Turvallisuus 1/04, Petteri Järvinen


Jo puolet liikenteestä on roskaa!
Näin suojaudun roskapostilta

Yrityksen sähköpostista on lyhyessä ajassa tullut vakava uhka myös tietoturvalle. Hyödyllinen työkalu on muuttunut viemäriksi, joka tulvii haitallista roskapostia. Mutta roskapostille ei tarvitse alistua. Näin onnistut suojautumisessa.

Sähköpostin tyrkyttämistä mainoskirjeistä eli roskapostista (spam) on tullut todellinen ongelma. Vuoden 2003 kesällä roskapostin osuus ylitti jo puolet kaikesta maailman sähköpostiliikenteestä, joka on yli 20 miljardia viestiä päivässä.

Toisin kuin virukset, roskaposti on sinällään yleensä vaaratonta. Viestit ovat pelkkiä mainoskirjeitä, eivätkä ne sisällä haitallista koodia. Kaikki roskaposti on silti haitallista, sillä roskaviestien läpikäyntiin kuluu yhä enemmän kallista työaikaa.
Pahimmassa tapauksessa roskaposti hukuttaa alleen tärkeät työviestit. Esimerkiksi Ilmailulaitos kertoi vuoden alussa, miten tieto sveitsiläisten langettamasta egyptiläisyhtiön lentokiellosta oli hukkunut sähköpostimassaan ja paljastui vasta, kun asiaa alettiin jälkikäteen selvittää.

Yritykselle roskapostin vastaanotto on kallista

Jokainen voi helposti arvioida roskapostin kustannukset omalle yritykselleen. Jos työntekijä saa keskimäärin 50 roskapostiviestiä päivässä, joista jokaisen avaamiseen ja tutkimiseen kuluu 10 sekuntia, kuukaudessa tuhlaantuu lähes kolme tuntia kallisarvoista työaikaa.

Keskimääräisen tuntikustannuksen ollessa 20 euroa roskaposti aiheuttaa siis kuukaudessa 60 ja vuodessa 720 euron kustannukset. Sadan hengen yrityksessä vuosikustannus lähentelee jo sataa tuhatta euroa.

Lisäksi mainosten seurauksena moninkertaistuva sähköpostiliikenne pakottaa lisäämään tallennuskapasiteettia ja hankkimaan nopeampia yhteyksiä.

Kaikeksi onneksi me suomalaiset selviämme roskapostista varsin helposti, sillä usein mainosviestin tunnistaa jo englanninkielisen otsikon perusteella. Paha vain, että lähettäjät ovat oppineet yhä ovelammiksi ja keksivät yhä houkuttelevampia otsikoita saadakseen vastaanottajan avaamaan viestin.

Yrityksessä, jossa on runsaasti englanninkielistä sähköpostiliikennettä, poisto pelkän otsikon perusteella saattaa aiheuttaa suuren menetyksen, kun tärkeä tilaus päätyy bittitaivaaseen roskapostien mukana.

Roskapostin lähettäminen on halpaa

Roskapostia tulee paljon, koska se on yritykselle helppo ja halpa tapa mainostaa omia tuotteitaan. Aluksi näillä sähköpostimainoksilla oli suuri uutuusarvo, ja ihmiset availivat viestejä aktiivisesti, jolloin lähettäjä teki hyvän tilin.

Tänään tilanne on toinen. Roskaposti on kasvanut sellaisiin mittoihin, että vain muutama viesti miljoonasta johtaa tilaukseen. Yrittäjiä näyttää silti riittävän, koska sähköpostin lähettäminen on edelleen lähes ilmaista. Vain osoiterekisterit maksavat -- mutta vähän.

Lait yrittävät rajoittaa roskapostia

EU:n alueella koneellinen suoramarkkinointi kuluttaja-asiakkaille on laitonta. Sen sijaan yritysten osoitteisiin saa lähettää mainontaa, kunhan se liittyy jollakin tavalla yrityksen toimintaan. Viagra-mainokset tai seksipalvelut eivät selvästikään täytä ehtoa.
Suurin osa roskapostista tulee kuitenkin Yhdysvalloista, jossa sääntely on perinteisesti ollut vähäistä ja tietosuoja lähes tuntematonta. Sikäläiset yritykset ovat halunneet kynsin hampain pitää kiinni uudesta mainoskanavasta, joten roskapostia hillitsevää lainsäädäntöä on ollut vaikea saada aikaan.

Vuoden 2004 alussa Yhdysvalloissa astui vihdoin voimaan liittovaltion tasolla vaikuttava niin sanottu can spam -laki. Se ei estä roskapostia sinänsä, mutta kieltää lähettäjätietojen ja osoitteen väärentämisen sekä velvoittaa noudattamaan vastaanottajan pyyntöä päästä pois listalta (niin sanottu opt-out -periaate).

