Yrityksen langattoman verkon tietoturva varmistetaan yhdistämällä vahva salaus, käyttäjien tunnistaminen, verkon segmentointi ja säännöllinen tietoturvan tarkistaminen. Nämä toimenpiteet muodostavat yhdessä kerrostetun suojan, joka torjuu sekä ulkoiset hyökkäykset että sisäiset riskit. Alla käymme läpi tärkeimmät kysymykset, joihin jokaisen yrityksen tietoturvasuunnittelussa tulee löytää vastaus.

Mitkä ovat langattoman yritysverkon suurimmat tietoturvariskit?

Langattoman yritysverkon suurimmat tietoturvariskit ovat luvaton verkkoon pääsy, salaamattomat tiedonsiirrot, ns. man-in-the-middle-hyökkäykset sekä haavoittuvat tai päivittämättömät laitteet. Näistä erityisesti luvaton pääsy on kriittinen uhka, koska langaton signaali kantaa usein rakennuksen seinien ulkopuolelle.

Käytännössä riskit voidaan jakaa muutamaan keskeiseen kategoriaan. Ensinnäkin heikot tai oletussalasanat mahdollistavat sen, että hyökkääjä pääsee verkkoon nopeasti ja huomaamatta. Toiseksi väärennetyt tukiasemat, joita kutsutaan myös ”evil twin” -hyökkäyksiksi, houkuttelevat käyttäjiä yhdistämään laitteensa haitalliseen verkkoon, jolloin kaikki liikenne voidaan kaapata. Kolmanneksi IoT-laitteet, kuten tulostimet, kamerat ja älylaitteet, jäävät usein tietoturvapäivitysten ulkopuolelle ja muodostavat helpon sisääntuloväylän verkkoon.

Henkilöstön toiminta on myös merkittävä riskitekijä. Tietojenkalastelu, haittaohjelmat ja vahingossa avatut liitteet voivat levitä nopeasti koko verkkoon, jos sisäinen segmentointi puuttuu. Kattava yrityksen tietoturva edellyttää siksi sekä teknisiä ratkaisuja että henkilöstön koulutusta.

Miten vierasverkko suojaa yrityksen sisäistä verkkoa?

Vierasverkko suojaa yrityksen sisäistä verkkoa eristämällä vierailijoiden ja ulkopuolisten laitteiden liikenteen omaan segmenttiinsä, josta ei ole pääsyä yrityksen kriittisiin järjestelmiin, tiedostoihin tai palvelimiin. Tämä verkon segmentointi on yksi kustannustehokkaimmista tietoturvaratkaisuista yritykselle.

Kun asiakas, toimittaja tai vieraileva yhteistyökumppani kirjautuu vierasverkkoon, hän saa internet-yhteyden mutta ei näe yrityksen sisäverkon laitteita eikä pääse käsiksi jaettuihin resursseihin. Tämä tarkoittaa, että vaikka vierailijan laitteessa olisi haittaohjelma, se ei pysty leviämään yrityksen omiin järjestelmiin.

Hyvässä vierasverkon toteutuksessa kannattaa huomioida muutama asia:

  • Vierasverkolla on oma SSID eli verkon nimi, joka ei vihjaa yrityksen nimeen tai rakenteeseen
  • Vieraiden liikenne ohjataan palomuurin kautta ja voidaan tarvittaessa suodattaa
  • Kirjautuminen tapahtuu erillisellä portaalilla, joka voidaan aikarajoittaa
  • Vierasverkko on fyysisesti tai loogisesti erotettu yrityksen tuotantoverkosta

Vierasverkon puuttuminen on yksi yleisimmistä puutteista pk-yritysten tietoturvasuunnittelussa, vaikka sen käyttöönotto on teknisesti suoraviivainen toimenpide.

Mikä on WPA3 ja onko se pakollinen yrityksille?

WPA3 on langattomien verkkojen uusin salausprotokolla, joka korvaa vanhemman WPA2-standardin. Se tarjoaa vahvemman salauksen, paremman suojan heikkoja salasanoja vastaan ja yksilöllisen istuntosalauksen, joka estää aiemman liikenteen purkamisen jälkikäteen. Yrityksille WPA3 ei ole lainsäädännöllisesti pakollinen, mutta se on vuonna 2026 jo selkeästi tietoturvasuositusten mukainen standardi.

WPA2:een verrattuna WPA3:n merkittävin parannus on SAE-kädenpuristus (Simultaneous Authentication of Equals), joka tekee sanakirjahyökkäyksistä huomattavasti vaikeampia. Käytännössä tämä tarkoittaa, että vaikka verkon salasana olisi kohtuullisen lyhyt, hyökkääjä ei voi kerätä salattua liikennettä ja purkaa sitä offline-tilassa omalla laitteistollaan.

