Vierityspalkki.fi

Blogi verkkopalveluiden uudistajille ja kehittäjille

Mitä tietoturvasertifikaatti tarkoittaa käytännössä digitoimistolle – Evermaden Jaakko Alajoki kertoo

Perttu Tolvanen

Juuri kun Siili Solutions oli päässyt kertomaan, että on saanut sertifioitua itsensä tietoturvan hallinnassa ISO/IEC 27001 -tasolle, ilmoittautui Evermade myös samaan sarjaan. Trendi kertoo tietoturvan kasvaneesta merkityksestä viime vuosina. Vierityspalkki päätti kysyä Evermaden Jaakko Alajoelta mitä tietoturvasta huolehtiminen nyt Evermadella käytännössä tarkoittaa.

19.12.2025 | klo 14.17 Artikkeli

Sertifikaattien hyödyllisyys on eräänlainen ikuisuuskeskustelu ohjelmistoalalla, koska monesti teknologiat ja vaatimukset muuttuvat nopeammin kuin sertifikaatit. Sertifikaatti myös kertoo vain tietyn hetken tilanteesta, ja yleensä ne myös maksavat rahaa, joten kaikki eivät niitä tee, koska eivät näe hyötyjä riittävän isoiksi.

Osaavat asiakkaat myös kykenevät vaatimaan asioita itsekin, joten sertifikaatit eivät ole mitään hopealuoteja hyvän kumppanin valintaan.

Tästä todellisuudesta huolimatta, hyvät sertifikaatit kertovat ulospäin siitä, että toimisto pitää sertifikaatin vaatimia asioita tärkeinä. Hyvä sertifikaatti myös arvioi nykyhetken lisäksi sitä, millainen se systeemi on, jolla tietoturvaa seurataan ja kehitetään. Tässä kyseessä oleva sertifikaatti (ISO/IEC 27001) on juuri tällainen, jossa painoarvoa on paljon sillä, miten juurtunut ja jatkuvasti agendalla oleva asia tietoturva toimistossa on.

Tällainen tietoturvan johtamismallin sertifikaatti on toki asia, jota ei kannata aivan pieniltä toimistoilta vaatia tai odottaa. Iso osa sertin vaatimuksista liittyy juuri ison toimiston johtamiseen ja käytänteisiin. Esimerkiksi alle 10 hengen toimistolle sertifikaatti olisi todennäköisesti aika vaikea edes tehdä. Isolle toimistolle tällainen sertifikaatti voi olla vahva meriitti suhteessa muihin isoihin toimistoihin. Evermadekin on tehnyt sertifikaatin yhdessä emokonserni Lianan kanssa. Sertifioinnin kumppani on ollut Into Certification.

Esimerkiksi Vierityspalkin Toimistot-hakemistossa toimistot saavat tietoturvallisten digipalveluiden osaamisesta merkinnän profiiliinsa, jos vähintään kolme (3) heidän referenssitoteutustaan on auditoitu kolmannen osapuolen toimesta. Tämä ei ole sama kuin sertifiointi, mutta tällaiseen meriittiin voi päästä myös pienempi toimisto.

Yksittäisen asiakkaan kannalta on myös yleensä tärkeintä analysoida se oman palvelun tietoturvan taso, esimerkiksi auditoimalla se palvelu. Tästä on kirjoitettu Vierityspalkissa aiemminkin.

Hyvällä systeemillä toimiva digitoimisto on kuitenkin tärkeä osa sitä, että oma palvelu pysyy tietoturvallisena. Tietoturvahan on aina aikaan ja tilanteeseen sidottua, ei ole olemassa mitään ”parasta” tasoa, on vain riittävä tai riittämätön taso. Siksi on hyvä arvioida esimerkiksi toimistojen päivitysrutiineja, varmuuskopioinnin malleja ja sitä, miten palvelimille pääsyä hallitaan toimiston sisällä. Kuten viime aikoina on nähty, se pahin hyökkäys voi tulla myös sen digitoimistokumppanin kautta, ei välttämättä sivuston kautta suoraan.

