tunkeutumistestaus

Offensiivinen tietoturva

Löydä heikkoudet ennen kuin hyökkääjä löytää ne

Tunkeutumistestaus on hallittu, luvallinen hyökkäys omiin järjestelmiisi. Ammattitestaaja etsii todelliset heikkoudet ja osoittaa, miten ne korjataan – ennen kuin joku muu käyttää niitä hyväkseen.

  • Perustuu Verizonin ja IBM:n dataan
  • Riippumaton ja myyntineutraali
  • Päivitetty 2026

Mitä tunkeutumistestaus on

Hallittu hyökkäys, joka paljastaa todelliset riskit

Tunkeutumistestauksessa asiantuntija hyökkää järjestelmiisi luvallisesti ja turvallisesti, kuten oikea hyökkääjä tekisi – mutta raportoi löytämänsä sinulle.

Tunkeutumistestaus (englanniksi penetration testing tai lyhyesti pentest) on menetelmä, jossa koulutettu testaaja etsii ja hyödyntää järjestelmien, sovellusten ja verkkojen heikkouksia – luvallisesti ja hallitusti. Tavoitteena on osoittaa, miten hyökkääjä pääsisi sisään, ja miten se estetään.

Toisin kuin pelkkä automaattinen haavoittuvuusskannaus, tunkeutumistestaus todistaa mitkä heikkoudet ovat oikeasti hyväksikäytettävissä. Se erottaa teoreettiset riskit niistä, joilla hyökkääjä todella pääsisi tietoihin.

Lopputuloksena on selkeä raportti: mitä löytyi, kuinka vakavaa se on ja miten se korjataan – priorisoituna todellisen riskin mukaan.

Miksi testata

Mitä tunkeutumistestaus antaa

Neljä asiaa, joita tekninen suojaus yksin ei tarjoa.

  1. TODELLISET

    Todelliset heikkoudet

    Testaus paljastaa aidosti hyväksikäytettävät heikkoudet, ei vain teoreettista listaa. Näet, mihin hyökkääjä oikeasti pääsisi.

  2. SYVYYS

    Enemmän kuin skannaus

    Ihminen ketjuttaa heikkouksia ja löytää loogiset virheet, joita automaattinen työkalu ei tunnista. Se on ero listan ja todistuksen välillä.

  3. PRIORITEETIT

    Selkeät prioriteetit

    Hyvä raportti kertoo, mikä pitää korjata ensin ja miksi – jotta rajallinen aika käytetään oikeisiin asioihin.

  4. VAATIMUKSET

    Vaatimustenmukaisuus

    Moni säädös ja standardi (kuten NIS2 ja DORA) edellyttää säännöllistä testausta. Tunkeutumistestaus tuottaa siitä näytön.

Testauksen tyypit

Mitä voidaan testata

Testaus kohdistetaan siihen, mikä on liiketoiminnalle tärkeintä. Yleisimmät kohteet:

  • Yleisin

    Ulkoisen verkon testaus

    Internetiin näkyvät palvelut, palvelimet ja rajapinnat – juuri se hyökkäyspinta, jonka ulkopuolinen hyökkääjä näkee.

    Kohde: Internetiin näkyvät järjestelmät ja palvelut

  • Yleinen

    Web-sovelluksen testaus

    Verkkosovellusten ja rajapintojen heikkoudet, kuten pääsynhallinnan virheet ja injektiot (OWASP).

    Kohde: Verkkosovellukset, API-rajapinnat ja asiakasportaalit

  • Syvempi

    Sisäisen verkon testaus

    Mitä hyökkääjä saisi aikaan päästyään sisään – lateraaliliike, oikeuksien laajentaminen ja pääsy kriittisiin järjestelmiin.

    Kohde: Sisäverkko, työasemat ja toimialue

  • Erikoisala

    Muut kohteet

    Langattomat verkot, pilvipalvelut, mobiilisovellukset ja sosiaalinen manipulointi (phishing) tarpeen mukaan.

    Kohde: WiFi, pilvi, mobiili ja henkilöstön testaus

Lähestymistavat

Musta, harmaa vai valkoinen laatikko?

Testauksen lähtötiedot vaikuttavat siihen, kuinka realistista, kattavaa ja tehokasta se on. Valitse lähestymistapa ja katso ero.

Realistisuus
Kattavuus
Tehokkuus

Testaaja saa osittaiset tiedot tai käyttäjätunnukset – kuten sisäpiiriläinen tai kirjautunut käyttäjä. Tasapainottaa realistisuuden ja kattavuuden, ja on siksi yleisin lähestymistapa.

Sopii: Useimpiin sovellus- ja verkkotestauksiin – paras hyöty suhteessa aikaan.

Arvot ovat suuntaa antavia ja havainnollistavat lähestymistapojen eroja. Oikea valinta riippuu tavoitteista, kohteesta ja käytettävissä olevasta ajasta.

