Digiajassa sähköpostista on kehkeytynyt viestinnän kulmakivi kaikenkokoisissa yrityksissä. Se on kuitenkin myös merkittävä tietoturvahaaste, erityisesti pienyrityksille. Kyberuhkat kehittyvät ja mutkistuvat jatkuvasti, joten arkaluonteisten tietojen suojaaminen ja sähköpostiviestinnän luottamuksellisuuden turvaaminen ei milloinkaan ole ollut tärkeämpää.
Kaikenlaiset yritysten sähköpostipalvelinten kautta toteutetut kyberhyökkäykset ovat lisääntyneet viime vuosina merkittävästi. Tämä ei sinänsä ole yllättävää, sillä siirtymää etätyöhön on tapahtunut kaikkialla maailmassa. Mutta nyt kun etätyö on tullut jäädäkseen, useimmat kyberturvallisuuden asiantuntijat ovat saaneet yllätyksekseen huomata, että monissa organisaatioissa (erityisesti pienyrityksissä, jotka ovat tällaisille hyökkäyksille kaikkein haavoittuvimpia) ei ole otettu käyttöön perustason kyberturvallisuuskäytäntöjä, jotka pitävät järjestelmät suojassa yrityksen sähköpostin vaarantumiseen nojaavilta BEC (Business Email Compromise) -hyökkäyksiltä ja muilta perinteisemmiltä sähköpostiin pohjaavilta kyberhyökkäyksiltä.
BEC eli yrityksen sähköpostin vaarantuminen on vakava digitaalisen huijauksen ja kiristyksen muoto, jossa pyritään hyödyntämään yritysten välistä päivittäistä sähköpostiviestintää. Monimutkaisen sosiaalisen manipulointiprosessin kautta kyberrikolliset tekeytyvät työntekijäksi tai luotetuksi liiketuttavaksi ja houkuttelevat samassa yrityksessä toimivan uhrin siirtämään luottamuksellisia tietoja tai varoja kätketylle tilille. Hyökkäysten vakavuusaste vaihtelee, mutta yleensä ne käyvät kohteeksi joutuneelle yritykselle erittäin kalliiksi. Siksi olemme päättäneet laatia tämän oppaan sähköpostin tietoturvaan liittyvistä parhaista toimintatavoista, ohjeista, protokollista ja käytännöistä. Opas on suunnattu erityisesti pienyrityksille, mutta käytännöt koskevat yhtä lailla kaikenkokoisia organisaatioita. On aika varmistaa, että pienyrityksesi sähköposti on asianmukaisesti suojattu ja että kaikki luottamukselliset tiedot ovat luvattomien urkkijoiden ulottumattomissa.
Pienyritysten sähköpostin tietoturvan parhaita käytäntöjä
Pienyrityksissä sähköpostin tietoturvan parhaat käytännöt ovat samantyyppisiä kuin suurissa organisaatioissa; niillä suojaudutaan sähköpostiin perustuvien kyberhyökkäysten kolmelta päätyypiltä: tietojenkalasteluhuijauksilta, kohdennetuilta tietojenkalasteluhyökkäyksiltä ja väärennetyiltä laskuilta. Aloitetaan keskeisistä periaatteista, joita sähköpostin tietoturvaan on sovellettava:
Yrityssähköpostitilit on tarkoitettu nimenomaan työkäyttöön
Vaikka tämä saattaa kuulostaa selkeältä ja yksinkertaiselta, asia kannattaa kuitenkin erikseen mainita. Koska työ on niin tärkeä osa ihmisen elämää, saattaa olla houkuttelevaa rekisteröityä tai kirjautua yrityssähköpostilla sellaisiin palveluihin, joihin henkilökohtaisilla tileillä ei pääse. Jos yrityksen sähköpostia kuitenkin käytetään henkilökohtaiseen verkkoasiointiin, huijareilla on paremmat valmiudet profiloida sinua, mikä puolestaan voi johtaa huomattavasti kohdennetumpiin kyberhyökkäyksiin. Jos käytät omaa tietokonetta tai kodin Wi-Fi-yhteyttä, jotka eivät yleensä ole yhtä turvallisia kuin yrityksen verkkoyhteydet tai tarkoitukseen räätälöidyt työpaikan työkoneet, annat hakkereille paremmat mahdollisuudet varastaa työhön liittyviä tärkeitä käyttötietoja. Tästä pääsemmekin seuraavaan parhaaseen käytäntöön.