On siis käytännössä pelkästään hyvä asia, että toimistot panostavat tietoturvaan, ja siksi on myös tärkeätä, että asiakkaatkin kysyvät näiden asioiden perään. Oli sertiä tai, joku vastaus pitäisi kaikkiin näihin asioihin löytyä jokaiselta digitoimistolta.

Vierityspalkin kysymyksiin vastasi Evermaden teknologiajohtaja Jaakko Alajoki.

Mitä asioita teitte ennen kuin lähditte hakemaan sertifikaattia? Eli millaisia käytänteitä ja työskentelytapoja olette parantaneet viime vuosina?

Tietoturva on ollut meille aina tärkeä asia, mutta me lähdettiin systemaattisesti parantamaan tietoturvaa viitisen vuotta sitten. Käytännössä hommaa on johdettu niin, että on pyritty tunnistamaan isoimmat pullonkaulat ja korjaamaan ne.

Viime vuosien isoja juttuja on ollut esimerkiksi automaattiset WordPress-päivitykset. Meidän työnkulku ja ylläpito on järjestetty siten, että WordPressin automaattisia päivityksiä ei ole voinut pitää päällä. Käytännössä me on ajettu siis “tilattomissa” Docker-konteissa saitteja jo vuosikaudet. Tämä toimii siten, että koodista rakennetaan levykuva, joka sitten otetaan palvelimella ajoon. Teoriassa WordPressin kautta voi päivitykset asentaa, mutta seuraavan uudelleenkäynnistyksen yhteydessä Docker-kontti ladataan puhtaalta pöydältä levykuvan avulla ja kaikki lennossa tehdyt muutokset katoaa. Me rakennettiin meidän oma mekanismi tekemään versiopäivitykset ylläpidossa oleviin saitteihin ja rakentamaan saitit uudelleen. Saitit myös testataan automaattisesti ennen tuotantoonvientiä. Jos automaattitesti heittää hälytystä, niin ihminen käy sitten katsomassa, että kaikki toimii. Tämä koko mekanismi rakennettiin joitakin vuosia sitten ja se on ollut iso parannus tietoturvaan.

Toinen parannus on ollut tietoturvaskannaus. Me käydään kerran päivässä hakemassa palvelimilta asennettujen WordPress -lisäosien versiot ja kerätään ne keskitettyyn paikkaan. Sitten meillä on automaatio, joka hakee kolmesta eri haavoittuvuuskannasta tietoja tietoturva-aukoista ja hälyttää Care-tiimiä ongelmista.

Kolmas iso juttu on ollut meillä palvelinten SSH-yhteyksien pääsynhallinnan uusiminen. Aikaisemmin meillä oli jaettu SSH-avain, jota sitten kierrätettiin. Kaikki devaajat pääsi siis kaikkiin palvelimiin. Pienemmällä tiimillä tämä oli ihan ok, mutta ei enää firman ja asiakkaiden kasvaessa. Me haluttiin tähän parempaa kontrollia ja otettiin käyttöön Teleport -pääsynhallintatyökalu. Sen avulla me voidaan päättää, mille palvelimelle yksittäinen ihminen pääsee. Käytännössä Teleport hallitsee pääsyjä ja luo taustalla tilapäiset SSH-avaimet devaajille.

Google Workspacen osalta me teetettiin Lianan kanssa yhdessä ulkopuolinen tietoturva-auditointi, jonka pohjalta kiristettiin itseasiassa paikoin aika rajustikin Workspacen tietoturva-asetuksia. Tämä oli meillä todella tärkeä duuni, koska valtaosa arkaluontoisesta tiedosta pyörii Googlen tässä ympäristössä.

Tämän lisäksi meillä on otettu käyttöön tietoturvakoulutukset koko henkilöstölle. Tähän meille on tullut työkalu emoyhtiön kautta. Kerran vuodessa kaikkien pitää suorittaa perustason tietoturvakoulutus.

Lisäksi me on otettu käyttöön Defender työasemien suojaukseen.

Eli tietoturvan eteen on tehty paljon duunia ihan muutaman vuoden aikana.

