Miksi sähköposti on huono väline tiedon jakamiseen?

Sähköposti on perinteinen tiedonjakotapa. Työelämässä sähköpostilla on selkeitä etuja, mutta myös monia haittoja.

Hyvinä puolina on nopeus, toimivuus ja yksinkertaisuus. Tietoja saadaan liikkumaan hyvin helposti ja nopeasti paikasta toiseen. Sähköposti toimii erilaisilla laitteilla. Sähköpostijärjestelmä sisältää tietoa vuosien ajalta, jolloin vanhakin tieto on edelleen löydettävissä sähköpostin hakutoiminnolla.

Sähköpostin haittoja

Sähköpostin yhtenä suurimpana ongelmana on pidetty sitä, että sähköpostiliikenne kulkee yrityksestä toiseen salaamattomana. Kolmannen osapuolen on mahdollista salakuunnella viestiliikennettä. Onneksi viestit ja liitetiedostot voidaan nykyään kohtalaisen helposti suojata eri keinoin – tosin käytettävyyden kustannuksella.

Tieto voidaan lähettää vahingossa väärälle vastaanottajalle. Jälkikäteen on haastavaa selvittää, onko vastapuoli hyötynyt tiedosta jotenkin. Vastaanottajalle voidaan toki lähettää pyyntö väärän sähköpostin poistamisesta, mutta tämän varmentaminen voi olla käytännössä hankalaa.

Tieto monistuu useaan paikkaan. Kun lähetät tietoa ja liitteitä, niin ne päätyvät vastaanottajan sähköpostiin sekä sinun sähköpostisi Lähetetyt-kansioon. Tieto on siis kahdessa paikassa. Jos vastaanottajia on useita, niin kopioitakin on useita eri paikoissa. Tiedon tulostaminen tai tallentaminen työasemalle lisää kopioiden määrää entisestään.

Liitteen muokkaaminen muodostaa liitteestä uuden version. Tästä päädytään helposti versio-ongelmaan. Ei välttämättä ole täysin selvää, mikä on tuorein versio ja onko kaikilla tuorein versio käytettävissä.

Viestin edelleen lähettäminen (forward-toiminto) mahdollistaa ison viestiketjun siirtämisen sellaisenaan uudelle vastaanottajalle. Tässä voi helposti käydä niin, että uusi vastaanottaja saa vahingossa tietoa, joka ei ole hänelle tarkoitettu. Edelleen lähettäminen konkretisoi myös monistumiseen ja versio-ongelmiin liittyvät asiat.

Sähköpostiviestin lähettäjätietoon ja viestin sisältöön ei voi täysin luottaa. Lähettäjätieto on mahdollista väärentää, jolloin sähköposti näyttäisi tulevan luotettavalta taholta. Lisäksi käyttäjätunnusten kaappaukset ovat johtaneet siihen, että verkkorikolliset voivat viestiä toisen henkilön nimissä hänen oikealla käyttäjätunnuksellaan. Samalla verkkorikollisilla on pääsy samaisen työntekijän viestihistoriaan, pahimmillaan useiden vuosien ajalta.

Henkilötietojen käsittelyn ja tietosuojavelvoitteiden noudattamisen kannalta sähköposti on haastava väline. Rekisteröidyn oikeuksien toteuttaminen on ongelmallista, jos henkilötietolistoja kerääntyy eri sähköposteihin. Samalla henkilötiedot altistuvat erilaisille tietoturvariskeille, jotka voivat aiheutua esimerkiksi tiedon edelleen lähettämisestä tai sähköpostin käyttäjätunnuksen kaappaamisesta.

Asiakkaat ja yhteistyökumppanit eivät välttämättä pidä siitä, että jotakin asiaa käsitellään sähköpostin välityksellä. Heille voi olla tärkeää, että esimerkiksi kahdenkeskisistä asioista ei viestitä laisinkaan tavallisella sähköpostilla. On hyvä ensin sopia, miten tietoa vaihdetaan, jotta vältytään ylimääräiseltä mainehaitalta.

Onko sähköpostille vaihtoehtoja?

