Suomalaiset kodit ovat yhä useammin kyberrikollisten kohteena: Kyberturvallisuuskeskus vastaanotti vuonna 2023 yli 80 000 ilmoitusta kyberpoikkeamista ja epäilyttävistä viesteistä, ja luvun odotetaan kasvaneen entisestään vuosina 2024–2026. Kotiverkko on digitaalisen elämäsi sydän – se yhdistää älypuhelimesi, tietokoneesi, älytelevisiosi ja kaiken muun verkkoon kytketyn laitteen. Kun reititin on haavoittuvainen tai Wi-Fi-salasana heikko, hakkerit pääsevät käsiksi kaikkeen tähän yhdellä iskulla.
Miksi kotiverkon tietoturva on tärkeämpää kuin koskaan
Etätyön yleistyminen, älykodin laitteiden räjähdysmäinen kasvu ja pankkiasioiden hoito verkossa tekevät kotiverkosta yhä arvokkaamman kohteen. Verkon kautta liikkuu pankkitunnuksia, terveystietoja, yrityssalaisuuksia ja henkilökohtaisia kuvia – kaikki samassa langattomassa verkossa, johon naapuri saattaa yrittää murtautua kadulta käsin.
Uhkakuva on muuttunut. Aiemmin hyökkäykset kohdistuivat lähinnä suuriin yrityksiin, mutta nykyään automaattiset bottinet skannaavat jatkuvasti kotireitittimien haavoittuvuuksia. Mirai-botnet infektoi yli 600 000 IoT-laitetta oletustunnuksilla vuonna 2016, ja sen jälkeen seuranneet versiot – Mozi, Emotet-IoT ja muut – ovat aktiivisia edelleen vuonna 2025.
Suomen Kyberturvallisuuskeskus on julkaissut omat ohjeensa kotiverkon suojaamiseen. Ne ovat käytännöllisiä ja maksuttomia – mutta tieto ei tavoita kaikkia. Tämä opas kokoaa tärkeimmät vinkit yhteen paikkaan selkeässä muodossa.

Reitittimen suojaaminen: perusta kaikelle
Reititin on kotiverkon ydin. Kaikki verkkoliikenne kulkee sen kautta, joten sen tietoturva-asetusten kuntoon laittaminen on tärkein yksittäinen toimenpide, jonka voit tehdä.
Vaihda heti ensimmäiseksi reitittimen oletuskäyttäjätunnus ja -salasana. Useimpien reitittimien oletustunnukset – kuten ”admin/admin” tai ”admin/password” – ovat julkisesti saatavilla verkossa, ja automaattiset hakuohjelmat testaavat niitä sekunteina. Kyberturvallisuuskeskus mainitsee tämän ohjeissaan ensimmäisenä toimenpiteenä.
Tarkista seuraavaksi käyttöliittymä (yleensä osoitteessa 192.168.1.1 tai 192.168.0.1) ja etsi firmware-päivitykset. Fraunhofer FKIE:n vuonna 2022 tekemän tutkimuksen mukaan kotireitittimien ohjelmisto oli keskimäärin 3,7 vuotta vanhaa jo ostohetkellä – tunnettuja haavoittuvuuksia täynnä.
Tarkistuslista reitittimen suojaamiseen:
- Vaihda oletuskäyttäjätunnus ja -salasana hallintapaneeliin
- Aseta Wi-Fi-salasanaksi vähintään 16 merkkiä pitkä, satunnainen merkkijono
- Ota käyttöön WPA3-salaus (tai vähintään WPA2-AES)
- Poista WPS käytöstä
- Poista etähallinta (remote management) käytöstä, jos et tarvitse sitä
- Poista UPnP käytöstä, ellei jokin laite vaadi sitä erikseen
- Päivitä firmware kuukausittain tai ota automaattipäivitykset käyttöön
- Ota käyttöön sisäänrakennettu palomuuri
Wi-Fi-salauksen valinta: WPA3 vs. WPA2
Wi-Fi-salaus suojaa langattomassa verkossa liikkuvan tiedon ulkopuolisilta. Salausprotokollien väliset erot ovat merkittäviä.
