LM Someco logo
LM Someco logo

Digimarkkinointi, Sosiaalinen ja ostettu media
Patrik LiljebäckDirector of Technology, Account Director
Kirjoittajaesittely ›

Voit kuunnella tämän artikkelin myös ääniblogina

Ääniblogien kuuntelu vaatii evästeiden hyväksymisen.
Muuta evästeasetuksia tästä.

Kiristetään tietoturvaruuvia vielä puoli kierrosta

Tietoturva ja tietosuoja ovat seikkoja, jotka markkinointiviestinnän ammattilaisten tulee huomioida päivittäisessä työssään. Toimintaympäristö, jossa työtä tehdään, muuttuu jatkuvasti ja samalla myös riskit kasvavat. Edellisessä kirjoituksessani kävin läpi tietoturvaan ja tietosuojaan liittyvää sääntelyä sekä muutamia teknisiä yksityiskohtia. Tällä kertaa keskitytään erityisesti käyttäjätunnuksiin ja kirjautumiseen käytännön vinkkien muodossa. Olkaa hyvä!

Oikeat käyttöoikeudet oikeille käyttäjille

Olennainen osa tietoturvaa on varmistaa, että pääsy tiedon äärelle on oikeilla henkilöillä – ja vain heillä. Jokaisella ei myöskään tarvitse olla pääkäyttäjän oikeuksia vaan työtehtävien tai roolin mukaiset oikeudet riittävät. Käyttöoikeuksia ei pidä antaa varmuuden vuoksi vaan ainoastaan todelliseen tarpeeseen. Yhtä tärkeää on muistaa poistaa oikeudet, kun tarvetta ei enää ole tai kun tiimissä tapahtuu henkilöstömuutoksia. Ylläpitovastuuta kannattaa kuitenkin hajauttaa siten, että myös pääkäyttäjälle on vähintään yksi varahenkilö. Keskitetty käyttäjien hallinta, käyttöoikeuksien dokumentointi sekä ennalta määritetyt selkeät käytännöt auttavat käyttöoikeuksien hallinnoinnissa varsinkin tilanteissa, joissa tarvitaan nopeaa reagointia.

Blogistamme voit lukea myös Tiinan vinkkejä sosiaalisen median tilien käyttöoikeuksien hallinnointiin.

Mitä minun pitää tehdä?

  • Tarkista, että järjestelmiin on oikea määrä käyttäjiä ja käyttäjillä on oikeat käyttöoikeudet. Poista turhat.
  • Varmista, että pääkäyttäjän oikeudet on vähintään kahdella käyttäjällä – mutta ei kaikilla!
  • Ottakaa rutiiniksi tehdä käyttöoikeuksien tarkistukset säännöllisesti esimerkiksi kolmen kuukauden välein ja aina henkilöstömuutosten jälkeen.
  • Laadi dokumentaatio, johon merkitset organisaatiosi käyttäjät ja järjestelmät, joihin heillä on pääsy. Kirjaa dokumentaatioon myös muutokset ja niiden päivämäärät.

Henkilökohtaiset käyttäjätunnukset

Yhteiskäyttöisten tunnusten aika alkaa olla ohi. Yhteiskäyttötunnuksilla tarkoitetaan käyttäjätunnuksia, jotka ovat useamman kuin yhden henkilön käytössä. Yhteiskäyttötunnuksia käytettäessä ei voida varmuudella selvittää, kuka henkilö kirjautumisen takana on, eikä voida osoittaa, keillä kaikilla henkilöillä palveluun on pääsy. Yhteiskäyttöisten tunnusten sijaan suositaan henkilökohtaisten tunnusten luomista kaikille käyttäjille. Henkilöstömuutosten yhteydessä on helpompaa, kun yksittäinen käyttäjätunnus voidaan vain lopettaa eikä yhteiskäyttötunnuksen salasana jää vahingossa tietoon asiaankuulumattomille.

Mitä minun pitää tehdä?

  • Tarkista, millaisia yhteiskäyttötunnuksia organisaatiossasi on käytössä ja laadi suunnitelma niistä luopumiseen.
  • Luo tai pyydä ylläpitäjiä luomaan yhteiskäyttötunnusten sijaan jokaiselle omat henkilökohtaiset tunnukset.
  • Suunnittele prosessi, jossa tarpeettomat käyttäjätunnukset poistetaan.

