Tulostusversio

4/2008

Tietoturva: Sähköpostin käytettävyys ja turva paranevat

Teksti: Marjo Rautvuori

Viestintäviraston määräys sähköpostipalvelujen tietoturvasta ja toimivuudesta on uusittu. Selkeimpiä syitä palveluntarjoajien velvoitteiden päivittämiseen olivat muuttuneet uhat ja kehittynyt tekniikka.

Viestintävirasto uusi syyskuussa määräyksen, jossa sähköpostipalveluntarjoajille asetetaan velvoitteita sähköpostipalvelun tietoturvan ja toimivuuden varmistamiseksi. Määräyksen keskeisimmät muutokset koskevat asiakkaan ja palvelimen välisten yhteyksien suojaamista, haitallisen sähköpostiliikenteen suodattamista sekä sähköpostiosoitteiden hallintaa.

Mistään massiivisesta uudistuksesta ei Viestintäviraston IP-verkot-yksikön päällikön Sami Kilkkilän mukaan ole kyse.

”Vuonna 2004 annetun määräyksen perusperiaatteet oli kirjoitettu hyvin. Maailma on kuitenkin muuttunut niin paljon, että oli tarkistuksen paikka. Voidaksemme pöyhiä kunnolla kenttää kutsuimme koolle monipuolisen alan asiantuntijajoukon, jonka yhteistyönä uudistus syntyi”, Kilkkilä kertoo.

Suurimmat muutospaineet johtuivat siitä, että roskapostin lähettämisestä on tullut entistä ammattimaisempaa, ja sähköpostipalveluja käytetään yhä enemmän matkapuhelimella.

Suojaamaton sähköposti kuin postikortti

Uuden määräyksen mukaan palveluntarjoajan on tarjottava asiakkaalle ensisijaisena vaihtoehtona suojattua yhteyttä asiakkaan ja sähköpostilaatikon sekä asiakkaan ja lähtevän liikenteen sähköpostipalvelimen välillä.

Muutoksella edistetään sähköpostipalveluiden liikkuvaa käyttöä myös palveluntarjoajan oman verkon ulkopuolelta, kuten mobiililaajakaistaliittymistä. Turvallisuuden lisääntyessä tuttua sähköpostipalvelua voidaan käyttää mistäpäin maailmaa ja millä päätelaitteella tahansa.

Vaatimuksella estetään myös asiakkaiden sähköpostin käyttäjätunnusten, salasanojen ja sähköpostiviestien päätymistä ulkopuolisten käyttöön asiakkaan lukiessa sähköpostejaan esimerkiksi suojaamattoman WLAN-verkon kautta.

On kuitenkin joitakin tietokoneohjelmia ja päätelaitteita, jotka eivät tue suojattua yhteyttä. Esimerkkinä Kilkkilä mainitsee vanhemmat matkapuhelimet. Siksi tarjolla pitää olla myös suojaamaton yhteysvaihtoehto.

Uudistustyöryhmän työskentelyyn osallistunut johtaja Juha Oravala D-Fence Oy:stä muistuttaa, että sähköposti ilman mitään suojausta tai salausta on kuin postikortti, jonka kuka tahansa voi lukea.

”Uudistus on hyvä asia. Jokainen viesti lähettäjältä vastaanottajalle kulkee siinä internetverkossa, jossa kulloinkin on parhaiten tilaa ja sen kulku on nähtävissä. Siksi koko viestiketjun pitää olla suojattu, sillä ketju on juuri niin vahva kuin sen heikoin lenkki.”

Oravalan mielestä moni on syystä huolissaan jatkuvasti kasvavan sähköpostimäärän luotettavuudesta. Pelätään yrityssalaisuuksienkin vuotamista. Esimerkiksi tarjouskilpailuissa näin onkin mahdollista käydä, kulkevathan usein kriittistä tietoa sisältävät asiakirjat tänä päivänä lähes pelkästään sähköisen verkon välityksellä.

Alati muuttuvat uhat

Roskaposti-ilmiö puhuttaa jatkuvasti. Uudistustyöryhmä teki paljon töitä löytääkseen keinoja roskapostin mahdollisimman tehokkaaseen kitkemiseen. Erilaisten mekaanisten keinojen yhdistämisen todettiin tuottavan parhaita tuloksia.

Uudessa määräyksessä palveluntarjoajan on jatkossa merkittävä tai suodatettava haitalliseksi tunnistamansa sähköpostiliikenne. Samalla palveluntarjoajan on pidettävä huolta siitä, että toimenpiteellä vaarannetaan mahdollisimman vähän asiallisten viestien läpimenoa.

"Operaattorit tekevät raakasuodatusta jo nyt. Jatkossa niiden pitää tarjota lisäpalveluna myös tarkempaa haittapostin ja oikean postin erottelua", Juha Oravala toteaa.

Suurimpana haasteena Oravala pitää sitä, että uhkaympäristö muuttuu kaiken aikaa. Tänään hyväksi havaittu mekanismi ei välttämättä ole hyvä enää huomenna.

"Spammerit hakevat koko ajan uusia tapoja. Elämä on jatkuvaa kilpavarustelua. Ja koko ajan oikean postin pitää päästä perille. Käyttäjällä on käytännössä kolme vaihtoehtoa: elää ongelman kanssa, ylläpitää itse mahdollisimman tehokasta torjuntamekanismia tai ostaa palvelu asiantuntijayritykseltä."

Osoitteille karenssiaika

Uutena velvoitteena asiakkaalta vapautuneelle sähköpostiosoitteelle on määritelty kolmen kuukauden karenssiaika. Sinä aikana palveluntarjoaja ei saa luovuttaa vapautunutta osoitetta toiselle asiakkaalle. Lisäksi sähköpostipalveluntarjoajalla on oltava toimintamalli harhautuviin sähköpostiosoitteisiin liittyvien ongelmatilanteiden hallintaan.

Viestintäviraston Sami Kilkkilä pitää hyvänä, että karenssi saadaan nyt myös sähköpostisoitteisiin. Puhelinnumeroissahan karenssikäytäntö on vakiintunut puoleksi vuodeksi. Kolmea kuukautta pidempi aika katsottiin kuitenkin palveluntarjoajien kannalta kohtuuttomaksi.

Asiantuntijat muistuttavat, että käyttäjän itsensä on oltava tarkkana sähköpostiosoitteensa kanssa. Kannattaa miettiä, mihin sen antaa. Väärinkäyttöjä tehdään, ja vahinkoja tapahtuu.

Lähettäjä ei välttämättä huomaa sitä, että posti lähteekin väärälle henkilölle. Sähköisen viestinnän tietosuojalain 5 §:n mukaan kuitenkin sillä, joka saa toiselle kuuluvaa sähköpostia, on salassapitovelvollisuus. Asiallista olisi ilmoittaa lähettäjälle, kun huomaa saaneensa postia, joka kuuluu jollekin toiselle.

Viestintäviraston määräys 11 A/2008 M tuli voimaan 1. marraskuuta 2008. Sähköpostipalveluntarjoajan on tarjottava suojattua yhteyttä asiakkailleen viimeistään 1. maaliskuuta 2009.

Lue myös

Tietoturva: Sähköpostin suojaustaso nousee selvästi »
Tietoturva: Turvallisuus luo luottamusta verkossa »
Tietoturva: Verkkokaupan ytimessä »
Tietoturva: Uudet salausmenetelmät parantavat yksityisyyttä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.