| Salausprotokolla | Julkaisuvuosi | Tietoturvataso | Suositus |
|---|---|---|---|
| WEP | 1997 | Erittäin heikko – murrettavissa minuuteissa | Älä käytä |
| WPA (TKIP) | 2003 | Heikko – tunnetut haavoittuvuudet | Älä käytä |
| WPA2-AES (CCMP) | 2004 | Hyväksyttävä – ei eteenpäin salaisuutta | Käytä, jos WPA3 ei saatavilla |
| WPA3 (SAE) | 2018 | Vahva – eteenpäin salaisuus, sanakirjahyökkäyssuoja | Suositellaan |
Wi-Fi Alliance ratifioi WPA3:n kesäkuussa 2018, ja siitä tuli pakollinen kaikille Wi-Fi CERTIFIED -laitteille heinäkuusta 2020 alkaen. WPA3 käyttää SAE-kättelymenetelmää (Simultaneous Authentication of Equals) perinteisen PSK-menetelmän sijaan, mikä tekee offline-sanakirjahyökkäykset käytännössä mahdottomiksi – vaikka hyökkääjä olisi nauhoittanut yhdistymisvaiheen liikenteen.
Jos reititin ei tue WPA3:a, WPA2-AES on riittävä, kunhan salasana on tarpeeksi pitkä ja monimutkainen. Vältä WPA2-TKIP:tä – se on kryptografisesti rikki. WEP:iä ei pidä käyttää missään tilanteessa.
”Salasanan pituus on tärkeämpää kuin sen monimutkaisuus: 20 satunnaista merkkiä murtuu käytännössä koskaan, mutta lyhyt ’monimutkainenkin’ salasana kaatuu brute-force-hyökkäykselle tunneissa.”
IoT-laitteiden eristäminen vierasverkkoon
Älykodit täyttyvät laitteista, joita niiden valmistajat eivät aina pidä tietoturvallisina: älytelevisiota (Samsung, LG), älykaiuttimia (Amazon Echo, Google Nest), IP-kameroita (Ring, Arlo, Hikvision), robotti-imureita (Roomba, Roborock), älytermostatteja (Nest, Tado) ja satoja muita. ENISA:n arvion mukaan 33 % eurooppalaisista IoT-hyökkäyksistä kohdistui koti- ja kuluttajalaitteisiin vuonna 2023.
Ratkaisu on verkkojen segmentointi: IoT-laitteet omaan verkkoon, luotetut laitteet (tietokone, puhelin) omaan. Käytännön tasolla tämä onnistuu useimmilla nykyaikaisilla reitittimillä luomalla vierasverkon (guest network), johon IoT-laitteet kytketään.
Vierasverkko toimii siten, että siinä olevat laitteet näkevät vain internetin – eivät toisiaan eivätkä pääverkkoa. Tämä tarkoittaa, että vaikka älytelevisiosi saisi haittaohjelman, se ei pääse käsiksi tietokoneellasi oleviin tiedostoihin tai kotipankkisovellukseesi. Mesh-verkkojärjestelmät kuten Eero, Netgear Orbi ja UniFi tukevat IoT-eristystä natiivisti ja tekevät verkkojen hallinnasta helppoa mobiilisovelluksella.
Tässä IoT-laitteiden tietoturvariskien vertailu kategoriaan mukaan:
| Laitetyyppi | Tyypillinen riski | Suositeltava toimenpide |
|---|---|---|
| IP-kamerat (Ring, Hikvision) | Luvaton katseluoikeus, botnet-rekrytointi | Vierasverkko, vahva salasana, 2FA |
| Älytelevisiiot (Samsung, LG) | Tiedonkeruu, verkkoliikenteen sieppaus | Vierasverkko, päivitykset automaattiseksi |
| Älykaiuttimet (Echo, Nest) | Äänidata kolmansille osapuolille | Vierasverkko, mikrofonin sammutus tarvittaessa |
| Reititin (kaikki merkit) | DNS-kaappaus, haittaohjelmien jakaminen | Päivitykset, oletussalasanan vaihto, WPA3 |
| NAS-laitteet (Synology, QNAP) | Kiristyshaittaohjelmat, tietovuodot | Ei julkinen pääsy, VPN-käyttö etäyhteyteen |
DNS-suojaus ja turvallinen selaaminen kotona
DNS (Domain Name System) on internetin puhelinluettelo – se muuttaa kirjoittamasi osoitteet (esim. pankki.fi) IP-osoitteiksi. Kun hyökkääjä kaappaa reitittimesi DNS-asetukset, hän voi ohjata sinut väärennetylle pankkisivulle, vaikka kirjoittaisit osoitteen oikein. Kyberturvallisuuskeskus on julkaissut varoituksia juuri tällaisista DNS-kaappauksilta suomalaisia ISP-asiakkaita vastaan.