Tietoa voi jakaa sähköpostin sijasta fiksummin digitaalisten työtilojen, tiedostonjakopalveluiden tai verkkolevyjen kautta. Hyödyt:

  • Pääsyä tietoon on mahdollista rajoittaa käyttöoikeuksilla, eikä tietoa tule jaettua niin helposti väärille vastaanottajille.
  • Jaossa oleva tieto on mahdollista poistaa, jos tiedosto on jaettu väärin tai jos tiedostojakoa ei enää tarvita.
  • Versio-ongelmia ei pääse muodostumaan, kun muokkaukset tehdään aina
    jaossa olevaan tiedostoon.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Tietoturvaosaaminen kasvaa yhteistyöllä!

Yrityksesi työntekijöiden tietoturvatietoisuus eli tietoturvaosaaminen on tärkeä asia, josta pitää huolehtia jatkuvasti. Ilman tietoturvaosaamista yrityksen tietojen ja toiminnan turvaaminen sekä jatkuvuuden varmistaminen on arpapeliä.

Miten voitte yhdessä nostaa yrityksenne tietoturvaosaamista?

Digiturva liittyy meidän kaikkien työtehtäviin jollain tavalla. Tuo siis sinäkin digiturva osaksi arkea, oman tehtäväsi kautta. Keskustele työkavereidesi kanssa tietoturvasta, jaa kokemuksiasi ja esimerkkejä. Näin saamme levitettyä osaamista myös muille. Esittelen seuraavaksi muutamia tapoja, joilla tietoturvaosaamista voidaan konkreettisesti lisätä ja levittää.

Kybervartti – 15 min keskustelua digiturvasta

Kokeilkaa sellaista tapaa, että keskustelette jostain ajankohtaisesta digiturvallisuusaiheesta 10-15 minuuttia kuukausipalaverin alussa. Palaverin agendassa tätä osiota voi kutsua vaikkapa nimellä kybervartti.

Kirjatkaa keskustelusta talteen yksi havainto, oivallus, oppi, kysymys, kehitysidea tms. ja lähettäkää se heti eteenpäin tietoturvasta vastaavalle henkilölle. Keskustelun osallistujat oppivat yhdessä ja saavat uusia näkökulmia aiheeseen. Lisäksi saatte yhdessä koottua erilaisia tietoturvavinkkejä, keskustelunaiheita ja ajatuksia koko organisaatiolle.

Sisällytä digiturva ohjeisiin ja koulutuksiin

Pidätkö koulutuksia tai teetkö työssäsi ohjeita ja muita kaikille tarkoitettuja dokumentteja? Sisällytä ohjeisiin pari näkökulmaa myös tietoturvasta ja tietosuojasta! Kysy tarvittaessa lisävinkkejä esim. tietoturvasta, tietosuojasta, turvallisuudesta ja IT-asioista vastaavilta henkilöiltä. Kysy heiltä ”Mitä tässä asiassa pitäisi huomioida tietoturvan kannalta?” Lopputuloksena ei ole tietoturvaohje, vaan ohje, joka sisältää myös tietoturvaa.

Kaikki voivat ylläpitää tietoturvakeskustelua

Oletko hankkimassa uutta IT-palvelua? Kysy palveluntarjoajalta, miten digiturvallisuus on huomioitu tässä palvelussa? Palveluntarjoajan vastausten perusteella on mahdollista oppia uutta. Samalla luodaan hyvää käytäntöä siitä, että tietoturvavastaavan ei tarvitse olla ainut, joka nostaa tietoturvakysymyksiä keskusteluun. Palveluntarjoajat, muut yhteistyökumppanit sekä omat työntekijätkin huomaavat, että teillä digiturva on kaikkien asia. Tämä luo hyvää kuvaa teistä ja nostaa osaamista.

Toimitaan yhdessä esimerkillisesti

Me kaikki voimme edistää digiturvallisuutta toimimalla esimerkillisesti. Esimerkin voima korostuu erityisesti yrityksenne johdolla ja esihenkilöillä. Te viestitte omalla toiminnalla muille, miten asioihin pitää suhtautua. Kokeneemmat työntekijät puolestaan näyttävät uusille työntekijöille, miten talossa toimitaan.

Esimerkillisyys ei tarkoita mitään erityistä ja poikkeuksellisen hienoa, vaan ihan sitä arjen perustoimintaa. Kun on tiettyjä sovittuja käytäntöjä – toimitaan niiden mukaisesti. Jos on tietoturvaohjeet – noudatetaan niitä. Teillä on henkilökortit – käyttäkää niitä. Jne. Perusasioita.

