Tänapäeva äri toetub erinevatele infotehnoloogilistele lahendustele. Ettevõtte infosüsteemi moodustavad personaalarvutid, serverid, võrguseadmed, lisaseadmed jpm. Kõik need komponendid ühendades asutuse siseselt arvutivõrku ja enamasti ka Interneti moodustavad terviku, kus omavahel vahetatakse erinevat informatsiooni. Turvalisus mõjutab kõiki seadmeid.
Proovides anda lihtsat ülevaadet arvutisüsteemi turvalisus mõjust saab nimetada paar erinevat vaatenurka. Tehnoloogilistest võimalustest või keerukusest tulenev asepekt, kasutajate inimlikust eksitustest tulenevad aspektid, süsteemi seadistamisest ja tarkvara iseloomust tulenevad riskid. Tihti kõik need eelnevad koos tekitavadki erinevad turvariskid.
Hinnates ohte tehnoloogilistest võimalustest peaksin siinkohal ära märkima mida ma tehnoloogiliste võimaluste all silmas pean. Iga personaalarvuti pakub teistele infosüsteemi seadmetele või tarkvaradele erinevaid teenuseid. Näiteks failide jaotamine või printeri jagamine. Peale nimetatud teenuste on näiteks traditsioonilisel Windowsi töökoha arvutil kõikvõimalikke teenuseid – võimalus kaugelt haldamiseks, erinevate diagonistiliste andmete väljastamine, jpm. Nimetatud teenuseid on tihti isegi sadu. St.arvutit võib ette kujutada justkui inimest, kes ootab kõnesid – sellele helistades saab tellida infot, jaotada ülesandeid vms. Vaikimisi Windows võtab “liialt palju kõnesid vastu” – st.võrreldes ettevõttega struktuuriga on võimalik Windowsilt küsida lihtsamaid finantsandmeid, sekretäri vanust, müügimehe IQ’d vms. Selleks, et süsteem ei pakuks ebavajalikke teenuseid erinevatele huvilistele kasutatakse tulemüüri või teatud teenuste keelmist. Järelejäänud teenused, mida aga lubatakse tulemüürist läbi peavad olema vastavalt vajadusele seadistatud – et ei oleks lubatud nn.mööduvatel külastajatel teenust pärida või ei pakutaks üleliigseid andmeid. Järgmine tase riskidest tekib erinevate tarkvarade kasutamisest – näiteks teatud Internetiaplikatsioonid võimaldavad piiratud ja teine kord mitte liialt piiratud ligipääsu Sinu arvutile. Lihtsustades kehtib printsiip: mida lihtsam on infosüsteem, seda turvalisem see on. St.kui ole andmeid või kui ei ole teenust, mis andmeid jaotaks siis pole ka kuskile sisse murda. Isegi kui infosüsteem oleks perfektselt konfigureeritud ning kasutajad väga valvelvel igast liigutusest eksisteerivad ikkagi turvariskid – tarkvarades olevate vigade pärast. Soovides vähendada riske on vajalik peale konfiguratsiooni ka arvuti kasutamise võimaluste reguleerimine.
Kokkuvõtvalt: mida suuremat turvalisus ootame infosüsteemilt, seda suuremaid piiranguid peab tehnoloogia kasutamisele rakendama.