Ratkaisuna on asettaa reitittimeen tai laitteisiin tunnettu, salattu DNS-palvelin:
- Cloudflare 1.1.1.1 – nopea, yksityisyydensuoja, tukee DNS-over-HTTPS (DoH) ja DNS-over-TLS (DoT)
- Quad9 (9.9.9.9) – voittoa tavoittelematon, sveitsiläinen, suodattaa automaattisesti tunnetut haittaohjelmasivustot
- Google Public DNS (8.8.8.8) – nopea ja luotettava, tukee DoH/DoT
Suosittelemme Quad9:ää kotikäyttäjille, koska se tarjoaa automaattisen suodatuksen phishing- ja haittaohjelmasivustoille ilman lisäkonfiguraatiota. DNS-over-HTTPS (DoH, RFC 8484, julkaistu lokakuussa 2018) salaa DNS-kyselyt HTTPS-liikenteen sisälle, mikä estää verkonvalvojia ja hyökkääjiä näkemästä, mitä sivustoja selaat.

Salasanat ja monivaiheinen tunnistautuminen
Salasanat ovat edelleen heikoin lenkki useimmissa kotiverkoissa. NordPassin vuotuisen listan mukaan ”123456” oli maailman yleisin salasana viidettä vuotta peräkkäin vuonna 2024, ja sen käytti yli 3 miljoonaa tiliä. Have I Been Pwned -tietokanta sisälsi yli 14 miljardia vuodettua tunnusta vuoden 2025 puoliväliin mennessä – nämä kaikki ovat käytössä automaattisissa credential stuffing -hyökkäyksissä.
NIST:n (National Institute of Standards and Technology) päivitetyt ohjeistukset salasanoille (SP 800-63B, päivitetty 2024) suosittelevat vähintään 15 merkkiä pitkiä salasanoja ja niiden tarkistamista vuodettujen tunnusten tietokantoja vastaan. Pakollista vaihtoa ei enää suositella – tärkeämpää on uniikkius ja pituus.
Käytännön toimet kotona:
- Salasananhallintaohjelma: Bitwarden (ilmainen, avoimen lähdekoodin), 1Password tai KeePass tallentavat ja generoivat vahvat, uniikit salasanat jokaiselle palvelulle
- Kaksivaiheinen tunnistautuminen (2FA): Ota käyttöön kaikissa tärkeissä palveluissa – erityisesti sähköpostissa, pankissa ja pilvipalveluissa
- Wi-Fi-salasana: Vähintään 16 satunnaista merkkiä – voit kirjoittaa sen kerran QR-koodiksi ja tulostaa kotiin
- Reitittimen hallintasalasana: Täysin eri kuin Wi-Fi-salasana, vähintään 12 merkkiä
”Salasananhallintaohjelma on kotitaloudelle yhtä tärkeä kuin lukko ovessa – se varmistaa, että jokainen verkkotilin avain on erilainen ja vahva.”
Verizon DBIR 2024 -raportti osoittaa, että 68 % kaikista tietomurroista sisälsi inhimillisen tekijän – phishingin, tunnustenvarastuksen tai virheen. Tekninen suojaus on vain puoli tarinaa: kodin turvallisuus kokonaisuutena edellyttää myös tietoisuutta sosiaalisesta manipuloinnista.
VPN kotikäytössä: koska se kannattaa ja koska ei
VPN (Virtual Private Network) salaa kaiken laitteeltasi lähtevän liikenteen ennen kuin se saapuu VPN-palvelimelle – ISP ei näe, millä sivustoilla käyt, eikä samaan verkkoon hyökkänyt mies keskellä voi siepata liikennettäsi. GWI:n 2024 tutkimuksen mukaan noin 31 % internetin käyttäjistä maailmanlaajuisesti käytti VPN:ää viimeisen kuukauden aikana, ja Pohjoismaissa luku on eurooppalaista keskiarvoa korkeampi.