Vahvat salasanat

Käyttäjätunnus ja salasana ovat perinteinen tapa kirjautua sisään verkkopalveluihin. Niiden tietoturva perustuu oletukseen, että salaiset kirjautumistiedot ovat vain käyttäjän itsensä hallussa. Nykyään yhä harvempaan palveluun luodaan erikseen käyttäjätunnusta, vaan sähköpostiosoitteesta on tullut käyttäjän yksilöivä tunniste. Tämä trendi on osaltaan heikentänyt tietoturvaa, sillä saman sähköpostiosoitteen toimiessa käyttäjätunnuksena useaan eri palveluun, hyökkääjän tarvitsee varastaa, murtaa tai arvata vain salasana.

Salasanat ovat usein heikkoja, sillä salasanojen muistaminen on hankalaa. Kiusaus käyttää samaa salasanaa monessa eri verkkopalvelussa on suuri. Tällöin yhteen palveluun tehty tietomurto vaarantaa käyttäjän tilit muissakin palveluissa.

Kuva: xkcd.com

Jotkin verkkopalvelut pyrkivät lisäämään tietoturvaa vaatimalla salasanaan erikoismerkkejä tai numeroita. Tämä kuitenkin tekee salasanasta vieläkin vaikeamman muistaa, vaikka se ei tee siitä koneelle juurikaan työläämpää murtaa. Parempi olisikin käyttää pidempiä ja helpommin muistettavia salasanoja tai salalauseita, joiden muistamista voi auttaa vaikka sovittamalla sen mielimusiikkisi melodiaan ja kirjautumisen kohteena olevaan palveluun. Näin salasana voisi olla vaikka Jäi Facebookiin, vain päivä elämää.

Jos salasanojen muistaminen tuntuu ylivoimaiselta, senkin voi antaa koneen hoidettavaksi. Salasanojen hallintaan löytyy useita hyviä sovelluksia, jolloin yksittäisten palveluiden salasanat voivat olla todella pitkiä, kryptisiä ja vaikeasti arvattavia. Haittapuolena on kuitenkin munien laittaminen yhteen koriin. Jos salasananhallintasovellus murretaan, hyökkääjä saa yhdellä kertaa pääsyn koko digitaaliseen identiteettiisi. Ja jos menetät sovelluksen hallinnan, et itsekään pääse kirjautumaan.

Mitä minun pitää tehdä?

  • Tarkista, että käyttämäsi salasanat ovat riittävän vahvoja etkä käytä samaa salasanaa useassa paikassa.
  • Ota käyttöön salasananhallintatyökalu, joko laitteen tai selaimen oma (esim. Apple Keychain) tai kolmannen osapuolen sovellus (esim. Bitwarden tai 1Password). Työkalu auttaa riittävän pitkien ja turvallisten salasanojen luomista sekä muistamista.
  • Arvioi kriittisesti organisaationne salasanapolitiikkaa. Ovatko salasanat riittävän vahvoja? Onko erikoismerkkien vaatiminen järkevää, vai pitäisikö mieluummin suosia pidempää salalausetta?
  • Jos tuotatte itse verkkopalveluita asiakkaillenne, mieti, voisiko kirjautumisen tietoturvaa parantaa ottamalla käyttöön monivaiheisen tunnistautumisen tai vahvan tunnistautumisen tekniikoita.

Salasanan palauttaminen

Useissa verkkopalveluissa on mahdollisuus palauttaa unohtunut salasana lähettämällä linkki sähköpostiin tai tekstiviesti puhelimeen. Joihinkin palveluihin voi lisätä kirjautumisosoitteen lisäksi erillisen palautusosoitteen tai palvelukohtaisesti muitakin vaihtoehtoja, esimerkiksi Googlen palveluissa voi käyttää läheisten Google-tilejä. Palautustoimenpiteet on syytä laittaa kuntoon jo etukäteen, sillä salasanan unohduttua on liian myöhäistä. Palautusosoitteiden tulee myös olla ajan tasalla. Salasanan palauttaminen voi olla hankalaa ja kiusallistakin, mikäli verkkopalveluun on jäänyt esimerkiksi edellisen työpaikan sähköpostiosoite.

Mitä minun pitää tehdä?

