Sähköpostin tietoturva ja luottamuksellisten viestien lähettäminen

EU:n uuden tietosuoja-asetuksen myötä sähköpostin käyttöä erityisesti arkaluonteisten henkilötietojen välittämiseen on syytä tarkastella vakavasti. EU on antanut myös uuden liikesalaisuusdirektiivin, jonka tarkoitus on tehostaa yritysten liikesalaisuuksien suojaamista.
”Sähköposti on kuin postikortti” on usein käytetty ja varsin osuva fraasi. Kuka tahansa joka saa postikortin käteensä, voi lukea kortista lähettäjän, vastaanottajan ja viestin sisällön.

Kun asiaa pohditaan tarkemmin, voidaan todeta, että käytännössä emme kuitenkaan voi tarkastella kenen tahansa postikortteja niiden ollessa matkalla. Kun postikortti pudotetaan postilaatikkoon, ei ulkopuolinen toimija pääse Postin palveluketjuun väärinkäytöksiin syyllistymättä käsiksi. Postikortti palautuu lähetyksen jälkeen kenen tahansa tarkasteltavaksi vasta kun posti toimittaa sen kohdeosoitteeseen.

Tietoturvaa kehitetty viime vuosina

Palveluntarjoajat ovat kehittäneet sähköpostipalveluiden tietoturvaa monin tavoin viime vuosina. Esimerkiksi Microsoftin ja Googlen kaltaiset globaalit toimijat käyttävät nykyään johdonmukaisesti TLS-protokollaa (Transport Layer Security) sähköpostipalveluidensa tietoliikenteen salaamiseen. TLS-protokolla tunnetaan paremmin nimellä SSL (Secure Sockets Layer). Kyseessä on siis sama tekniikka, jota käytetään verkkopankkien ja muiden pilvipalveluiden tietoliikenteen suojaamiseen. Käytännössä tämä tarkoittaa sitä, että yhteys sähköpostin käyttäjän päätelaitteen ja hänen oman sähköpostipalvelunsa välillä on pääsääntöisesti salattu, eikä salatun yhteyden välityksellä kulkevaa selkokielistä sähköpostiliikennettä voida helposti salakuunnella. Jos viestin vastaanottaja käyttää samaa globaalia palveluntarjoajaa, kulkee itsessään selkokielinen sähköpostiviesti TLS-salattuna aina vastaanottajan omaan sähköpostipalveluun ja päätelaitteeseen saakka. Myös yrityksen sisäinen sähköpostiliikenne kulkee palveluntarjoajan verkossa samalla tavalla.

Tilanne muuttuu heti, jos viestin vastaanottaja käyttää eri sähköpostipalvelun tarjoajaa kuin lähettäjä, tämä on luonnollisesti varsin yleistä. Tällöin TLS-salausketju päättyy siihen, kun viesti poistuu lähettäjän sähköpostipalvelusta. Sähköpostiviesti kulkee selkokielisenä Internetissä reitittyen useiden eri palvelimien ja toimijoiden kautta vastaanottajan sähköpostipalveluun. Tällöin kaikilla viestin teknisenä välittäjänä toimivilla palveluilla ja toimijoilla on mahdollisuus nähdä viestin sisältö.

Vaikka viestin teknisenä välittäjänä toimivat tahot olisivatkin rehellisiä ja huolellisia, ne voivat joskus joutua tietomurron kohteeksi. Tavanomainen sähköpostiviesti voi kohdata matkallaan myös valtiollisia toimijoita, joilla voi olla lakisääteinen oikeus seuloa maansa läpi kulkevaa tietoliikennettä. Tällöin luottamuksellista tietoa voidaan ottaa haltuun aivan toisaalla kuin missä viestin lähettäjä ja vastaanottaja itse ovat.