Vanhat laitteet eivät aina tue WPA3:a, joten siirtymä vaatii usein laitteistopäivityksiä. Monissa uusissa tukiasemissa on kuitenkin WPA2/WPA3-yhteensopivuustila, joka mahdollistaa asteittaisen siirtymisen. Yrityksen kannattaa priorisoida WPA3-siirtymä erityisesti tiloissa, joissa käsitellään arkaluonteista tietoa, kuten henkilötietoja tai taloustietoja.

Miten langattoman verkon käyttäjien tunnistaminen kannattaa toteuttaa?

Langattoman verkon käyttäjien tunnistaminen kannattaa toteuttaa 802.1X-standardin mukaisella todennuksella yhdistettynä RADIUS-palvelimeen, jolloin jokainen käyttäjä kirjautuu omilla henkilökohtaisilla tunnuksillaan eikä yhteisellä verkon salasanalla. Tämä mahdollistaa yksilöllisen pääsynhallinnan, kirjausketjut ja nopean tunnusten sulkemisen tarvittaessa.

Pienemmille yrityksille, joille 802.1X-infrastruktuuri on liian raskas, hyvä välivaihtoehto on monivaiheinen tunnistautuminen (MFA) yhdistettynä vahvaan WPA3-Enterprise-salaukseen. Myös Microsoft 365 -ympäristöissä käytettävä Entra ID (entinen Azure AD) mahdollistaa identiteettipohjaisen pääsynhallinnan, joka ulottuu myös langattomaan verkkoon.

Sertifikaattipohjainen tunnistaminen

Edistyneempi vaihtoehto on sertifikaattipohjainen tunnistaminen, jossa laitteelle asennetaan digitaalinen sertifikaatti verkkoon kirjautumista varten. Tällöin verkkoon pääsevät vain ne laitteet, joille on myönnetty sertifikaatti, mikä estää tehokkaasti luvattomien laitteiden liittymisen verkkoon, vaikka henkilön tunnukset olisivat vuotaneet.

Vieraiden ja henkilöstön eriyttäminen

Käyttäjätunnistaminen kannattaa suunnitella niin, että henkilöstö, alihankkijat ja vieraat käyttävät eri verkkoja ja eri tunnistamismenetelmiä. Tämä roolipohjainen jako varmistaa, että jokainen pääsee vain niihin resursseihin, jotka heidän tehtävänsä edellyttävät, mikä on keskeinen periaate modernissa tietoturvasuunnittelussa.

Kuinka usein langattoman verkon tietoturva pitää tarkistaa?

Langattoman verkon tietoturva pitää tarkistaa vähintään kerran vuodessa kattavalla tietoturva-auditoinnilla, mutta käytännössä jatkuva valvonta ja lyhyemmät neljännesvuosittaiset tarkistukset ovat suositeltavia. Uhkaympäristö muuttuu nopeasti, ja myös yrityksen oma verkkoympäristö muuttuu laitehankintojen ja henkilöstövaihdosten myötä.

Säännöllisen tarkistuksen tulisi kattaa ainakin seuraavat osa-alueet:

  1. Laitteiden firmware-päivitykset: Tukiasemien ja reitittimien ohjelmistot tulee pitää ajan tasalla haavoittuvuuksien sulkemiseksi
  2. Käyttöoikeuksien läpikäynti: Yrityksestä poistuneiden henkilöiden tunnukset tulee poistaa välittömästi
  3. Verkon liikenteen analysointi: Epätavallinen liikenne voi viitata tietomurtoon tai haittaohjelmaan
  4. Salasanojen ja sertifikaattien voimassaolo: Vanhentuneet tunnisteet ovat tietoturvariski
  5. Tunkeutumistestaus: Säännöllinen penetraatiotestaus paljastaa haavoittuvuudet ennen kuin hyökkääjä löytää ne

Jatkuva automaattinen valvonta täydentää pistotarkistuksia. Hyvä tietoturvapalvelu sisältää reaaliaikaisen hälytysjärjestelmän, joka reagoi poikkeavaan verkkokäyttäytymiseen välittömästi. Me autamme yrityksille suunnatuissa ICT-ratkaisuissa niin verkon suunnittelussa, käyttöönotossa kuin jatkuvassa tietoturvan ylläpidossa, jotta tietoturvan tarkistaminen ei jää yrityksen omien resurssien varaan. Ota rohkeasti yhteyttä asiantuntijoidemme tietoturvapalveluihin tai tutustu Japon kotisivuihin ja palveluvalikoimaan löytääksesi sopivimmat ratkaisut yrityksellesi.