tunkeutumistestaus

Mikä on tunkeutumistestaus? Tyypit ja hyödyt

Päivitetty 2026-07-06 2 min lukuaika

Tunkeutumistestaus muuttaa kysymyksen "olemmeko turvassa?" konkreettiseksi näytöksi siitä, mihin hyökkääjä oikeasti pääsisi. Tässä oppaassa käydään läpi perusteet.

Määritelmä

Tunkeutumistestaus (penetraatiotestaus, englanniksi penetration testing) on hallittu ja luvallinen prosessi, jossa asiantuntija etsii ja hyödyntää järjestelmien, sovellusten ja verkkojen heikkouksia kuten oikea hyökkääjä. Tavoitteena ei ole aiheuttaa vahinkoa vaan osoittaa, miten hyökkääjä toimisi ja miten se estetään.

Skannaus vs. tunkeutumistestaus

Automaattinen haavoittuvuusskannaus listaa mahdollisia heikkouksia nopeasti ja edullisesti, mutta ei todista, mitkä niistä ovat aidosti vaarallisia. Tunkeutumistestaus on ihmisen tekemää: se hyödyntää heikkouksia, ketjuttaa niitä ja löytää loogiset virheet, joita työkalu ei tunnista.

Yleisimmät tyypit

  • Ulkoisen verkon testaus – internetiin näkyvät palvelut ja hyökkäyspinta.
  • Web-sovelluksen testaus – verkkosovellusten ja rajapintojen heikkoudet.
  • Sisäisen verkon testaus – mitä hyökkääjä saisi aikaan päästyään sisään.
  • Langattomien verkkojen, pilvipalveluiden ja mobiilisovellusten testaus.
  • Sosiaalinen manipulointi – henkilöstön testaus esimerkiksi phishing-viesteillä.

Lähestymistavat

Testaus voidaan tehdä mustana laatikkona (ei ennakkotietoa, realistisin), harmaana laatikkona (osittaiset tiedot, yleisin ja tasapainoisin) tai valkoisena laatikkona (täydet tiedot ja lähdekoodi, kattavin).

Mitä hyötyä siitä on

  • Näet todelliset, hyväksikäytettävät riskit – et vain teoreettista listaa.
  • Saat priorisoidut korjausohjeet, jotka kohdistavat rajallisen ajan oikein.
  • Täytät säädösten ja standardien (NIS2, DORA, ISO 27001) testausvaatimuksia.
  • Rakennat luottamusta asiakkaisiin ja kumppaneihin osoittamalla, että tietoturva on testattu.

UKK

Aiheeseen liittyvät kysymykset

Mikä on tärkein ero skannauksen ja testauksen välillä?

Skannaus on automaattinen ja listaa mahdollisia haavoittuvuuksia. Testaus on ihmisen tekemää ja todistaa, mitkä heikkoudet ovat aidosti hyväksikäytettävissä – ja löytää myös ne, joita työkalu ei huomaa.

Kuka tunkeutumistestauksen tekee?

Koulutettu, riippumaton tietoturva-asiantuntija (eettinen hakkeri). Riippumattomuus on tärkeää, jotta sokeat pisteet tulevat esiin.

Mitä kaikkea voidaan testata?

Muun muassa ulkoiset ja sisäiset verkot, web-sovellukset ja rajapinnat, langattomat verkot, pilvipalvelut, mobiilisovellukset sekä henkilöstö sosiaalisen manipuloinnin avulla.