Olen jo pidemmän aikaa seurannut oman kotikuntani viranhaltijoiden sähköpostin käyttöä ja siihen liittyviä käytäntöjä kunnassa. Kauhukseni olen saanut huomata, että ei pelkästään luottamuksellisia, vaan jopa salaisia tietoja käsitellään ja siirretään ilman minkäänlaista tietoturvaa, kuten lähettäjän varmennusta ja tiedon salausta siirrettäessä.

Kunnan opetustoimessa työskentelevät henkilöt pääsevät sähköpostiinsa niin työpaikalta kuin muualtakin www-selaimella ilman minkäänlaista suojattua yhteyttä eli ilman SSL/TLS -salausta. Kaikki luetut viestit, käyttäjätunnukset ja salasanat ovat luettavissa niistä verkoista, joiden kautta liikenne kulkee, sekä jäävät talteen sille koneelle, josta kunnan webmail-palvelinta on käytetty.

Muina yhteyskäytäntöinä tuetaan POP3- ja IMAP4-yhteyksiä, joihin kumpaankaan ei tarjota mitään turvaominaisuuksia, sen enempää autentikoinnin kuin yhteyden suojaamisen osalta. Sähköpostin lähettämisessä ei ole käytössä mitään mekanismia lähettäjän identiteetin todentamiseen tai väärän identiteetin havainnoimiseen.

Tästä huolimatta kunnassa on kuitenkin tehty päätöksiä, joiden mukaisesti sähköposti on luotettava kommunikointiväline luottamuksellisen tiedon käsittelyyn ja sähköpostiviestin lähettäjätietoja pidetään oletusarvoisesti luotettavana henkilön tunnistusmetodina.

Mielestäni järkyttäväksi tämä asia menee siinä kohtaa, kun kunnan työntekijän nimissä tehty ilmoitus hoitovapaan pitämisestä katsotaan päteväksi ilman eri varmistusta siitä onko tämä ilmoitus todella kyseisen työntekijän tekemä tai siinän kun kuntalainen voi irtisanoa lapsen päivähoitopaikan sähköpostitse, ilman mitään muuta todennusta tapahtumasta ja henkilön identiteetin oikeellisuudesta.

Nämä esimerkin mukaiset asiat toki ovat sellaisia, joissa kunta viimekädessä on se häviäjä, jos jotain väärinkäytöksiä ilmenee, mutta työntekijälle tai kuntalaiselle näistä aiheutuu kohtuutonta mielipahaa ja vaivaa asioiden selvittämiseksi.

Todellisuudessa nämä tapaukset kuitenkin osoittavat yhdessä, että suomalainen luottaa sähköpostiin täysin sokeasti vailla mitään käsitystä siitä, kuinka helppoa lähettäjätietojen väärentäminen on. Sen sijaan että sisäasiainministeriöstä levitellään kauhua siitä, kuin he ovat jatkuvien hyökkäysten kohteena, tulisi heidän keskittyä siihen, miten heidän omalla vastuualuellaan saadaan tietojenkäsittely turvalliseksi ja järjestää myös turvallisen tietojenkäsittelyn käytännöntoteutus.

Vielä minä senkin ymmärrän ja kestän, että sähköpostikeskusteluni jonkin kunnan viranhaltijan kanssa kulkee verkossa salaamattomana sähköpostiviestinä, mutta en sitä, että keskustelu jää viranhaltijoiden yhteiskäytössä olevalle koneelle kenen tahansa luettavaksi, kuten opetustoimen viranhaltijoiden kohdalla käy.

Missä saman kokoluokan yrityksessä tällainen vastuuttomuus olisi mahdollista?