8 parasta käytäntöä sähköpostin tietoturvasta, joita sinun tulisi noudattaa

Voisitko kuvitella elämäsi ilman sähköpostia?

Käytämme niitä kaikkeen – viestimiseen asiakkaiden kanssa, hotellivarausten tekemiseen tai valituksen lähettämiseen myymälään, koska ostamamme tuote on vahingoittunut. Mutta oletko koskaan pysähtynyt miettimään, kuinka turvallisia sähköpostisi ovat?

​

Lähde

Ja katsokaa, kuinka monta ihmistä eri ikäryhmistä luottaa sähköpostiviestintään:

• 94% Gen Z
• 98% vuosituhannen vaihteen väestöstä
• 98%, X-sukupolvi
• 95% puomit
• ja jopa hiljaisen sukupolven 90%!

Lisätään vielä, että sähköpostimarkkinointi valittiin tehokkaimmaksi kanavaksi Hubspot’s State of Marketing Report 2022 -raportissa haastatellut markkinoijat, ja näet, miksi sähköpostimarkkinointi kukoistaa, vaikka monet ennustivat sähköpostin kuolemaa jo vuosia.

Miksi sähköpostin tietoturva on tärkeää?

Valitettavasti sähköpostit ovat myös yksi rikollisten arvokkaimmista keinoista hyökätä yrityksiin tai varastaa tavallisten käyttäjien henkilötietoja. CISCO:n vuoden 2021 kyberturvallisuuden uhkatrendit -raportti havaittiin, että noin 90% tietomurroista johtuu sähköpostin phishingistä.

Eivätkä huolestuttavat uutiset lopu tähän:

• 3,4 miljardia phishing-sähköpostiviestiä lähetetään joka päivä
• Vuonna 2022, haitallisten phishing-sähköpostiviestien määrä lisääntyi 569% ja julkaistujen valtakirjojen phishing-uhkiin liittyvien uhkailmoitusten määrä 478%.
• BEC-hyökkäykset (Business email compromise) lisääntyivät 81% vuonna 2022.
• Ilman asianmukaista turvallisuuskoulutusta, joka kolmas työntekijä lankeaa phishing-huijauksiin

• Vain 15% IT administrators enforce the use of two-factor authentication.

Verkkorikolliset käyttävät myös hyväkseen sitä, että ihmiset saavat nykyään niin paljon sähköpostiviestejä, että heillä tuskin on tarpeeksi aikaa lukea huolellisesti kaikki saamansa sähköpostit ja tarkistaa roskapostiviestit. Tämä pätee erityisesti työntekijöihin, jotka saavat keskimäärin 100-120 sähköpostia päivässä. Kenellä on aikaa tarkistaa jokainen sähköposti turvallisuusvaatimusten kannalta, olipa kyse sitten työ- tai henkilökohtaisista sähköposteista?

Rikolliset voivat siis saada heidät nopeasti klikkaamaan phishing-linkkiä tai lataamaan haitallisen liitetiedoston. Tämän lisäksi hakkerit kohdistavat hyökkäyksensä työntekijöiden käyttämiin yrityspuhelimiin, kuten VOIP-järjestelmät .

Onneksi on olemassa muutamia helppoja asioita, joilla voit suojata sähköpostilaatikkosi – ja näin myös henkilökohtaiset tai yritystietosi. Katsotaanpa siis 8 parasta sähköpostiturvallisuuskäytäntöä, jotka voivat tehdä verkkorikollisten ”työstä” paljon vaikeampaa.

Luo vahvoja salasanoja

Vahvojen salasanojen käyttäminen on yksi parhaista tavoista suojella sähköpostitilejäsi ja niiden sisällä olevia yksityisiä tietoja hakkereilta. Seuraavassa on muutamia tapoja pitää salasanojen turvallisuusstandardit korkealla:

• Ei käytetä mitään ilmeisiä henkilökohtaisia tietoja tai yleisiä sanoja
• Kirjainten, numeroiden ja symbolien sekoitus.
• Vähintään 10 merkkiä (asiantuntijat suosittelevat 14-16 merkkiä).

Lähde

Silti, kun otetaan huomioon, kuinka monta verkkotiliä (sekä yksityisiä että työhön liittyviä) me kaikki käytämme, noin 20 monimutkaisen salasanan luominen ja muistaminen voi olla melko hankalaa.

Täällä on salasananhallintatyökalut voi olla uskomattoman hyödyllistä. Nämä työkalut voivat luoda ainutlaatuisia, erittäin vaikeasti murrettavia salasanoja jokaista sovellusta varten ja tallentaa ne tietokantaan – käyttäjien tarvitsee sitten muistaa vain yksi ”pääsalasana” tietokannan avaamiseksi.