  • Tarkista, että käyttämiesi verkkopalveluiden salasanan palautustoimenpiteet ovat ajan tasalla.
  • Testaa salasanan palauttamista ja varmistu, että se myös toimii.
  • Älä anna omien verkkotunnustenne vanhentua. Hyökkääjät saattavat varata vanhentuneita verkkotunnuksia ja pyrkiä palauttamaan niihin salasanoja. Käytöstä poistuneiden verkkotunnusten säilyttäminen omassa hallussa on varsin halpa tietoturvakeino.

Monivaiheinen tunnistautuminen ja avainkoodit

Käyttäjätunnuksen ja salasanan lisäksi kirjautumisen yhteydessä voidaan vaatia myös muita tunnistuselementtejä, jolloin puhutaan kaksi- tai monivaiheisesta tunnistautumisesta. Monivaiheiseen tunnistautumiseen on kaksi yleisesti käytettyä menetelmää:

  1. Kirjautujalle voidaan lähettää sähköpostiin linkki, jota klikkaamalla pääsee kirjautumaan sisään palveluun. Tietoturva perustuu tällöin oletukseen, että ainoastaan käyttäjällä itsellään on pääsy sähköpostiinsa. Kuitenkin, jos sähköposti on onnistuttu murtamaan, muutkin palvelut voidaan murtaa sen kautta.
  2. Kirjautujalta voidaan pyytää tunnistekoodia, joka muodostetaan matkapuhelimen tunnistautumissovelluksessa tai erillisessä laitteessa. Tunnistekoodi voidaan lähettää myös tekstiviestinä käyttäjän puhelimeen. Tällöin tietoturva perustuu siihen, että murtautujan pitäisi saada haltuunsa myös käyttäjän puhelin tai tunnuslukulaite.

Kummankaan menetelmän kanssa pelkkä salasanan murtaminen tai arvaaminen ei siis vielä riitä palveluun kirjautumiseen. Jotkin verkkopalvelut ovat jopa luopuneet salasanoista kokonaan ja kysyvät pelkästään tunnistekoodin tai lähettävät sähköpostilinkin aina kirjauduttaessa.

Monivaiheisen tunnistautumisen ohella ovat pikkuhiljaa yleistymässä avainkoodit (passkeys). Ne ovat teknologiajättien (Google etunenässä) vaihtoehto salasanoille. Avainkoodia käytettäessä luotetaan käyttäjän oman laitteen tietoturvaan ja oletetaan, että laitteen käyttäjä kyetään tunnistamaan. Esimerkiksi matkapuhelimella voidaan käyttää sormenjäljen tai kasvojen tunnistusta verkkopalveluihin kirjauduttaessa.

Kuten salasananhallintasovelluksenkin kohdalla, haittapuolena on, että menettämällä pääsyn monivaiheiseen tunnistautumiseen pysyvät kaikkien verkkopalveluiden ovet säpissä myös käyttäjältä itseltään. Varmistusten on siis syytä olla kunnossa esimerkiksi puhelimen katoamisen varalta.

Mitä minun pitää tehdä?

  • Ota käyttöön monivaiheinen tunnistautuminen joka paikassa, missä se on mahdollista. Sähköpostin ja sosiaalisen median palveluista kannattaa aloittaa, mutta myös useat verkkokaupat tarjoavat mahdollisuutta.
  • Varmista, että tunnistautumissovelluksesi varmuuskopiot ovat kunnossa. Muutoin puhelimen katoaminen tai rikkoutuminen voi aiheuttaa ison päänsäryn, kun et pääse itsekään kirjautumaan. Voit myös asentaa tunnistautumissovelluksen kahteen eri laitteeseen.
  • Muista ottaa talteen myös verkkopalveluiden tarjoamat varakoodit, joilla pääset kirjautumaan, mikäli kaksivaiheinen tunnistautuminen ei jostain syystä onnistu.
  • Jos tarjoamaanne verkkopalveluun kirjautuminen on pelkän käyttäjätunnuksen ja salasanan varassa, mieti, voisiko tietoturvaa parantaa tarjoamalla asiakkaidenne käyttöön kaksivaiheisen tunnistautumisen tai avainkoodin.

