Atro Tossavainen – roskapostien Don Quijote

21.09.2020

OSAAJA <3 OSAAVA – BLOGISARJA OSA 2

Turva-alalla on monimuotoista osaamista, jota harvoin osataan hyödyntää työelämässä. Alan ammattilaisten osaaminen linkittyy moneen yksikköön, osalla työ painottuu tuotantotalouteen, joku taas keskittyy tietoturvaan. Saimme tähän toiseen blogiartikkeliin haastateltavaksi henkilön, joka on sähköpostimaailmassa tunnettu osaaja.

Mutta miksi kukaan jaksaa taistella roskaposteja vastaan?

– Suomessa on liki 300.000 yritystä, jos niistä jokainen lähettää vuodessa vain yhden laittoman massamainosviestin, saa jokainen niitä vastaanottava noin sata roskapostiviestiä työtuntia kohden. Se vie energiaa palvelinsaleissa, se vie aikaa roskapostisuodatuksia koodatessa, se kuluttaa yhteiskuntaa antamatta mitään takaisin

Ennen kuin lainataan lisää Atro Tossavaisen näkemyksiä, on hyvä kertoa taustojaan. Hän oli nettiaktiivien joukossa, kun sähköpostin standardeja vasta luotiin.

– Ne ovat oman aikansa ilmentymiä, sähköposti luotiin silloiseen tarpeeseen

Tossavainen tietää mistä puhuu, kun aiheena on mikään sähköpostiin liittyvä. Eikä ne roskapostit sinällään ole vielä iso ongelma, vaikka tarpeetonta ruuhkautumista ja pahimmillaan koko järjestelmän kaatumista voivatkin aiheuttaa.

– On suhteellisen helppoa esiintyä kenenä tahansa sähköpostitse. Suomessakin on isoilta yrityksiltä huijattu rahaa näillä tempuilla.

Syitä siis sähköpostijärjestelmän puolustamiselle on useita. Mutta onko siihen työkaluja?

Miten turvata sähköpostiliikennettä?

Moni ratkaisu lähtee liikkeelle siitä, että sähköpostiliikenne salataan lähettäjän päässä ja vastaanottajalla on erikseen sovittu ”avain”, jolla salauksen saa poistettua.

– Se on toimiva ratkaisu monessa tilanteessa, sillä ei vielä välttämättä saada estettyä ”esiintymistä toisena”, mutta herättää epäilyksen, jos viestit eivät olekaan salattuja yllättäen

Keskustelen Atron kanssa salauksista tarkemmin. Peruslukijalle se keskustelu ei tuottane lisäarvoa, kun sähköpostisalauksia tarjoavat palvelut tekevät sen saman asian kertomisen sujuvammin.
Sen sijaan sähköpostiliikenteen turvaaminen muille keinoin on kiinnostava aihe.

– Monia eri teknologioita on kokeiltu ”perussähköpostin” tilalle, mutta ne ovat aina kaatuneet. Ei ole tarpeeksi tarvetta järeämmille ratkaisuille, kunhan käyttäjien osaaminen on tarpeeksi korkealla.

Keskustelu siirtyy vastuuseen.

Turvariskistä vastaa jokainen työntekijä

Atro Tossavainen voi puhua sähköpostista ja tietoturvariskeistä pitkään. Yrityksensä toimii myös niiden parissa, mutta ei ota uusia projekteja.

– Kriteerimme asiakkaille on liian tiukat, ei Suomesta löydy sellaisia toimijoita.

Tossavaisen yhtiö tarjoaa korkeantason lisäturvaa sähköpostiliikenteeseen ja etenkin roskapostin estämiseen. Taustalla halu edistää tietoturvaa ja siten vähentää turvariskien määrää.

– Tietoturva on jokaisen vastuulla, ei vain ”risk management” osastojen, ei johtajien – jokaisen

Siinä on ajatuksen ydin koko turva-alan tekemiseen – yhteisöllisyys. On nimetty henkilö, joka vastaa prosessien suunnittelusta ja ylläpidosta, mutta lopputuloksesta vastaa jokainen. Risk management on juuri niin laadukasta kuin heikoimmin suoriutuva työntekijä.