Toinen suosittu vaihtoehto ovat nykyään salasanat – salasanat, jotka koostuvat satunnaismerkkien sijaan sanoista. Koska ne ovat yleensä pidempiä kuin tavalliset salasanat, niitä on vaikeampi murtaa. Lisäksi salasanojen avulla on helpompi luoda mieleenpainuvia mutta turvallisia salasanoja tilejä varten.

Jos haluat nähdä, kuinka turvallisia omat salasanasi ovat, voit käyttää seuraavaa toimintoa Security.orgin Kuinka turvallinen on salasanani -työkalu. Näin se näyttää erään tilimme kohdalla:

Älä käytä salasanoja uudelleen eri tileillä

Salasanojen uudelleenkäyttö on toinen laajalle levinnyt tietoturvaongelma. Esimerkiksi First Contactin tutkimuksessa todettiin, että 51% ihmisistä käyttää samaa salasanaa työ- ja yksityistileillä.

Lähde

Vielä pahempaa on, että 70% käyttäjistä, joilla oli heidän salasanoja rikottu käyttivät yhä niitä!

Syy siihen, miksi tämä on niin huono ajatus, on yksinkertainen. Verkkorikolliset tietävät hyvin, kuinka monet ihmiset käyttävät salasanojaan uudelleen, joten he tarkistavat aina, kuinka monta tiliä he voivat avata yhdellä salasanalla. Jos esimerkiksi käytät yhtä salasanaa viidelle henkilökohtaiselle tilille, jos salasana vuotaa, kaikki viisi tiliä vaarantuvat.

Saman salasanan käyttäminen työ- ja yksityistileillä on erityisen vaarallista, sillä tällä tavoin hakkerit pääsevät nopeasti käsiksi työsähköpostilaatikkoosi – ja sen sisältämiin tietoihin. Yrityssähköpostin tietoturva eroaa huomattavasti henkilökohtaisiin tarpeisiin käytettävistä sähköposteista, ja työhön liittyvien sähköpostien haitallinen sisältö on paljon pahempaa kuin nigerialaisen huijauksen lähettäminen henkilökohtaiseen sähköpostiisi.

Käytä monitekijätodennusta

Ja kun kerran puhumme tilien suojaamisesta – ylimääräisen varmistustoimenpiteen lisääminen voi myös parantaa tilisi turvallisuutta näkyvästi. 2FA:n ja MFA:n avulla hakkerit eivät pääse sähköpostilaatikkoon käsiksi, vaikka he varastaisivat käyttäjätunnuksen ja salasanan, ennen kuin he vahvistavat henkilöllisyytensä ylimääräisten turvatarkastusten avulla – ja tämä saattaa riittää, jotta he luovuttavat.

Otettuaan käyttöön 2FA:n ja vaadittuaan käyttäjiään käyttämään sitä jokaisen kirjautumisen yhteydessä, Googlen mukaan tilirikkomukset vähenivät 50%:llä.

Miten voit lisätä sen tilillesi, esimerkiksi Gmail-tilillesi? Se on itse asiassa melko yksinkertaista. Jos haluat suojata henkilökohtaisen tilisi 2FA:lla, sinun on tehtävä näin:

1. Avaa Google-tilisi.
2. Valitse navigointipaneelista Security (Suojaus).
3. Valitse ”Kirjautuminen Googleen” -kohdassa 2-vaiheinen vahvistus ja sitten Aloita.
4. Seuraa näytön ohjeita.

Yritystilejä varten, löydät 2FA-vaihtoehdon hallintakonsolista, kohdasta Menu → Turvallisuus→ Todentaminen→ 2-vaiheinen todentaminen. Sieltä voit myös määrittää, onko MFA pakollinen kaikille käyttäjille vai vain tietyille ryhmille ja mitä menetelmiä he voivat valita todentamiseen.

Sähköpostijärjestelmät, kuten Gmail, merkitsevät epäilyttävän toiminnan ja pyytävät sinua tekemään kaksitekijätodennuksen ennen kuin voit tarkastella sähköpostin sisältöä. Jos olet varsinainen henkilö, joka yrittää kirjautua sisään, voit tehdä sen muutamassa sekunnissa. Näin voidaan estää monet sähköpostiuhat.