Toiko sertifikaattiprosessi tähän työtapojen kehitykseen jotain uusia kulmia? Kun sertifiointiprosessi oli käynnissä, jouduitteko parantamaan menetelmiä ja malleja prosessin aikana?

Varmaan ensin on tosiaan hyvä avata, että ISO/IEC 27001 -sertifiointi koskee tietoturvan hallintajärjestelmää. Luulin itse aluksi, että saisimme nenän eteen vain jonkun tarkistuslistan tietoturvaparannuksista ja sitten vain toteuttaisimme ne. Mutta sertifiointi vaatii paljon laajempaa työtä, kuin vain joukkoa yksittäisiä parannuksia.

Sertifiointityön aikana loimme meille tietoturvan hallintajärjestelmän, joka kattaa laaja-alaisesti esimerkiksi seuraavia osa-alueita:

  • Yhtiön johto on sitoutunut tietoturvan kehittämiseen.
  • Meillä on dokumentoitu tietoturvapolitiikka.
  • Hallintajärjestelmä kattaa yrityksen kaikki henkilöt. Kyseessä ei siis ole mikään teknisten tekijöiden juttu, vaan tietoturva koskee koko tiimiämme.
  • Tietoturvatyölle on tarjolla sen tarvitsemat resurssit ja osaaminen.
  • Olemme asettaneet itsellemme mittareita, joilla seuraamme tietoturvan toteutumista.
  • Tietoturvatyö on jatkuvaa ja jatkuvuutta seurataan säännöllisesti.
  • Yhtiön tietoturvariskit on tunnistettu ja jokaisen riskin osalta on suunnitelma siitä, miten sitä hallitaan.

Mun mielestä ISO/IEC 27001 -sertifiointi on tuonut kolme isoa parannusta meille:

  1. Tietoturvatyö on muuttunut systemaattisemmaksi. Aikaisemmin me on tehty hyviä parannuksia, mutta parannukset on olleet aika yksittäisiä irrallisia vetoja. Nyt me johdetaan työtä paljon järjestelmällisemmin.
  2. Tietoturva mielletään helposti tosi tekniseksi asiaksi ja tällaisessa WordPress -toimistossa keskittyy paljolti kapea-alaisesti ihan ytimen eli WordPressin tietoturvaan. Mutta tietoturva koskettaa koko organisaatiota. Tyypillisin hyökkäyshän on esimerkiksi kalasteluviesti ja sen kohteena voi olla ihan kuka vain. Ei siis riitä, että palvelinasiat on kunnossa, jos arkaluontoisiin tietoihin päästään käsiksi vaikka huolimattomasti tehdyn asiakaskommunikaation kautta. Niinpä edellisen vuoden aikana on keskitytty paljon esimerkiksi siihen, missä meidän datat sijaitsee, mitä kriittisiä järjestelmiä meillä on, kuka pääsee mihinkin tietoon käsiksi, mitä tunnuksia käyttäjille luodaan ja miten tunnukset poistetaan, kun joku lähtee firmasta. Kuvaavaa on se, että auditoinnin yhteydessä haastateltiin laajalti henkilöstöä ja mukana oli esimerkiksi toimitusjohtaja, operatiivinen johtaja, henkilöstöjohtaja, asiakkuusjohtaja ja Caren lead developer. Eli pelkkä teknologiajohtajan selittely ei riittänyt.
  3. Tietoturvatyöstä on tullut paljon läpinäkyvämpää. Käytännössä se näkyy lisääntyneenä dokumentaationa ja logituksena. Sertifiointi edellyttää, että me voidaan oikeasti näyttää, että tietoturva toteutuu. Ei siis riitä, että selittelen ummet ja lammet auditoinnissa. Pitää olla todisteita, että jotain tehdään. Tähän tarvitaan erilaisia dokumentteja, pöytäkirjoja ja lokimerkintöjä.

Itse sanoin auditoinnin aikana, että viisi vuotta sitten me ei oltaisi saatu sertifikaattia. Nyt järjestelmällisen työn tuloksena sertifikaatti ei tuonut mitään isoja muutoksia teknisiin yksityiskohtiin. Sen sijaan organisaation tasolla muutosta on päästy tekemään.

