Tässä blogissa on aikaisemmin käsitelty eri turvapostiratkaisuja ja niiden vaihtoehtoja. On aika koota yhteen havainnot, ja esittää yksinkertainen, vaikkakin epäilemättä puolueellinen pikaopas turvapostin hankinnan tueksi. Hyvä asia on, että vaihtoehtoja on runsaasti tarjolla. Suojatun sähköpostin voi hankkia Microsoftin ja Googlen kaltaisilta sähköpostijäteiltä tai Tietosi.fi -palvelun kaltaiselta pieneltä paikalliselta palveluntarjoajalta. Tärkeintä on valita suojattu viestintäkanava tarpeen ja kustannusten mukaan.
Mikä on tarve suojatulle viestinnälle?
Asiaa voi lähestyä kysymällä, mitä seurauksia on siitä, että viestisalaisuus rikkoutuu ja viesti päätyy muille kuin tarkoitetuille vastaanottajille?
1. Kiusallinen, mutta vaaraton tietovuoto
Tarvitsetko turvapostia lähettääksesi viestejä, joita aikaisemmin lähetit huoletta suojaamatta, mutta haluat välttää esimerkiksi GDPR-sanktioiden riskin? Tällöin tarvitset salattua viestintää ja rajoitettua avausmahdollisuutta hygieniasyistä, jotta olet hoitanut oman osuutesi. Et ole henkilökohtaisessa vastuussa siitä, tekevätkö muut samoin. Tietovuodot ovat kiusallisia ja voivat johtaa hallinnollisiin sanktioihin sekä maineen menetykseen. Mutta vahingot jäävät taloudellisiksi.
Suositus: Käytä mahdollisimman helppoa palvelua. Jos olet Office 365 -käyttäjä, käytä O365 message encryption -toimintoa viesteihin. Google Gmail -käyttäjän kannattaa tutustua Confidential mode -toimintoon. Et välttämättä tarvitse turvapostia ollenkaan, jos pystyt käyttämään suojattuja pikaviestimiä tai sähköistä allekirjoituspalvelua aineistojen välittämiseen.
2. Rahassa mittaamattomat vahingot
Jos kyse on salaisesta tiedosta, jonka vuotamisen seurauksista olet vastuussa kaikissa tilanteissa, tarvitset ehdottoman varmuuden siitä, ketkä voivat viestin lukea. Tällöin viestintäpalvelun kotimaa, läpinäkyvät ja raportoidut käytännöt viranomaisyhteyksissä sekä viestien salaamisen tekninen taso merkitsevät eniten. Salaisimmassa viestinnässä viestinnän osapuolet pyritään anonymisoimaan viestikanavassa ja tunnistamaan muilla keinoin. Viestinnän molemmilla osapuolilla tulee olla intressi ja keinot tuhota luetut viestit. Vahingot viestisalaisuuden rikkoutumisesta ovat rahassa mittaamattomia.
Suositus: Käytä tosielämässä testattuja palveluita, joilla on vahva maine. Vältä palveluja, jotka eivät avoimesti kerro tai voi kertoa esim. viranomaispyynnöistä (transparency report). Esimerkiksi Bellingcat käyttää ProtonMail-palvelua viestintään. Pikaviestimissä Signal ja Wire on arvioitu yksityisyyden suojaltaan vahvoiksi.
3. Vakavat tai ennakoimattomat seuraukset
Näiden kahden ääripään välillä on tarve välittää luottamuksellista, salaista ja arkaluonteista tietoa, jossa vastaanottajan henkilöllisyys tulisi tunnistaa. Aikaisemmin tällaisten tietojen välittämiseen on käytetty vastaanottajalle saakka toimitettavaa kirjattua kirjettä. Tärkeää on, että viestinvälityksestä ja viestien avaamisesta jää todennettava jälki. Vahingot voivat olla merkittäviä, jos tiedot leviävät hallitsemattomasti. Tarkoitus ei kuitenkaan ole tehdä viestintää yhtään hankalammaksi kuin on välttämätöntä.
Suositus: Käytä monipuolista palvelua, jossa on tarvittavat ominaisuudet riittävää suojaa varten. Viestitason salaus niin ettei palveluntarjoaja pysty viestejä lukemaan, vastaanottajan vahva tunnistaminen ja lokimerkintä viestien avaamisesta ovat tärkeimmät ominaisuudet, joilla viestisalaisuus turvataan teknisesti. Viestin avaamisaikaa tulisi voida rajoittaa.
