Karulaas

Martin Paljak on oma blogis kirjutanud artikli võimalikust turvaaugust e-valimiste protsessis, kuna e-valimiste masin on ehitatud Debiani peale. Samas on Debiani SSL sertifikaatide genereerimisel kasutatav juhuarvude generaator vigane, mille tõttu on ründajal võimalik tekitada identseid sertifikaate. Täpsemat eestikeelset informatsiooni selle vea kohta võib lugeda minutist.

14. veebruaril toimus Eesti Turvaettevõtete Liidu (ETEL) igaaastane konverents, mis seekord kandis järjekorranumbrit VII. Sellest konverentsist õnnestus osa saada ka minul. Sissejuhatavaks informatsiooniks sooviksin mainida, et ETEL on organisatsioon, mis ühendab eestis tegutsevaid turvateenuseid osutavaid ja valvetehnikat paigaldavaid firmasid.

Teemade valik oli (nii nagu tavaliselt) seinast-seina, kuid kohe ette tuleks ära märkida, et mulle teada olevalt oli see esmakordne juhus, kus turvaettevõtete liidu konverentsil käsitletakse ka arvutiturbe aspekti. Konkreetsed teemad ja esinejad olid järgmised:

Riigikantselei on välja kuulutanud avaliku konkursi Andmekaitse Inspektsiooni peadirektori leidmiseks (lokaalne koopia).

Asja juures teeb murelikuks see, et järjekordselt otsitakse juristi. Probleem on selles, et AKI-s on juristide kontsentratsioon juba niigi kõrge ning juhul, kui ette otsa uuesti jurist satub, siis võib see kontsentratsioon veelgi tõusta, samas kui (automatiseeritud) andmetöötluse teine külg - infotehnoloogia - jääb veelgi rohkem vaeslapse ossa.

Huvitaval kombel on keegi DELFI artikli juurde " Digiloo turvalisus on pankade tasemel" postitanud lingi minu artiklile, mille ma kirjutasin samateemalise jutu kohta Äripäevas. Olgu. Asja teeb huvitavaks see, et seal on lahti läinud mingi arvatavasti kahe isiku vaheline sõnasõda, kusjuures üks neis arvab, et ta vaidleb minuga :)

Kuna seal esitati mulle soov, et ma põhjendaksin (ilmselt siis oma artiklis esitatud väiteid), siis teen seda käesoleva artikliga.

Täna toimus Küberi majas CERT aastat kokkuvõttev teabepäev, mis andis põhjust natuke ka rõõmustamiseks.

Seal tehtud ettekanded annavad alust arvata, et asi pole sugugi nii hull, kui ma ühes oma eelnevatest postitustest väitnud olen. Eriti head meelt tegi see, et CERT-i on juurde tulnud kaks vägagi arvestatavat tegijat.

Valdo Praust väidab Tänases äripäevas (NB! lugemiseks vajab parooli), et digiloo turvalisus saab olema pankadega võrreldaval tasemel. Ma usun Valdo väidet selles osas et digiloo andmebaasi osa on ülimalt turvaline. Samas ei saa ma endiselt olla nõus terve väitega.

Mitte ükski infosüsteem ei koosne ainult andmebaasist, alati on seal juures ka klientrakendused ja kasutajad. Näiteks Geenivaramu oli terviklik rakendus. See tähendab, et kasutajale tarniti ta koos klientrakendusega. Samuti kulutati selle juurutamisel tohutuid summasid kasutajate koolitusele ning nende keskkonna turvalisuse tõstmisele (eelkõige viirusetõrjed aga ka riistvarale ning valvesüsteemidele). Digiloo puhul tehakse valmis ainult andmebaas. See tähendab, et kasutamiseks vajalik klientrakendus jääb iga ühe enda mureks. Samuti pole üldse mõeldud kasutajate harimise peale. Millised on sellega kaasnevad riskid?

Euroopa Liidu andmekaitse töörühm on üllitanud juriidilise arvamuse iskuandmete mõiste sisu kohta. Iseenesest on muidugi huvitav lugemine, kuid tehnilises mõttes sisaldab see kahjuks üsna suurel jaol jama.

Näiteks peatükk isiku tuvastamise kohta, kus väidetakse, et inimese nimi on isikut otseselt tuvastavad andmed. Samas, kui ainuüksi eestist võib tuua näite, et inimese nimi isegi koos sünniajaga ei tuvasta isikut üheselt.

McAfee on teinud uuringu kasutajate turvalisuse kohta. Põhiline, mis sealt lugeda võib ning mis kinnitab ka minu teooriaid ning Arvutikaitse.ee vajalikkust, on selline:

• 92% kasutajatest arvab, et neil on toimiv viirustõrje. Tegelikult on selline ainult 51% kasutajatest
• 73% kasutajatest arvab, et neil on toimiv tulemüür. Ainult 63% on see tegelikult ka olemas.
• Kui 70% kasutajatest arvab, et neil on olemas nuhkvaratõrje, siis tegelikult on see olemas ainult 55% kasutajatest.
  
  

Viljar Jaamu on välja käinud idee muuta Tallinn Skandinaavia finantskeskuseks. Ideel on minu arvates jumet, eriti kui arvestada Eesti seisu e- ja i-panganduse alal. Samas, nagu näitavad aprillis toimunud sündmused, on e-eesti infrastruktuur e- ja i-panganduse jaoks natuke liiga haavatav. Pankurid aga sellise riski peale eriti minna ei taha (mis on ka loomulik).

Mis parandaks seda olukorda? Esiteks kindlasti igapäevane arvuti põhitõdede selgitamine. Mind pani sügavalt hämmastama ühe suure ja tuntud ehitusfirma vastus meie poolt saadetud ddoc failile - „me ei oska sellega midagi peale hakata, palun saatke meile pdf“. Ka riigi enda poolt pakutavad lahendused on kohati üsna ajast ja arust. Ühest sellisest näitest võib lugeda Wolli blogist. Samas pole siin suurt midagi imestada. Vaadates tänapäeval ülikooli astujate arvutioskuse testide tulemusi, tekib täielik masendus – pea kolmandik ei oska arvutit kasutada elementaarse AO tasemel. Siinjuures ei tasu üldse mainimist, et veel vähem teatakse arvutite turvamisest.

Üllar Jaaksoo on õhku visanud idee küberkaitseliidu moodustamisest ja kaitseminister on jäänud positiivselt äraootavale seisukohale. Hetkel siis ilmselt oodatakse ettepanekuid, millega konkreetselt see küberkaitseliit tegeleb.

Kui võtta aluseks analoogia, siis tuleks vaadata, millega tegeleb Kaitseliit pärismaailmas. Hetkeseisuga on siis tegemist vabatahtliku relvastatud organisatsiooniga, kes õpib ja harjutab sõjalist tegevust ning tegeleb vahel ka riigikaitseliste operatsioonidega. Kaitseliidu põhitegevus on niisiis õppimine et ennast ja kaaskodanikku kaitsta.