Lain avulla on haluttu säilyttää mahdollisuus asialliseen suoramarkkinointiin, mutta rajoittaa mainoskanavan väärinkäyttöä. Aika näyttää, tehoaako laki.

Ihmelääkkeettä tuskin on

Alku ei ollut erityisen lupaava, sillä ainakin tammikuussa roskapostitus jatkui yhtä villinä kuin ennenkin. Lisäksi mainostajat voivat helposti siirtää lähetystoiminnan niihin lukuisiin maihin, joissa ei ole minkäänlaista lakia asiasta.

Näyttääkin ikävä kyllä siltä, ettei roskapostin kitkemiseen ole mitään ihmelääkettä. Vain lainsäädäntö yhdistettynä teknisiin estoihin ja käyttäjien kouluttamiseen voi hillitä aikamme pahinta verkkosairautta.

Kokonaan roskaposti loppuu vasta sitten, kun kukaan ei enää tilaa mitään mainosten perusteella. Yksikään yritys ei halua käyttää markkinointia, joka ei toimi.

Ei varsinkaan, jos laki rankaisee kiinni jäämisestä isoilla sakoilla tai jopa vankeudella.

Näin vähennän roskapostia:

Jos haluat vähentää roskapostia, tee nyt näin:
1. Pyri pitämään sähköpostiosoitteesi vain asiakkaiden ja tuttavien tiedossa. Harkitse, mihin nettipalveluihin sähköpostiosoitteesi ilmoitat. EU:n alueella sähköistä suoramarkkinointia säädellään tiukasti, mutta amerikkalaisiin palveluihin ilmoitetut osoitteet saattavat olla mainostajille vapaata riistaa.

2. Jos joudut ilmoittamaan sähköpostiosoitteen vaikkapa www-sivulla, naamioi se ylimääräisillä merkeillä, jotka ihminen ymmärtää poistaa (esimerkiksi: matti.meikalainen.NOSPAM@firma.fi tai suomi-nimisellä salakielellä: matti.meikalainen.poistatama@firma.fi tai matti piste meikalainen miukumauku firma piste fi). Tai kerro ihmislukijalle miten sähköpostiosoite muodostetaan: (etunimi.sukunimi@firma.fi).

3. Käytä oman sähköpostiohjelmasi työkaluja, kuten sulkulistaa ja postin käsittelysääntöjä. Niillä voit vähentää näkyvän roskapostin määrää ja automatisoida sen tuhoamista.

4. Jos postitulva alkaa viedä liikaa työaikaa, lataa netistä jokin roskapostin torjuntaohjelma tai päivitä sähköpostiohjelmasi sellaiseen, missä on sisäänrakennettu torjunta.

Älä tee näin:

1. Älä avaa viestejä edes uteliaisuudesta, vaan poista ne jo otsikon perusteella. Viestin avaus voi rekisteröityä ja kertoo mainostajalle, että osoite on käytössä ja että vastaanottaja on kiinnostunut mainostetuista tuotteista. Tuloksena on lisää roskapostia.
2. Jos kaikesta huolimatta avaat viestejä, älä ainakaan tilaa niissä mainostettuja tuotteita äläkä klikkaa sivuilla olevia linkkejä.
3. Roskapostin lähettäjälle ei kannata valittaa. Postittajat eivät lue saamiaan vastauksia. Usein viesteissä näkyvä vastausosoite on väärennetty.
4. Joissakin torjuntaohjelmissa on mahdollista lähettää väärennetty virheviesti, ikään kuin osoitetta ei olisi ollut olemassa. Siitäkään ei ole mitään hyötyä.
5. Monissa viesteissä on linkki, joka lupaa poistaa osoitteen jatkossa listalta. Linkit eivät aina toimi, eikä nimi todellisuudessa poistu mistään. Joskus voi käydä jopa päinvastoin: linkin painaminen vain lisää roskapostin määrää. Siksi linkkiä ei yleensä kannata käyttää.



Tapaustutkimus yllätti

Ruotsalainen tietoturva-alan yritys Protect Data analysoi suurehkon pohjoismaisen yrityksen Internet-liikennettä. Yllättävin havainto oli, että kymmenen prosenttia käyttäjistä aiheutti peräti 70 prosenttia koko yrityksen sähköpostiliikenteestä. On todennäköistä, että kyseiset käyttäjät lähettivät sähköpostilla videoleikkeitä ja mp3-musiikkitiedostoja. Pelkkää tekstiä kirjoittamalla on mahdotonta yltää moisiin lukemiin.

Toinen yllätys oli, että osoitteiden perusteella arvioituna 72 prosenttia surffailusta ei liittynyt työtehtäviin, vaan johtui henkilökohtaisesta kiinnostuksesta.

