Tarve sähköpostien salaamiselle on kasvanut – uhkana jopa miljoonien sakot

Sonera on nyt Telia.

Aidon näköiset huijaukset, joissa rikollinen esiintyy esimerkiksi jonkun yrityksen toimitusjohtajana ja lähettää kiireellisen laskun talousosastolle, ovat yleistyneet. Jotenkin pitäisi varmistaa, että sähköpostin lähettäjä on se joka väittää olevansa. Mutta miten?

Empower Oyj:n tietoturvasta vastaavan johtajan Henri Jacobssonin mukaan pelkkä lähettäjän tietojen tarkastaminen viestistä ei riitä, vaan tarvitaan järeämpiä keinoja.

”Nykyään on mahdollista tehdä hyvin aidon näköisiä sähköposteja, joissa oikea lähettäjä paljastuu vasta tarkastamalla vastausosoite. Viestin lähettäjän luotettava tunnistus S/MIME varmenteiden avulla on varma keino suojautua tällaisilta yrityksiltä”, Jacobsson kertoo.

Empower päätyi hankkimaan Soneran S/MIME varmenteet työntekijöilleen vuoden 2017 alussa. Jacobssonin mukaan käyttöönotto on sujunut ongelmitta.

”Sähköpostien salauksella ja allekirjoittamisella on tärkeä rooli sekä konsernin sisäisessä että ulkoisessa viestinnässä. Asiakkaille lähtevissä viesteissä kyse on luottamuksen varmistamisessa. Sisäisessä viestinnässä allekirjoittamisen rooli on tietoturvassa”, hän kertoo.

Sähköpostien salauksessa hyödynnetään palvelinvarmenteista tuttua teknologiaa

S/MIME perustuu palvelimissa käytettävistä SSL-varmenteista tuttuun julkisen avaimen infrastruktuuriin. Siinä sähköpostiviestit salataan kryptografisten avainparien avulla. Sähköpostiviestin avaamiseen tarvittavat tunnukset ovat ainoastaan vastaanottajan tiedossa, joten viestin kaappaaminen käytännössä mahdotonta.

Toinen puoli julkisen avaimen infrastruktuurin mahdollistamaa suojaa on lähettäjien tunnistaminen. Varmenteiden myöntäjät tunnistavat kansainvälisten standardien mukaan yritykset, joille S/MIME varmenteita myönnetään. Sen jälkeen yritykset voivat jakaa sähköpostivarmenteet työntekijöidensä käyttöön.

EU:n tietosuoja-asetus lisää tarvetta sähköpostien salakirjoittamiselle

EU:n yleistä tietosuoja-asetusta aletaan soveltaa 25. toukokuuta 2018 alkaen. Silloin henkilötietojen käsittelyä koskevat vaatimukset kiristyvät ja tarve sähköpostien salaamiselle S/MIME-varmenteella kasvaa.

Vaikka jo nykyinen lainsäädäntö edellyttää henkilötietojen salaamista sähköposteissa, uuden tietosuoja-asetuksen myötä lainsäädännön noudattamatta jättämisestä seuraa sanktio, joka voi olla jopa neljä prosenttia yrityksen globaalista liikevaihdosta.

”Meillä on käynnissä iso projekti uuteen asetukseen sopeutumiseksi siirtymäaikana eli vuoteen 2018 mennessä. S/MIME:lla tehtävä salaus täyttää tietosuoja-asetuksen edellyttämät arkaluontoisten tietojen lähettämiseen liittyvät vaatimukset”, Jacobsson kertoo.

Teksti: Tomi Eklund