Kouluta työntekijät sähköpostin tietoturvan parhaisiin käytäntöihin

Mutkikkaimmistakaan salasanoista ja useista ylimääräisistä turvatarkastuksista ei kuitenkaan ole paljon apua, jos työntekijät eivät tiedä tai ymmärrä, miksi heidän tiliensä suojaaminen on niin tärkeää. Verizonin tietomurtoraportti (DBIR) vuodeksi 2023 havaittiin, että käyttäjien huolimattomuus oli syynä 98%:een tietomurroista – ja tietoverkkorikolliset tietävät tarkalleen, miten he voivat käyttää tätä hyväkseen.

Säännöllinen kyberturvallisuuskoulutus osana heidän jatkuva suorituskyvyn hallinta on erinomainen tapa opettaa työntekijöille tietomurron seurauksia ja sitä, mitä he voivat tehdä niiden estämiseksi. Voit käyttää niitä keskustellaksesi heidän kanssaan yrityksen sähköpostin tietoturvakäytännöistä, sähköpostin tietoturvauhkista, joita he saattavat kohdata, ja suositelluista parhaista käytännöistä tiliensä suojaamiseksi.

Voit esimerkiksi opettaa heille sähköpostin salauksen arvosta, siitä, että epäilyttäviä sähköposteja ei saa avata tai että sähköpostia ei saa käyttää julkisen wlan-verkon kautta. Myös sitä, että ei saa avata ei-toivottuja sähköpostiviestejä, että pitää yrittää käyttää virustorjuntaohjelmia ja yleisesti ottaen varoa tuntemattomia lähettäjiä.

Kyberturvallisuuskoulutus on myös hyvä tapa kouluttaa työntekijöitäsi siitä, miten heidän tulisi reagoida, kun he huomaavat, että tietoturvaloukkaus on jo tapahtunut – ja kenelle heidän tulisi hälyttää tietoturvaloukkauksesta. Näin ollen tietoturvaloukkaus voidaan rajata nopeammin – ja siten myös sen aiheuttamia vahinkoja voidaan vähentää.

Varo sähköpostin liitetiedostoja ja epäilyttäviä linkkejä.

94% haittaohjelmista toimitetaan sähköpostitse. – joko aidon näköisten liitetiedostojen tai näennäisesti hyvämaineisille verkkosivustoille johtavien linkkien kautta. Vaikka Gmailin algoritmit ja haittaohjelmien torjuntaohjelmat havaitsevat ja estävät useimmat epäilyttävät liitetiedostot tai verkkosivustot, jotkut kehittyneemmät hyökkäykset saattavat silti päästä tutkan ohi.

Siksi tavallisten käyttäjien ja työntekijöiden on oltava varovaisia, kun he saavat sähköpostiviestejä, joissa on liitetiedostoja tai joissa heitä kehotetaan napsauttamaan mukana olevaa linkkiä. Seuraavassa on muutamia merkkejä siitä, että liitetiedosto tai linkki saattaa olla peräisin hakkereilta:

• Tiedostopääte ei vastaa tiedostotyyppiä (esimerkiksi se päättyy kaksoislaajennukseen, kuten doc.exe, tai siinä on vain suoritettava tiedostopääte). Erityisen epäluuloinen kannattaa olla, jos saat liitetiedostoja, jotka päättyvät exe-, jar- tai rar/zip-päätteisiin).
• Lähettäjän osoite on hieman erilainen kuin se, joka löytyy heidän verkkosivuiltaan/sähköpostilistaltasi – tämä on varma merkki roskapostista.
• Näennäisesti luotettavalta lähteeltä (kuten pankiltasi) tulevassa sähköpostiviestissä on oikeinkirjoitus-, kielioppi-, muotoilu- tai interpunktiovirheitä.
• Viestissä kehotetaan avaamaan liitetiedosto tai napsauttamaan linkkiä mahdollisimman pian, koska muuten saatat joutua kärsimään seurauksista (surullisen kuuluisa ”Luottokorttisi jäädytetään pian” on tästä paras esimerkki).

Varmuuden vuoksi kannattaa aina soittaa lähettäjälle ja kysyä häneltä sähköpostiviesteistä, jos sinulla on epäilyksiä, ja tarkistaa kaikki saamasi liitetiedostot virusten tai haittaohjelmien varalta. Tai voit vain kopioida lähettäjän nimen, linkin tai viestin osan ja laittaa sen hakukoneeseen – muut käyttäjät saattavat jo merkitä sen vaaralliseksi.

Päivitä virustorjunta- tai haittaohjelmat säännöllisesti.

