Autor: Hillar Põldmaa

Äripäeva infoturbe seminarist

Äripäev on läbi aastate teinud tänuväärset tööd ettevõtjate infoturbe alasel harimisel ning eile, 28. mail, õnnestus mul osaleda Äripäeva järjekordsel IT-turbe seminaril „Mida tähendab IT turvalisus ettevõtte jaoks?”

Arvestades möödunud aasta aprillis-mais toimunud sündmusi, oleks võinud eeldada, et tegemist on kuuma teemaga ning osalejaid on palju, kuid kahjuks jäi osalejate arv 30-40 ümber. Sellest on kahju, sest minu arvates on tegemist siiski olulise teemaga ning ka esinejad olid oma ala professionaalid.

Teemad ja esinejad

  •  IT turvalisuse trendid. Mis on selles valdkonnas hetkel aktuaalne? – Andres Salu, TÜ infotehnoloogiajuht
  •  Kuidas turvalisusega mitte üle pingutada? – Erkki Leego, Hansson, Leego & Partner OÜ juhtivpartner
  •  Kuidas planeerida äri jätkusuutlikuks (Business Continuity Planning)? – Avo Aasma, CISA BBM projektijuht
  •  ISKE – riiklik turvanõuete süsteem: kas lihtsam kui arvatakse? – Mari Seeba, Cybernetica AS IS audiitor
  •  Millel põhineb identiteedihaldus? – Marti Toropov, Microlink Eesti AS, valdkonnajuht (identiteedihaldus)
  •  Milliseid võimalusi pakub NATO Kooperatiivse Küberkaitse Ekstsellentsikeskus Tallinnas? – Peeter Lorents, NATO Kollektiivse Küberkaitse Ekstsellentsikeskuse loomise projektimeeskonna juht ja EBS’i IT õppetooli juhataja, professor
  •  Epistel küberruumi olukorrast ja hääd mõtted. – Toomas Lepik, CERT Eesti (Riigi infosüsteemide arenduskeskus) infoturbe ekspert

Millest räägiti
Andres Salu rääkis hetkel andmetöötluse ja -turbe trendidest suurima delikaatsete isikuandmete töötleja seisukohast. Mõned meeldejäänud märksõnad ja laused, millest räägiti:

Informatsioonil on tekkinud omaette väärtus, mis on suurem, kui tavaliselt arvatakse. Sageli pole väärtus mitte ainult andmetes endis, vaid ka esitlusviisis. Informatsiooni kontrollib ka kolmas osapool, näiteks Selveri Partnerkaardi alusel toimub tarbimisharjumuste analüüs. Kõige suuremaks ohuks on lõppkasutajad ning seda ennekõike teadmatusest. Siinjuures märkis ta ära arvutikaitse.ee positiivse mõju lõppkasutajate harimisel.

Pahavara on muutunud intelligentseks – ta oskab muteeruda, mis raskendab tema avastamist. Turvapaigad tuleb installeerida võimalikult kiiresti, kuna on tekkinud hulk inimesi, kes uurivad, mida üks või teine turvapaik teeb ning organiseerivad vastavalt selle ka mõne ründe. Seadusandlik surve peaks tekitama olukorra, kus mittetehnoloogilised aspektid muutuvad tehnoloogilistest olulisemaks. Näiteks et arvuti sulgemine muutuks sama tavapäraseks kui ukse lukustamine.

Lõpetas ta oma sõnavõtu viie märksõnaga, millele tuleks tema arvates senisest enam tähelepanu pöörata: X-tee, ISKE, kodanikuportaal, ID-kaart ja mobiil-ID.

Erkki Leego sõnul on absoluutse turvalisuse tagamine võimatu, ühtlasi hakkab turvataseme suurendamisel kasvavad kulud hüppeliselt. Kulutuste mõistlikul tasemel hoidmiseks tuleks teha riskide hindamine ning paika panna lubatud jääkriski tase. Turvalisusele kuluvad summad tuleks eraldada sellest lähtuvalt. Nii oleks võimalik maandada oma olulisemad riskid, hoides seejuures kulud kontrolli all.

Ettekandes toodi välja ka põhilised kulude kohad – need on olukorra hindamine ja dokumenteerimine, infrastruktuuri planeerimine ja seadistamine, tarkvara litsentsid, füüsilise turbe tagamine, koolitus.

