themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Andmekaitse’ rubriigist

Andmekaitse Inspektsiooni uueks juhiks sai Viljar Peep

11. september 2008

Täna, 11. septembril toimunud Vabariigi Valitsuse istungil kinnitati Andmekaitse Inspektsiooni uueks juhiks Viljar Peep. AKI praeguse juhi Urmas Kuke ametiaeg lõpeb 30. septembril, Peep asub uuel ametikohal tööle 1. oktoobrist 2008.
Uut peadirektorit iseloomustatakse järgmiselt:

Viljar Peep on kaitsnud doktorikraadi ajaloo erialal ning töötab alates 1995. aastast justiitsministeeriumis. Ta on osalenud äriregistri sisulisel ülesehitamisel ning äriregistri ja kinnistusraamatu täiselektrooniliseks muutmisel. Peep on olnud tegev notariaal-, mere-, äri- ja ühinguõiguse – ning tsiviilkohtu- ja täitemenetluse alases seadusloomes ning kohtunikuabi ja vandetõlgi institutsiooni loomisel. Ta juhtis äriregistri 2-tunnise-kiirmenetluse projekti ning veab ettevõtete aruandluskohustuse lihtsustamise ametkondadevahelist komisjoni ning digitaalallkirjade piiriülese kasutamise töörühma.
Tema sulest on ilmunud mitmeid trükised, sh esimene taasiseseisvuseaegne gümnaasiumi ühiskonnaõpetuse õpik (kaasautorina). Doktorikraadi kaitses Tartu Ülikoolis raamatu „Eesti sotsiaalpoliitilise õigusloome arengujooned 1. omariiklusajal” põhjal. Lisaks on ta olnud majandusajaloo õppejõud Tallinna Tehnikaülikoolis. Vabariigi President on talle andnud Valgetähe teenetemärgi.

Ametisse kandideerimisel olevat Viljar Peep kinnitanud, et isikuandmete kaitsmisel ei tasu minna äärmustesse, samuti ei tohiks andmekaitse takistada meditsiini arengut või teaduslike tööde avaldamist.
Peadirektori ametiaeg kestab viis aastat.

Ära solva oma süsadminni!

9. september 2008

Paroolihaldus- ja muud andmeturbetarkvara müüv firma Cyber-Ark Software väidab, et 300-st nende poolt küsitletud IT administraatorist on 88% valmis pärast töölt kingasaamist võtma kaasa oma endise tööandja salajast infot – peakasutaja paroole, kliendiandmebaase, arendus-, finants- ja ülevõtuplaane ning personaliandmeid. Kolmandik süsadminne kavatses ka pärast töösuhte lõppemist säilitada endale ligipääsu firma kaitstud ressurssidele.

Tõenäoliselt julgustab itipoisse sigatsema teadmine, et kontroll ja juurdepääsuõiguste haldamine nii pärast töösuhte lõppemist kui ka selle ajal on nõrgavõitu või puudub hoopis – kuni kolmandik tavatseb sorida kolleegide palgaandmetes, e-kirjades ja salajastes dokumentides. Lisaks selgus uuringust, et 35% IT-süsteemi turvalisuse eest vastutavaid administraatoreid saadab salajasi paroole e-mailiga, 35% usaldab salajase info kullerile krüpteerimata kujul ning 4% läkitab paroolid teele tavalise tigupostiga. Asjaolu, et kolmandik süsadminne tavatseb kirjutada paroole tavalisele kleepsupaberile, pole vist üldse enam kõneväärt…

Mina ei tea, kui usaldusväärne on viidatud uuring ning kui head on uuringus reklaamitavad Cyber-Arki tooted, kuid probleem on kindlasti olemas. Minu tuttavad süsadminnid on küll enamasti ausad ja heatahtlikud, kuid ei ole ju mõtet ka kõige kohusetundlikumas töötajas paroolihalduse ja ligipääsuõiguste kontrolli puudumisega asjatuid kiusatusi tekitada 🙂

