Eesti ekspert: IT-turvalisusega seoses läheme inimestena tihti ahvilaadsesse seisundisse

Veebidisainer OÜ juhatuse liige ja Veebimajutuse partner Robert Jakobson jagas Veebimajutuse blogi jaoks oma mõtteid küberturvalisuse vallas. Selgub, et küberturvalisust ei ole võimalik täielikult tagada. Siiski on võimalik oma veebilehte turvalisemaks muuta, jälgides neid seitset sammu.

Mida tuleb veebiturvalisuse tagamiseks teha?

Veebilehe omaniku kohustusi võime kujutada tavapärasest laiemal elukaarel, mis algab tema veebilehel andmete turvalise vahendamisega ja jätkub veebilehel kogutud aga mujal, näiteks majandustarkvaras kliendiandmete turvalise käsitlemisega. Elukaare teises otsas on küsimus: mis saab andmetega, kui veebileht lõpetab tegevuse?

Isegi, kui veebileht ei tegele vahetult e-kaubandusega, vaid küsib klientidelt andmeid pelgalt kontaktvormi kaudu, tasub alustuseks tagada lehe ja külastaja vahelise infovahetuse turvalisus SSL-i abil ning veenduda, et veebilehe administratiivliidese kasutajakontode salasõnad on keerulisemad ja pikemad, kui harjumuspärased 123firmanimi.

Sarnaseid põhitõdesid veebilehe turvamiseks on veel, aga samas paljude asutuste veebiturvalisus ei piirdu veebilehe endaga. Kui lõviosa tundlikest andmetest jagatakse läbi e-posti, siis tuleb üle kontrollida, et asutuse e-kirjavahetus kasutaks TSL/SSL krüpteeringut. Lisaks võiks kaaluda jõulisemasse spämmifiltrisse investeerimist, mis oleks võimeline paremini tuvastama petukirju.

Lisaks e-kirjavahetusele liiguvad veebilehest saadud andmed tihti edasi majandus-, turundus-, ja pilvetarkvarasse. Seetõttu võiks väiksema asutuse või veebilehe omanik kõiki veebilehega seotud infosüsteemide haldamiseks kasutatavad salasõnad ja muu vajaliku teabe kokku koguda ja talletada eraldi tarkvara abil nagu LastPass või 1Password. See hõlbustab ülevaadet kliendiandmete käsitlemisest, turvalisemate salasõnade loomist ja aitab tagada, et salasõnad ei langeks valedesse kätesse.

Kui kasutate äritegevuses klientide andmeid suuremates rahvusvahelistes tarkvaralahendustes nagu Gmail, Google Docs, Dropbox või Mailchimp, tasuks kasutusele võtta kahetasemeline autentimine.

Viimaks tasub meil veebilehe omanikena läbi mõelda, mida teeme andmetega siis, kui veebileht, ettevõte või projekt lõpetab tegevuse või sellel vahetub omanik. Peame tagama, et meie klientide või muud tundlikud andmed kunagi ripakile ei jääks. Keegi ei sooviks, et just meie asutuse logoga dokumentidest teeks "Pealtnägija" järgmise lõigu "leitud prügimäel" või "müügil eBays 20 dollariga."

Millised on suurimad vead, mida veebilehed turvalisuse osas teevad?

Veebiturvalisust nähakse kitsalt oma konkreetse veebilehekeskse küsimusena. Tegu on ikkagi kasutajaandmetekeskse küsimusega. Ja kuna kasutajaandmed liiguvad paljude äppide, seadmete ja lehtede vahel aina enam ja enam, siis peame veebilehtede omanikena tundma suuremat vastutust selle eest, kust andmed meie veebilehtedelt edasi lähevad. Nõrk lüli ei pruugi alati olla tehniline viga.

Millised on suurimad kasutajatepoolsed vead?

Jagaksin kasutajapoolsed vead kaheks: vead, mida teeme tarbijatena näiteks e-poes osteldes ning vead, mida teeme ise kas enda kodu või tööandja IT-lahenduste omanike või haldjatena. Mida enam internetiteenused arenevad, seda enam põimub meie tarbijaroll ka omaniku või haldaja rolliga. Muutume andmete prosumeriteks, consumer + professional.

Tarbijatena teame oma vigu suhteliselt hästi: salasõnade salvestamine sinna-tänna Wordi dokumenti või paberilipakatele. Veebis osteldes või suheldes pimesi kiirustades käitumine ja tagasi vaadates ilmselgete turvaohtude eiramine. Lisaksin sellele liiga suure isikliku jalajälje jätmise, mis lubab isegi tosinast anonüümsest kommentaarist selge profiili välja joonistada.