Nykyaikaiset haittaohjelmien torjuntaratkaisut voivat suojata laitteesi lukuisilta uhkilta – viruksilta, troijalaisilta, haittaohjelmilta, lunnasohjelmilta ja myös epäilyttäviltä verkkosivustoilta. Näin on, kunhan ne päivitetään säännöllisesti. Verkkorikolliset keksivät uusia menetelmiä laitteisiin hyökkäämiseksi ja tietojen varastamiseksi lähes päivittäin – ja joka päivä, 560 000 uutta haittaohjelmaa havaitaan.

Jos käyttämiäsi virustorjuntaohjelmia ei päivitetä säännöllisesti, ne saattavat jättää uuden uhan huomiotta, jolloin sähköpostitilisi ja koko laitteesi ovat vaarassa.

Useimmat suositut kyberturvallisuusalustat kuten Crowdstrike tai vaihtoehtoja on kuitenkin mahdollisuus asentaa nämä päivitykset automaattisesti – jos haluat varmistaa, että alustasi on aina ajan tasalla, tämä vaihtoehto kannattaa valita.

Käytä sähköpostin todennusprotokollia

Todentamisprotokollien käyttöönotto työalueillasi voi myös tehdä tileistäsi paljon turvallisempia ja tunnistaa pahantahtoiset aikomukset erilaisten tunnistustapojen avulla.

Sähköpostin todennusprotokollat on suunniteltu estämään phishing-hyökkäykset, sähköpostiväärennökset ja BEC-hyökkäykset varmistamalla, että sähköposti on peräisin lailliselta lähettäjältä. Yksinkertaisemmin sanottuna näillä protokollilla tarkistetaan, ovatko uusimmat markkinointikampanjasähköpostit sinun lähettämiäsi vai onko joku henkilöitynyt brändiisi.

Tällä hetkellä käytössä on kolme todennusprotokollaa:

• SPF (Sender Policy Framework) – Tutkii lähettäjän IP-osoitteen varmistaakseen, että jokainen sähköposti tulee luotetusta IP-osoitteesta.
• DKIM (Domain Keys Identified Mail) – käyttää julkisen/yksityisen avaimen salausta sähköpostiviestien allekirjoittamiseen ja todistaa, että viestejä ei ole muutettu.
• DMARC (Domain-based Message Authentication Reporting and Conformance, verkkotunnistepohjainen viestien todennusraportointi ja vaatimustenmukaisuus) – – varmistaa, että sähköposti täyttää SPF- ja DKIM-vaatimukset ennen sen toimittamista.

Käyttämällä näitä protokollia voit vakuuttaa asiakkaillesi ja tilaajille, että verkkotunnuksesi eivät joudu sähköpostiväärennösten uhreiksi ja että heidän saamansa sähköpostit tulevat varmasti sinulta. Mainitsimme muutamia muita näiden protokollien etuja toisessa artikkelissamme aiheesta todennusmenetelmät , joten kannattaa lukea myös se.

Kun lähetät kampanjoita, varmista, että listasi ovat puhtaat.

Viimeinen vinkkimme – säännöllisesti puhdista sähköpostilistasi.

Okei, olet kuullut, että sähköpostilistan pesu voi lisätä toimitettavuusastetta, parantaa verkkotunnuksen mainetta ja antaa sinulle paremman ROI:n, mutta mitä tekemistä sillä on turvallisuuden kanssa? Itse asiassa paljon! Tarkastelemalla sähköpostiluettelosi osoitteita voit havaita toimimattomat ja vanhentuneet sähköpostiosoitteet sekä epäilyttävät osoitteet, jotka saattavat kuulua roskapostittajille – tai Internet-palveluntarjoajille, jonka tavoitteena on löytää roskapostittajat ja rangaista heitä.

Jos sinun havaitaan lähettävän sähköposteja kyseisille verkkotunnuksille, on hyvin mahdollista, että verkkotunnuksesi maine kärsii – ja pahimmassa tapauksessa saatat joutua jopa mustalle listalle.

Miten voit kuitenkin havaita kaikki myrkylliset sähköpostit listallasi kuluttamatta päiviä (tai enemmän) niiden tarkistamiseen manuaalisesti? Bouncerin sähköpostiosoitteen vahvistus työkalu voi auttaa sinua tässä.

Lisää vain sähköpostiluettelosi (enintään 250 000 osoitetta) sovellukseen, ja Bouncer näyttää, mitkä sähköpostit kuuluvat oikeille käyttäjille, kuinka todennäköisesti sähköpostit ovat pomppivia, mutta näyttää myös sinulle:

• loukkaantuneet tai hakkeroidut sähköpostiosoitteet
• virheelliset osoitteet tai verkkotunnukset
• Roskapostin ansat jne.