Tööandja sidevahendite kasutamine

25. juuni 2008

Oma igapäevatöös puutun aeg-ajalt kokku küsimusega tööandja sidevahendite kasutamisest isiklikuks otstarbeks. Enamasti mõeldakse selle all eelkõige e-posti kasutamist, kuid samas võib seda vaadelda ka veidi laiemalt – käsitleda sidevahendite teema all ka telefoni ja veebi kasutamist. Konkreetselt meie asutuse poliitika ei keela seda, kuid tungiv soovitus on asutuse sidevahendeid isiklikuks otstarbeks mitte tarbida. Vaatlengi hetkel veidi üldisemalt, kuidas ühel või teisel juhul käituda ning milliseid tagajärgi sellised käitumised endaga kaasa toovad.

Ühest küljest on Eestis kehtestatud põhiseaduslik õigus edastatud sõnumite saladusele ning seda õigust on võimalik rikkuda ainult kuriteo tõkestamiseks või kriminaalmenetluses tõe väljaselgitamiseks. Teisest küljest on töötajale antud sidevahendid tööandja omand ning tööandjal on õigus oma töövahendite osas kehtestada poliitikaid ja nende poliitikate järgimist kontrollida.

Tööandja telefoni kasutamine

Üldiselt on sel puhul asi lihtne – töötaja kasutab telefoni mingi limiidi ulatuses ning mis üle läheb, peetakse palgast kinni. Samas tasub teada, et üldjuhul on tööandja tellinud ka kõnede väljavõtte, mis tähendab, et tööandjale on teada kõik valitud telefoninumbrid, nende valimise aeg ning kõnede kestus. See tähendab, et kui soovite teha kõnesid, millest tööandja ei teaks, siis tuleb kasutada mõnd teist telefoni. Samuti tasub arvestada, et tööandja üldjuhul ei hüvita teenusnumbritele (näiteks annetustelefonid) tehtud kõnesid ning SMS-e.

Lisaks sellele on teatud asutustes ette nähtud, et kõik kõned lauatelefonidelt salvestatakse kohalikus keskjaamas. Kindlasti tehakse seda klienditeeninduses ja telefonimüügis, kuid ilmselt on selliseid firmasid veelgi. Mõne aasta tagusest ajast tuleb näiteks meelde juhus, kus üks autopood salvestas oma müügimeeste lauatelefonide kõnesid. Ametlikuks põhjuseks oli tookord suhtlemisoskuse lihvimine.

Töö- ja erakõnede lahushoidmiseks olen mina isiklikult valinud liitumise TwinSIM paketiga (ka teistel teenusepakkujatel on samalaadsed paketid olemas). Samas ei sobi selline lahendus juhul, kui isiklik number ja tööandja oma on erinevate teenusepakkujate juures. Samuti ei ole enne kõne valimist numbri vahetamine just kõige mugavam tegevus, samuti ei näita TwinSIM seda, kummale numbrile sissetulev kõne tuleb. Seega ootan ma põnevusega, millal Eestis kahe kaardipesaga telefonide valik suuremaks muutub.

Tööandja e-posti kasutamine

Eeldame, et tööandja ei keela oma e-posti kasutamist isiklikul otstarbel ning töötaja kasutab seda võimalust. Siin peab ta arvestama, et ülima tõenäosusega läbivad e-kirjad tööandja serverit. Üldjuhul sisaldab see server viirusetõrjet ning rämpsposti kontrolli, aga sageli ka reegleid faililaiendite kontrolliks. Näiteks meie asutuses pole lubatud .exe, .com ja .bat lõpulised failid. Samas võib selliste kontrollelementide nimekiri olla oluliselt pikem. Vaatame kuidas sellised piirangud mõjutavad kirjade liikumist.

