Sähköpostin tietoturva

Sähköpostin käyttöön liittyy joitain haasteita. Tässä vinkkejä siihen, miten käytät sähköpostia turvallisesti ja miten salaat luottamuksellisen sähköpostin.

Sähköpostissa liikkuu paljon roskapostia, esimerkiksi massamainontaa. Roskaposti voi sisältää virusten lisäksi lapsille sopimatonta aineistoa. Sähköpostin avulla voi lähettää myös nimettömiä kiusaamis- tai häirikköviestejä.

Käytä sähköpostia turvallisesti

* Jos sähköpostiviestin otsikko näyttää epäilyttävältä, älä avaa viestiä. Myös tutuilta tullut sähköposti voi sisältää viruksen.
* Suhtaudu varauksella viesteihin, jotka on kirjoitettu kielellä, jota lähettäjä ei yleensä käyttäisi. Tarvittaessa varmista viestin alkuperä sen lähettäjältä.
* Älä avaa epäilyttäviä sähköpostin liitetiedostoja. Erityisesti tiedostopäätteet .COM, .EXE, .SHS, .PIF ja .VBS ovat yleisiä sähköpostitse leviävissä haittaohjelmissa. Joissakin tiedostoissa voi olla kaksi tiedostopäätettä peräkkäin, esimerkiksi kuva.jpg.VBS tai teksti.rtf.EXE.
* Varmista, että sähköpostiohjelmasi näyttää tiedostopäätteen, koska muuten näet vain harmittomilta vaikuttavat tiedostonimet "kuva.jpg" ja "teksti.rtf".
* Jos sähköpostiohjelmassasi on esikatselutoiminto, määritä toiminnon tietoturva-asetukset niin, ettei esikatselu näytä muualta linkitettyjä kuvia.
* Vältä html:ää tai rich textiä sisältäviä viestejä. Ne eivät välttämättä näy vastaanottajalla oikein, jolloin haluamasi viesti ei mene perille.
* Aseta sähköpostiohjelmasi käyttämään pelkkää tekstiä (plain text).
* Vastatessasi sähköpostiin lainaa vastausviestiin vain tarvittava määrä viestiä.

Käytä suojattua yhteyttä

Käytä sähköpostiohjelmassasi suojattua yhteyttä sähköpostipalveluntarjoajan ohjeiden mukaisesti. Suojattu yhteys määritellään sähköpostiohjelman yhteysasetuksissa. Suojattu yhteys suojaa tietokoneen ja sähköpostipalvelimen välisen yhteyden salakuuntelulta.

Salaa luottamuksellinen sähköpostiviesti

Luottamuksellista tietoa sisältävät sähköpostiviestit kannattaa tarvittaessa salata.

Sähköpostiviestin sisällön voi salata käyttämällä erillistä salausmenetelmää. Salaamistavasta pitää sopia vastaanottajan kanssa. Useimmiten vastaanottajan täytyy käyttää samaa salausohjelmaa viestin salauksen purkamiseen tai tietää salaamiseen käytetty salasana.

Sähköpostin salaamiseen on tarjolla useita kaupallisia ohjelmistoja, kuten PGP (Pretty Good Privacy). Sähköpostin voi myös lähettää salasanalla suojattuna liitetiedostona. Tietoa viestin vastaanottajasta ei voi salata, sillä sitä käytetään verkossa viestin siirtämiseksi vastaanottajalle.

Digitaalinen allekirjoitus

Digitaalisen allekirjoituksen avulla voidaan varmistaa viestin muuttumattomuus sekä viestin allekirjoittajan henkilöllisyys. Viestin lähettäjä allekirjoittaa viestinsä omalla yksityisellä avaimellaan, jolloin vastaanottaja voi todeta viestin lähettäjän henkilöllisyyden viestin lähettäjän julkisen avaimen avulla.

Sähköpostin allekirjoittamiseen on tarjolla useita kaupallisia ohjelmistoja. Yksi yleisimmin käytetyistä ohjelmistoista on julkisen avaimen salaukseen perustuva PGP (Pretty Good Privacy). PGP ei takaa viestin lähettäjän ja hänen julkisen avaimensa yhteyttä. Voi siis olla mahdollista, että viestin vastaanottajan tiedossa oleva lähettäjän julkinen avain ei kuulukaan lähettäjälle, vaan jollekin kolmannelle osa-puolelle. Yksi ratkaisu tähän ongelmaan ovat julkisen avaimen infrastruktuurissa (PKI, Public Key Infrastructure) käytetyt henkilövarmenteet, jotka sitovat käyttäjän ja hänen julkisen avaimensa luotettavasti toisiinsa.

Suojautuminen phishing-hyökkäyksiltä

Phishing on taloudellisesti hyödynnettävän tiedon, kuten verkkopankkitunnusten, luottokorttinumerojen tai henkilötietojen laitonta hankkimista. Tyypillisesti käyttäjä houkutellaan sähköpostiviestillä siirtymään internet-sivustolle, jossa pyydetään tietoja käyttäjästä. Huijauksissa käytetyt sähköpostiviestit ovat usein naamioitu näyttämään esimerkiksi rahoituslaitoksen asiakaspalveluviesteiltä.

Internet-sivustot voivat ulkoisesti olla esimerkiksi rahoituslaitoksen sivujen näköiset, vaikka todellisuudessa nämä sivustot saattavat olla huijaussivustoja, jonne syötetyt tiedot päätyvät rikollisten käsiin.

Muista:

* Rahoituslaitokset eivät koskaan ota asiakkaisiin yhteyttä sähköpostitse kysyäkseen verkkopankkitunnuksia, luottokorttinumeroita tai muuta luottamuksellista tietoa.
* Älä luota sähköpostissa olevan lähettäjätietokentän (FROM-kentän) sisältöön. Sähköpostin lähettäjätietokenttä voidaan helposti väärentää vaikkapa muotoon asiakaspalvelu@omapankkisi.fi.
* Älä luota, että HTML-sähköpostissa tai internet-sivustolla olevat linkit johtavat sinne, mitä linkeissä lukee.