VPN soveltuu erityisesti tilanteisiin, joissa käytät julkista Wi-Fi:a (kahvilat, hotellit, lentoasemat) tai haluat suojata liikennettä ISP:n datankeruulta. Kodin verkkoratkaisuja käsittelevä pillariartikelimme käy läpi tarkemmin, miten VPN integroituu laajempaan kotitietoverkon kokonaisarkkitehtuuriin.
VPN ei kuitenkaan ratkaise kaikkea. Tärkeimmät rajoitukset:
- VPN ei suojaa kotiverkon sisäisiltä uhilta – kompromissoitunut IoT-laite voi silti hyökätä muihin laitteisiin lähiverkossa
- VPN-palveluntarjoajasta itsestään tulee luotettava osapuoli – valitse auditoitu, ei-lokeja-tallentava palvelu
- ProtonVPN (Sveitsi) ja Mullvad ovat julkaisseet kolmannen osapuolen auditointiraportit avoimesti
- Ilmaiset VPN-palvelut rahoittavat itsensä usein myymällä käyttäjädataa – vältä niitä
Jos haluat VPN-suojan koko kotikotiverkolle, voit asentaa VPN-asiakasohjelman suoraan reitittimeen – tämä edellyttää joko yhteensopivaa reititinmallia tai avoimen lähdekoodin firmwarea kuten OpenWrt. Asus, Netgear ja Synology -reitittimet tukevat tätä natiivisti.
Suomen tietoturvalaki ja EU-sääntelyt: mitä sinun pitää tietää
EU:n NIS2-direktiivi (2022/2555) astui voimaan tammikuussa 2023, ja Suomi implementoi sen kansalliseen lainsäädäntöön uudella kyberturvallisuuslailla 18. lokakuuta 2024. Laki laajentaa pakollisen kyberturvallisuuden vaatimukset yli 3 000 suomalaiseen organisaatioon – aiemmin vaatimukset koskivat vain noin 100:aa tahoa. Elisa, DNA ja Telia kuuluvat nyt ”keskeisten toimijoiden” luokkaan, mikä tarkoittaa tiukempia turvallisuusvaatimuksia myös kuluttajille tarjotuille reitittimille ja modeemeille.
Suomi on myös yksi ensimmäisistä EU-maista, joka on ottanut käyttöön vapaaehtoisen Tietoturvamerkki-järjestelmän kuluttajalaitteille. Traficomin hallinnoima merkki osoittaa, että laite täyttää tietyt vähimmäistietoturvavaatimukset – mukaan lukien kiellon oletussalasanoille ja vaatimuksen tietoturvapäivityksille. Lue lisää Traficomin tietoturvamerkistä (Traficom.fi).
EU:n Cyber Resilience Act (asetus 2024/2847, hyväksytty lokakuussa 2024) ulottaa tietoturvavaatimukset kaikkiin IoT-tuotteisiin EU-markkinoilla. Valmistajien on tarjottava päivityksiä laitteen koko elinkaaren ajan, luovuttava oletussalasanoista ja ilmoitettava haavoittuvuuksista. Useimmat vaatimukset tulevat voimaan joulukuussa 2027.
Kotikäyttäjälle nämä lait ovat tärkeä taustarakenne: ne nostavat perusturvatasoa kaikkien ostamissa laitteissa. Ne eivät kuitenkaan korvaa omakohtaista toimintaa – vanhat laitteet eivät kuulu uusien säädösten piiriin, ja lain implementoinnissa on aina viiveitä. Myös kodin turvallisuuden kustannuksia kannattaa punnita: monet parannukset ovat ilmaisia tai hyvin edullisia.
Usein kysytyt kysymykset (UKK)
Miten tiedän, onko kotiverkkooni murtauduttu?
Merkkejä mahdollisesta tietomurrosta kotiverkossasi ovat: normaalia hitaampi nettiyhteys ilman selvää syytä, tuntemattomat laitteet reitittimen laitteistoluettelossa, reitittimen asetusten muuttuminen itsestään, poikkeukselliset laskut internetin käytöstä tai palveluihin kirjautumiseen tulevat varoitukset vieraalta sijainnilta. Kirjaudu reitittimesi hallintapaneeliin (yleensä 192.168.1.1 tai 192.168.0.1) ja tarkista yhdistettyjen laitteiden lista. Jos siellä on tuntemattomia laitteita, vaihda Wi-Fi-salasana välittömästi ja käynnistä reititin uudelleen. Voit myös tarkistaa Kyberturvallisuuskeskuksen Kybersää-palvelusta ajankohtaiset varoitukset suomalaisille kotikäyttäjille.