Katsotaan digiturvallisuutta uuden työntekijän silmin

Uusi työntekijä on hyvässä tilanteessa – hänellä on lupa ihmetellä ja kysyä ihan mitä vaan. Mutta oikeastaan meidän kaikkien tulisi käyttäytyä kuin uusi työntekijä: jos jokin asia mietityttää tai ihmetyttää, niin uskalla kysyä.

Kysymällä voit saada aikaan keskustelun, jossa muutkin oppivat. Muut ovat saattaneet miettiä samaa asiaa, mutta eivät ole kehdanneet kysyä. Tai muut eivät välttämättä ole ajatelleet asiaa, kuten sinä.

Ihmetelkää yhdessä!

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Arjen digiturvan tehokuuri

Onko vastuullasi henkilöstön digiturvaosaamisen ylläpitäminen? Olet varmasti huomannut, että se on pitkäjänteistä ja työlästä tekemistä.

Nyt on tarjolla helpotusta!

Lataa käyttöösi Arjen digiturvan tehokuuri.

Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista. Siis koko vuoden blogijulkaisut yhdessä paketissa!

Voit vapaasti muokata blogeja tarpeesi mukaan ja julkaista ne esim. organisaatiosi intrassa.

Arjen digiturvan tehokuuri käsittelee mm. seuraavia aiheita:

  • Arjen tietoturva
  • Salasanat
  • Huijausviestit
  • Etätyöskentely ja matkustaminen
  • Etäkokoukset, puhelut ja keskustelut
  • Älypuhelimet
  • Toimitilaturvallisuus
  • Tietosuoja osana arjen tekemistä
  • Ihmisen rooli tietoturvassa

Lataa Arjen digiturvan tehokuuri.

Huijausviestin tunnistaminen – mikä tekee viestistä epäilyttävän?

Huijausviestin tunnistaminen on tärkeä taito digimaailmassa. Jokaisen pitäisi onnistua siinä mahdollisimman hyvin. Huijausviestin tunnistaa, kun oppii havaitsemaan viestistä epäilyttäviä yksityiskohtia.

Mikä tekee viestistä epäilyttävän? Arvioi viestistä seuraavia asioita:

Viestin lähettäjä

Tunnistatko viestin lähettäjän?

Onko viestin lähettäjä sinulle tuttu vai tuntematon? Täsmääkö lähettäjän nimi ja hänen käyttämä sähköpostiosoite? Jos viestin lähettäjä väittää olevansa yrityksen työntekijä, mutta viesti on lähetetty työpaikan ulkopuolisesta sähköpostiosoitteesta, on syytä olla varuillaan. Lähettäjätiedolla yritetään myös herättää luottamusta. Kun viesti on lähetetty IT-tuen nimissä, niin viesti vaikuttaa luotettavammalta. Viestin lähettäjätietoon ei voi luottaa, koska lähettäjätieto voidaan väärentää.

Viestin odotettavuus

Odotatko tällaista viestiä juuri tältä lähettäjältä?

Odotatko yhteydenottoa ja liitteitä kollegalta? Pitäisikö asiakkaalta tulla linkki projektiin liittyen? Oletko sopinut pankin kanssa, että he ovat sinuun yhteydessä työsähköpostiisi?

Vetoaminen sinuun ja saamaasi hyötyyn

Yritetäänkö viestissä vedota sinuun tai luvataanko viestissä merkittävää hyötyä?

Huijausviestissä yritetään yleensä vedota sinuun, jotta sinut saadaan tekemään jokin haitallinen toimenpide. Sinun pitää esimerkiksi avata liitetiedosto tai linkki, täyttää tietosi jonnekin, toimittaa jokin asia esihenkilösi puolesta tms. Rikollisen käyttämä ”Tässä pyytämäsi tiedostot” suorastaan houkuttelee avaamaan liitteitä. Tai sinua voidaan houkutella lunastamaan sinulle saapunut rahalähetys, kun kirjaudut verkkopankkitunnuksilla viestissä olevaan linkkiin.

Kiire ja pakollisuus

Edellytetäänkö viestissä kiireellisiä tai pakollisia toimenpiteitä?

