Sähköpostin heikot kohdat

28. syyskuuta 2018

Maailman kuuluisin kalasteluviesti

Mitä sähköpostin heikko tietosuoja käytännössä tarkoittaa? Ainakin tietojenkalastelua ja identiteettivarkauksia, murrettuja sähköpostilaatikoita, tietoliikenteen salakuuntelua, ja viestien sisällön kyseenalaista luotettavuutta.

Lähettäjän näkökulmasta heikko tietosuoja tarkoittaa osittain käänteisiä riskejä mitä vastaanottajalle. Jos vastaanottajan ongelmana ovat tietojenkalasteluviestit väärällä identiteetillä, lähettäjän ongelmana on oikean identiteetin todistaminen.

Tässä artikkelissa käsitellään lyhyesti seitsemän sähköpostin tietosuojan ongelmakohtaa lähettäjän näkökulmasta: 

  1. Lähettäjän identiteetin todistaminen
  2. Lähettäjän postilaatikon tietoturva
  3. Viestin sisällön tietosuoja
  4. Viestiliikenteen salaaminen
  5. Vastaanottajan postilaatikon tietoturva
  6. Tieto sähköpostin avaamisesta
  7. Vastaanottajan identiteetin tunnistaminen

Miksi näissä kohdissa sähköpostin oletusarvoinen tietosuoja on heikko? Tähän vastaamiseksi on etsittävä selityksiä sähköpostin tekniikasta ja sen historiasta. Jokaisen kohdan lopuksi esitetään vaihtoehtoja, joilla tietosuojaongelman voi ratkaista.

Miksi sähköposteja kannattaa suojata?

14. syyskuuta 2018

Yhdysvaltojen liittovaltion poliisi FBI alkoi keväällä 2012 tutkimaan tapausta, jossa armeijan ylimpään johtoon kuulunut kenraali ja kaksi häneen liitettävää henkilöä olivat saaneet ahdistelevia nimettömiä sähköposteja GMail-osoitteesta. Asiasta teki erikoisen se, että yksityiselämän väitteiden lisäksi viesteissä ilmeni salassa pidettävää informaatiota, kuten yksityiskohtia valtion ylimpien turvallisuusviranomaisten kalentereista…

Mitä on suojattu sähköposti?

7. syyskuuta 2018

Lyhyt vastaus: Joukko tekniikkoja ja tuotteita, joilla sähköpostin tietosuoja ja luottamuksellisuus pyritään turvaamaan. Suojatun sähköpostin nimikkeen alle mahtuu monenlaista teknologiaa, joista osa on hyvin kaukana tavallisesta sähköpostista. Yhteistä on, että tavoitellaan tavallisen sähköpostin ydinkäyttökokemusta, viestin lähetystä sähköpostiosoitteeseen.

Salattu sähköposti - Opas asiakasviestinnän suojaamiseen

30. elokuuta 2018

"Хотели как лучше, а получилось как всегда"
"Halusimme parasta, mutta tuli samaa kuin aina ennenkin"
- Viktor Tšernomyrdin (1993)

EU:n tietosuoja-asetuksen täytäntöönpanon aikoihin sähköpostit täyttyivät suostumuspyynnöistä ja verkkopalvelut pop-up -ilmoituksista.

Loppukäyttäjien kiusaaminen sai paljon huomiota. Taustalla GDPR-projektit teettivät järjestelmämuutoksia, tietosuojaselosteita ja sopimusliitteitä.

Sitten kaikki loppui ja mikään ei muuttunut. Kävi niin kuin aina ennenkin.

Totta on myös, että suuret muutokset toimintatavoissa ovat hitaita. Pinnan alla jotain tapahtuu, mutta analyysi ja johtopäätökset vaativat ajan tuomaa perspektiiviä.

Vaikka asetuksen täytäntöönpanosta on vasta 3kk, väitän silti, että aito toimintatapojen muutos on tapahtunut. Sähköposti on pudonnut toisen luokan e-kansalaiseksi. Liitetiedostojen lähettämisen välttely on aiheuttanut enemmän sopeutumista asiakasviestinnässä kuin pelonsekaisin tuntein odotetut GDPR-henkilötietopyynnöt.

Puutteellisen tietosuojan vuoksi sähköpostia on kiusallista käyttää silloin kun tuntemattomien välillä viestitään luottamuksellista tietoa. Tai jos luotettujen yhteistyökumppanien kanssa viestitään suuria tietomääriä, esimerkiksi henkilötietoja. Ja tällaistahan tehdään paljon.

Nolojen tilanteiden välttäminen on varteenotettava voima asiakastyössä, sen tiedämme kaikki. 

Tästä syystä teimme oppaan, jossa kerrotaan mitä vaihtoehtoja on suojata viestintä, kun asiakkaasta tiedetään vain nimi ja sähköpostiosoite. Tiiviis ja nopeasti luettava opas on kattava katsaus sähköpostin salausmenetelmiin ja suojausvaihtoehtoihin.

Lataa opas


Mika Kukkonen on osakas ja operatiivinen johtaja Tietosi.fi -palvelua kehittävässä eTaika Oy:ssä. Mikalla on pitkä kokemus ohjelmistoalalla HR-sovellusten kehittämisestä ja henkilötietojen käsittelystä B2B-asiakasrajapinnassa.
LinkedInTwitter

Apua, yritykseemme tuli ensimmäinen henkilötietopyyntö!

27. huhtikuuta 2018

​​​​​​​


”Mitä enemmän kuulen EU:n tietosuoja-asetuksesta (GDPR), sitä epämääräisemmältä se tuntuu. Vaikea hahmottaa. Pelottaa. Välillä toivon, että tulisi joku, joka räjäyttää sen pois.” Näin minulle kertoi mäntyharjulainen yrittäjä. Saman olisi voinut sanoa moni muukin tuttuni.