Sähköpostiliikenne on yleinen tapa kalastella yrityssalaisuuksia ja hakea välitöntä taloudellista hyötyä. Yksi ongelma on myös yleistyvät sähköpostien avustuksella tehtävät kiristysyritykset, joissa yleensä ei tosin taustalla ole hakkerointia laisinkaan.

Mutta se riittää, että yksittäinen työntekijä reagoi viestiin ei toivotulla tavalla. Mitä paremmin yrityksen sisällä on tieto tehdyistä tietokalasteluista ja mitä paremmin se on organisaation jokaiselle tasolle jalkautettu – sitä pienempi riski.

Sähköposti on parasta maailmassa

Keskustelumme palaa usein sähköpostin periaatteellisuuteen. Se on lähtökohtaisesti täysin hajuton ja mauton maailma, koska se on sellaiseksi suunniteltu. Se on ääritasa-arvoinen ja siksi haavoittuva. Se on avoin kaikelle, mutta siksi huijattavissa.

– Mitään parempaa ei ole tullut tilalle. Se toimii lähes kaikissa käyttötilanteissa erinomaisesti, joten ei ole mitään syytä sitä vaihtaa. Pitää vain oppia tilanteet, mihin se ei ole parhaimmillaan.

Milloin sähköpostia ei pidä käyttää

  1. Yrityssalaisuuksien välittäminen yrityksen ulkopuolelle ilman salausta
  2. Henkilötietojen välittäminen minnekään, ilman salausta
  3. Raskaiden tiedostojen siirtäminen
  4. Markkinointiin/Myyntiin
  5. Henkilökohtaisten asioiden hoitamiseen työosoitteella

Kohta neljä kumpuaa siitä, että jos kaikki käyttävät sähköpostia väärin massaviestityksiin, ei järjestelmä toimi tulevaisuudessa. Sähköposti pysyy tasa-arvoisena, kun sitä ei kontrolloi kukaan yksittäinen instanssi (esim. WhatsApp on Facebook, Inc.:n omistama alusta ja Slack on Slack Technologies:n.). Sähköposti on perustettu kaikkia varten ja poikkeuksellisesti se on sellaisena pysynyt.

Niin hyvässä kuin pahassa – sähköposti on paras tapa kommunikoida, kun ottaa huomioon ulkoiset riskitekijät.

Onko WhatsApp turvallinen?

– Ei, seuraava kysymys

Atro Tossavainen on perustellut aiemmin pitkään syitä sille, miksi yrityksistä riippumaton kommunikaatioalusta (sähköposti) on elinehto modernissa yhteiskunnassa. Käymme läpi listalta yleisiä sähköpostikorvikkeita, eli pikaviestin palveluita.

Mikään niistä ei ole turvallinen yrityskäytössä, koska niiden omistaja on ulkopuolinen yhtiö. Intressiristiriidat nousevat esille yllättävän pienissäkin asioissa. Esimerkiksi henkilötietoja ei vain saa tallentaa EU:n ulkopuolelle oikein missään tilanteessa. Jos nyt se salattu listaus henkilökunnasta lähti kirjanpitäjän sähköpostiin, joka sijaitseekin EU:n ulkopuolisessa palvelimessa – on riskejä olemassa.

Saati sitten yritysvakoilu, valtiollisten tahojen vakoilut jne. – sähköposti voittaa turvallisuudessa lähes kaikki kommunikaatio muodot. Sähköposti salattuna onkin jo sitten pitkälti voittamaton ratkaisu.

– Riippumaton tapa viestiä on nykyään harvinaista, onneksi sähköposti on aikanaan sellaiseksi luotu, eikä sitä voi muuttaa

Keskustelumme päätyy siihen, että käyttäjä on vastuussa kaikesta, mutta joitakin ohjelmistoja käyttäessä on vastuu kevyempi. Sähköposti ja kotimaiset palvelimet laadukkaissa konesaleissa on aina parempi vaihtoehto kuin monikansallinen ratkaisu pikaviestimineen.

 

Atro Tossavainen
Kyberturvan, sähköpostin ja järjestelmäylläpidon moniosaaja

Milloin kannattaa olla yhteydessä:
Sähköpostijärjestelmien muutostilanteissa, tai väärinkäytöstilanteiden jo tapahduttua

Infinite Mho Oy tietoturvakonsultointi
Koli-Lõks OÜ tuottaa sähköpostin tiedustelutietoa suuria määriä lähettävien organisaatioiden avuksi

Top