Viirusetõrjega pole enamasti probleemi, välja arvatud juhul, kui kasutajale saadetakse parooliga pakitud faile või kui faili sisu ja nime laiend ei lange kokku. Sellisel juhul kipub viirusetõrje käe vahele panema ning kiri kasutajani ei jõua. Juhul, kui kasutaja teab, et selline kiri peab temani jõudma, või kui server saadab talle veateate, siis on võimalik see kiri sealt lõpuks siiski kätte saada. Samas võib niisugune asjaolu tekitada tööandjal kahtlusi – miks saab tema töötaja konfidentsiaalse sisuga isiklikku posti. Isiklikult minul on kunagi olnud probleem OpenOffice failidega – sisuliselt on tegemist pakitud zip-failiga, kuid tema laiendiks on midagi muud ning viirusetõrje arvas teda „pahaks” ja pidas ta kinni.

Rämpsposti kontrollijaga on natuke keerulisem, kuna siin kontrollib masin, ega mingi kirjas sisalduv märgijada ei klapi tema andmebaasis olevaga. Selliseid „pahasid” märgijadasid võib olla väga palju ja väga erinevaid ning probleem on enamasti selles, et mingi osa neist „pahadest” märgijadadest võib kattuda ka „heade” märgijadadega. Tüüpiline näide on märgijada „sex” ning seda sisaldav linna nimi Essex. Eesti keeles võiks näitena tuua märgijadad „seks” ja „terviseks”. Kui kiri rämpspostifiltrisse kinni jääb, on jällegi võimalus ta sealt kätte saada, kuid samas on rikutud inimese põhiõigust sõnumite saladusele.

Lisaks eelpool räägitule tuleb arvestada, et tööandjal võivad olla kehtestatud mingid reeglid töötaja puhkuse või ajutise äraoleku ajaks. Näiteks meie asutuses on kohustuslik, et e-post on puhkuste või komandeeringute ajal asendajale edasi suunatud, kusjuures see reegel sunnitakse peale automaatselt. See tähendab, et edasi suunatakse ka kõik isiklikud kirjad. Kui kirjad tulevad teada-tuntud inimestelt ja aadressidelt, siis on võimalik reeglile erandeid kirjutada. Samas võib juhtuda, et kirjad tulevad täiesti juhuslikelt saatjatelt, näiteks mõne personaliotsingufirma pearahakütilt. Samuti tuleb arvestada, et juhul, kui toimub töökoha vahetus, tuleb kõiki sõpru-tuttavaid teavitada ka e-posti aadressi vahetusest.

Siinkirjutaja on lahendanud asja nii, et on tekitanud mitu eraldi e-posti aadressi erinevate identiteetide jaoks. Nii on olemas tööandja poolt antud e-post, kuid lisaks sellele on olemas ka ametlik personaalne e-posti konto ning mõned lihtsamad virtuaalsete sõpradega suhtlemise jaoks. Ametlk isiklik e-posti konto tasuks kindlasti teha kujul eesnimi.perenimi@teenusepakkuja.kuskil, alternatiiv oleks kasutada ID-kaardiga kaasa tulevat e-eesti keskkonna e-posti aadressi. Põhjus on lihtne – ametlik suhtlemine on suures osas kolinud e-posti keskkonda ning väga veider tundub saada ametliku sisuga kiri (näiteks töösoovi avaldus) aadressilt seksiboy@hotmail.com või hotlips69@mail.ru.

Kokkuvõtteks mõned lühisoovitused – hoidke oma tööasjad ja eraelu kindlalt lahus ning kasutage erinevate identiteetide jaoks erinevaid telefoninumbreid ja e-posti aadresse. See on küll mõnevõrra tülikam hallata, kuid pikemas perspektiivis tasub selline käitumine ennast ära.

Rootsi hakkab pealt kuulama ka Eesti välissidet

19. juuni 2008

Rootsi Riksdag otsustas nimelt, et alates 1. jaanuarist 2009 on kohalikul raadioluureametil õigus jälgida kogu Rootsi piire läbivat telekommunikatsiooniliiklust – e-kirju, andmesidet, kiirsuhtlus- ja muid sõnumeid ning telefonikõnesid. Kuna mitmed Eesti välissidekaablid kulgevad läbi Rootsi, hakatakse enesestmõistetavalt pealt kuulama ka andmeliiklust Eestisse ja Eestist välja.

