Andmeturve ja selle (kolm hädavajalikku komponenti) (Teema 14)

 

Andmeturve on tänapäeval üks tähtsamateist asjaoludest inimeste igapäeva elus. Sõltumata sellest, et inimest ennast loetakse domineerivalt suurimaks turva nõrkuseks, defineeriksin seda veidi paremini. Algab inimest ja lõppeb seadistusega ning riistvara ja süsteemi võimekusega. Inimene kui "tihend"/ kasutaja on küll "peremeheks" v.a arvatud pilve teenuste puhul, kus on firma taga. Sõltub ka peale inimese tehnilise poole seadistustuse ja võimekusest turvalisus (kräkkitud süsteem) või süsteemi vananemine, kuid siiski kasutusel olemine. Vana tehnoloogia puhul nagu on NASAS kasutusel on suureks võtme sõnaks, mitte võrku ühendatud seadmed, vaid lokaalne ühendus, mis ei laiene välis maailmassse.

Turvarisk: (Buffer overflow)

Vead süsteemis, mille  halvemal halvemal tagajärjel jõuab andmete varguseni või isegi teenuse kasutamise katkemiseni, viimasel nimetatud juhul pole mitte ainult IT-ga seotud riskid, vaid mõjutavad ka äri ja inimeste isiklikke andmeid. Turvarisk võib maksma minna halvemal juhul väga palju- teenus maas (ei saa kasutada), Riistvara halvamine, rahaline kahju, maine kahju, klientide kaotus, usalduse kaotus. Suur töö andme omaniku teavitamisel (Eesti eelmise aasta mõjutus 300 000 foto lekkimine ERR https://www.err.ee/1608293655/fotode-lekkimise-eest-huvitise-saamine-on-vahetoenaoline 03.04.2022).

RIA esindaja poolne kommentaar "Juhtum kiirendab punase tiimi loomist". Tõstatab küsimuse, kes vastutab eesti e-riigi toimimise ja julgeoleku eest, et neid riske maandada võimalikult nulli lähedale?

Lisaks eesti.ee ettevõtete andmetele ligipääs andmebaasist, õnneks nõuab see rohkemaid teadmisi ja oskuseid, ent siiski oli võimalik.

Enamasti on risk kõige suuremal määral inim faktori tõttu. Inimesi koolitades saab riski maandada, aga kahjuks ei saa riski täiesti 100% ellimineerida. Tuleb meeles pidada, et tarkvara arendajad teevad programmi kirjutades vigu. Õnneks tarkvara testimisega, enne kui see kommerts kasutusse läheb vähendatakse seda riski, kuigi osalised riskid siiski võivad jääda kuna tarkvara testimis valdkonnas on väljend "Exhaustive testing is impossible". Sõltub, kuidas tellija suhtub riski, eeldades, et  riski analüüs on tehtud. Üks lihtsamatest näidetest on läbi autentimis süsteemi süsteemi sisse pääsemine. See võib tingitud olla, vananenust ja liiga lihtsalt paroolist, mida on võimalik "Rainbow" või tänapäevase terminiga "Brute-force-attack", mõlemad nimetatud on omavahel seotud. Teine nimetatud riskist on eriti ohtlik kui kasutusel on lühike parool või ründaja on suutnud varastada arvuti kasutaja sisse logimis küpsised. Küpsiseid arvutisse salvestades on kasutaja elu mugav- ei pea mitu korda sisselogimis andmeid sisestama, mis aega võtab omajagu, aga ründajale magus saak. Mainimata ei saa jätta, et autentimis süsteemide nõrkusi kasutatakse samuti ära. Internetis enam levinuks saanud on (Captcha) kasutamine ja "I´m not a robot" kastikesele linnukese tegemine. Identiteedi varguse näitest saab viimati tuua perioodi, kus inimeste smart-id kasutati ära vale sisselogimisega- kasutaja sai smart-id teavituse tavapäraseid tegemisi tehes. Sain ka ise, aga eelnevalt oli piisavalt tark smart-id sulgemiseks kuna see oli tavapäratu ja imelik minu jaoks. Hiljem juba kuulsin uudistest, et see on laia ulatuslikum rünnak, mida võiks samastada "kalastamisega".