Älä käytä yrityssähköpostia julkisessa Wi-Fi-verkossa
Vaikka käyttäisitkin yrityssähköpostitiliäsi suojatulla ja turvallisella työkoneella, julkinen Wi-Fi-verkko on ihanteellinen tunkeutumisväylä hakkereille ja kyberrikollisille, jotka haluavat päästä tietokoneellesi ja varastaa luottamuksellisia tietojasi. Kun julkista yhteyttä on pakko käyttää, suosittelemme parantamaan päätepisteen tietoturvan kokonaistasoa käyttämällä VPN-yhteyttä muodostaessasi yhteyden tärkeisiin yrityspalvelimiin. Virtuaalinen yksityinen verkko (VPN) toimii luomalla salatun yksityisen tunnelin käyttäjän tietokoneen ja organisaation palvelinten välille. Näin kaikki suojaamattoman verkon kautta lähettämäsi data suojataan reaaliaikaisella salauksella. Jos haluat lisätietoja VPN:istä ja niiden toimintaperiaatteista, tutustu Mikä VPN on? -artikkeliin.
Vahvat salasanat ja salalauseet
Yrityksen sähköpostitiliä hakkeroitaessa ensimmäinen vaihe on tiliin kohdistuva väsytyshyökkäys, jossa salasanaa tai salalausetta yritetään arvata. Siksi suosittelemme kaikkia työntekijöitä käyttämään vahvoja salasanoja tai salalauseita. Salasana katsotaan vahvaksi, kun se on riittävän pitkä (12–14 merkkiä) ja sisältää erikoismerkkejä, numeroita sekä isoja ja pieniä kirjaimia. Sama koskee vahvoja salalauseita, mutta niissä on tavallisesti 15–20 merkkiä ja mahdollisuuksien mukaan myös muiden kielten kirjaimia.
Tärkeintä on kuitenkin muistaa, että niiden on oltava yksilöllisiä ja sovelluskohtaisia. Siksi saata tarvita hyvinkin monta tällaista salasanaa tai salalausetta riippuen siitä, kuinka montaa eri työpaikan järjestelmää käytät. Suosittelemmekin käyttämään kaikkien yksilöllisten salasanojen ja -lauseiden taltiointiin salasanojen hallintatoimintoa tai salasanasäilöä, jossa on mukana myös vahvojen salasanojen luontitoiminto. Vaikka myös salasanasäilöt ja salasanojen hallintaohjelmat voivat joutua hakkeroinnin kohteeksi, salasanasi pysyvät silti aina turvassa, sillä ne ovat salatussa muodossa. Toimialan standardin mukaisen salauksen, kuten 256-bittisen AES (Advanced Encryption Standard) ‑standardin, purkaminen on lähes mahdotonta. Joten vaikka hakkeri pääsisikin käsiksi itse säilöön, se ei tarkoita, hän ei voisi tehdä salatulla tiedolla yhtään mitään.
Tietojenkalasteluhuijauksia ja liitetiedostoja koskeva valistus
Investoiminen kaikkien työntekijöiden perustason kyberturvallisuuskoulutukseen on eräs helpoimmista tavoista suojata yritystä. Jos tämä ei ole yrityksessäsi mahdollista, suosittelemme valistamaan työntekijöitä tietojenkalastelu- ja sähköpostihyökkäysten eli esimerkiksi haitallisten liitetiedostojen ja HTML-kuljetushyökkäysten vaaroista. Tärkeimmät aiheet:
- Yleisten tietojenkalasteluhuijausten tunteminen – esim. väärennetyt sivustot ja esimerkiksi Microsoft Outlook -kirjautumisikkunoiksi ja muiksi yleisiksi ponnahdusikkunoiksi tekeytyvät ikkunat, jotka urkkivat käyttäjien käyttötietoja.
- Yleisimpien sähköpostiliitteiden tunteminen – niihin voi piilottaa haittaohjelmia ja niitä ovat esimerkiksi .DOCX, .HTML, ja .EXE. Tämä koskee myös hiljattain ilmenneitä mutta yleisiä sähköpostia hyödyntäviä kyberhyökkäyksiä, joista käytetään nimitystä ”HTML smuggling” eli HTML-kuljetushyökkäykset.
