Datastorm Datastorm
Etusivu Referenssit Meistä UKK Yhteystiedot
Varaa 15 min kartoitus Pyydä arvio

MFA pakolliseksi yrityksessä: käyttöönotto ilman kaaosta

TL;DR – Tiivistelmä

MFA on pakollinen minimi tilikaappauksia vastaan. Käyttöönotto: pilotti → koko organisaatio. Muista poikkeukset (palvelutilit) ja break-glass-tilit.

Miksi MFA on "pakollinen minimi"

99,9 % tilikaappauksista estetään MFA:lla (Microsoft). Pelkkä salasana ei enää riitä:

  • Salasanat vuotavat murroissa
  • Phishing-hyökkäykset kalastelevat salasanoja
  • Käyttäjät käyttävät samaa salasanaa monessa paikassa
  • Brute force -hyökkäykset arvaavat heikkoja salasanoja

MFA = toinen tekijä (puhelin, avain, sovellus) salasanan lisäksi. Hyökkääjä tarvitsee molemmat.

Käyttöönotto askel askeleelta

Vaihe 1: Valmistelu (viikko 1)

  • Kartoita käyttäjät ja poikkeukset (palvelutilit, integraatiot)
  • Valitse MFA-menetelmät (authenticator-sovellus, SMS, avain)
  • Suunnittele break-glass-tilit
  • Laadi viestintäsuunnitelma

Vaihe 2: Pilotti (viikko 2–3)

  • Ota MFA käyttöön IT-tiimille ja pilottiryhmälle
  • Testaa kaikki kriittiset sovellukset
  • Dokumentoi ongelmat ja ratkaisut
  • Päivitä viestintä palautteen perusteella

Vaihe 3: Koko organisaatio (viikko 4–6)

  • Viesti etukäteen: miksi, mitä tapahtuu, miten valmistaudutaan
  • Ota MFA käyttöön asteittain (osastoittain) tai kerralla
  • Järjestä tuki: chat, puhelin, ohjeet
  • Seuraa: ketkä eivät ole aktivoineet

Poikkeukset: palvelutilit, integraatiot, vanhat laitteet

Palvelutilit

Automaattiset prosessit eivät voi käyttää MFA:ta. Ratkaisut:

  • M365: Managed Identity tai App Registration + sertifikaatti
  • Google: Service Account + OAuth
  • Periaate: Ei jaettuja salasanoja, vaan API-avaimet

Integraatiot

CRM, laskutusjärjestelmä yms. jotka kirjautuvat:

  • Käytä OAuth tai API-avaimia MFA:n sijaan
  • Rajaa oikeudet minimiin

Vanhat laitteet

Laitteet, jotka eivät tue MFA:ta (legacy-autentikointi):

  • Estä legacy-autentikointi conditional access -säännöllä
  • Vaihda laite tai sovellus modernimpaan

Haluatko MFA-käyttöönottosuunnitelman?

Kerro M365/Google + käyttäjämäärä → teen ehdotuksen.

Pyydä suunnitelma

Break-glass-tilit: mitä ne on ja miten käytetään

Break-glass-tili = hätätili, jolla pääsee järjestelmään kun MFA ei toimi (esim. palveluntarjoajan häiriö).

  • Määrä: 2 kpl (redundanssi)
  • Ei MFA:ta: Tämä on tarkoituksellista
  • Vahva salasana: 30+ merkkiä, satunnainen
  • Säilytys: Tallelokero, kassakaappi, ei sähköisesti
  • Valvonta: Hälytys jokaisesta kirjautumisesta
  • Testaus: Testaa kerran vuodessa

Käyttöönottoviestintä: miten saat ihmiset mukaan

Viesti 1: Miksi (2 viikkoa ennen)

  • Miksi MFA otetaan käyttöön (tilikaappaukset, tietoturva)
  • Mikä muuttuu käyttäjälle
  • Milloin tapahtuu

Viesti 2: Miten (1 viikko ennen)

  • Ohjeet askel askeleelta (kuvilla)
  • Mistä saa apua
  • FAQ: yleisimmät kysymykset

Viesti 3: Muistutus (käyttöönottopäivänä)

  • Lyhyt muistutus + linkki ohjeisiin
  • Tuki yhteystiedot

Lue myös

Kenelle tämä sopii?

  • Yritykset, jotka ottavat MFA:n käyttöön
  • IT-vastaavat, jotka haluavat sujuvan käyttöönoton
  • Johto, joka haluaa varmistaa tietoturvan

Tyypillinen toimitus Datastormilla

  1. Kartoitus: Ympäristö, poikkeukset, aikataulu
  2. Käyttöönotto: Pilotti → koko organisaatio
  3. Tuki: Viestintä ja käyttäjätuki
Pyydä arvio

Tarvitsetko apua IT-asioissa?

Varaa maksuton 15 minuutin kartoitus tai pyydä arvio projektista.

Varaa 15 min kartoitus Pyydä arvio