Olulisem risk on kasutaja teadlikkus arvutite kasutamisest. Olen näinud, kuidas kuidas turvalisus ja turvaspetsialistid kasutavad lihtsaid veebilehti selleks, et kaaperdada kasutaja arvuti – tihti kasutajale endale teadmata. Ohvri arvuti suuremaks juhtimiseks on teinekord vaja ka kasutaja “abi”. Tööhoos inimene ei loe pikemalt arvutile ette tulevaid teateid ning lubab erinevatel tarkvaradel teha just neid toiminguid, mida ei tohiks lubada. Kümmekond aastat tagasi kui küberturva spetsialistid demonstreerisid erinevaid võimalusi sisse murdmiseks tekkis mul tunne, et ma ei taha enam mitte kunagi arvutit kasutada. Tihti kasutatakse nn.social engineeringu oskusi selleks, et saada teatud siseinfot, et suunata kasutaja vastavale veebilehele, panna ta avama mõnda dokumenti vms – IT teenindajana teame ise kui kerge on telefoni teel suvaliselt teenusepakkujalt saada mõnda parooli või olulist infot teada – piisab vaid mõnele usaldusele viitavast väljaütlemisest ning info ongi olemas. Erinevad teenuspakkujad võivad rääkida turvalisusest – ometi on teenindajad ainult inimesed ja ka nemad eksivad. Mainida tasub ka vana head tõde, et pornograafilise sisuga veebilehtedelt ei ole midagi head oodata – vähesed aga tulevad selle peale, et Delfi artiklis kommentaarides, kus räägitakse presidendi lossis seksinud noortest võiks olla ühe kommentaarina toodud link videole, kus lubatakse vaadata ebasündsusi lähemalt – piisab video vaatamisest kui Sinu arvuti ongi juba osa ülemaailmast võrgustikust, mille kaudu proovitakse murda sisse juba järgmisse arvutisse. Kas te näiteks teadsite, et enamuse inimeste maile parooli on võimalik saada teada sekunditega kui te näiteks külastate võõrast Interneti eriala? Loomulikult mitte siis kui on piisav turvalisus tagatud – tihti see aga ei ole tagatud just kasutaja enda arvutis.
Me usaldame oma töös IT spetsialiste. Nad teavad meist paremini antud valdkonda ning me arvame, et meie andmed on kaitstud. Tegelikkuses on aga see, et väga tihti on erinevad serveritel olevad teenused seadistamata. St.pakutakse ebavajalikke teenuseid või vajalikke teenuseid valedele “huvilistele”. Tarkvarade seadistamiseks on tihti vaja mõista erinevate tarkvarade ülesehitust, nende seoseid teiste tarkvaradega ning kindlasti ka seda kuidas kasutaja tarkvara kasutab. Tihti on ka lihtsate teenuste konfigureerimiseks tohutult parameetreid. Dokumendid, kus on kirjeldatud erinevad keelud, lubamised, täppishäälestused jne on pikk kümneid ja kümneid lehekülgi. Vähe sellest – tarkvarade seadistamiseks on tehnilist dokumentatsiooni omakorda sadu ja sadu lehekülgi ning kõik see läbi aja muutub erinevate tarkvara versioonidega. Lisaks ei ole harv olukord, kus tarkvara tootja ei tea isegi, et teatud parameetrite koosmõju annab tulemuseks ebaturvalise teenuse. Kujutage nüüd ette, et teie IT spetsialist ei jõua aeg-ajalt teie kõnedele vastata – miks te arvate, et teie keeruka infosüsteemi parameetrid on sel juhul seadistatud? Hullem on olukord kui infosüsteemis on kasutuses erinevate osapoolte tarkvarad või pakuvad infosüsteemi käimas hoidmiseks teenust mitmed firmad. Kas teie infosüsteemi osadesse pääsevad sisse ka erinevad osapooled? Kas nad teevad mugavat kaughaldust? Loomulikult olete te kindel, et kolmanda osapoole kaughaldaja ei proovi teie infosüsteemi andmeid kätte saada – kõiges kahelda võib olla väga väsitav. Minu eesmärk ei ole siinkohal üldsegi kedagi hirmutada vaid näidata väga lihtsaid, võib öelda, et isegi mitte-tehnilisi turvalisuse aspekte. Mis siis oleks kui teie noor ja idealismist pakatuv IT spetsialist arutaks trollis oma kursusekaaslasega emotsionaalselt teie infosüsteemi turvalisuse puudujääke? Mis te arvate, kas te oleksite investeerinud tuhatkond eurot lintidega varundusseadmesse peale seda kui teie võrgusalvestusseadmelt kustutab viirus ühtlasi ka koopiad? Kogu seda arutelu võiks jätkata lehekülgi ja lehekülgi. Edu igapäevases töös tööb empaatiavõime ühenduses raudse loogikaga. Lisaks spetsialisti oskustele peaks teie abilised IT valdkonnas ka mõistma teisi osapooli ja ennekõige teie töötajad.
