State of email security implementations in Finnish municipalities and joint municipal authorities in 2021 : research on current DNS implementations and organizations' publicly available information
Turunen, Matti (2021)
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021120824320
https://urn.fi/URN:NBN:fi:amk-2021120824320
Tiivistelmä
Suomessa kunnat ja kuntayhtymät muodostavat paikallisen ja alueellisen julkisen hallinnon rakenteet. Kuntaorganisaatiot muodostavat suurimman osuuden julkisesta hallinnosta organisaatioiden tai henkilöstön määrällä mitattuna. Tämän johdosta kuntaorganisaatioilla on myös julkishallinnon laajin kattavuus ja jalanjälki erilaisisten teknisten ratkaisujen sekä niihin liittyvien mahdollisten haavoittuvuuksien ja riskien osalta.
Yksi käytetyimmistä internetpalveluista on sähköposti, ja yksi yleisimmistä väärinkäytöistä kohdistuu sähköpostiväärennöksiin.
Aiemmat selvitykset vuosilta 2019–2020 osoittavat päätelmissään yleisesti hyväksytyt
turvallisten sähköpostiasetusten määritelmät ja asetukset. Selvitysten mukaan julkishallinnossa on turvallisia menetelmiä hyödynnetty merkittävästi vähemmän kuin muilla toimialoilla tai vastaavissa ulkomaisissa organisaatioissa. Tarvittiin syvällisempää ymmärrystä siitä, miksi asetukset ovat kuntaorganisaatiossa puuttelisia ja miten nykytilaa voisi parantaa. Yksinkertaisia ja tehokkaita ohjeita, kuinka ottaa käyttöön kansallisesti
suositellut parhaat käytännöt tilanteen parantamiseksi.
Tutkimus perustui dokumentaariseen analyysiin ja kvalitatiiviseen tutkimusmenetelmään, jossa tarkasteltiin kunnista ja kuntayhtymistä julkisesti saatavilla olevaa tilastollista tietoa verrattuna tosiasiallisiin teknisiin sähköpostiin liittyviin DNS-nimipalveluiden julkisiin asetuksiin. SPF ja DMARC sekä DNSSEC ja HINFO ynnä muut tekniset asetuskontrollit luokiteltiin toimialan RFC-standardien dokumentaation mukaisesti. Vertailun kriteerit määriteltiin niin, että kyetään selvittämään eroavaisuuksia organisaatiossa niiden tyypin, hallinnonalan, alueellisen sijainnin, koon sekä kielisyyden perusteella. Myös organisaatioiden riippuvuuksia muista organisaatioista ja kolmansista osapuolista tarkasteltiin.
Yleinen tilanne sähköpostiin liittyvien DNS-asetusten tietoturvallisuuden osalta kunnissa ja kuntayhtymissä selvitettiin kevään 2021 tilanteessa. Kuntaorganisaatioiden valmistautuessa tulevaan sosiaali-, terveys- ja pelastuspalveluiden reformiin ja muutokseen kohti uusia hyvinvointialueita vastuuviranomaisina, huomion kiinnittäminen näidän teknisten ratkaisujen tilaan ja turvallisuuteen on erityisen ajankohtaista. Suurimpien kaupunkien maan laajuisesti todettiin olevan merkityksellisimpiä kansallisen sietokyvyn kannalta. Yleisesti tilanne suojausten osalta todettiin olevan riittämätön, mikä vahvisti aiempien tutkimusten tuloksia. Koulutus- ja sivistystoimen viranomaisorganisaatioiden sekä ruotsin kieltä ensisijaisesti käyttävien vähemmistöjen
todettiin omaavan kattavammat suojatoimet muihin ryhmiin verrattuna, vaikkakin silti alittavan suositukset. Siirtyminen pilvipalveluihin sähköpostin osalta havaittiin vaikuttavan positiivisesti turvallisten asetusten käyttöönottoon. Kaikkien sellaisten verkkotunnusten suojaaminen, joita ei käytetä eikä ole tarkoitettukaan sähköpostikäyttöön, havaittiin olevan merkittävä parannus, joka on helposti saavutettavissa laajasti. Suositukset laadittiin siitä, kuinka kuntien tulisi noudattaa ja toteuttaa annettuja ohjeistuksia ja parhaita käytäntöjä sähköpostipalveluiden tietoturvallisuuden ja suojaamisen parantamiseksi. Finnish municipalities and joint municipal authorities form the administrative structure for local and regional governance in Finland. Municipal organizations represent the largest part of public sector authorities measured by the number of organizations and employees. Therefore, amongst national authorities, municipal organizations also have the broadest Internet presence and footprint regarding various technical implementations and possible vulnerabilities or risks. One of the most used Internet services is email and one of the most common abuses of email is domain related forgery. Previous studies from 2019-2020 conclude general consensus regarding safe implementation for email. Public sector has significantly lower safe implementation rates than others in the .fi zone or their foreign counterparts. Deeper understanding regarding lack of safe implementations in municipal organizations was needed to better address this deficiency. Simple and efficient instructions on how to deploy nationally recommended best practice guidelines were
needed for situation improvement. The study was executed as a documentary analysis, researching published statistical information regarding municipalities and joint municipal authorities combined and compared to the actual email related configurations of DNS records present in the domains of these municipal organizations. The implementations of
SPF and DMARC, along with DNSSEC, HINFO and other technical controls were classified based on definitions in industry standard RFC documents. Criteria for evaluation was set to gain information about possible variations between organizations based on organizational type, field of authority, regional location, size and lingual status. Organizations’ dependencies on other organizations and third parties were also examined. The general status of email related DNS security implementations in municipalities and joint municipal authorities in spring 2021 was clarified. As municipal organizations prepare for the upcoming reform of health, social and emergency services and the transformation to new welfare regions as responsible authorities, paying attention to the status and security related to these technical solutions is ever more current. Large cities around the country were found the most significant in nation wide resilience. The overall status was found to be inadequate, confirming the findings in previous studies. Educational authorities and Swedish lingual minorities were found to have more comprehensive implementation rates than other groups, although still under recommendations. Migrating to cloud-based email services was found to have positive
effect on implementing secure configurations. Securing all non-email domains was found to be a significant measure easily applicable. Recommendations were drafted on how municipalities should follow the given guidelines and common best practices regarding email related security and safety.