Onko Wi-Fi turvallisempaa kuin kaapeliverkko?
Kaapeliyhteys (Ethernet) on lähtökohtaisesti turvallisempaa kuin langaton Wi-Fi, koska hyökkääjä tarvitsee fyysisen pääsyn verkkoon langallisen salakuuntelun mahdollistamiseksi. Wi-Fi-signaalit kantavat rakennuksen ulkopuolelle, mikä mahdollistaa ulkopuolisen kuuntelun tai murtautumisyritykset. WPA3-salaus pienentää tätä riskiä merkittävästi, mutta poistaa sen kokonaan vain, jos salasana on riittävän pitkä. Tietokoneelle, jota käytetään verkkopankkiin tai arkaluonteiseen työhön, kaapeliyhteys on paras vaihtoehto aina kun se on mahdollinen. Mobiililaitteet tarvitsevat Wi-Fi:n, joten niillä tärkeintä on oikea salausprotokolla ja vahva salasana.
Kuinka usein reitittimen firmware pitää päivittää?
Suositeltu käytäntö on tarkistaa päivitykset vähintään kerran kuukaudessa manuaalisesti, tai ottaa automaattiset päivitykset käyttöön, jos reititin sen tukee. Tämä on erityisen tärkeää, kun valmistaja julkaisee tietoturvapäivityksen kriittiseen haavoittuvuuteen – nämä tulisi asentaa 48 tunnin sisällä julkaisusta. Fraunhofer FKIE:n tutkimuksen mukaan kotireitittimien ohjelmisto on tyypillisesti vuosia jäljessä, joten päivitysten laiminlyönti jättää sinut tunnettujen hyökkäysten kohteeksi. Monet uudet reititinmallit – kuten ASUS:n uudemmat mallit, Netgear Orbi tai TP-Link Deco – tukevat automaattipäivityksiä mobiilisovelluksen kautta.
Tarvitsenko VPN:n kotiverkossani?
Kotiverkossa VPN ei ole välttämätön, mutta se lisää yksityisyyttä erityisesti tilanteissa, joissa et halua ISP:n näkevän selaushistoriaasi. Tärkeämpää on ensin varmistaa perusturva: vahva Wi-Fi-salasana, WPA3, päivitetty firmware ja vierasverkko IoT-laitteille. Julkisessa Wi-Fi:ssa VPN on sen sijaan käytännössä pakollinen – kahviloissa, hotelleissa ja lentokentillä liikenne kulkee salaamattomana tai heikosti salattuna, ja muut verkon käyttäjät voivat periaatteessa siepata sen. ProtonVPN ja Mullvad ovat auditoidut, eurooppalaiset vaihtoehdot, joilla on avoimet tietosuojakäytännöt.
Miten suojaan älykodin laitteet parhaiten?
Älykodin laitteiden suojaaminen lähtee eristämisestä: kytke kaikki IoT-laitteet erilliseen vierasverkkoon tai IoT-VLAN:iin, jotta ne eivät pääse käsiksi luotettuihin laitteisiisi. Vaihda jokaisen laitteen oletussalasana vahvaan, yksilölliseen tunnukseen heti asennuksen jälkeen. Ota automaattiset ohjelmistopäivitykset käyttöön, sillä valmistajat julkaisevat tietoturvakorjauksia säännöllisesti. Poista käytöstä ominaisuudet, joita et tarvitse: monet laitteet tarjoavat etäkäyttömahdollisuuksia, joita harvoin käytetään mutta jotka avaavat ylimääräisiä hyökkäyspintoja. Kodin turvallisuuslaitteiden vertailusivullamme käsittelemme tarkemmin eri älykodin laitteita ja niiden ominaisuuksia.
Mikä on paras DNS-palvelin kotiverkkoihin?