Paljonko teidän EverCare-asiakkaiden kuukausihinta on yleensä? Miten tällaisen tyypillisen EverCaressa olevan asiakkaan tietoturva on hoidettu teknisellä tasolla ja mitä asioita seuraatte automaattisesti osana ylläpitopakettia?

Ylläpidon hinnat ilman työvarauksia alkavat parista sadasta eurosta ja monimutkaisimmissa toteutuksissa ovat tuhansia euroja. Kaikkien tietoturva hoidetaan käytännössä yhtä turvallisesti.

Tässä on lista meidän keskeisistä tietoturvatoiminnoista:

  • Tilaton (stateless) Docker-infrastruktuuri
    • Sivustot ajetaan konteissa, jotka käynnistyvät aina puhtaalta, koodista rakennetulta levykuvalta. Tämä tarkoittaa, että lennossa tehdyt luvattomat tiedostomuutokset tai mahdolliset haittaohjelmat tuhoutuvat automaattisesti seuraavan uudelleenkäynnistyksen tai päivityksen yhteydessä.
  • Keskitetty pääsynhallinta (Teleport)
    • Tuotantopalvelimilla ei käytetä pysyviä salasanoja tai jaettuja SSH-avaimia. Pääsy on roolipohjainen ja vaatii vahvaa tunnistautumista (MFA), jolloin järjestelmä luo lyhytaikaisen, henkilökohtaisen sertifikaatin vain tarvittavan istunnon ajaksi.
  • Muuttumattomat (immutable) varmuuskopiot
    • Varmuuskopiot tallennetaan salattuina kahteen eri sijaintiin. Niitä ei voi jälkikäteen muokata tai poistaa.
  • Monikerroksinen verkkosuojaus
    • Infrastruktuuri on suojattu palomuureilla, automaattisella brute force -estolla sekä palvelunestohyökkäysten (DDoS) torjunnalla. Kaikki liikenne ja ympäristöt (myös testaus ja kehitys) on suojattu SSL-salauksella.
  • Jatkuva haavoittuvuusskannaus
    • Automaatio tarkistaa päivittäin asennetut lisäosat ja versiot kolmea eri tietoturvatietokantaa (WPScan, Patchstack, Wordfence) vasten ja hälyttää ylläpidolle välittömästi tunnetuista haavoittuvuuksista.
  • Automaattinen päivitysputki
    • WordPressin ydin ja lisäosat päivitetään koneellisesti. Kriittiset tietoturvakorjaukset asennetaan viipymättä ja muut päivitykset säännöllisesti vähintään kerran kuukaudessa.
  • Visuaalinen regressiotestaus
    • Ennen kuin päivitykset viedään tuotantoon, tekoälypohjainen testausautomaatio käy sivuston läpi ja vertaa sitä aiempaan versioon varmistaakseen, ettei päivitys ole rikkonut sivuston ulkoasua tai toiminnallisuutta.
  • Reaaliaikainen lokitus ja hälytykset
    • Järjestelmä valvoo ympärivuorokautisesti palvelimen resursseja, käyttökatkoja, virhetilanteita sekä poikkeavia kirjautumisyrityksiä, jotta ongelmiin voidaan reagoida ennakoivasti.

Tavalliselle asiakkaalla isoin hyöty on ehdottomasti tieto siitä, että tietoturva otetaan meillä vakavasti, työ on systemaattista ja se kattaa koko organisaation.

Kuinka moni henkilö esimerkiksi EverCare-ylläpitotiimissä pääsee käsiksi yksittäisen asiakkaan ympäristöihin ja tietoihin? Miten tätä pääsyä seurataan tai rajataan?

Meillä ylläpitotiimi on vastuussa kaikista saiteista ja ihan käytännön syistä koko tiimillä on pääsy kaikkiin sivustoihin. Mutta muutoin käyttöoikeuksia on rajoitettu henkilö- ja tiimikohtaisesti. Esimerkiksi yksittäinen devaaja pääsee vain niiden projektien palvelimille, joille hänellä on tarve päästä.