Yksi käytetyimmistä internetpalveluista on sähköposti, ja yksi yleisimmistä väärinkäytöistä kohdistuu sähköpostiväärennöksiin.
Aiemmat selvitykset vuosilta 2019–2020 osoittavat päätelmissään yleisesti hyväksytyt
turvallisten sähköpostiasetusten määritelmät ja asetukset. Selvitysten mukaan julkishallinnossa on turvallisia menetelmiä hyödynnetty merkittävästi vähemmän kuin muilla toimialoilla tai vastaavissa ulkomaisissa organisaatioissa. Tarvittiin syvällisempää ymmärrystä siitä, miksi asetukset ovat kuntaorganisaatiossa puuttelisia ja miten nykytilaa voisi parantaa. Yksinkertaisia ja tehokkaita ohjeita, kuinka ottaa käyttöön kansallisesti
suositellut parhaat käytännöt tilanteen parantamiseksi.
Tutkimus perustui dokumentaariseen analyysiin ja kvalitatiiviseen tutkimusmenetelmään, jossa tarkasteltiin kunnista ja kuntayhtymistä julkisesti saatavilla olevaa tilastollista tietoa verrattuna tosiasiallisiin teknisiin sähköpostiin liittyviin DNS-nimipalveluiden julkisiin asetuksiin. SPF ja DMARC sekä DNSSEC ja HINFO ynnä muut tekniset asetuskontrollit luokiteltiin toimialan RFC-standardien dokumentaation mukaisesti. Vertailun kriteerit määriteltiin niin, että kyetään selvittämään eroavaisuuksia organisaatiossa niiden tyypin, hallinnonalan, alueellisen sijainnin, koon sekä kielisyyden perusteella. Myös organisaatioiden riippuvuuksia muista organisaatioista ja kolmansista osapuolista tarkasteltiin.
Yleinen tilanne sähköpostiin liittyvien DNS-asetusten tietoturvallisuuden osalta kunnissa ja kuntayhtymissä selvitettiin kevään 2021 tilanteessa. Kuntaorganisaatioiden valmistautuessa tulevaan sosiaali-, terveys- ja pelastuspalveluiden reformiin ja muutokseen kohti uusia hyvinvointialueita vastuuviranomaisina, huomion kiinnittäminen näidän teknisten ratkaisujen tilaan ja turvallisuuteen on erityisen ajankohtaista. Suurimpien kaupunkien maan laajuisesti todettiin olevan merkityksellisimpiä kansallisen sietokyvyn kannalta. Yleisesti tilanne suojausten osalta todettiin olevan riittämätön, mikä vahvisti aiempien tutkimusten tuloksia. Koulutus- ja sivistystoimen viranomaisorganisaatioiden sekä ruotsin kieltä ensisijaisesti käyttävien vähemmistöjen
todettiin omaavan kattavammat suojatoimet muihin ryhmiin verrattuna, vaikkakin silti alittavan suositukset. Siirtyminen pilvipalveluihin sähköpostin osalta havaittiin vaikuttavan positiivisesti turvallisten asetusten käyttöönottoon. Kaikkien sellaisten verkkotunnusten suojaaminen, joita ei käytetä eikä ole tarkoitettukaan sähköpostikäyttöön, havaittiin olevan merkittävä parannus, joka on helposti saavutettavissa laajasti. Suositukset laadittiin siitä, kuinka kuntien tulisi noudattaa ja toteuttaa annettuja ohjeistuksia ja parhaita käytäntöjä sähköpostipalveluiden tietoturvallisuuden ja suojaamisen parantamiseksi.
needed for situation improvement. The study was executed as a documentary analysis, researching published statistical information regarding municipalities and joint municipal authorities combined and compared to the actual email related configurations of DNS records present in the domains of these municipal organizations. The implementations of
SPF and DMARC, along with DNSSEC, HINFO and other technical controls were classified based on definitions in industry standard RFC documents. Criteria for evaluation was set to gain information about possible variations between organizations based on organizational type, field of authority, regional location, size and lingual status. Organizations’ dependencies on other organizations and third parties were also examined. The general status of email related DNS security implementations in municipalities and joint municipal authorities in spring 2021 was clarified. As municipal organizations prepare for the upcoming reform of health, social and emergency services and the transformation to new welfare regions as responsible authorities, paying attention to the status and security related to these technical solutions is ever more current. Large cities around the country were found the most significant in nation wide resilience. The overall status was found to be inadequate, confirming the findings in previous studies. Educational authorities and Swedish lingual minorities were found to have more comprehensive implementation rates than other groups, although still under recommendations. Migrating to cloud-based email services was found to have positive
effect on implementing secure configurations. Securing all non-email domains was found to be a significant measure easily applicable. Recommendations were drafted on how municipalities should follow the given guidelines and common best practices regarding email related security and safety.