Kylläpä jälleen verenpaine nousi. Törmäsin väitteeseen, ettei tiettyjä luottamuksellisia tietoja saisi lähettää salattuna sähköpostina vaan pitäisi käyttää XXX yrityksen “turvapostia”.

No jopa oli! Tämä otaniemeläinen nyrkkiputka siis aivan pokkana myyntitoiminnassaan väittää tarjoavansa turvallisemman sähköpostiviestien käsittelyn kuin vaikkapa Microsoft tai Google. Ja vielä uskomattomampaa potaskaa tulee: “sähköpostin salaus on kotimaista”. Todistuksena on tälle on muka “Avainlippu-tunnus”. Vanhemmat lukijani muistavat ehkä, kuinka joskus polemiikkia herätti banaaneille myönnetty Avainlippu. Mutta onko SALAUS suomalaista? Pahoin epäilen.

Markkinointi on muutenkin vähintään harhaanjohtavaa ellei jopa valheellista. Toisin kuin nämä “turvapostit” ja “luottopostit” ja sen sellaiset väittävät, itse sähköpostiliikenne ei kulje mitenkään salattuna. SMTP-protokolla on mitä on. Herran vuonna 1980 vaatimukset olivat hieman erilaiset.

Teknisesti kaikki nämä “turvalliset sähköpostit” toimivat samalla tavalla. Itse viestiä ei lähetetä sähköpostin (joka siis kulkee salaamattomana SMTP-liikenteenä palvelimesta toiselle) mukana. Vastaanottaja saa viestissä linkin, joka johtaa sähköpostipalvelun generoimalle webbisivulle (ja TÄSSÄ on käytössä nyt SSL-salaus, eli kyse on https-liikenteestä). Tänne sitten tunnistaudutaan (tässä vaihtoehtoina on tekstiviestitse tai sähköpostitse toimitettu avain – joista kumpikaan siirtotie ei täytä järeitä tietoturvakriteereitä).

Kumman uskot hoitavan verkkopalveluidensa tietoturvan paremmin? Espoolaisen nyrkkikioskin vaiko Microsoftin tai Googlen? Tai sveitsiläisen korkean turvallisuuden sähköpostipalveluiden tarjontaan erikoistuneen ProtonMailin. Microsoft pystyy lisäksi tarjoamaan tunnistautumiseen aidosti luotettavan (Entra ID:n tarjoama MFA) metodin. Lisäksi, mietihän hetki sähköpostiliikennettä. Mikäli suomalainen yritys lähettää sähköpostia toiselle suomalaiselle yritykselle, mistähän kummankin sähköpostit löytyvät? Aivan. Microsoftin M365 -palvelusta. Eli sähköposti ei missään vaiheessa edes lähde hoipertelemaan SMTP-liikenteenä palvelimelta toiselle.

Käärmeöljykauppiaat väittävät sivuillaan myös tietoturvansa hallintajärjestelmästä monta kovaa ja kaunista. Pyydettäessä ISO27001 sertifikaattia ei kuitenkaan kuulu. Niinpä niin.

Huom! Avautumiseni ei koske ent. Deltagon Group Oy:n Sec@GW -tuotetta (nyk. SSH Oyj), jota pidän laadukkaana.