Myynti, markkinointi ja asiakaspalvelu GDPR-pyyntöjen käsittelijöinä

Jokaisessa yrityksessä ainakin kolme toimintoa kohtaa asiakkaita päivittäin: myynti, markkinointi ja asiakaspalvelu. Kaikki voivat saada GDPR:n oikeuttamia tietopyyntöjä. Tässä muutama esimerkki siitä, mitä voi tapahtua:

Case 1: Myyjä saa henkilötietojen poistamispyynnön

Myyjä on myyntikäynnillä. Tapaamisen lopuksi potentiaalinen asiakas pyytää, että hänestä tallennetut henkilötiedot poistetaan yrityksen rekisteristä. Myyjä kirjoittaa pyynnön muistiin. Koska myyjä päättelee liidin huonoksi, hän ei palaa enää muistiinpanoihinsa ja pyyntö jää käsittelemättä.

Case 2: Ulkoistettu asiakaspalvelu saa henkilötietopyynnön puhelimitse

Asiakas pyytää yrityksen ulkoistettua asiakaspalvelua lähettämään hänelle tämän henkilötiedot. Kysyjä vastaa oikein kaikkiin hänelle tehtyihin tunnistuskysymyksiin, ja työntekijä kirjoittaa pyynnön CRM-järjestelmään. Ulkoistetun asiakaspalvelun ja yrityksen tietojärjestelmät eivät kuitenkaan ole yhteensopivat ja siksi tietosuojavastaava ei saa heti tietoa pyynnöstä. Kahden kuukauden päästä yritys lähettää asiakkaan pyytämät tiedot kirjeessä väärään osoitteeseen, koska osoite on jäänyt päivittämättä.

Case 3: Asiakas pyytää päivittämään sähköpostiosoitteensa somessa

Verkkokaupan some-vastaava saa Twitterissä asiakkaalta pyynnön päivittää sähköpostiosoitteensa. Työntekijä kysyy yksityisviestillä lisäkysymyksiä varmistuakseen, että kyseessä on oikea henkilö. Koska henkilö osaa kertoa postiosoitteensa, syntymäpäivänsä ja puhelinnumeronsa, työntekijä päivittää sähköpostiosoitteen. Seuraavaksi tiedon pyytäjä menee verkkokaupan sivuille ja klikkaa ”unohdin salasanan” -nappulaa. Näin tämä huijari saa sähköpostiosoitteeseensa uuden salasanan. Sitten hän tilaa kaupasta 10 000 eurolla tavaraa ulkomaiseen postilokero-osoitteeseen. Kun GDPR-asetus astuu voimaan 25.5.2018, nämä tilanteet eivät enää ole mahdollisia.

Mitä jos henkilötietopyynnöt voisi hoitaa näin?

  1. Asiakas tekee tietopyynnön missä tahansa kanavassa ja kenelle tahansa työntekijälle. Häntä pyydetään kirjautumaan yrityksen käyttämään GDPR-verkkopalveluun ja antamaan yrityksen palvelukoodi ”Oy Yritys Ab”.
  2. Kysyjä tekee verkkopalvelussa pyynnön saada henkilötietonsa.
  3. Yksi henkilö yrityksessä käsittelee pyynnöt viikoittain. Muiden työntekijöiden ei tarvitse tuntea GDPR:n kiemuroita.
  4. Kun tiedot ovat valmiina, asiakas saa sähköpostin, jossa pyydetään kirjautumaan palveluun.
  5. Asiakas käy palvelussa lataamassa tietonsa.

Näin toimii Tietosi.fi-palvelu.

Miksi puhelin, sähköposti ja myymälä sopivat huonosti tietopyyntöjen käsittelyyn?

Tietopyynnöt voi hoitaa useassa kanavassa ainakin osittain, mutta pyyntöjen hoitaminen on usein GDPR:n näkökulmasta epäkäytännöllistä ja niihin liittyy turhia riskejä. Esimerkiksi:

  • Mihin kussakin kanavassa toimivat työntekijät kirjaavat henkilötietopyynnöt?
  • Miten varmistetaan, etteivät tietopyynnöt ”jää pyörimään” organisaatiossa?
  • Miten varmistetaan henkilöstön riittävä GDPR-koulutus? Työntekijöiden tulee pysyä jatkuvasti ajan tasalla asetuksen tulkinnoista.
  • Miten henkilötietopyynnön tekijä tunnistetaan luotettavasti eri kanavissa?
  • Miten helposti ja nopeasti pyynnön tekijä tavoitetaan, jos häntä täytyy myöhemmin lähestyä lisäkysymyksillä?

Henkilöä on vaikeaa tunnistaa luotettavasti puhelimessa tai sähköpostin välityksellä. Henkilötietojen lähettämistä sähköpostitse tai kirjeitse ei myöskään pidetä täysin turvallisena. Kaikki asiakkaat eivät halua mennä yrityksen myyntipisteeseen passi kourassa, eikä yrityskään halua, että myyjät käyttävät aikansa henkilötietojen tarkistamiseen. Siksi tietopyynnöt kannattaa hoitaa turvallisen verkkopalvelun kautta aina, kun se on mahdollista. Tämän kerroin myös mäntyharjulaiselle ystävälleni.


Pekka Kanerva on liiketoiminnan kehityspäällikkö Tietosi.fi -palvelua ylläpitävässä eTaika Oy:ssä. Pekka on kiinnostunut liiketoiminnan ja yksityisyyden suojan tasapainottamisesta siten, että sekä yritys että asiakas voittavat.  

1 – 5 / 7