Paljonko kannattaa maksaa?
Hintaa tulisi arvioida paitsi tarpeen myös hyötyjen arvon mukaan.
Hygieniasyistä käytettävästä turvapostista ei kannata maksaa enempää kuin 20 € / käyttäjä / vuosi. Tämä on listahinta, jolla saa käyttöönsä turvapostin sisältävän Microsoft Office 365 AIP-ominaisuuden. Myös hyödyt ovat merkittävimmät, jos suurin turvapostivolyymi katetaan yksinkertaisimmalla ratkaisulla, joka on integroitu organisaation sähköpostijärjestelmään. Yksinkertaisin ratkaisu on jo teknisistä syistä sähköpostijärjestelmän toimittajan käsissä. Microsoft ja Google ovat tavallisimmat vaihtoehdot, mutta jos perustason turvapostista ei halua maksaa ollenkaan, on tämäkin mahdollista käyttämällä ilmaispalvelua.
Ominaisuuksista kannattaa maksaa, jos niiden kustannus on hyötyihin nähden perusteltavissa. Edistyneet ominaisuudet ovat lisäpalveluja, joita tarvitaan kun bulkki ei riitä. Eli oletettavasti melko harvoin. Hyötyjä saadaan mm. lähettäjän visuaalisella ilmeellä kustomoidusta viestipohjasta, viestin avaamisen rajoituksien monipuolisuudesta, eri tavoista tunnistaa vastaanottaja, SMS-ilmoitusten lähettämisestä jne. Kaupan päälle saa myös paremat takeet siitä, etteivät viestit päädy tiedustelupalvelujen haaviin. Edistyneiden palvelujen kuten Tietosi.fi -palvelun maksullisen version hinta alkaa 100 € / käyttäjä / vuosi.
Kaikkein salaisimman tiedon välittämisessä joudutaan tinkimään jonkin verran käytettävyydestä, erityisesti vastaanottajan tunnistamisessa. Peruslähtökohta on hankkia salattu sähköposti luotettavalta organisaatiolta viestintäsalaisuudeltaan tunnetussa valtiossa. Avoimeen lähdekoodin perustuva, maailman suurin suojattu sähköpostipalvelu ProtonMail tarjoaa ilmaisversion, ja maksulliset versiot sisältävät lisäominaisuuksia sekä kapasiteettia alkaen 50 € / käyttäjä / vuosi.
Yhteenveto
Alla taulukkona suositukset. Asiasta kiinnostuneen kannattaa perehtyä tarkemmin vaihtoehtoisiin palveluihin.
Tarve | Tärkeimmät ominaisuudet | Vaihtoehtoja | Hinta |
Hygieniasyyt "En kehtaa lähettää suojaamatta" |
|
|
Enintään 20 EUR / vuosi |
Vakavat seuraukset "Kirjattu kirje" |
|
|
Alkaen 100 EUR / vuosi |
Rahassa mittaamaton vahinko |
|
|
Freemium, maksullinen versio alkaen 50 EUR / vuosi |
Lista aiheeseen liittyviä artikkeleja ja blogijuttuja:
- Tivi.fi - Suojaamaton sähköposti on kuin postikortti – testasimme 6 turvallisempaa vaihtoehtoa
- ProtonMail - Security Details
- Bellingcat - Guccifer Rising? Months-Long Phishing Campaign on ProtonMail Targets Dozens of Russia-Focused Journalists and NGOs (10.8.2019)
- Tietosi.fi - Google Gmail Turvaposti (21.10.2019)
- Tietosi.fi - Microsoft Office 365 turvaposti (31.8.2019)
- Tietosi.fi - Turvaposti käytännön työvälineenä: Turvaposti vai pikaviestintäsovellukset? (3.6.2019)
- Tietosi.fi - Turvaposti käytännön työvälineenä: Turvaposti vai sähköinen allekirjoitus? (3.5.2019)
- Tietosi.fi - Turvaposti käytännön työvälineenä: Milloin lähetän turvapostia ja milloin tavallista sähköpostia? (12.4.2019)