- Varoita työntekijöitä siitä, että heidän ei pidä milloinkaan napsauttaa linkkiä, joka näyttää epäilyttävältä tai joka on peräisin tuntemattomalta lähettäjältä. Haitalliset linkit ovat helpoin tapa toteuttaa työntekijöihin ja yritykseen kohdistettava kyberhyökkäys, ja tämä tapahtuu tyypillisesti jonkinlaisen tietojenkalastelusivuston välityksellä.
Ota monivaiheinen todennus käyttöön
Monivaiheinen todennus on nopeasti yleistyvä tietoturvakäytäntö, sillä se on erittäin tehokas. Tästä todennustavasta käytetään myös nimitystä kaksivaiheinen todennus (myös MFA tai 2FA). Se tuo yrityksen sähköpostitileille kerroksittaista tietoturvaa, ja työntekijöiden on käytävä läpi turvamenettelyt aina ennen pääsyä viesteihin. Esimerkkejä ovat lisäsalasana, suojattuna tekstiviestinä lähetettävä koodi tai vastaus valmiiksi määritettyyn turvakysymykseen.
Muista aina kirjautua ulos kaikkialta
Myös tämä voi vaikuttaa ensi alkuun mitä ilmeisimmältä neuvolta työsähköpostia käytettäessä. On tärkeää kuitenkin muistaa, että merkittävässä osassa kyberhyökkäyksiä laukaisevana tekijänä on ollut kaunaa kantava entinen työntekijä, joka haluaa aiheuttaa vahinkoa entisen työnantajansa liiketoiminnalle. Tilin haltuunotto ja tekeytyminen toiseksi työntekijäksi ovat helpoimpia ja vaikeimmin havaittavia kyberrikosten toteuttamistapoja. Jotta sinusta tai työntekijöistäsi ei tule tietämättänne epäiltyjä, huolehdi siitä, että jokainen yrityksessä muistaa kirjautua ulos kunkin istunnon jälkeen ja pitää kaikki kirjautumistunnuksensa visusti omana tietonaan.
Sähköpostin tarkistus- ja suojausjärjestelmät
Sosiaalisen manipuloinnin uhkien ja sähköpostiin liittyvien kyberhyökkäysten alati mutkistuessa erityinen sähköpostin tarkistus- ja suojausjärjestelmä on paras tapa puolustautua kehittyneiltä hyökkäyksiltä, jotka perustuvat haitallisiin sähköpostiliitteisiin ja upotettuihin komentosarjoihin. Suosittelemme automaattista virustorjuntaratkaisua, jossa hyödynnetään koneoppimista ja koodin staattista analyysia ja jossa arvioidaan sähköpostin varsinaista sisältöä pelkän liitetiedoston tyypin sijaan. Kehittyneeksi verkon kyberturvallisuusratkaisuksi suosittelemme Kaspersky Security for Microsoft Office 365 -ratkaisua. Tämä palkittu järjestelmä on tarkoitettu sekä yritys- että kotikäyttäjille, ja premium-tilauspaketteihimme kuuluu etätuki ja 24/7-tukipalvelu.
Sähköpostin tietoturvaprotokollat ja -standardit
Asiaankuuluvien sähköpostin tietoturvaprotokollien käyttöönotto on eräs tärkeimmistä yrityksen sähköpostijärjestelmän suojaustavoista. Sähköpostiprotokollat ovat tyypillisesti ensimmäinen puolustuslinja sähköpostiin liittyviä kyberhyökkäyksiä vastaan, ja ne on suunniteltu pitämään viestit turvassa niiden kulkiessa webmail-palveluiden välillä. Selvyyden vuoksi todettakoon, että sähköpostipalvelimet toimittavat sähköpostiviestejä vastaanottajien sähköpostiohjelmien välillä niin kutsuttujen sähköpostiprotokollien avulla. Protokollat kertovat palvelimelle, kuinka viestit käsitellään ja toimitetaan. Tietoturvaprotokollia käytetään tämän prosessin varmentamiseen ja todentamiseen.
Yrityksen sähköpostit voi suojata useiden eri protokollien avulla:
- SPF – tämän avulla sähköpostitoimialueen omistaja voi tunnistaa ja vahvistaa, kenellä on oikeus käyttää sen toimialuenimiä sähköpostia lähettäessään.