Turvasähköposti lisää luottamuksellisuutta

Sähköpostiviestinnän luottamuksellisuutta parantamaan on kehitetty lukuisia eri teknologioita, joista niin sanottu turvasähköposti on nykyään varsin suosittu tapa. Turvasähköpostipalvelussa luottamuksellista viestiä ei välttämättä lähetetä vastaanottajalle lainkaan, vaan luottamuksellinen tieto tallennetaan pilvipalveluun. Vastaanottajalle lähetetään sähköpostilla ainoastaan linkki luottamukselliseen viestiin. Lisäksi linkki voi olla kertakäyttöinen. Kun viesti on kerran avattu tietyllä päätelaitteella, eivät muut kykene linkkiä enää seuraamaan.

Linkkien lähettämiseen perustuvissa turvasähköpostiratkaisuissa on tärkeää kiinnittää huomiota siihen, että linkki luottamukselliseen tietoon lähetetään useimmiten selväkielisessä sähköpostissa. Tämä tarkoittaa sitä, että ulkopuolisen toimijan on mahdollista kaapata linkki siinä missä selväkielinen sähköpostikin. Linkin käyttäminen kyllä paljastaa kaappauksen, mutta ei varsinaisesti estä pääsyä luottamukselliseen tietoon. Turvasähköpostipalvelu muuttuu aidosti salatuksi viestinnäksi vasta, kun luottamuksellisen viestin vastaanottajan on tavalla tai toisella todennettava itsensä ennen pääsyä linkin takana olevaan luottamukselliseen viestiin. Tämä voi tapahtua esimerkiksi tekstiviestillä lähetettävällä kertakäyttösalasanalla tai muulla, vain viestin oikean vastaanottajan tiedossa olevalla menetelmällä. Useimmat nykyaikaiset turvasähköpostiratkaisut luonnollisesti tarjoavat tällaisen mahdollisuuden.

Turvasähköpostipalveluiden lisäksi sähköpostiviestit voidaan salata jo lähettäjän päätelaitteessa esimerkiksi OpenPGP-protokollalla tai S/MIME-standardin mukaisilla työkaluilla. Samalla voidaan varmistua paitsi viestien luottamuksellisuudesta myös viestin lähettäjän aitoudesta. Tällaiset niin sanotut päästä päähän (End-to-End) salausmenetelmät perustuvat teknologiaan, jossa viestit salataan vastaanottajan julkisella salausavaimella. Julkinen avain on viestin lähettäjän tiedossa. Vastaavasti viestit puretaan vastaanottajan yksityisellä avaimella, joka on vain vastaanottajan tiedossa. Päästä päähän salauksessa on tärkeää ymmärtää, että lähtökohtaisesti edes haittaohjelmien torjuntaratkaisut eivät kykene tutkimaan salattujen viestien tai niiden liitteiden sisältöä ennen niiden purkamista. Salattu liitetiedosto tuntemattomalta taholta on siten riski, joka on hyvä tunnistaa.

Huomio myös lähettäjään

Sähköpostiviestinnän luottamuksellisuutta kehitettäessä on syytä kiinnittää huomiota myös siihen, että viestin lähettäjän henkilöllisyys voidaan todentaa. Ilman erillisiä teknisiä toimenpiteitä kuka tahansa asiansa osaava voi esiintyä tavanomaisessa sähköpostissa kenen tahansa nimissä. Tällaisen huijauksen tavoitteena voi olla roskapostitus, yrityksen asiakkaiden ja oman henkilökunnan harhauttaminen tai haittaohjelman levittäminen yrityksen tietoverkkoon. Kun viesti näyttää tulevan esimerkiksi oman yrityksen toimitusjohtajalta, siihen on helppo hairahtua.

Omalta sähköpostipalvelun tarjoajalta kannattaa tiedustella, onko omassa sähköpostipalvelussa määriteltynä SPF- (Sender Policy Framework), DKIM- (Domain Keys Identified Mail) ja DMARC (Domain-based Message Authentication, Reporting & Conformance) menetelmiä lähettäjätietojen väärentämisen estämiseen.

Yrityksen omaan sähköpostipalveluun määriteltävä SPF-tietue kertoo viestejä vastaanottaville sähköpostipalveluille, miltä sähköpostipalvelimilta on sallittua lähettää sähköpostiviestejä yrityksen nimissä. SPF-tietue ei kuitenkaan itsessään kykene estämään sähköpostiviestien osoiteväärennöksiä.

