Koulutus turvallisuuskäytäntöjen noudattamisen valvomiseksi voi auttaa, mutta tutkimuksemme paljasti, ettei edes se ole aivan riittävää…
Miksi turvallisuustietoisuuskoulutus ei riitä
Raporttimme havaitsi, että 39 % pk-yrityksistä on kokenut inhimillisen virheen aiheuttaman tietoturvatapahtuman. Tuo tilasto on helppo tulkita väärin; luonnollinen reaktio on olettaa, että huolellisemmat työntekijät tarkoittavat vähemmän välikohtauksia.
Mutta tämä asetelma jättää huomiotta jotain tärkeää: Turvajärjestelmät, jotka luottavat täydelliseen käyttäytymiseen arjen paineiden keskellä, tulevat aina pettämään todellisuudessa. Virheitä ei tapahdu siksi, etteivätkö ihmiset välittäisi — niitä tapahtuu siksi, että turvallinen vaihtoehto vaatii usein enemmän vaivaa ja aikaa kuin mihin tyypillisellä pk-yrityksellä on varaa. Jopa hyvää tarkoittavat tiimit keksivät kiertoteitä, kun heidän resurssinsa ovat venytettyinä.
Pysyvä ratkaisu ei ole lisäkoulutus. Se on sellaisten järjestelmien suunnittelu, joissa turvallinen vaihtoehto on myös helppo.
Kun pääsyn turvallinen jakaminen ei vaadi sen enempää vaivaa kuin salasanan pudottaminen chat-viestiin, ihmiset tulevat käyttämään sitä.
Kun käyttöoikeusongelma karkaa käsistä
Kirjautumistietoihin liittyvä ongelma monimutkaistuu tiimien kasvaessa.
Kahdeksankymmentäkuusi prosenttia pk-yrityksistä luottaa nykyään pilvipohjaisiin palveluihin päivittäisessä toiminnassaan. Tämä tarkoittaa yleensä sitä, että kirjautumistiedot leviävät projektinhallintatyökaluihin, talousjärjestelmien alustoihin, markkinointiohjelmistoihin, tiedostojen tallennukseen ja asiakasjärjestelmiin, joista jokaisella on omat käyttöoikeutensa ja historiansa.
Käyttöoikeudet eivät ainoastaan sirotteleudu järjestelmien välille; ne leviävät koko organisaation laajuisesti, virraten tiimien, ulkoisten kumppaneiden, urakoitsijoiden ja entisten työntekijöiden välillä, jotka saattavat edelleen säilyttää tavan päästä sisään.
Tämä tarkoittaa todellisuudessa sitä, että kirjautumistietoja kertyy, vanhat käyttöoikeudet jatkavat elämistään, ja niiden ihmisten määrä, joilla on — tai on ollut — avaimet arkaluonteisimpiin järjestelmiinne, skaalautuu yli helpon seurannan rajojen.
Työkalujen omistaminen ei ole sama asia kuin suojattuna oleminen
Pk-yritykset, jotka kokivat tietomurtoja viime vuonna, eivät oikoneet mutkia: 92 % sijoitti aktiivisesti tietoturvatyökaluihin. Heillä oli käytössään salasananhallinta, salattu sähköposti, koulutusohjelmia ja kirjallisia käytäntöjä. Toisin sanoen heidän asennuksensa näyttivät paperilla vankoilta.
Mitä monilta puuttui, oli johdonmukainen toimeenpano. Monivaiheinen tunnistautuminen (MFA) oli kytketty päälle, mutta sitä ei vaadittu, salasananhallintatyökaluja oli julkaistu, mutta ei upotettu päivittäisiin tottumuksiin, ja työntekijöiden perehdytys- ja irtisanomisprosessit käsiteltiin epävirallisesti pikemminkin kuin systemaattisesti. Epäilemme, ottaen huomioon selainpohjaisten salasananhallintojen suosion, että monet eivät edes käyttäneet keskitettyä tiimialustaa lainkaan — vaan luottivat pikemminkin vähemmän turvallisten vaihtoehtojen tilkkutäkkiin yksilökohtaisesti.
Jokainen näistä on pieni aukko, joka pysyy näkymättömänä aina siihen hetkeen saakka, kun se ei enää ole sitä.
Turvallisuusasetelmien todellinen mittari ei ole siinä, mitä työkaluja listalla on, vaan siinä, kestävätkö nuo työkalut ihmisten todellisen työskentelytavan asettaman arjen paineen.
Tässä on joitakin käytäntöjä auttamaan tämän todellisuuden tuomisessa lähemmäksi teidän yritystänne:
- Käytä tiimeille rakennettua salasananhallintaa. Selainten salasananhallinnat eivät ole vain vähemmän turvallisia, vaan niistä puuttuvat myös ylläpitäjien työkalut, joita tarvitaan tilienne täyteen hallintaan. Ellei käytössänne ole helppokäyttöistä yritystason salasananhallintaa, se ei riitä.
- Tarkista, kuka tällä hetkellä voi käyttää mitäkin. Käy läpi luottamuksellisimpien työkalujenne käyttäjäluettelot ja katso, tuleeko siellä vastaan yllättäviä nimiä.
- Korvaa jaetut kirjautumiset yksittäisillä tileillä. Vaikka kirjautumisten jakaminen salasananhallinnassa on helppoa, se ei ole paras käytäntö: Jaetut kirjautumiset heikentävät näkyvyyttä tilitasolla, mikä vaikeuttaa tietomurron tunnistamista ja siihen reagoimista.
- Tee monivaiheisesta tunnistautumisesta vaatimus. MFA on yksi tehokkaimmista saatavilla olevista suojauksista — mutta vain silloin, kun se on käytössä oletuksena, eikä jätetty vain valinnaiseksi asetukseksi.
- Tee lähtöprosesseista järjestelmällisiä. Jokaisen lähdön, olipa kyseessä työntekijä, urakoitsija tai toimittaja, tulisi laukaista käyttöoikeuksien tarkistus välittömästi eikä vasta jälkikäteen.
Haluatteko tietää, mitä muuta voisitte oppia kuudella päämarkkinalla 3 000 yritysjohtajalle tekemästämme kyselystä? Lue lisää SMB Cybersecurity Report 2026 -raportistamme. Opitte, mikä aiheuttaa murtoja ja mitä ne todella maksavat, missä inhimillinen virhe näkyy useimmiten sekä miten pilven ja tekoälyn käyttöönotto luovat uusia sokeita pisteitä. Se sisältää myös käytännön ohjeita suojauksen tehostamiseen, jotka toimivat tositilanteissa.