Kiireeseen vetoaminen on yksi huijausviestien peruspilareista. Rikollinen haluaa luoda sinulle kiireen tuntua. Tämä voi tapahtua erilaisin keinoin. Esim. jos et uusi salasanaasi 24h aikana tästä linkistä, käyttäjätunnuksesi suljetaan. Salattu sähköposti on luettavissa vain vähän aikaa. Lasku on erääntynyt ja pitää maksaa nopeasti. Jne.

Viestin kieliasu

Tunnistatko lähettäjän käyttämän kieliasun?

Käyttääkö viestin lähettäjä epäilyttävää kirjoitustyyliä? Jos olet tehnyt pitkään yhteistyötä joidenkin henkilöiden kanssa, niin saatat tunnistaa heidän kirjoitustyylinsä. Jos lähettäjä on tuttu, mutta kirjoitustyyli ei ole hänelle sopivaa, niin ole tarkkana.

Linkit

Millaisia linkkejä viestissä on?

Suhtaudu linkkeihin aina varauksella ja tarkista, millaista linkkiä olet avaamassa. Sähköpostissa näkyvä linkki ei välttämättä vie sinne, miltä teksti näyttää. Jos linkki vaikuttaa turvalliselta ja avaat sen, niin katso mitä linkistä oikeasti aukeaa. Tarkasta aina avautuneen sivuston www-osoite uudelleen ennen kuin syötät sinne tietoja tai lataat sieltä mitään. Jos viestin tai liitteen avaaminen vaatii kirjautumista, mieti mihin olet käyttäjätunnusta ja salasanaa syöttämässä. Oletko kirjautumassa tuttuun paikkaan? Linkki voi olla https-suojattu, mutta se ei tarkoita mitään. Rikollisetkin osaavat käyttää suojattuja yhteyksiä.

Liitteet

Millaisia liitteitä viestissä on?

Avaa liitetiedostot vain silloin, jos koko viesti vaikuttaa järkevältä ja liite sopii asiayhteyteen ja lähettäjään. Suhtaudu liitteisiin suurella epäilyksellä silloin, kun liitteen avaaminen edellyttää joidenkin suojatoimenpiteiden kytkemistä pois päältä. Esimerkiksi Excel-tiedostojen sisällä saattaa olla teksti, joka pyytää ajamaan komentoja tai poistamaan suojauksia käytöstä, jotta tiedoston sisältö voidaan näyttää oikein. Suhtaudu epäilevästi myös sellaisiin liitteisiin, jotka edellyttävät kirjautumista, jotta liitteen saa lopulta auki.

Roskapostia vai ei?

Onko viesti jäänyt roskapostisuodattimeen?

Jos viesti on jäänyt roskapostisuodattimeen, niin se on vahva signaali siitä, että viestiä pitää käsitellä varovaisesti. Automatiikka on huomannut viestissä huijausviestille tyypillisiä asioita, kuten esim. erikoisen lähettäjätiedon, haitallisen liitteen tai linkkejä muihin palveluihin.

Viestin ajankohtaisuus

Käsitelläänkö viestissä kiinnostavaa ajankohtaista aihetta?

Huijausviesteissä voidaan käyttää ajankohtaisia aiheita, jotka saavat mielenkiintosi heräämään. Tällöin et välttämättä suhtaudu viestiin epäilyttävästi. Huijausviestin sisällössä voidaan viitata esim. uusiin asioihin, kuten vaikkapa uuteen sähköpostijärjestelmään. ”Kirjaudu uuteen järjestelmään tästä”. Viestit voivat liittyä esim. Suomen ja muun maailman tapahtumiin. Jos viesti ei liity työasioihin, niin tulkitse se roskapostiksi.

Huijausviestin tunnistaminen ei aina ole yksinkertaista

Jos suomalaisen toimijan sähköpostitili on kaapattu, niin huijausviestin tunnistaminen on erittäin haastavaa. Tällöin vain viestin sisällöstä ja asiayhteydestä voi olla mahdollista päätellä, että kyseessä on huijaus. Valitettavasti joskus on jopa avattava linkki ennen kuin huomataan, että kyseessä on huijaus.

Salasanat on pakkopullaa – ja arjen digiturvan perusta

Salasanat ovat varmasti yksi IT- ja tietoturvamaailman puuduttavimmista puheenaiheista. Ne on aiheena tietoturvakoulutusten pakkopullaa pahimmillaan! Ja varma tapa nukuttaa koko yleisö kerralla!