Vahva tunnistus

Myös pankkitunnuksilla tai mobiilivarmenteella tapahtuva henkilön vahva tunnistaminen on yleistynyt viime vuosina. Vahvaa tunnistusta käytetään yleensä, kun palvelun täytyy saada selville kirjautujan henkilöllisyys, esimerkiksi verkkokaupassa tehtävää ostamista tai palvelun sitovaa tilaamista varten. Vahvaa tunnistamista voi kuitenkin käyttää myös kirjautumisvälineenä. Vahva tunnistus on hyvin toteutettuna kätevä käyttää ja kilpailee käyttömukavuudessa monivaiheisen tunnistautumisen kanssa.

Vahvan tunnistuksenkin tietoturvaruuvi on tiukentumassa. Viestintävirasto vaatii verkkopalvelun ja tunnistuspalvelun välille sähköistä allekirjoitusta vuoden 2025 loppuun mennessä. Tämä on tekninen seikka, joka ei näy loppukäyttäjälle, mutta tulee yhtä kaikki huomioida.

Mitä minun pitää tehdä?

  • Ota käyttöön mobiilivarmenne. Se on hivenen pankkitunnuksia turvallisempi.
  • Mieti, voisiko tarjoamaanne verkkopalveluun kirjautumisessa käyttää vahvaa tunnistusta.
  • Jos palvelunne käyttää jo vahvaa tunnistusta, tarkista, että tunnistuspalvelussa on huomioitu viranomaisten uudet vaatimukset. Lisätietoja saat tunnistuspalvelunne tarjoajalta.

Käsittelemme jatkossakin tietoturvaa ja tietosuojaa LM Somecon blogissa markkinointiviestinnän näkökulmasta sekä seuraamme toimialan kehitystä. Jotta pysyt jatkossakin kartalla siitä, mitä on hyvä tietää, tilaa blogimme. Olet myös tervetullut osallistumaan webinaarikoulutukseemme sosiaalisen median tietoturvasta, joka järjestetään seuraavan kerran 16.9.2025.

Uusimmat blogikirjoitukset aiheesta


13.8.2025 | Brändimarkkinointi, Digimarkkinointi, Sosiaalinen ja ostettu media

Viisi vinkkiä voittavaan digimarkkinointiin – terveisiä Digital Marketing World Forumista!

Brändimainontaa vai taktisia viestejä? Millainen sisältö erottuu massasta? Onko hakukonenäkyvyyteen panostaminen turhaa, kun tekoälyhaut yleistyvät? Monimutkaistuneen ostopolun myötä markkinoijan on yhä vaikeampaa arvioida mihin panostaa ja mistä pihistää. Kävimme Digital Marketing World Forumissa ottamassa selvää, minkä nimeen muut alan ammattilaiset vannovat digitaalisen markkinoinnin myllerryksessä.

Emma LindqvistPaid Media & Search Lead
Kati VairinenAccount Director, Digital Media Lead


4.8.2025 | Digimarkkinointi, Sosiaalinen ja ostettu media

Näin syntyy vaikuttava video sosiaaliseen mediaan

Sosiaalinen media on nopeatempoinen ympäristö, jossa huomiosta kilpaillaan sekunnin murto-osissa. Hyvin tehty video voi nostaa yrityksesi näkyvyyttä ja sitouttaa yleisöä tehokkaasti, mutta vain, jos toteutus on kohdillaan. Listasin muutamat perussäännöt, joita noudattamalla pääset pitkälle.

Carolina SimbergDigital Marketing Specialist


29.7.2025 | Digimarkkinointi, Sosiaalinen ja ostettu media

Maksettu poliittinen ja yhteiskunnallinen mainonta Metassa päättyy lokakuussa 2025 

Lokakuun 2025 alusta alkaen Metan sosiaalisen median alustoilla eli Facebookissa ja Instagramissa ei enää voi tehdä maksettua mainontaa poliittisille ja yhteiskunnallisille teemoille. Euroopan unionin asetus poliittisen mainonnan avoimuudesta ja kohdentamisesta tuo lisää vaatimuksia maksetun mainonnan läpinäkyvyydelle, ja Meta kertoo, etteivät he pysty näitä vaatimuksia täyttämään. Organisaatioita ja yksilöitä ei tällä päätöksellä siis kielletä julkaisemasta poliittista sisältöä orgaanisesti kanavissaan, mutta näiden teemojen maksettu mainostaminen ei ole lokakuusta alkaen enää mahdollista. 

Minna ValtariDirector, Chairman

Lue blogiamme ›