Tekninen tuki - 020 730 3711 / klo 8-16 | Myynti - 020 730 3713 myynti@documtec.fi

VPN-yhteydet – tietoturvan vai tietomurron portti?

16.6.2025

Monelle yritykselle VPN-yhteys on tuttu ratkaisu etätyön suojaukseen. Sen avulla kentällä liikkuvat tai kotoa käsin työskentelevät työntekijät ovat päässeet yrityksen sisäverkkoon turvallisesti. VPN on pitkään mielletty luotettavaksi ja turvalliseksi työkaluksi.

Todellisuus on kuitenkin muuttunut. VPN, eli virtuaalinen erillisverkko, kehitettiin aikana, jolloin kaikki yrityksen tiedot ja palvelut sijaitsivat omilla palvelimilla. Tavoitteena oli tarjota suojattu yhteys toimiston ulkopuolelta. Tällöin ratkaisu toimi hyvin.

Nykyään yritykset käyttävät yhä enemmän pilvipalveluita, työntekijät työskentelevät eri paikoista ja osa käyttää omia laitteitaan. Tässä hajautuneessa ja jatkuvasti muuttuvassa ympäristössä perinteinen VPN ei enää riitä turvaamaan yhteyksiä. Päinvastoin, väärin hallittuna se voi muodostaa merkittävän riskin koko organisaation tietoturvalle.

Miksi VPN tuntuu yhä turvalliselta?

Moni yhdistää sanan ”VPN” automaattisesti tietoturvaan. Tämä johtuu pitkälti siitä, että kuluttajille markkinoidaan henkilökohtaisia VPN-ratkaisuja. Ne suojaavat yksittäistä käyttäjää esimerkiksi julkisessa WiFi-verkossa. Tästä syntyy mielikuva, että VPN = turvallisuus.

”Mainonnan vaikutus on merkittävä. Myydään henkilökohtaisia VPN-tuotteita, ja se luo illuusion, että kaikki VPN-ratkaisut ovat turvallisia. Tämä ei kuitenkaan päde yritysmaailmassa,” kertoo Jari Kosunen, Documtecin kyberturvallisuudesta vastaava.

Yksi yhteys voi avata liikaa

VPN yhdistää käyttäjän suoraan yrityksen sisäverkkoon. Ilman kunnollisia rajoituksia tämä tarkoittaa, että käyttäjä tai mahdollinen hyökkääjä voi päästä käsiksi järjestelmiin, joihin ei kuuluisi olla pääsyä.

”VPN:n kautta voi päästä laajemmalle alueelle kuin alun perin on ajateltu. Käytössä voi olla heikkoja avaimia, joita ei vaihdeta, ja usein puuttuu monivaiheinen tunnistautuminen,” varoittaa tietoturva-asiantuntija Jari Kosunen.

Tilanne on verrattavissa siihen, että annat postinkantajalle kotiavaimen, jolla hän pääsee myös varastoon ja makuuhuoneeseen, vaikka hänen pitäisi vain jättää kirje eteiseen.

Miksi VPN:ään silti luotetaan?

VPN on monille tuttu ja pitkään käytössä ollut ratkaisu, mikä tekee siitä helposti hyväksytyn. Se on ollut riittävä menneinä vuosina, mutta nykypäivän kyberuhkiin se ei yksin enää riitä.

”VPN koetaan turvalliseksi, koska se on vanha tuttu. Mutta hyökkääjät etsivät juuri niitä yhteyksiä, jotka ovat jääneet päivittämättä tai joissa ei ole monivaiheista tunnistautumista. Niitä löytyy yhä yllättävän monesta yrityksestä,” Kosunen sanoo.

Kuinka tietomurrot VPN:n kautta tapahtuvat?

Kosusen mukaan tyypillinen hyökkäyspolku on yksinkertainen mutta tehokas:

  • Hyökkääjä saa haltuunsa vuotaneen VPN-tunnuksen (esimerkiksi phishing-hyökkäyksellä tai salasanalistojen avulla).
  • Yrityksessä ei ole käytössä monivaiheista tunnistautumista.
  • Yhteys avaa suoran pääsyn koko sisäverkkoon.
  • Hyökkääjä liikkuu verkossa, hakee pääkäyttäjätunnuksia ja levittää haitta- tai kiristysohjelmia.

”VPN on kuin pääovi yrityksen verkkoon. Jos lukko on heikko ja avain vuotaa, sisään pääsee kuka tahansa – ja usein koko rakennukseen kerralla,” Kosunen tiivistää.

Mitä yritysten pitäisi tehdä toisin?

VPN ei ole itsessään huono teknologia, mutta se ei enää yksin riitä turvaamaan yrityksen verkkoa. Sen sijaan tarvitaan ajattelutavan muutos: ei riitä, että luotetaan yhteen yhteyteen tai käyttäjään. Pitää miettiä, mihin kukin saa päästä, milloin ja miten.

VPN:stä ei tarvitse luopua yhdessä yössä, mutta kehitystoimet kannattaa aloittaa heti. Näin Kosunen suosittelee etenemään:

  1. MFA käyttöön kaikille VPN-yhteyksille heti.
  2. Rajoita pääsyoikeudet vain tarvittaviin järjestelmiin.
  3. Hyödynnä pilvipohjaisia Zero Trust -ratkaisuja, kuten Azure AD + Conditional Access.
  4. Korvaa VPN sovelluskohtaisilla yhteyksillä, kuten SSH- tai RDP-portaalien avulla – ilman pääsyä koko verkkoon.

Nykyaikainen tietoturva perustuu niin sanottuun Zero Trust -malliin. Sen ajatus on yksinkertainen: ei luoteta kehenkään automaattisesti, vaikka käyttäjä olisi kirjautunut sisään tai yhteys olisi yrityksen oma.

Sen sijaan jokainen yhteys ja toiminto tarkistetaan erikseen. Käytännössä tämä tarkoittaa esimerkiksi sitä, että käyttäjä pääsee vain niihin järjestelmiin, joita hän oikeasti tarvitsee ja vain silloin, kun se on perusteltua.

Näin voit arvioida, onko VPN-ratkaisunne riski

Yrityksessä voi olla vaikea tietää, onko VPN-yhteys kunnossa vai ei. Kosusen laatima tarkistuslista auttaa arvioimaan, onko VPN-ympäristö riittävän turvallinen:

  • Onko käytössä monivaiheinen tunnistautuminen?
  • Onko pääsy rajattu vain tarvittaviin kohteisiin?
  • Onko VPN-palvelin ajantasainen ja sen käyttöä valvotaan?
  • Kuka ylläpitää VPN-konfiguraatioita – sisäisesti vai ulkoistettuna?
  • Voiko joku päästä sisään pelkällä tunnuksella ja salasanalla?

Jos vastasit ”ei” tai ”en tiedä” yhteenkään kohtaan, on syytä toimia.

VPN ei enää takaa tietoturvaa. Se voi olla merkittävä riski, ellei sen käyttöä ole suunniteltu huolellisesti ja päivitetty vastaamaan tämän päivän uhkakuviin. Nyt on oikea hetki tarkastella, onko yrityksesi yhteydet suojattu 2025-luvun vaatimuksilla vai menneisyyden ratkaisuilla.

Ota yhteyttä

Lisää aiheesta

Etätyö missä ja milloin vain – mutta tietoturva ei saa jäädä matkasta