Salasanoista on kuitenkin puhuttava. Perusjuttujen lisäksi kerron ohessa muitakin näkökulmia, esim. mitä rikolliset tekevät salasanoilla ja mitä hyötyä unohtuneesta salasanasta on.

Salasanoilla on merkittävä rooli meidän kaikkien digiturvallisuudessa. Salasana-asioista puhutaan paljon, mutta tälle on hyvä syy: verkkorikolliset haluavat sinun salasanasi. Paluu työpaikalle on hyvä tilaisuus tarkastella omia ja työpaikan salasanakäytäntöjä. Hyödynnä näitä näkökulmia oman yrityksesi tietoturvakoulutuksissa!

Miksi rikolliset haluavat salasanoja?

Rikollinen haluaa muuttaa sinun käyttäjätunnuksesi rahaksi. Rikollinen hyödyntää kaapattuja käyttäjätunnuksia ja salasanoja rikosten valmistelussa ja toteuttamisessa. Rikollinen testaa:

  • Voiko kaapatulla salasanalla kirjautua esimerkiksi sähköpostiin?
  • Pääseekö samalla salasanalla muihinkin palveluihin?
  • Käyttääkö joku muu yrityksessä samaa salasanaa?

Rikollinen käyttää kaapattua tunnusta esimerkiksi huijauksiin ja tiedon keräämiseen. Hän voi myydä tunnukset toisille rikollisille, jotka esimerkiksi pyrkivät saamaan kiristyshaittaohjelman yrityksen järjestelmiin. On helpompi kirjautua sisään kuin hakkeroitua sisään.

Salasanat suojaavat sinua, muita työntekijöitä ja yrityksesi tietojärjestelmiä rikollisilta.

Millaiset salasanakäytännöt sinulla on?

Mieti seuraavaksi näitä asioita omasta näkökulmastasi. Onko salasanasi:

  • helppo muistaa,
  • vaikea arvata, ja
  • eri joka paikassa?

Vielä kun se sisältää erilaisia merkkejä eikä löydy sanakirjasta sellaisenaan, niin ollaan erittäin turvallisen salasanan äärellä!

Salasanan vaihtaminen esim. 6kk välein vaikuttaa siihen, että kerran varastettu tunnus ei toimi loputtomasti. Yksi varastettu salasana ei vaaranna muita palveluita, kun salasana on eri joka paikassa. Toiselta varastettu salasana ei vaaranna sinua, kun salasanasi on vaikea arvata.

Pitkä salasana – salalause – vaikeuttaa salasanan arvaamista ja teknistä murtamista. ”Pidempi parempi”, toteaa Kyberturvallisuuskeskus. Et kuitenkaan tarvitse monimutkaista salasanaa!

Millaiset salasanakäytännöt yrityksellänne on?

Unohditko salasanasi? Hyvä! Nyt sinulla on mahdollisuus testata yrityksenne käytäntöjä salasanoihin ja käyttäjätunnuksiin liittyen!

Pohdi:

  • Keneltä pyydän apua, jos salasanojen kanssa on ongelmia?
  • Onko minulla tarvittavien henkilöiden yhteystiedot saatavilla?
  • Millä välineellä otan yhteyttä, jos en pääse kirjautumaan?
  • Mistä tiedän, onko salasanan vaihtajat töissä tai lomalla?

Havaitsitko kehitettävää? Kerro havaintosi ja kehittämisideasi yrityksesi tietoturvasta vastaavalle.

Jos epäilet rikollisten saaneen salasanasi, vaihda salasana heti. Ilmoita asiasta sen jälkeen välittömästi yrityksen IT-tukeen.

Käyttäjätunnusta ja salasanaa on helpompi suojata, kun ottaa käyttöön monivaiheisen tunnistautumisen. Sitä kannattaa hyödyntää niin työpaikan kuin vapaa-ajankin palveluissa. Monivaiheisesta tunnistautumisesta käytetään myös nimitystä MFA (Multi-Factor Authentication) tai 2FA (Two-Factor Authentication).

Salasanat ovat arjen digiturvan perusta!

(Luitko tänne asti nukahtamatta? Jes!)