Uudis rõõmustab kindlasti Skype’i turundajaid (Skype krüpteerib oma andmepaketid), need aga, kelle kirjakast asub mõnes välismaises serveris, võiksid samuti kontrollida, kas nad käivad oma kirju lugemas ikka üle krüpteeritud ühenduse.

Äripäeva infoturbe seminarist

29. mai 2008

Äripäev on läbi aastate teinud tänuväärset tööd ettevõtjate infoturbe alasel harimisel ning eile, 28. mail, õnnestus mul osaleda Äripäeva järjekordsel IT-turbe seminaril „Mida tähendab IT turvalisus ettevõtte jaoks?”

Arvestades möödunud aasta aprillis-mais toimunud sündmusi, oleks võinud eeldada, et tegemist on kuuma teemaga ning osalejaid on palju, kuid kahjuks jäi osalejate arv 30-40 ümber. Sellest on kahju, sest minu arvates on tegemist siiski olulise teemaga ning ka esinejad olid oma ala professionaalid.

Teemad ja esinejad

  •  IT turvalisuse trendid. Mis on selles valdkonnas hetkel aktuaalne? – Andres Salu, TÜ infotehnoloogiajuht
  •  Kuidas turvalisusega mitte üle pingutada? – Erkki Leego, Hansson, Leego & Partner OÜ juhtivpartner
  •  Kuidas planeerida äri jätkusuutlikuks (Business Continuity Planning)? – Avo Aasma, CISA BBM projektijuht
  •  ISKE – riiklik turvanõuete süsteem: kas lihtsam kui arvatakse? – Mari Seeba, Cybernetica AS IS audiitor
  •  Millel põhineb identiteedihaldus? – Marti Toropov, Microlink Eesti AS, valdkonnajuht (identiteedihaldus)
  •  Milliseid võimalusi pakub NATO Kooperatiivse Küberkaitse Ekstsellentsikeskus Tallinnas? – Peeter Lorents, NATO Kollektiivse Küberkaitse Ekstsellentsikeskuse loomise projektimeeskonna juht ja EBS’i IT õppetooli juhataja, professor
  •  Epistel küberruumi olukorrast ja hääd mõtted. – Toomas Lepik, CERT Eesti (Riigi infosüsteemide arenduskeskus) infoturbe ekspert

Millest räägiti
Andres Salu rääkis hetkel andmetöötluse ja -turbe trendidest suurima delikaatsete isikuandmete töötleja seisukohast. Mõned meeldejäänud märksõnad ja laused, millest räägiti:

Informatsioonil on tekkinud omaette väärtus, mis on suurem, kui tavaliselt arvatakse. Sageli pole väärtus mitte ainult andmetes endis, vaid ka esitlusviisis. Informatsiooni kontrollib ka kolmas osapool, näiteks Selveri Partnerkaardi alusel toimub tarbimisharjumuste analüüs. Kõige suuremaks ohuks on lõppkasutajad ning seda ennekõike teadmatusest. Siinjuures märkis ta ära arvutikaitse.ee positiivse mõju lõppkasutajate harimisel.

Pahavara on muutunud intelligentseks – ta oskab muteeruda, mis raskendab tema avastamist. Turvapaigad tuleb installeerida võimalikult kiiresti, kuna on tekkinud hulk inimesi, kes uurivad, mida üks või teine turvapaik teeb ning organiseerivad vastavalt selle ka mõne ründe. Seadusandlik surve peaks tekitama olukorra, kus mittetehnoloogilised aspektid muutuvad tehnoloogilistest olulisemaks. Näiteks et arvuti sulgemine muutuks sama tavapäraseks kui ukse lukustamine.

