Vuonna 2015 Yhdysvaltain keskusrikospoliisi FBI varoitti yleisöä kasvavasta kansainvälisestä uhasta – yritysten sisäistä viestintää matkivista huijaussähköposteista.
FBI:n IC3-keskuksen (Internet Crime Complaint Center) mukaan BEC-hyökkäysten (Business email compromise) aiheuttama taloudellinen tappio on vuoteen 2017 mennessä kohonnut yli viiteen miljardiin dollariin maailmanlaajuisesti.
BEC-hyökkäyksessä rikollinen esiintyy esimerkiksi yrityksen toimitusjohtajana, joka ottaa sähköpostitse yhteyttä maksuliikenteestä vastaavaan henkilöön ja pyytää tätä maksamaan kiireellisen laskun.
”Huijaus perustuu kohdeyrityksen toiminnan pitkäjänteiseen tarkkailuun, huolelliseen suunnitteluun sekä siihen, että sähköpostiosoitteita on mahdollista väärentää”, Telian myyntipäällikkö Anssi Hakkarainen kertoo.
Varmenteilla luottamusta viestintään
Sähköpostista voi tehdä helposti turvallista. S/MIME-teknologian (Secure/Multipurpose Internet Mail Extensions) avulla meiliosoitteisiin voidaan liittää varmenne, jonka avulla lähettäjän ja viestin autenttisuus tarkistetaan.
” S/MIME:n avulla allekirjoitetussa sähköpostissa näkyy sinetti, jota klikkaamalla vastaanottaja voi tarkistaa sähköisen allekirjoituksen pätevyyden ja lisätiedot”, Hakkarainen kertoo.
Hän muistuttaa, että varmenteiden käyttäminen tietoturvan edistämiseen yrityksessä edellyttää tietenkin myös, että työntekijät koulutetaan kiinnittämään huomiota, onko viesti lähetetty S/MIME:n avulla vai ei.
Salakirjoitus estää salakuuntelun
Toinen tärkeä S/MIME:n ominaisuus on mahdollisuus sähköpostiviestin salakirjoittamiseen siten, että ainoastaan viestin lähettäjä ja haluttu vastaanottaja pääsevät käsiksi viestin sisältöön.
”Sähköpostin salaus tapahtuu vastaanottajan julkisen avaimen avulla. Vain vastaanottaja, jolla on hallussaan juuri tätä julkista avainta vastaava salainen avain, pystyy avaamaan sähköpostin sisällön. Käytännössä helpointa on, jos sekä lähettäjällä ja vastaanottajalla on käytössään S/MIME –palvelu”, Hakkarainen kertoo.
Ilman salausta sähköpostit ovat verkossa helppoa riistaa.
”Vaikka käyttäjän yhteys sähköpostipalvelimeen on yleensä suojattu, on salaamattomia sähköposteja silti mahdollista kaapata. Esimerkiksi järjestelmien ylläpitäjillä saattaa olla pääsy sähköposteihin. Myös useiden valtiollisten tahojen tiedetään vakoilevan sähköpostiliikennettä. Ainakaan kovin suuria yritys- tai muita salaisuuksia ei kannatta salaamattomana lähettää”, Hakkarainen kiteyttää.
Teksti: Tomi Eklund