Bouncer myös pisteyttää sähköpostien myrkyllisyyden (1-5), joten tiedät, mitkä osoitteet sinun kannattaa poistaa heti.

Kuulostaa hyödylliseltä, eikö? Sitten, Entäpä Bouncerin käyttö seuraavaa sähköpostikampanjaasi varten? Kun sähköpostilistasi on täysin puhdas, seuraava kampanjasi onnistuu paremmin kuin koskaan, ja samalla voit suojella sähköpostialuettasi.

Aika vahvistaa sähköpostitilejäsi

Jos haluat pitää yksityisen ja yrityssähköpostitilisi (ja sen sisältämät tiedot) poissa tietoverkkorikollisten ulottuvilta, sinun on toteutettava kaikki mahdolliset turvatoimet ja sanottava hyvästit haittaohjelmista, mahdollisista uhkista ja epäilyttävistä viesteistä huolehtimiselle.

Vahvat ja säännöllisesti vaihdettavat salasanat, monitekijätodennuksen lisääminen, virustorjuntatyökalujen säännöllinen päivittäminen ja varominen phishing- tai tartuntayritysten varalta ovat kaikki tärkeitä tilien suojaamisessa.

Kun tilisi on suojattu, voit torjua kaikki phishing-hyökkäykset ja murtautumisyritykset helposti.

FAQ: Sähköpostin tietoturvan parhaat käytännöt

Miten voin suojata ammattimaisen sähköpostitilini?

Paras tapa tehdä tilistäsi turvallisempi on käyttää vahvoja ja yksilöllisiä salasanoja jokaiselle käyttämällesi tilille – voit käyttää tähän salasanahallintaa. Fiksu ajatus on myös ottaa käyttöön kaksitekijäinen (tai useampi) todennus lisäturvan lisäämiseksi. Jos käytät Exchange Online -sähköpostia, kannattaa harkita luotettavan tietojen varmuuskopiointiratkaisu Microsoft 365:lle suojautua mahdolliselta tietojen menetykseltä tai vahingoittumiselta.

Miten voin tunnistaa ja välttää phishing-hyökkäykset?

Vaikka ne saattavat ensisilmäyksellä näyttää aivan aidoilta sähköpostiviesteiltä, phishing-viesteissä on muutamia piirteitä, joiden ansiosta ne on helppo tunnistaa. Tyypillisin niistä on se, että niissä pyydetään pikaisesti henkilökohtaisia tai taloudellisia tietoja ja uhataan, että jos et noudata niitä, sinua uhkaavat vakavat seuraukset.

Kun saat tällaisen sähköpostiviestin (joka väittää olevansa esimerkiksi pankiltasi), tarkista ensin, onko lähettäjän sähköpostiosoite oikea – rikolliset käyttävät yleensä sähköpostiviestejä, jotka muistuttavat hyvämaineisia verkkotunnuksia, mutta joissa on yksi tai useampi ero (esimerkiksi eri verkkotunnukset).

Jos sähköpostiviestissä on oikeinkirjoitus- tai kielioppivirheitä tai logo näyttää väärältä, myös sen pitäisi herättää epäilyksiä.

Mikä on monitekijätodennus ja miksi sitä pitäisi käyttää sähköpostissa?

Monitekijätodennus (MFA) lisää sähköpostitilillesi ylimääräisen tietoturvatason vaatimalla kirjautumisen yhteydessä kahta tai useampaa erityyppistä todennustekijää. Esimerkiksi salasana ja kertaluonteinen vahvistuskoodi, vahvistus luotettavalta laitteelta tai sormenjälkiskannaus.

MFA:n käyttö vähentää merkittävästi riskiä siitä, että joku pääsee sähköpostilaatikkoosi, vaikka salasanasi vaarantuisi.

Onko yrityksille olemassa erityisiä sähköpostin tietoturvakäytäntöjä?

Yrityksen sähköpostitilejä koskevan tietoverkkoturvakäytännön luominen ja säännöllinen tietoturvakoulutus työntekijöille on hyvä tapa varmistaa, että kaikki työntekijät tietävät, miten he voivat suojata tilinsä ja laitteensa tietoverkkouhilta.

Käytännössä voit määritellä, miten he voivat luoda vahvoja salasanoja, milloin ja miten he voivat käyttää yksityisiä laitteita työssään tai mitä ohjeita vastaanotettujen liitetiedostojen avaamiseen sovelletaan.