Lõpetas ta oma sõnavõtu viie märksõnaga, millele tuleks tema arvates senisest enam tähelepanu pöörata: X-tee, ISKE, kodanikuportaal, ID-kaart ja mobiil-ID.

Erkki Leego sõnul on absoluutse turvalisuse tagamine võimatu, ühtlasi hakkab turvataseme suurendamisel kasvavad kulud hüppeliselt. Kulutuste mõistlikul tasemel hoidmiseks tuleks teha riskide hindamine ning paika panna lubatud jääkriski tase. Turvalisusele kuluvad summad tuleks eraldada sellest lähtuvalt. Nii oleks võimalik maandada oma olulisemad riskid, hoides seejuures kulud kontrolli all.

Ettekandes toodi välja ka põhilised kulude kohad – need on olukorra hindamine ja dokumenteerimine, infrastruktuuri planeerimine ja seadistamine, tarkvara litsentsid, füüsilise turbe tagamine, koolitus.

Avo Aasma rääkis, kuidas ehitada infrastruktuuri mõttes jätkusuutlikku ettevõtet. Eelkõige tuleks alustada riskide hindamisest ja võimalike tagajärgede mõju hindamisest. Infotehnoloogilises plaanis on oluline koht varundusel ning selles osas oleks vajalik teha kõigepealt korralik varundusplaan. Samas plaanist ning selle järgi tegutsemisest üksi ei piisa – vajalik on teha ka taasteplaan ning see korralikult läbi testida. Mõned inglisekeelsed märksõnad: Business Impact Analyse, Backup planning, Disaster recovery planning.

Mari Seeba käsitles riigi ja kohaliku omavalitsuse andmekogude pidamise infosüsteemides kohustuslikust ISKE-t. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mida võivad kasutada ka äriettevõtted oma IT varade turvalisuse tagamiseks. Ettekandes räägiti ISKE rakendamise protsessi põhietappidest ning sellest, kuidas neid etappe lihtsam läbida oleks.

Marti Toropov rääkis sellest, kuidas inimesed turvaliselt siduda andmete ja teiste ressurssidega. Arvestades, et tänapäeval on veidigi aktiivsemal kasutajal keskmiselt 20 erinevat kontot (kasutajanime ja parooli), on oht, et inimene hakkab seal kasutama samu paroole. See on aga suur risk, sest juhul, kui ühes kohas saab parool avalikuks, on võimalik sisse saada ka teistesse kohtadesse. Ettekandes analüüsiti tsentraalses identiteedi halduse häid ja halbu külgi. Lisaks vaadeldi ka ID-kaardi ja Mobiil-ID ning Open-ID võimalusi tsentraalse identiteedi loomisel.

Peeter Lorents jutustas Eestisse loodava NATO küberkaitsekeskuse minevikust, olevikust ja tulevikust ning andis ülevaate keskuse tegevuse põhivaldkondadest. Ettekandes mainiti ka, et viiest teadustöötaja kohast on täidetud juba kolm ning nimetas ka kaks nime, mida ma siinkohal turvakaalutlustel kordama ei hakka. Samas seonduvad need nimed mul rohkem tehisintelligentsi ja andmekaevandusega ning minu jaoks jäi arusaamatuks, kuidas on sellel pinnal võimalik välja pakkuda ka info- või IT-infrastruktuuriturbe analüüse ja kontseptsioone. Ettevõtjatel soovitati hoida ja arendada kontakte ning suhteid, kuna NATO keskusest saadav teadmus annaks kindlasti mingi tehnoloogilise eelise maailmas läbi löömiseks.