Luvut osoittavat, miten laajaa työhön liittymätön nettikäyttö voi olla. Ajankäytön lisäksi videoleikkeet, musiikkitiedostot ja muut vastaavat muodostavat myös selvän tietoturvaongelman.
Roskapostin torjuntaohjelmalla saavutettiin 89 prosentin suodatustarkkuus, mikä pudotti roskapostin määrän kymmenenteen osaan.

Roskapostin osuus 2003
Tammikuu 42
helmikuu 42
maaliskuu 45
huhtikuu 46
toukokuu 48
kesäkuu 49
heinäkuu 50
elokuu 50
syyskuu 54
lokakuu 52
marraskuu 56
joulukuu 58

Lähde: Brightmail


Kuvatekstit:
Roskapostin osuus kaikesta sähköpostiliikenteestä nousi tasaisesti koko vuoden 2003 ajan. Kesällä roskaposti ylitti jo hyötyliikenteen määrän. Luvut ovat roskapostin prosenttimääriä kaikesta sähköpostiliikenteen määrästä.

SpamKiller on tunnetuimpia roskapostin torjujia. Nykyään se sisältyy osana McAfee Internet Security -pakettiin. Suodatusteho valitaan liukusäätimellä. Liian korkea asetus lisää hyötyviestien poiston todennäköisyyttä.

Tieto vuotaa sähköpostista kilpailijoille

Petteri Järvinen

Tutuimpia sähköpostiuhkia ovat virukset. Niin yritykset kuin yksityiset käyttäjätkin ovat saaneet oppia kantapään kautta, ettei sähköpostin tuomia tiedostoliitteitä pidä suinpäin avata, vaikka ne tulisivat parhaalta kaverilta.

Näyttävien virusepidemioiden herättäminä yritysten virustorjunta alkaa olla kunnossa, kunhan vain on hankittu torjuntaohjelma ja pidetään se ajan tasalla sekä huolehditaan, että suojaus kattaa kaikki työasemat. Mikään torjuntaohjelma ei silti tunne kaikkia viruksia, joten käyttäjän oma varovaisuus on jatkossakin tärkeää.
Kokonaan toisenlainen ongelma liittyy sähköpostiin yrityssalaisuuksien vuotokanavana. Työntekijöiden on helppoa lähettää sähköpostilla luottamuksellista aineistoa talosta ulos. Isotkin datamäärät siirtyvät nopeasti ja huomaamattomasti.

Esimerkiksi kilpailijalle siirtyvä myyntihenkilö saattaa lähettää yrityksen koko asiakasrekisterin kotinsa sähköpostiin ja hyödyntää tietoja uudessa kilpailevassa työpaikassaan. Aiemmin vastaavan tiedon siirtäminen olisi vaatinut levyjen tai nauhakelojen kuljettamista, takavuosien mapeista puhumattakaan.

Tietoa voi vuotaa myös puolivahingossa, kun työntekijät keskustelevat muissa yrityksissä toimivien tuttaviensa kanssa. Vaarallisia ovat eritoten entiset työkaverit, jotka ovat vaihtaneet kilpailijan palvelukseen, sillä ystävyyssuhteet eivät noudata organisaatiorajoja.

Torjuntakeinoja vain vähän

Toukokuussa 2003 Nokia sulki sähköpostiyhteydet Microcelliin perustellen kieltoa tietoturvasyillä. Juuri muuta yritys ei sitten voikaan tehdä, sillä työntekijän sähköpostiliikenne kuuluu perustuslain turvaaman viestintäsalaisuuden piiriin.
Yritys ei saa lukea työntekijän sähköposteja eikä seurata sähköpostiliikenteen lokitietoja, vaikka omistaakin laitteet ja ohjelmat sekä maksaa niiden käytöstä koituvat kulut. Pohjoismaisessa oikeuskäytännössä työntekijän asema on vahva, ja viestintäsalaisuutta voidaan raottaa vain, mikäli siitä on etukäteen kirjallisesti sovittu. Tällöinkin lukuoikeus rajoittuu vain työviesteihin ja tilanteisiin, joissa työntekijä on itse estynyt lukemasta postiaan.
Posteja ei saa mennä lukemaan siinäkään tapauksessa, että on perusteltua syytä epäillä työntekijää liikesalaisuuksien vuotamisesta tai muusta väärinkäytöstä. Asian tutkiminen ja todisteiden kerääminen kuuluu poliisille.

[sivun alkuun] [sisällys] [etusivu]

 

 

Ennakoi Lue Sovella

Ihmisen psyykkinen ja fyysinen hyvinvointi Kestävä tulevaisuus Etusivulle Ihminen ja teknologia Mikä on artikkelipankki? Turvallisuus ja liikenne