Luvut

Miksi testaus kannattaa

Hyökkäykset ovat yleisiä ja kalliita – ja kohdistuvat usein juuri niihin heikkouksiin, jotka testaus löytäisi.

68 %
tietomurroista sisälsi inhimillisen tekijän – juuri sen, mitä testaus ja koulutus paljastavat.
Lähde: Verizon DBIR, 2024
40 000+
uutta haavoittuvuutta (CVE) julkaistiin vuonna 2024 – enemmän kuin yksikään tiimi ehtii korjata.
Lähde: CVE.org, 2024
258 pv
kesti keskimäärin havaita ja rajata tietomurto – aikaa, jonka testaus voi lyhentää löytämällä aukot ensin.
Lähde: IBM Cost of a Data Breach, 2024
4,88 M$
oli tietomurron keskimääräinen kustannus vuonna 2024 – ennaltaehkäisyn hyöty on suuri.
Lähde: IBM Cost of a Data Breach, 2024

Jokaisen luvun kohdalla on linkki alkuperäiseen lähteeseen. Luvut ovat likimääräisiä ja päivittyvät uusien raporttien myötä.

Yrityksille

Säännöllisestä testauksesta on tulossa velvoite

EU:n NIS2-direktiivi ja sen kansallinen toimeenpano edellyttävät monilta organisaatioilta riskienhallintaa ja tietoturvan testausta – ja johdon vastuuta siitä.

NIS2-direktiivi edellyttää keskeisiltä ja tärkeiltä toimijoilta riskienhallintatoimia, joihin kuuluu tietojärjestelmien turvallisuuden arviointi ja testaus – ja johto on vastuussa niiden valvonnasta. Suomessa vaatimukset on pantu toimeen kansallisella kyberturvallisuuslainsäädännöllä.
NIS2-direktiivi (EU) 2022/2555 · EUR-Lex
  • Testaa säännöllisesti

    Kertaluontoinen testi vanhenee nopeasti. Säännöllinen testaus pysyy muuttuvan hyökkäyspinnan ja uusien haavoittuvuuksien perässä.

  • Kohdista tärkeimpään

    Tunnista liiketoiminnan kannalta kriittiset järjestelmät ja kohdista testaus niihin ensin.

  • Korjaa ja testaa uudelleen

    Löydösten arvo syntyy korjaamisesta. Uusintatestaus varmistaa, että korjaukset toimivat.

  • Riippumaton testaaja

    Ulkopuolinen, pätevä testaaja näkee sokeat pisteet, joita oma tiimi ei huomaa.

Usein kysytyt kysymykset

Lyhyet, selkeät vastaukset

Mitä tunkeutumistestaus tarkoittaa?

Tunkeutumistestaus on luvallinen ja hallittu hyökkäys omiin järjestelmiin, jossa asiantuntija etsii ja hyödyntää heikkouksia kuten oikea hyökkääjä – mutta raportoi löydökset ja niiden korjausohjeet sinulle.

Mitä eroa on haavoittuvuusskannauksella ja tunkeutumistestauksella?

Skannaus on automaattinen ja listaa mahdollisia haavoittuvuuksia. Tunkeutumistestaus on ihmisen tekemää: se todistaa, mitkä heikkoudet ovat aidosti hyväksikäytettävissä, ja löytää myös loogiset virheet, joita työkalu ei huomaa. Lue lisää →

Kuinka usein tunkeutumistestaus kannattaa tehdä?

Yleensä vähintään kerran vuodessa sekä merkittävien muutosten jälkeen. Hyökkäyspinta ja haavoittuvuudet muuttuvat jatkuvasti, joten säännöllisyys on tärkeämpää kuin yksittäinen testi.

Mikä on musta-, harmaa- ja valkoinen laatikko -testaus?

Ne kuvaavat, kuinka paljon testaaja saa ennakkotietoa. Musta laatikko = ei tietoa (realistisin), valkoinen = täydet tiedot ja lähdekoodi (kattavin), harmaa = jotain siltä väliltä (yleisin ja tasapainoisin).

Onko tunkeutumistestaus turvallista tuotantojärjestelmille?

Ammattimaisesti tehtynä kyllä. Testauksen laajuudesta ja pelisäännöistä sovitaan etukäteen, ja testaaja työskentelee hallitusti riskien minimoimiseksi. Näin valmistaudut →

Mitä testauksen jälkeen tapahtuu?

Saat raportin, jossa löydökset on priorisoitu vakavuuden mukaan sekä korjausohjeet. Korjausten jälkeen tehdään usein uusintatestaus, jolla varmistetaan, että aukot on tukittu. Katso vaiheet →

Vaatiiko NIS2 tunkeutumistestausta?

NIS2 edellyttää riskienhallintaa ja tietoturvan arviointia ja testausta soveltuvin osin. Tunkeutumistestaus on yleinen ja mitattava tapa täyttää tämä velvoite ja tuottaa siitä näyttö.