Toomas Lepik tegi kiire ülevaate Eesti ja rahvusvahelisest küberruumi olukorrast. Muuhulgas märkis ta, et hinnanguliselt on Eestis umbes 270 000 internetiühendusega arvutit, millest iga päev nakatub pahavaraga umbes 500. Ettekandes toodi välja olulisemad hetkel valitsevad trendid pahategude tegemisel internetikeskkonnas (märksõnad: automatiseeritud ründed, koduseadmete ründed, pool-legaalsed viisid raha teenimiseks). Lisaks andis ta nõuandeid, mida jälgida oma informatsiooni kaitsmiseks. Siin tooks eriti välja idee, et kasutaja vajab harimist ning et internet on üks suur keskkond, kus ühe tegemised mõjutavad ka kõiki teisi.

Selle seminari kohta leiab informatsiooni ka Äripäeva kodulehel. Samuti peaks sinna lähiajal ilmuma ka ettekannete slaidid.

Online-allkirjade võltsimine jätkuvalt probleemiks

6. märts 2008

Eesti Arhitektide Liit taunib allkirjakogumisportaalis „Sammas saagu!“ – http://vabadusesammas.planet.ee/ toimuvat allkirjade võltsimist. Eesti Arhitektide Liidu esimehe Ike Volkovi allkiri püsis seal kogutavate allkirjade lehel veel mitu päeva peale avalduse tegemist lehe haldajatele, mis kinnitas Ike Volkovi poolt allkirja mitte andmist. “Selline juhtum seab selle nimekirja tõsiseltvõetavuse päris kindlasti kahtluse alla,” seisab EAL-i avalduses.

Tõenäoliselt pole siiski tegemist katsega kampaaniat diskrediteerida, nagu kahtlustab Hillar näiteks “Ei politseiriigile” kampaania puhul. Samas jääb probleem jätkuvalt üles ja tundub, et läheb aina teravamaks – miski ei takista ükskõik missuguste motiividega inimesi esinemast mistahes allkirjakampaanias ükskõik kellena. Ka kõige paremate kavatsustega algatatud online-allkirjade kogumise kampaania näitab seega pelgalt kogutud klikkide arvu, mitte reaalsete inimeste konkreetset tahteavaldust.

Ehk tasuks tulevikukampaaniate korraldamisel mõelda hoopis digiallkirjade kogumisele? Mõistagi koos vastavate meetmetega isikuandmete kaitseks ning võimalike kuritarvituste vältimiseks allkirjade kogumisel.

Arvutikaitse ABC

12. veebruar 2008

arvutikaitse_abc_esikaas.jpgSee on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaži valmis saab, siis ka Apollost ja mujalt.

Ühekülgne isikuandmete kaitse

5. veebruar 2008

Andmekaitse koosneb kolmest lahutamatust komponendist: andmete konfidentsiaalsuse, terviklikkuse ja käideldavuse kaitsest. Jälgides Andmekaitse Inspektsiooni tegevust, samuti lugedes uut isikuandmete kaitse seadust, tundub mulle paraku, et kogu AKI juriidiline, intellektuaalne ja haldussuutlik kapatsiteet võitleb, nii et veri ninast väljas, ainult ühe komponendi, see tähendab konfidentsiaalsuse eest, seda paraku kahe ülejäänud komponendi arvelt.

» Loe edasi: Ühekülgne isikuandmete kaitse

Andmekaitse Inspektsiooni konverentsist

31. jaanuar 2008

Käesoleval aastal jätkas Andmekaitse Inspektsioon oma möödunud aastal alustatud projekti andmekaitse päeva (28.01) tähistamist konverentsiga. See kord oli teemaks “Isikuandmete kaitse ja Meedia“.Hea mulje jättis see, et võrreldes möödunud aastaga oli konverents oma esinejate valiku ja korralduse poolest oluliselt tasakaalustatum, kui möödunud aastal. Samuti oli kohal üsna suur hulk rahvast (ligikaudu 200-250 inimest), kellest suurem osa olid ajakirjanikud ja juristid. Eks siinjuures oli kahtlemata üheks põhjuseks ka hiljuti lahvatanud skandaal sünnipäevaõnnitluste teemal.

» Loe edasi: Andmekaitse Inspektsiooni konverentsist