Kas te teate kui tihti tuleb näiteks Windowsile uuendusi? Haritud inimesena teate te, et need uuendused võiks muuta tööd kiiremaks, mugavamaks, turvalisemaks ja tänapäevasemaks. Kui tihti te aga olete kuulnud, et automaatne uuendus võib teie infosüsteemi töö seista pikaks ajaks? On teil selliseid probleeme olnud? Kui ei ole olnud siis on teil arvatavasti pädev IT spetsialist. Vähesed spetsialistid veedavad aega lugedes uuenduste mõju infosüsteemidele. Liialt vähesed. Kas te teatsite, et vanemate versioonide tarkvara vead on tihti internetis leitavad? St.igaüks võib tarkvaras olevat viga kasutada ära teie vastu. Mis te arvate, kas 30 000EUR maksev väga tuntud tootja varundamistarkvara on hea? Meie kogemustel alati mitte. Nii uskumatu kui see ei tundu siis ka väga kallid süsteemid ei tööta – mõnikord tarkvara vigade tõttu, mõnikord mõnel muul põhjusel. Olen näinud korduvalt olukordi, kus ei õnnestu varukoopiat taastada – tihti ei osata isegi taastamiseks kuluvat aega hinnata. Rääkimata teenuse või äriprotsessi katkemise kuludest. Kuivõrd haavatav on näiteks avatud lähtekoodiga tarkvara, mis on uuendamata? Risk võrreldes traditsioonilise kommertstarkvaraga on oluliselt suurem – veakirjeldused on ju ründajatele kättesaadavad. Ülevalpool ma juba mainisin seadistamise keerukust aga kui sinna lisada juurde, et tarkvara toimimiseks on teinekord vaja tarkvarasid, mis sõltuvad tarkvaradest, mis sõltuvad tarkvaradest jne ning nad kõik on seadistatavad. Tekib mõte, et spetsialist peab olema väga põhjalik, süsteemne ning praktilise maailmavaatega.
Loomulikult on piisav turvalisus tase saavutatav – sõtluvalt rahakotist ja sõltuvalt vajadustest – mõnikord pannakse selle jaoks relvastatud valve serveriruumi kõrvale, mõnikord aga piisab suhteliselt lihtsatest meetmetest. Tegelikult on piisav turvalisus võimalik tagada suhteliselt lihtsasti. See aga vajab tööd. Oluline on seejuures hinnata riske. Palju maksab üks tund või üks päev ilma moodsate äritarkvaradeta? Palju oleks nõus Teie konkurendid andmete eest andma? Kui palju on kulub kasvõi aega, et raamatupidajad teeks poole aasta raamatupidamise uuesti? Kas te olete proovinud peakilbist tõmmata vool välja ning jälginud edaspidist sündmuste käiku? Kas selliste sündmuste arengu jaoks on plaan? Või tuleb avastada, et varukoopia ei töödanudki? Palju teile läheb maksma aga IT spetsialisti äkiline kadumine? Kas teil on olemas teistele spetsialistidele arusaadav dokumentatsioon? Palju maksab valesti tellitud arendustöö?
Kirjutasin selle teksti selleks, et see paneks mõtlema IT turvalisus peale. Eelnev arutlus ei ole mõeldud loengu, õpetuse vms’en. Pigem on selle eesmärk tuletamaks meelde olulisi küsimusi. Tihti ei olegi olulised niivõrd konkreetsed küsimused vaid nende küsimuste esitamine – lahendusi on erinevaid, alates kaabli lahti ühendamisest, lõpetades väga spetsiifiliste turvameetmetega. Kaitsesse on vaja kordades vähem inimesi kui ründajapoolele – seega ei pea just alati Teie IT spetsialist olema küberturbe hüper-spetsialist. Küll aga võiks ta ennast selles teemas natukene harida. Esitage kõiki neid küsimusi oma IT teenindajale ja kuulake mõttega. Mis olukorras te tegelikult olete? Ei ole olemas erinevust abstraktses tões, mida ei saaks võrrelda konkreetsete tõsiasjadega – hinnake pragmaatiiselt. Kontrollige.
Kui ma sain selle kirjatüki kirjutamisega kasvõi ühe nüansi teie IT turvalisus juures parandada siis on selle artikli kirjutamise vaev juba tasutud.