WordPress-käytöstä kerätään audit logia ja vastaavasti jokaisesta SSH-sessiosta jää logi. Eli ongelmatilanteissa päästään käsiksi siihen, että kuka on kirjautunut mihinkin ja myös siitä, että mitä toimenpiteitä on tehty.

Mitkä käytänteet tai toimintamallit ovat mielestänne tärkeimpiä tällä hetkellä, kun AI tehostaa myös hyökkääjien työtä ja mahdollistaa entistä automatisoidummat hyökkäykset?

Tekoälyn mukaantulo tarkoittaa lisääntynyttä automaatiota. Näkyvin muutos on tapahtunut kalasteluhyökkäyksissä. Ne ovat muuttuneet entistäkin uskottavammiksi. Tässä auttaa koulutus. Meillä on esimerkiksi syksyllä ajettu automatisoituja kalasteluun liittyviä koulutussimulaatioita.

Muutoin tekoälypohjaiset hyökkäykset lisäävät tarvetta reagoida entistä nopeammin. Tietoturva-aukkoja hyödynnetään heti ja sen vuoksi esimerkiksi päivitysten asentaminen pitää olla ripeää. Tiivistäen voisi sanoa, että tekoäly tehostaa hyökkäysten automaatiota ja siihen on vastattava tehostamalla puolustuksen automaatiota.

> Evermade Vierityspalkin Digitoimistot-hakemistossa

Perttu Tolvanen

Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.

Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Sinua voisi kiinnostaa myös

Full Stack & Frontend -kehittäjiä

Yritys: Huutokaupat.com

Paikkakunta: Helsinki

B2B eCommerce -koordinaattori

Yritys: Berner

Paikkakunta: Helsinki

Full Stack Developer

Yritys: Alma Media

Paikkakunta: Helsinki

Vierityspalkki.fi

Julkaistu vuodesta 2006. Vierityspalkki on blogi verkkopalveluiden kehityksestä, internetin teknologioista ja alan toimistoista. Seuraa, niin tiedät miten ja kenen toimesta syntyvät parhaat verkkopalvelut, verkkokaupat ja räätälöidyt web-sovellukset. Uutiskirjeellä on jo yli 1100 tilaajaa.


Tilaa uutiskirje.

  • 40-50 asiantuntija-artikkelia vuosittain.

    Toimitettua asiasisältöä verkkopalveluiden uudistuksista ja kotimaisen ohjelmistoalan tapahtumista. Vierityspalkki nostaa esiin alan puheenaiheita ja tuoretta tutkimustietoa, osallistuu keskusteluun sekä haastattelee alan asiantuntijoita ja toimistoja. Julkaistuja artikkeleita jo yli 1000 kappaletta.


    Kaikki artikkelit

  • 150-200 julkaistua referenssicasea joka vuosi.

    Julkaisut-palsta tarjoaa näkyvyyttä kiinnostaville uusille verkkopalveluille ja web-sovelluksille, ja antaa asiakkaille mahdollisuuden arvioida eri toimistojen osaamista.


    Selaa toimistojen julkaisuja

  • 300-400 työpaikkailmoitusta vuosittain.

    Vuodesta 2007 toiminut ilmoituspalsta on edelleen sivuston suosituin osio. Moni asiantuntija on löytänyt useammankin työpaikan palstan kautta vuosien varrella.


    Selaa avoimia työpaikkoja

  • 31 kokenutta digitoimistoa

    on päässyt aina ajantasaiselle Toimistot-listalle. Lista on auttanut asiakkaita löytämään kokeneita digitoimistokumppaneita jo usean vuoden ajan. Lista keskittyy WordPress-toimistoihin ja räätälöityjen web-sovellusten tekijöihin.


    Selaa Toimistot-listaa

Tilaa kuukausikirje

Kerran kuukaudessa ilmestyvä uutiskirje koostaa artikkelit, julkaisut, työpaikat ja linkkivinkit. Kirjeellä on jo yli 1100 tilaajaa.
Huom. Sähköpostiosoitettasi ei luovuteta eteenpäin, eikä käytetä mihinkään muuhun tarkoitukseen – ihan oikeasti.

Tilaa uutiskirje

Siirry takaisin sivun alkuun