Avo Aasma rääkis, kuidas ehitada infrastruktuuri mõttes jätkusuutlikku ettevõtet. Eelkõige tuleks alustada riskide hindamisest ja võimalike tagajärgede mõju hindamisest. Infotehnoloogilises plaanis on oluline koht varundusel ning selles osas oleks vajalik teha kõigepealt korralik varundusplaan. Samas plaanist ning selle järgi tegutsemisest üksi ei piisa – vajalik on teha ka taasteplaan ning see korralikult läbi testida. Mõned inglisekeelsed märksõnad: Business Impact Analyse, Backup planning, Disaster recovery planning.

Mari Seeba käsitles riigi ja kohaliku omavalitsuse andmekogude pidamise infosüsteemides kohustuslikust ISKE-t. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mida võivad kasutada ka äriettevõtted oma IT varade turvalisuse tagamiseks. Ettekandes räägiti ISKE rakendamise protsessi põhietappidest ning sellest, kuidas neid etappe lihtsam läbida oleks.

Marti Toropov rääkis sellest, kuidas inimesed turvaliselt siduda andmete ja teiste ressurssidega. Arvestades, et tänapäeval on veidigi aktiivsemal kasutajal keskmiselt 20 erinevat kontot (kasutajanime ja parooli), on oht, et inimene hakkab seal kasutama samu paroole. See on aga suur risk, sest juhul, kui ühes kohas saab parool avalikuks, on võimalik sisse saada ka teistesse kohtadesse. Ettekandes analüüsiti tsentraalses identiteedi halduse häid ja halbu külgi. Lisaks vaadeldi ka ID-kaardi ja Mobiil-ID ning Open-ID võimalusi tsentraalse identiteedi loomisel.

Peeter Lorents jutustas Eestisse loodava NATO küberkaitsekeskuse minevikust, olevikust ja tulevikust ning andis ülevaate keskuse tegevuse põhivaldkondadest. Ettekandes mainiti ka, et viiest teadustöötaja kohast on täidetud juba kolm ning nimetas ka kaks nime, mida ma siinkohal turvakaalutlustel kordama ei hakka. Samas seonduvad need nimed mul rohkem tehisintelligentsi ja andmekaevandusega ning minu jaoks jäi arusaamatuks, kuidas on sellel pinnal võimalik välja pakkuda ka info- või IT-infrastruktuuriturbe analüüse ja kontseptsioone. Ettevõtjatel soovitati hoida ja arendada kontakte ning suhteid, kuna NATO keskusest saadav teadmus annaks kindlasti mingi tehnoloogilise eelise maailmas läbi löömiseks.

Toomas Lepik tegi kiire ülevaate Eesti ja rahvusvahelisest küberruumi olukorrast. Muuhulgas märkis ta, et hinnanguliselt on Eestis umbes 270 000 internetiühendusega arvutit, millest iga päev nakatub pahavaraga umbes 500. Ettekandes toodi välja olulisemad hetkel valitsevad trendid pahategude tegemisel internetikeskkonnas (märksõnad: automatiseeritud ründed, koduseadmete ründed, pool-legaalsed viisid raha teenimiseks). Lisaks andis ta nõuandeid, mida jälgida oma informatsiooni kaitsmiseks. Siin tooks eriti välja idee, et kasutaja vajab harimist ning et internet on üks suur keskkond, kus ühe tegemised mõjutavad ka kõiki teisi.

Selle seminari kohta leiab informatsiooni ka Äripäeva kodulehel. Samuti peaks sinna lähiajal ilmuma ka ettekannete slaidid.

Kübersõda eesti moodi

Tundub, et kevadised rünnakud internetimaailmas on täiendanud ka kodumaiste kübersõdijate arsenali. Selle asemel, et leht lihtsalt maha võtta (antud juhul oleks see piisavalt lihtne), on hakatud kasutama (teadlikult või mitte) oluliselt kavalamat taktikat.

Jutt käib siis veebilehest „Ei politseiriigile“. 01.02.2008 14:10 seisuga olid sinna lisatud 1617 isiku nimed. Samas võib oletada, et suurem osa neist on võltsingud. Põhjuse selliseks oletuseks annab nime ja ameti puhul erinevate tähestike (Kirillitsa vs Latin) kasutamine. Samuti ei märgiks mitte ükski venelane mitte iialgi oma tegevusalaks „dolbajob“. Seega võib arvata, et suurem osa neist nimedest on kirjutatud selle seaduse pooldaja(te) poolt.
politseiriik.png

Sellise ründetaktika kasutamisel on tulemuseks see, et:
1) Õiged isikud – oma maa ausad kodanikud – kes on nõus selle üleskutse sisu ja põhjendustega, ei anna oma allkirja, kuna nad kardavad, et ka neid hakatakse samastama selle seltskonnaga;
2) 22. veebruaril ei võta mite keegi sellist dokumenti enam tõsiselt;
3) Keegi kirjutab kommentaari, nagu on näha real 1617, lisaks on taolisi kommentaare täis ka DELFI vastavasisulise artikli kommentaarium.

