19 loka Office 365 sähköpostin salauksessa heikkous
WithSecuren tutkivat ovat havainneet, että Office 365:llä salattuja posteja lähetettäessä osa viestin sisällöstä voidaan saada luettua selväkielisenä. Tämä edellyttää kuitenkin, että
- jokin ulkopuolinen taho on saanut
- suuren määrän salattuja viestejä haltuunsa
Näitä analysoimalla voisi salauksen ainakin osittain ohittaa.
Tähän ei ole vielä korjausta saatavilla. Mutta koska haavoittuvuuden hyväksikäyttöön on vain teoreettinen mahdollisuus, suositellaan salatun postin käytön jatkamista.
Jos organisaatio välittää paljon viestejä ja/tai salaus on turvallisuussyistä erittäin tärkeää, kannattaa pohtia viestien välittämistä muulla tavoin: esimerkiksi erillisellä turvaposti -ratkaisulla. Tavanomaisissa suomalaisissa organisaatioissa erityisiä toimia ei välttämättä tarvita.
Salauksen käyttöä ei kannata lopettaa! Asiaan on todennäköisesti tulossa korjaus jollain aikataululla ja on hyvä, että ihmisten käytössä pysyvät turvalliset menettelytavat ja luottamus työvälineisiin ja niiden turvallisuuteen.
Mitä tarkoittaa tietosuojalle?
Asia on syytä kirjata jokaisen organisaation poikkeamarekisteriin, jos tavanomainen ohjeistettu salattu viestintätapa on Office 365:n postin salaus. Siitä syystä, jos myöhemmin ilmenisi, että organisaatiosta on joutunut suuria määriä salattuja viestejä ulkopuolisen haltuun. Tai olisi muutoin syytä epäillä salatun viestisisällön vaarantuneen.
Todennäköinen riski normaalissa yrityskäytössä on kuitenkin hyvin pieni, eikä ole oletettavaa, että tästä aiheutuisi ilmoitusvelvollisuutta tai muitakaan jatkotoimia ilman jotain muita tekijöitä tai olosuhteita.
Organisaatioissa on kuitenkin hyvä käydä keskustelu, välitetäänkö sähköpostilla suuria määriä esimerkiksi arkaluonteisia henkilötietoja, minkä vuoksi viestinnälle olisi hyvä löytää korvaava tapa. Sellaiset tilanteet tai toiminnot, joissa käytetään taustalla merkittävissä määrin salattua sähköpostiautomatiikkaa, voisivat ehkä muodostaa tällaisen tilanteen. Esimerkiksi suurten yhtiöiden palkkahallinto.
Lisätietoja: tietosuoja@opsec.fi