Tehnoloogia- Turva riskide maandamiseks

Tehnoloogilisest poolest saab leevendada rünnaku mõju. Nii load balanceriga kui ka MFA-ga. MFA on küll aega nõudev, aga ilmselt mugavaim tavakasutajale. Mugavamaks teeb kasutamise SSO. SSO puhul on tihe arhidektuuri jälgimine ja parandamine nagu on seotud protokollide kasutamise jälgimine ja vajadusel parandamine. Samuti ka sisselogimise (Session) ajaline piirang Load balancer on nö brutaalse päringute jaoks, et süsteem nende tõttu maha ei langeks.

Reeglid

Reegleid nagu "organisational policy" ja "user policy" tuleb igal pool rakendada, sest need on siiski põhjusega kirjutatud ja nende jälgimine maandab (turva)riski kui need on täidetud ja rakendatud. Muidugi kui neid täidetud pole siis on raskusi- tuleb harida inimesi. Tagajärjed sõltuvad ohust ja kui on miskit juhtunud siis ka juhtunu tagajärgede ulatusest. Reegleid saab ka võtta nii kokkulepituid kui ka kasutada turvalisuse standarti või raamistiku kohaselt. See seab süsteemi kasutaja kohustused ja kasutaja õigused, millega tuleb nõustuda, et teenust kasutada. Kui aus olla siis enamasti tüütusest ja ebamugavusest ei loeta reegleid läbi kasutajate poolt. Teenust osutavad firmad teevad endi elu lihtsamaks asjaoluga, et kasutaja peab nõustuma teenuse osutja tingimuste ja reeglitega. Omaette huvitav on aspekt, et kui palju jälgitakse nii kirjutatud reegleid kui ka kirjutamata (head tava) päraseid reegleid. Kräkkerite maailmas ju on reegel, et pole reegleid, sõltumata sellest et seda kuskil kirjas pole- kõigest suuline reegel.

Koolitus

Koolituse koha pealt on arendajatele koolitused nii turvalise koodi kirjutamise suhtes kui ka programeerimis keelte uuendustega kaasnevad parandused. Koolitused võivad olla kallid, aga parem investeerida alguses see summa+ aeg teadmiste uuendamisse ja täiendamisse kui hiljem kannatada 3-10 kordselt suuremat kulutust nii ajaliselt kui ka rahaliselt. Ei saa ka ära unustada, et kasutajaid tuleb harida ja selgitada näiteks, milleks on vaja MFA-d. Lisaks ka internetis liiklemis tähelepanu pöörata mitmesugustele viidetele, mis kasutajale kuvatakse. Tuleb tõdeda, et näiteks kohvikus on suhteliselt raske tuvastada, kas wifi võrguga ühendudes on tegemist kaksikvõrguga või siiski legitiimse kohviku võrguga ühendumine. Õnneks on teadlikumad kohvikud ja avaliku wifi võrgu levitajad ühendujaid suunamas veebilehe, kus tuleb nõustuda kasutamise tingimustega. Enamikel kohvikutel on olemas ka info letis või näiteks laual kirjas wifi nimi (ssid) ja parool- turvalisus aspektist ei anna see garnatiid. Eestis juba üld teada pisut kohvikute reklaami vastane on välja hüigatud soovitus "ärge ühendage enda arvutit kohviku wifi võrku". Tegemist on 50/50 võimalusega, kas miskit kahtlast toimub-rünnet sooritatakse või siiski on turvaline olla. Teadlikum kasutaja võiks teada, et soovituslik on kasutada WPA2/WPA3 protokolliga ühendust, kuid tuleb tõdeda, et seda oskab vaadata ainult teadlikum (spetsialist), kui pole parooli sisetades näha, mis protokolliga tegu. Lähtudes inimlikkust aspektist lõpetuseks peaks kasutajat harima minimaalsest vajalikkust, mida vaja jälgida ja teha. Seda pole ehk palju, aga piisab ka vähesest, et suuremat kahju ära hoida.