Mida taoliste rünnete vastu ette võtta? Arvatavasti on kõik need nimed sinna lisatud käsitsi, seega poleks mingitest automaatsetest kontrollidest tõenäoliselt mingit abi. Ainus, mis hetkel on võimalik, on see, et konkreetse lehekülje administraator käib iga natukese aja tagant andmeebaasi üle ja puhastab selle ilmselgelt võltsitud nimedest.

Andmekaitse Inspektsiooni konverentsist

Käesoleval aastal jätkas Andmekaitse Inspektsioon oma möödunud aastal alustatud projekti andmekaitse päeva (28.01) tähistamist konverentsiga. See kord oli teemaks “Isikuandmete kaitse ja Meedia“.Hea mulje jättis see, et võrreldes möödunud aastaga oli konverents oma esinejate valiku ja korralduse poolest oluliselt tasakaalustatum, kui möödunud aastal. Samuti oli kohal üsna suur hulk rahvast (ligikaudu 200-250 inimest), kellest suurem osa olid ajakirjanikud ja juristid. Eks siinjuures oli kahtlemata üheks põhjuseks ka hiljuti lahvatanud skandaal sünnipäevaõnnitluste teemal.

Loe edasi: Andmekaitse Inspektsiooni konverentsist

Netikommentaarid ja politseinikud

tsensuur.jpgMõned päevad tagasi ilmus uudis, et politsei taotleb meediaettevõtteilt internetikommentaaride autorite tabamiseks tarvilikke IP-aadresse. Sellega seoses tahaks viidata kahele seigale, mis sellise tegevuse üsnagi kahtlaseks teevad.Esiteks ei võimalda IP-aadress isikut üheselt tuvastada. Juhul, kui konkreetse IP-aadressi taga on ainult üks arvuti (nii nagu ta enamikes eesti peredes on), siis on võimalik kindlaks teha üks arvuti, kuid mitte seda, kes kommentaari sisestamise hetkel masinat kasutas. Eriti põnevaks läheb olukord siis, kui selle IP-aadressi otsas levib WiFi (näiteid võib lugeda siit ja siit). Seega on IP-aadressi abil võimalik tuvastada ainult see, kelle nimel on seda aadressi kasutav leping.

Samas on aga euroopa andmekaitsjate töögrupp avaldanud seisukoha, mis ütleb üheselt, et IP-aadressid on isikut tuvastavad andmed. Selline seisukoht on ohtlik, kuna on loodud pretsedent ning seda võidakse arvestada ka Eesti Vabariigi kohtus.

Teine asi, millele sooviks tähelepanu juhtida, on EV põhiseaduse §45 kehtestatud sõnavabaduse kaitse. Niipalju, kui ma netiajakirjanduse kommentaariume olen lugenud, on seal tõesti üsnagi palju lihtsat tatipritsimist. Samas hakkab silma ka täielikule masendusele viitavaid kommentaare, kusjuures on näha, et inimese frustratsioon on tekkinud just ühe või teise poliitiku tegevuse või tegevusetuse tõttu.

Ehkki käesoleva artikli kirjutaja ei ole absoluutse liberalismi pooldaja, on antud juhul sõnavabaduse seisukohalt tegemist siiski vägagi piiripealsete asjadega. Lisaks annavad sellised juhtumid poliitikutele väga head võimalused neid kritiseerinute või nende mustade tegude päevavalgele toojatega arveid õiendada. Samas võib see aga ka pahaaimamatule pereisale kaasa tuua kopsaka trahvi või kahjutasunõude.

Taoliste juhtumite vältimiseks tasub alati paar hetke mõelda, enne kui mistahes kommentaar teele saata. Ontlikel pereisadel tasuks kindlasti aga oma järglastega suhelda – eelkõige netikasutuse teemadel. Samuti tasuks üle vaadata, kuidas nende koduseinte vahel leviv WiFI turvatud on. Vastavaid õpetusi leiab ka arvutikaitse.ee artiklite hulgast.

Sotsiaalsed võrgustikud ja privaatsus

social_network.pngOma viimastes artiklites olen lahanud sotsiaalse tarkvara riske ning püüdnud näidata, kuidas on võimalik neid ära kasutada identiteedivargusteks. Seekord vaatleme, kuidas on võimalik kasutada sotsiaalsetes võrgustikes olevat informatsiooni inimese enda vastu.

Mõni aeg tagasi pakkus Eesti üks esihäkkereid väiksemas vestlusringis välja idee, et võiks proovida koostada andmebaasi informatsioonist, mida inimesed on ise enda kohta erinevates sotsiaalsetes võrgustikes jaganud. Proovisin ka ise (puhtalt uudishimust) millist informatsiooni on võimalik niimoodi hankida. Valisin LinkedIn-ist suvalise inimese, kes oli oma asukohaks märkinud Eesti, kuid oma ees- ja perekonnanime oli jätnud märkimata. Kuna isik oli avalikuks jätnud oma skype aadressi, siis oli mul kümne minuti jooksul olemas tema täielik nimi, töökoht, kontaktandmed ja suhtevõrgustik. Ilmselt oleks veidi sügavamalt kaevates leidnud tema kohta veelgi informatsiooni, mis oleks sellest inimesest andnud juba üsnagi põhjaliku pildi.

Seega, nagu me nägime, on taolise andmebaasi koostamine üsnagi lihtne ning tegelikult ei vaja see mingeid eriteadmisi – peale otsimootorite kasutamise oskuse. Kuidas aga sellist andmebaasi on võimalik kasutada?

Arvestades, et noored ei kipu endale eriti oma teguviisidest aru andma, võib eeldada, et nad käituvad samuti ka internetis, seda enam, et internet loob anonüümsuse tunde. Samas ei ole võimalik garanteerida, et mõni tänane teismeline rate.ee-st ei ole homme president või peaminister. Kuna sellistes suhtluskeskkondades kipuvad olema eelkõige just aktiivsemad ja suhtlemisaltimad noored, siis on tõenäosus mõne taolise noore kiireks karjääriks vägagi suur. Samas pakuks ilmselt kõvasti kõneainet mõne poliitiku poolalasti pildid või tema ropu keelekasutusega sõnavõtt mõne teise reidika aadressil. Viimase aja sündmustest võiks siinjuures nooruse rumaluse näitena tuua kindlasti noortepeod presidendi residentsis või ühe üsnagi eduka laulja ammu tehtud teod.

Mis takistaks taolist andmebaasi loomast? Puhttehniliselt mitte miski – otsimootorid on vabalt kättesaadaval kõigile, samuti on võimalik kirjutada ise otsimootor, optimeerides seda mingite kindlate sündmuste leidmiseks.

Juriidilise poole pealt ei ole ka sellist tegevust midagi keelamas, kuna inimesed ise (juriidilises keeles andmesubjektid) on need andmed ise sinna üles riputanud. Isegi juhul, kui andmed kogumina sisaldavad delikaatseid isikuandmeid, ei reguleeri seda miski, senikaua kuni seda andmebaasi peetakse isiklikuks otstarbeks. Samas on aga oht, et selline andmebaas võidakse varastada ja see edasi müüa kollasele ajakirjandusele või näiteks väljapressimistega tegelevatele organisatsioonidele.

Lõpetuseks tahaks veelkord meelde tuletada vana tõde – enne, kui mingit informatsiooni netis olevasse vormi sisestate, tuleb üheksa korda mõelda.

Kas netiidentiteet on kontrollitav?

identity.jpgNagu ma ühes oma eelnevatest artiklitest lubasin, käsitlen sotsiaalse tarkvara nõrkusi ka selles artiklis. Kui ennist rääkisin identiteedivargusest, siis nüüd räägin sama asja teisest tahust – kellegi poolt peale surutavast identiteedipildist, esinemisest enda poolt soovitava isikuna ning võimalusest ühte või teist kontrollida.

Internetis olen teine inimene 🙂

Inimese minapilt koosneb erinevatest informatsioonikillukestest ning käitumismallidest. Internetis on info avaldamine ülimalt lihtne, samuti on seal lihtne muuta oma igapäevast käitumist. Samas tekitab internet teatava anonüümsuse, nii ei pruugi inimese internetimina reaalses elus toimuvaga absoluutselt kokku minna.

Loe edasi: Kas netiidentiteet on kontrollitav?