Criipto on nyt Idura. Lue täältä, miksi →

Tietojenkalastelu ja tietoturva – miksi teknologia yksin ei ratkaise ongelmaa

Kirjoittanut Niels Flensted-Jensen päivänä 8. huhtikuuta 2026

2 min lukuaika

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Tietojenkalastelu ja tietoturva – miksi teknologia yksin ei ratkaise ongelmaa</span>

Kyberrikollisuus on kasvanut yhdeksi maailman suurimmista talouksista Yhdysvaltojen ja Kiinan rinnalle. Erityisesti tietojenkalastelu eli "phishing" on yksi vakavimmista uhista sekä yksityishenkilöille että organisaatioille.

Vaikka käytössä on tietoturvaltaan yhä kehittyneempää laitteistoa, verkkohyökkäykset onnistuvat edelleen. Tämä kertoo, ettei ongelma ratkea pelkästään teknologiaa lisäämällä, vaan koko lähestymistapaa on muutettava.

Tässä artikkelissa tarkastellaan, miksi pelkkä teknologiaan panostaminen ei riitä, ja mitä sen sijaan pitäisi tehdä: parantaa käyttökokemusta, hyödyntää passkey-ratkaisuja ja rakentaa järjestelmiä, jotka eivät kaadu helposti inhimillisiin virheisiin.

Nykyisen tietoturvan kolme keskeistä haastetta

1. Liiallinen fokus laitteisiin ja taustajärjestelmiin

Tietoturvaa on pitkään kehitetty ennen kaikkea teknologian näkökulmasta. Esimerkiksi laitteistopohjaisille turvamoduuleille on olemassa tiukkoja standardeja, kuten FIPS 140-2 taso 3, joka tarjoaa korkean suojauksen järjestelmien manipulointia vastaan. Olemme kuitenkin saavuttaneet pisteen, jossa lisäpanostus laitteistoon ei enää merkittävästi paranna tietoturvaa.

Silti laitteistoon investoiminen tuntuu usein luontevimmalta ratkaisulta: sitä on helppo mitata, selittää ja myydä. Käyttökokemuksen ja käyttäjälähtöisen tietoturvan kehittäminen on sen sijaan vaikeampaa.
Onko huomio kiinnittynyt liikaa ongelmiin, jotka on helppo ratkaista, ja liian vähän niihin, jotka aidosti parantavat tietoturvaa?

Ajan tasalla oleva teknologia on toki ensiarvoisen tärkeää, mutta se ei yksin riitä.

2. Tietojenkalastelua ei voi koskaan täysin estää

Useimmat tunnistautumisratkaisut ovat edelleen alttiita tietojenkalastelulle. Tämä koskee myös kansallisia sähköisiä tunnisteita, joita käytetään esimerkiksi verkossa tunnistautumiseen ja maksujen vahvistamiseen.

Vaikka teknologia on vahvaa ja ajan tasalla, ratkaisut perustuvat usein käyttäjän toimintaan – ja juuri siihen hyökkääjät iskevät. Voit lukea aiheesta lisää täältä.

Keskeisiä ongelmia ovat:

  • Täysin aukotonta ratkaisua ei ole. Päättäväinen verkkohyökkääjä löytää usein keinon kiertää suojaukset
  • Helppokäyttöisyys ja liiallinen luottamus teknologiaan voivat johtaa käyttäjien huolimattomuuteen
  • Monet ratkaisut keskittyvät tunnettujen uhkien torjumiseen, mutta jäävät helposti jälkeen uusista huijaus- ja manipulointitavoista

3. Käyttökokemus ja ymmärrettävyys jäävät liian usein vaille huomiota

Tietoturvajärjestelmiä suunnitellaan usein niin, että käyttäjällä oletetaan olevan teknistä osaamista.
Todellisuudessa näin ei ole.

Esimerkiksi kirjautuminen sähköisellä tunnisteella edellyttää, että käyttäjä tunnistaa oikean verkkotunnuksen ja osaa epäillä väärennettyjä sivustoja. 

Ohessa esimerkit aidosta ja väärennetystä nettipankin kirjautumissivusta:

Image showing the URL dialog for login with MitID

Kaikki eivät kuitenkaan huomaa tällaisia yksityiskohtia. Aika harva tietoturva-asiantuntijakaan tarkistaa joka kerta verkkotunnuksen tunnistautuessaan suojatuille sivustoille. 

Turvallisuus ei saa perustua siihen, että käyttäjä tekee kaiken oikein. Hyvin suunniteltu käyttöliittymä voi ratkaista tämän.

Miten tietoturvaa voidaan parantaa?

Passkey-kirjautumiset ja käyttäjäystävällisempi suunnittelu palvelevat kaikkien etua.

1. Passkey-kirjautuminen poistaa heikoimman lenkin

Ensiksi, mitä passkey-kirjautumisella tarkoitetaan? Lyhyesti selitettynä, passkey on turvallinen kirjautumistapa, joka korvaa salasanat ja ehkäisee tietojenkalastelua sitomalla tunnistautumisen suoraan käyttäjän laitteeseen. Voit lukea aiheesta lisää täältä.

Passkeyt perustuvat niin kutsuttuun epäsymmetriseen kryptografiaan. Se tarkoittaa, että osa avaimesta on käyttäjän laitteella ja osa puolestaan sivuston tai sovelluksen käyttämällä palvelimella. Tällä on selkeitä etuja:

  • Passkey toimii vain tietyssä palvelussa eikä toimi huijaussivulla
  • Salasanoja ei voi arvata tai kierrättää
  • Käyttäjän ei tarvitse muistaa salasanoja

2. Sujuva tunnistautuminen eri laitteiden välillä

Passkeyt toimivat helposti yhdellä laitteella, mutta myös laitteiden välillä.

Esimerkiksi kirjautuminen tietokoneella voi tapahtua näin:

  1. Käyttäjä vahvistaa kirjautumisen puhelimellaan
  2. Laitteet varmistavat, että ne ovat lähellä toisiaan (esim. Bluetooth-yhteydellä)
  3. Tunnistautuminen tapahtuu salattuna

Tämä ehkäisee tunnistautumistietojen joutumista vääriin käsiin ja tekee kirjautumiskokemuksesta sujuvamman.

3. Jatkuva kehitystyö on tarpeen

Hyvä tietoturva ei tule kerralla valmiiksi. Käyttäjien palautetta pitää kuunnella ja ratkaisuja kehittää jatkuvasti. Mitä helpompi ja luontevampi tunnistautumisratkaisu on käyttää, sitä todennäköisemmin ihmiset myös käyttävät sitä oikein.

Paraskaan tunnistautumisratkaisu ei toimi, jos käyttäjät eivät omaksu sitä osaksi jokapäiväistä elämäänsä.

Keskitymmekö oikeisiin asioihin?

Tietoturvassa keskitytään usein teknisiin ratkaisuihin, vaikka inhimilliset riskit ovat vähintään yhtä suuria. Pelkkä turvallinen teknologia ei riitä, jos hyökkääjä voi kiertää sen huijaamalla tai manipuloimalla käyttäjää.

Siksi käyttäjäystävällisyys on elintärkeä osa tietoturvaa.

Toimiakseen käytännössä tietoturvajärjestelmien on oltava selkeitä ja ymmärrettäviä kaikille, ei vain asiantuntijoille.
Table of contents