DKIM lisää kaikkiin yrityksen sähköpostiviesteihin digitaalisen allekirjoituksen, jonka oikeellisuuden vastaanottajan sähköpostipalvelu voi tarkistaa vertaamalla sitä yrityksen tarjoamaan julkiseen avaimeen. DKIM mahdollistaa viestin lähettäjän todentamisen, mutta ei kuitenkaan anna tietoa vastaanottajan sähköpostipalvelulle siitä, pitäisikö yrityksen kaikissa sähköpostiviesteissä olla digitaalinen allekirjoitus vai ei.

DMARC täydentää kahta edellistä teknologiaa antamalla vastaanottaville sähköpostipalveluille ohjeet siitä, että yrityksen nimissä saapuvan sähköpostin tulisi läpäistä sekä SPF- että DKIM-tarkistukset. Se myös ohjeistaa kuinka tulee toimia, ellei saapuva sähköposti läpäise molempia tarkistuksia. Lisäksi DMARC voidaan määritellä pyytämään muilta sähköpostipalvelimilta tietoa siitä, yrittääkö joku taho käyttää yrityksen verkkotunnusta väärin.

Perusasioiden oltava kunnossa

Olennainen osa luottamuksellisten tietojen suojaamista on myös koko yrityksen tietoturvasta huolehtiminen. Vaikka et olisi lähettämässä sähköpostia mihinkään, voi päätelaitteeseesi tai yrityksen tietoverkkoon päässyt tunkeutuja varastaa luottamuksellisia henkilötietoja massoittain muun muassa juuri sähköpostilaatikoista ja muista organisaation tietolähteistä. Tällaisista tietovuodoista saamme lukea uutisista säännöllisesti.

Nykyaikaiset sähköpostin suojaamiseen erikoistuneet ratkaisut tarjoavat myös niin sanottua DLP-teknologiaa (Data Loss Prevention). DLP-ratkaisut osaavat paitsi ehkäistä tietovuotoja myös automaattisesti luokitella sähköpostiviestejä ja liitetiedostoja niiden sisällön perusteella. Jos aineisto on peräisin vaikkapa HR-osaston verkkolevyltä, se voidaan luokitella luottamukselliseksi viestinnäksi, joka lähetetään aina salattuna. Käyttäjälle voidaan myös DLP-sääntöjen perusteella antaa notifikaatioita siitä, miten luottamuksellisia tietoja tulisi käsitellä.

Huomioi kaikki osa-alueet

Yhteenvetona voidaan todeta, että sähköpostiviestinnän luottamuksellisuuteen liittyvä keskustelu painottuu lähes yksinomaan sähköpostiviestien suojaukseen niiden ollessa matkalla lähettäjältä vastaanottajalle. Tämä on kuitenkin vain yksi osa-alue sähköpostiviestien luottamuksellisuuden turvaamisessa. Merkittävin uhka sähköpostiviestien luottamuksellisuudelle on usein viestin lähettäjä itse. Yksikin näppäilyvirhe tai muutoin harkitsematon toiminta voi paljastaa luottamukselliset tiedot aivan väärälle taholle.

Erilaiset pilvipalveluna toimivat asiakaspalvelujärjestelmät ovat monin paikoin korvaamassa sähköpostin luottamuksellisten tietojen ja dokumenttien välityksessä. Niiden avulla olennaiset tiedot ja dokumentit voidaan kätevästi arkistoida kaikkien osapuolien saataville, eikä niitä tarvitse etsiä yksittäisistä sähköposteista. Tällaisessa palvelussa voidaan sujuvasti rajata käyttöoikeuksia luottamuksellisiin tietoihin. Lisäksi niissä voidaan myös todentaa lokitietojen avulla, kuka on lukenut tai muokannut palveluun tallennettuja tietoja. Jos tietojen jakamisessa tapahtuu erehdys, se voidaan paitsi havaita myös torjua jälkikäteen toisin kuin perinteisessä sähköpostissa.