Kotikäyttäjälle Quad9 (9.9.9.9) on usein paras valinta, koska se suodattaa automaattisesti tunnetut haittaohjelma- ja phishing-sivustot ilman maksua tai rekisteröintiä. Quad9 on voittoa tavoittelematon sveitsiläinen organisaatio, jonka toiminta perustuu tietosuojaystävälliseen lainsäädäntöön. Cloudflare 1.1.1.1 on nopein vaihtoehto, jos suorituskyky on tärkein prioriteetti. Google 8.8.8.8 on luotettava, mutta Google kerää enemmän metadataa kuin muut vaihtoehdot. Aseta DNS reitittimeen, jolloin kaikki verkon laitteet hyötyvät muutoksesta automaattisesti.
Onko mesh-verkko turvallisempi kuin perinteinen reititin?
Mesh-verkko ei ole automaattisesti turvallisempi kuin perinteinen reititin – turvallisuus riippuu asetuksista, ei arkkitehtuurista. Monissa nykyaikaisissa mesh-järjestelmissä, kuten Eero Pro, Google Nest WiFi Pro tai ASUS ZenWiFi, on kuitenkin sisäänrakennettu automaattipäivitys, helppokäyttöinen mobiilisovellus ja sisäänrakennettu IoT-eristys, mikä käytännössä madaltaa kynnystä hyvien asetusten käyttöönottoon. Vertailimme mesh-verkkoa ja perinteistä reititintä yksityiskohtaisesti erillisessä artikkelissa, jos haluat tehdä tietoon perustuvan päätöksen.
Miten phishing-hyökkäykset kohdistuvat kotiverkkoihin?
Phishing-hyökkäykset kotiverkon kontekstissa toimivat useimmiten sähköpostin tai tekstiviestien kautta: huijausviesti ohjaa sinut väärennetylle pankkisivulle tai pyytää kirjautumistietoja. Kyberturvallisuuskeskus raportoi yli 7 700 phishing-ilmoitusta pelkästään vuoden 2023 ensimmäisellä puoliskolla suomalaisilta kuluttajilta, ja kohteina olivat muun muassa OP-pankin, Nordean ja Postin jäljitelmät. Toinen tapa on DNS-kaappaus reitittimen kautta: hyökkääjä muuttaa reitittimesi DNS-asetukset, jolloin kaikki laitteesi ohjataan väärennetyille sivustoille. Suojautuminen: älä koskaan klikkaa tuntemattomien viestien linkkejä, tarkista aina URL-osoite huolellisesti, ja pidä reititin päivitettynä DNS-kaappausten estämiseksi.
Aiheeseen liittyvät artikkelit
- Kodin verkkoratkaisut: Opas nopeaan ja turvalliseen nettiin
- Kodin verkkoratkaisut 2024: Opas kodin internetyhteyteen
- Mesh-verkko vai perinteinen reititin kotiin – kumpi sopii sinulle?
- Miten parantaa kodin WiFi-kuuluvuutta – 12 tehokasta keinoa
Lähteet
- Kyberturvallisuuskeskus – Kotiverkon tietoturvaohje: kyberturvallisuuskeskus.fi
- Kyberturvallisuuskeskus – Katsaukset ja raportit (2023–2024): kyberturvallisuuskeskus.fi
- Traficom – Tietoturvamerkki: traficom.fi
- Traficom – NIS2-direktiivi Suomessa: traficom.fi
- Euroopan unioni – NIS2-direktiivi (2022/2555): eur-lex.europa.eu
- Euroopan unioni – Cyber Resilience Act (2024/2847): eur-lex.europa.eu
- ENISA – Threat Landscape 2024: enisa.europa.eu
- ENISA – Good Practices for IoT Security: enisa.europa.eu
- Verizon – Data Breach Investigations Report 2024: verizon.com
- NIST – Securing Home IoT Devices (SP 1800-15): nist.gov
- NIST – Digital Identity Guidelines (SP 800-63B): nist.gov
- Wi-Fi Alliance – WPA3 Security: wi-fi.org
- Fraunhofer FKIE – Home Router Security Report 2022: fkie.fraunhofer.de
- CISA – Mirai Botnet Alert: cisa.gov
- Quad9 – DNS-suojauspalvelu: quad9.net
- Tietoturva haltuun – Traficomin kuluttajakampanja: tietoturvahaltuun.fi
Kodin turvallisuus 2026: Täydellinen opas älykkääseen kotiturvaan