Tulevikku vaadates näeme, et oma andmete haldamises kümnete kui mitte sadade ja tuhandete äppide ning nutiseadmete vahel ehk kõikeläbivaks võtmeküsimuseks saab andmete käsitlemise elukaares nõrga lüli tekkimise vältimine. Tavaliselt on nii, et kui tekib kas või üks nõrk lüli, siis inimliku mugavuse inerts viib ka teiste etappide ebaturvaliseks tegemiseni. Seega on väga erinevate turvaskandaalide taga peidus meie kõigi suurim viga: suutmatus teadvustada, et piisab ka väiksest eksimusest, et päästa valla terve lumelaviin.

Kõige ilmekam näide on kuidas USA endine riigisekretär Hillary Clinton kasutas oma ametiajal kellegi kolmanda isiku vannitoas asetsevat serverit riigisaladusi sisaldavate e-kirjade vahetamiseks oma meeskonnaga ja osaliselt ka väljaspool seda. Kuigi seegi tõik on juba iseenesest nii skandaalne kui ka paljude spetsialistide hinnangul kriminaalne, siis pole see veel loo kõige hullem pool.

Asi läks tõeliselt hulluks, kui tippametnik, kelle ainsaks ülesandeks oli Clintoni alluvuse oleva asutuse IT-süsteemide turvalisust tagada, otsustas oma mugavusest, et selle asemel, et Clintoni väärkäitumist lõpetada, on kergem terve välisministeeriumi e-postiserverite turvaprotokolle leevendada ja viia Clintoni ad-hoc, turvamata serveri tasemele.

Mis on need faktorid, mis enim küberturvalisust mõjutavad?

Enim mõjutab turvalisust meie kui tavakasutajate inimloomus. Tooksin selle kohta välja kaks asjaolu. Esiteks, me ei langeta otsuseid ratsionaalselt.

Seda ilmestab Ameerika sõjaväe 1980-ndatel tehtud uuring sellest, kuidas parandada otsuste tegemist lahingus. Uurimuses leiti, et psühholoogilise surve all olles me ei võrdle omavahel erinevaid valikuid, valides nõnda parima võimalikku, vaid suudame hoomata vaid ühte võimalust korraga.

Proovime ükshaaval ja tavaliselt kiirustades, kas midagi töötab ja kui mitte, siis võtame ette järgmise, kuniks leiame midagi, mis lubab eesmärgi suunas edasi liikuda või ohust vabaneda.

Näitlikult mõeldes: kui lõvi ründab ahvi, siis ahv jookseb esimese ettejuhtuva puu otsa. Pikemalt mõtlemata, milline läheduses olev puu on kõrgeim. Antud uuringus oli üheks stsenaariumiks olukord, kus samal ajal kui sõduritele õpetati, kuidas turvaliselt lennukist väljuda. Üks osa sõduritest kuulis kõrvalt, kuidas piloodid rääkisid, et lennuk on kohe alla kukkumas ja teine mitte. Nagu võib arvata, need, kes kuulsid piloote ei suutnud hiljem treeningul õpitut meenutada.

Kuna kaasaegseid kasutajasõbralikke arenduspõhimõtteid järgides tehakse turvalisus märkamatult lihtsaks, siis enamasti põrkume tavakasutajatena veebis turvaküsimustega kokku vaid siis, kui mõni turvalisusega seotud tõrge takistab meid tegemast midagi pakilist. Ja pahatihti lähme taolises olukorras sarnasesse ahvilaadsesse seisundisse.

Teine asjaolu on,  et isegi juhul kui me tavakasutajatena leiame aja hinnata turvariske, siis me kipume üle mõtlema. Ühes teemakohasemas uuringus püstitati tavakasutajatele ülesanne ettevaatlikult hinnata veebilehtede turvalisust vastavalt tehnilistele indikaatoritele ja selgetele juhistele. Asi lõppes sellega, et teadlased pidid uuringu katkestama, sest inimesed ei suutnud otsustada ja jäid lõputult analüüsima.

Kas on olemas mingi viis, kuidas tagada sajaprotsendilist turvalisust?

Ei. Sellist viisi ei ole olemas.

Kirjelda palun ideaalset ja kõige jubedamat turvalisuslahendust.

Asi on inimestes. Kõige jubedam turvalisuslahendus on see, kui turvalisuse eest paneme vastutama inimese või rühma inimesi, kelle huvid ja kompetents on selgelt mujal. Inimene ei ole suuteline vastutama selle eest, mis teda ei huvita.

Ma ei usu, et turvalisuslahendust saaks pelgalt mõõta vigade järgi. Sest ka paljud turvaeksperdid teevad vigu. Viimased aastad on näidanud, et isegi palju vigu. Aga nad õpivad ja arenevad edasi, sest neil on kirg asja vastu. Ning me kõik võidame sellest arengust vähehaaval.

Kokkuvõtvalt: ideaalilähedane kompetents ja vastus uutele ohtudele on saavutatav inimeste poolt, kelle jaoks turvalisus on kirg ja asi iseeneses.

Soovitatav kirjandus:

Algne artikkel avaldati Geenius.ee lehel meie blogis.

Jaga