Käesoleval ajal on turvaanalüütikute suurimaks probleemiks saamas turvariskide tõestamine. Küsimus polegi enamasti selles, kas risk kui selline tegelikkuses eksisteerib, vaid just nimelt see, kui suur on mingi asja sündimise tõenäosus.
Enamasti hindavad turvamehed riske kõrgemalt kui need tegelikkuses aset võiksid leida. Eks niisugusel suhtumisel ole ka omad objektiivsed ja subjektiivsed põhjused. Ühest küljest, nagu ütleb Murphy – kui mingi asi saab metsa minna, siis ta kindlasti sinna ka läheb. Teisest küljest puutuvad turvamehed keskmisest rohkem kokku kõige halvaga ning see muudab nad (võib-olla et ülemäära) paranoiliseks.
Samas kipuvad need, kelle käes on ettevõtte rahakott, hindama riske (oluliselt) madalamalt, kui need tegelikult realiseerima kipuvad. Tüüpiline suhtumine on niisugune, et kui turvamees väidab midagi probleemiks olevat, tahavad otsustajad riski taga näha statistilist tõenäosust ning ütlevad, et ilma kindlate tõendite ja taustsüsteemita peavad nad seda järjekordseks uudiseks kurioosumite rubriigis: „Täna sai jälle üks peasapallur välgulöögist surma“.
Mõnes mõttes on selline suhtumine arusaadav. Kuna turvalisuse esmane eesmärk on halbade asjade ärahoidmine, siis turvameeste korrektse tegevuse korral enamasti midagi ei juhtugi. Samas on turvameetmete rakendamine suhteliselt kallis ja tülikas. Äärmuslikul juhul on sellest tulenev turvalisuse ignoreerimine läinud niikaugele, et firma turvapoliitika ongi: „Ei mingeid turvameetmeid ning kõik kahjud loeme äritegevuse loomulikuks osaks“.
Eriti keerukas on riskide tõestamine arvutiturbe alal. Riskid ise tekivad ja kaovad oluliselt kiiremini ning tagajärjed on, vähemalt esimesel pilgul, palju vähem fataalsed. Näiteks on enamik viiruseid küberkriminaalidele kasulikud esimese 24-48 tunni jooksul. Pärast seda on viiruste signatuurid juba viirustõrjefirmade poolt kirjeldatud, viirustõrje suudab pahalase ära tunda ja eemaldada ning suurt kahju see enam teha ei saa.
Samuti ei ole Eesti ettevõtetel ja asutustel kahjuks kohustust raporteerida turvaintside toimumisest. See aga vähendab riskide tead(us)liku analüüsi võimalusi. Eelkõige selles osas, mis puudutab reaalset statistikat selle kohta, mis on ohtlik ja millistele sihtrühmadele.
Nii ongi, et spetsialistid hoiatavad riskide eest ja (tava)inimesed peavad nende hoiatusi lihtsalt hirmutamiskampaaniateks. Tüüpilise näitena võib siinjuures tuua AssaPauk kampaania ja selle kajastusi Eesti blogosfääris.
Kahjuks ei ole mul hõbekuuli probleemi lahendamiseks, kuid arutleda võiks selle üle, kas ettevõtetele või vähemalt riigiasutustele peaks panema kohustuse intsidentidest teavitada (näiteks CERT.EE-d). Teisest küljeks võiks CERT.EE avaldada oma „tormihoiatusi“ kindla regulaarsusega, näiteks igakuiselt. Võib-olla parandaks see otsustajate turvateadlikkust ja riskitunnetust?
Arvan, et intsidentidest teavitamine võiks olla turvainimeste jaoks vabatahtlikult kohustuslik ehk südametunnistuse asi. See teavitamine on niisama lihtne, kui lihtsaks see protseduur tehakse ja niisama kasulik, kuipalju sellest edastatavast infost välja suudetakse pigistada. Igaüks eraldi (turvainimene) võib ju olla “kuningas” oma “kuningriigis” aga mida rohkem on alginfot, seda paremaid järeldusi peaks saama teha.