- DMARC – tämän avulla toimialueen omistajat saavat ilmoituksen ja voivat reagoida tilanteessa, kun viestin todennus on epäonnistunut.
- SMTPS ja STARTTLS – salaavat sähköpostiohjelmien ja palvelinten välisen sähköpostiliikenteen.
- DKIM – tämän avulla käyttäjä voidaan yhdistää digitaaliseen allekirjoitukseen todennusta varten.
- S/MIME – määrittelee, kuinka MIME-muotoinen data salataan ja todennetaan.
- OpenPGP – Pretty Good Privacy -järjestelmään perustuva protokolla, jota käytetään sähköpostiviestinnän salaus- ja todennusstandardina.
- Digitaaliset sertifikaatit – julkisen avaimen omistajuuteen perustuva keino lähettäjän tietojen varmentamiseen.
- SSL/TLS – ei suoraan käytetä sähköpostin tietoturvassa, mutta salaa palvelinten välisen verkkoliikenteen (käsittää webmail-viestejä), sillä sitä käytetään HTTPS:ssä.
Monissa suosituissa sähköpostiohjelmissa käyttäjien yksityisyyttä suojataan SPF-, DKIM- ja DMARC-protokollan avulla (määritetään DNS-tietueiden kautta). Suosittelemme käyttämään yrityksesi sähköpostijärjestelmässä vähintään näitä kolmea.
Sähköpostin suojauskäytännöt, ohjeet ja vaatimustenmukaisuus
Sähköpostin suojauskäytännöt, ohjeet ja vaatimustenmukaisuus määrittelevät säännöt ja määräykset, joiden mukaisesti yrityssähköpostia käytetään työpaikalla. Jokainen edellä eritelty kohta on tärkeä sisällyttää organisaation sähköpostin suojauskäytäntöihin. Näissä ohjeissa on oltava mukana myös sääntöjä
- käyttäjien käyttöoikeuksista ja laitekäytöstä
- tietojen käsittelystä ja tallennuksesta
- sähköpostin edelleenlähettämistä, poistamista ja säilyttämistä koskevista säännöistä
- käytäntöjen laajuudesta, mukaan lukien verkon ja järjestelmien käyttämisestä
- eettisestä toiminnasta ja asiaankuuluvasta käytöksestä
- salasanojen salauksesta ja muista sähköpostiohjelmien tietoturvatyökaluista
- kyberturvallisuuden koulutusaineistosta, joka koskee sähköpostin haittaohjelmia ja huijausliitteiden, -linkkien tai -viestien tunnistamista
- yrityksen käyttöönottamista sähköpostinvalvontakäytännöistä ja työntekijöiden tietojen taltiointikäytännöistä
- haittaohjelmien tai uhkaavan tai laittoman sähköpostitse saadun sisällön raportointipaikasta ja -tavasta.
Kaikki yritykset, niin pienet kuin kaikkein suurimmatkin, tarvitsevat niin kutsutun tietoturvasääntöjen noudattamismallin (SCN – Security Compliance Model), jossa edellä mainitut asiat ilmaistaan ja määritellään selkeästi. Nämä ohjeet toimivat oikeudellisina puitteina (jotka valtionhallinto voi panna täytäntöön), joilla voidaan varmistaa yrityksen kaiken sähköpostisisällön yksityisyys ja tietoturva. Tämä on erityisen tärkeää, sillä asiakkaat ja kumppanit ovat ryhtyneet suhtautumaan varoen yrityksiin, joilla on digitaaliseen viestintään liittyviä rikkomuksia.
Modernissa digimaailmassa sähköpostista on tullut niin isoille kuin pienillekin yrityksille korvaamaton väline, mutta se on myös oivallinen kohde kyberhyökkäyksille. Etätyön alati yleistyessä sähköpostiin liittyvien kyberhyökkäysten riski on kasvussa. Suojaa pienyritystäsi vaivattomasti Kasperskyn Small Business Security -ratkaisulla, joka on suunniteltu erityisesti pienyritysten tarpeisiin.
Aiheeseen liittyviä artikkeleita:
- Mitä salasanojen hallintatoiminnot ovat ja ovatko ne turvallisia?
- Kuinka sähköposti salataan käytettäessä Outlook-, Gmail-, iOS- ja Yahoo-sovelluksia?
- Kuinka lopetat roskasähköpostien vastaanoton: vinkkejä ja neuvoja
Suositellut tuotteet: