E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid

Inimene kui suurim IT turvarisk

 Võiks arvata et kõige suurem turvarisk on mõni  tarkvaraviga või turvapaik, mida pole lapitud, mõni krüpteerimata seade või valesti konfigureeritud server. Ometigi saame aru et tegemist ei ole ju seadmete veaga vaid inimfaktoriga. Nende näidete puhul on ebaturvalisuse tekitanud inimene ise, IT süsteem käitub täpselt nii nagu ta käituma on pandud.

Inimfaktorist tulenevaid vigu saab vähendada (mitte ellimineerida) eelkõige Mitnicki valemi kolme komponendi (tehnoloogia, koolitus, reeglid) abil.

Tehnoloogia

 Kuidas välistada inimese tekitatud turvarisk? Väga lihtne, ära luba inimesel eksida, vii eksiminsvõimalus miinimumini. Kõige paremini kaitseb serverit internetist tulevate mistahes rünnete vastu serveri internetiga mitte ühendamine. Aga siin tuleb ka arvestada et inimesed on vägagi leidlikud. Olen näinud IT-süsteeme, mis ei ole ette nähtud internetiga kokku puutuma. Valveadministraatoril oli nii igav et otsustas arvutiga ühendada USB 4G modemi ja saigi internetiühenduse. Keegi ei tulnud selle peale et lisaks tuleks ka ära keelata igasugused pordid ja tarkvara installeerimise, draiverite installeerimise võimekus.

Koolitus

 Olen koolituse saanud, seesama koolitus mis mul oli 11 aastat tagasi on väga hästi meeles. Ära usalda kedagi, ära topi võõraid seadmeid arvutisse, ära käi kahtlastel lehekülgedel, ära ava kahtlaseid manuseid, ära installeri tundmatut tarkvara jne jne.

Me kõik teame neid nüansse ju. Ometigi võib juhtuda et tahest tahtmata juhtub...

Meie ettevõttesse saabusid paar aastat tagasi turvakoolitajad, selle kohta saadeti ka töötajatele infokiri, kehitasin õlgu, mis siis ikka, tore, ma ju tean reegleid ja elementaarseid nüansse, mind pole vaja koolitada.

Möödusid mõned nädalad ja mu postkasti potsatas õhtul kell 17.05 kiri personaliosakonnast, uudis oli väga meeldiv, nimelt olid määratud preemiad ja seoses uue personalitarkvara kasutuselevõtmisega saavad kõik nüüd ise personalitarkvarast minna sellega tutvuma, kehtivad samad paroolid mis kõikides muudeski süsteemides. Suurepärane! Tahan kohe teada, kui palju ma preemiat sain! Seda enam et sellist asja pole kunagi juhtunud. Vajutasin siis kirjas olevale lingile, avanes täiesti tavapärane personalitarkvara vaatega lehekülg(mida olin ka ennem külastanud kordi ja kordi), püüdsin siis sisse logida, kahjuks ei õnnestunud.

Alles siis ma sain aru, millega oli tegemist, e-post oli saabunud mitte meie ettevõtte serverist vaid väljastpoolt, e-mailis oli tavapärase xxxxxx@personal.ee asemel xxxxxx@personol.ee (need aadressid ei seostu mitte millegagi ja on lihtsalt näite illustreerimiseks toodud). Lingina kaasas olnud viide viis aga väljaspool maja olevasse maskeraadserverisse, kuhu ma sisestasin enda töökontode logimise andmed koos paroolidega. Loomulikult kui asjast aru sain vahetasin koheselt kõik oma paroolid ja teavitasin sellest ka IT-d. Selgus et tegemist oligi koolituse ühe elemendiga.

Olin endas nii pettunud, mina, IT teadlik inimene, langesin sellisesse lõksu!


Reeglid

 Kõige aluseks on reeglid, koolituse, tehnoloogiat saab rakendada reeglitega. Näiteks arvutisse võõraste seadmete sisestamise keeld, tarkvara installeerimise keeld, e-postiga kaasas olevate linkide avamise keeld. Aga ometigi on inimesed ekslikud, kas unustavad, ei pane tähele, eksivad. 

Enda tähelepanekuna võin öelda et turvalisus ja mugavus peavad olema tasakaalus, selle tasakaalu leidmine ei ole sugugi lihtne. Näiteks kõige mugavam oleks kui mitte ükski asi ei oleks lukus, ei arvuti, ei välisuks, telefon jne jne. See oleks väga mugav, samas äärmiselt ebaturvaline. Kui kõikidel asjadel oleks topeltkrüpteeringud, välisuksest saaks sisse ainult siis kui keeratakse kahte võtit, mis peavad kuuluma kahele isikule... väga turvaline! Kuid see eest äärmiselt ebamugav. Inimesed hakkaksid ebamugavusest mööda hiilima ja nad on juba paganama leidlikud, mõnikord nad isegi ei arva et nad millegi vastu eksiksid või midagi valesti teeksid. Selle vastu aitavadki reeglid, milles on üheselt kirjeldatud, mis on lubatud ja mis ei ole lubatud. Kuidas saab arvutisse väliseid seadmeid paigaldada ja kes selle eest vastutab.

Comments

Post a Comment

Popular posts from this blog

12: Inimese ja arvuti suhtlus, ergonoomika ja kasutatavus

Positiivne näide kasutatavusest veebis Sotsiaalkindlustusamet i veebilehe näitel. Sotsiaalkindlustusameti veebilehte külastavate isikute seas on ilmselt kõige rohkem erinevat kasutuskogemust vajavaid inimesi, seetõttu on selle lehe loomisel sellele aspektile eraldi suuremat tähelepanu pühendatud. Vastupidiselt komertsportaalidele ongi prioriteediks info edastamine, kui hästi või halvasti see on õnnestunud on iseasi. Kodulehe koostamisel on püütud järgida WCAG 2.0 AA suuniseid, mis hõlbustaksid nägemis-, kuulmis-, füüsilise-, kõne-, tunnetusliku-, keele-, õppimis-, ja neuroloogiliste puudustega kasutajatel. Portaalis on võimalik navigeerida klaviatuuriga, tab klahvi abil, kahjuks muid liikumiseks sobivaid klahve ei tuvastanud (tab+shift liigub tagurpidi). Sisu saab suurendada tavapäraseid klaviatuurikombinatsioone kasutades. Värvide muutmisega saab muuta sisu kontrastseks, mis abistab nägemispuude puhul kodulehte hõlpsamini kasutada. Vaegnägijate jaoks on ekraanilugejatele arusaadavate
Read more

1: Noppeid IT ajaloost

Image
IT alased lahendused on meid otseselt või kaudselt puudutanud juba aastasadu, võiks öelda et isegi aastatuhandeid.   Ajast enne aastat 1900 Kindlasti paneb aastatuhandete väide nii mõnelgi kulmu kerkima? Te ei ole ainus. Mind hakkas huvitama iidse Egiptuse infotehnoloogilised saavutused, ehk oli neil juba mingisugune arvutusmasin olemas? Arvutit ma ei leidnud, "kindlasti oli neil side kosmosega" jääb samuti pigem ulmevaldkonda. Tänapäeva arvutites toimub kogu info töötlemine kahendkoodis , seda digitaaltehnika iseärasuste tõttu. Sarnast arvutusmetoodikat kasutasid ka iidsed Egiptlased , Horuse Silma jaotised ( Eye of Horus Fraction ) on sarnane kahendkoodile. Esimesed dateeringud sellisest numbriloogikast pärinevad 2400 aastat ennem kristust , ehk 4400 aastat tagasi. Päris muljetavaldav, mis? Näide jagamistehtest (pilt blogist ) Näide korrutamistehtest (pilt blogist ) Aastatest 1901-1950   Konrad Zuse ehitas 1936-1938 oma vanemate elutoas esimese elektromehhaanilise bi
Read more

6: Arvutid ja paragrahvid Iː tants intellektuaalomandi ümber

 Konstruktiivsed ettepanekud autoriõiguste reformimiseks Rick Falkvinge ja Christian Engström on kirjutanud raamatu " The Case for Copyright Reform ". Selles teoses on nad pakkunud välja lahendused autoriõiguste reformimiseks.  Ennem mingisuguse teose lugemist on mul tavaks saanud natukene uurida selle autorite tausta, saamaks aru nende kompetentsi ning motiivide kohta. Seda teost lugede tekkis mul samuti kõigepealt küsimus, kes on need kaks inimest? Midagi ju peab seal taga olema, miks nad nii kirjutavad? Arvasin et ilmselt on nad teemas täielikud diletandid, niivõrld võhiklikuna ja naiivsena tundus kirjutatud tekst. Lähemalt uurides pidin endale tunnistama et võhik ja diletant olen mina (vähemalt nendega võrreldes), varajasema teemakohase kogemuse poolest. Christian Engström on pikalt (1978-2001) töötanud autoriõiguste ja kaubamärkidega tegelevates ettevõtetes, mis moondas temast diletandi asemel hoopis eksperdi (minu silmis). Rick Falkvinge on samuti väga suure arvutia
Read more