Äripäev on läbi aastate teinud tänuväärset tööd ettevõtjate infoturbe alasel harimisel ning eile, 28. mail, õnnestus mul osaleda Äripäeva järjekordsel IT-turbe seminaril „Mida tähendab IT turvalisus ettevõtte jaoks?”
Arvestades möödunud aasta aprillis-mais toimunud sündmusi, oleks võinud eeldada, et tegemist on kuuma teemaga ning osalejaid on palju, kuid kahjuks jäi osalejate arv 30-40 ümber. Sellest on kahju, sest minu arvates on tegemist siiski olulise teemaga ning ka esinejad olid oma ala professionaalid.
Teemad ja esinejad
- Â IT turvalisuse trendid. Mis on selles valdkonnas hetkel aktuaalne? – Andres Salu, TÜ infotehnoloogiajuht
- Â Kuidas turvalisusega mitte üle pingutada? – Erkki Leego, Hansson, Leego & Partner OÜ juhtivpartner
- Â Kuidas planeerida äri jätkusuutlikuks (Business Continuity Planning)? – Avo Aasma, CISA BBM projektijuht
- Â ISKE – riiklik turvanõuete süsteem: kas lihtsam kui arvatakse? – Mari Seeba, Cybernetica AS IS audiitor
- Â Millel põhineb identiteedihaldus? – Marti Toropov, Microlink Eesti AS, valdkonnajuht (identiteedihaldus)
-  Milliseid võimalusi pakub NATO Kooperatiivse Küberkaitse Ekstsellentsikeskus Tallinnas? – Peeter Lorents, NATO Kollektiivse Küberkaitse Ekstsellentsikeskuse loomise projektimeeskonna juht ja EBS’i IT õppetooli juhataja, professor
- Â Epistel küberruumi olukorrast ja hääd mõtted. – Toomas Lepik, CERT Eesti (Riigi infosüsteemide arenduskeskus) infoturbe ekspert
Millest räägiti
Andres Salu rääkis hetkel andmetöötluse ja -turbe trendidest suurima delikaatsete isikuandmete töötleja seisukohast. Mõned meeldejäänud märksõnad ja laused, millest räägiti:
Informatsioonil on tekkinud omaette väärtus, mis on suurem, kui tavaliselt arvatakse. Sageli pole väärtus mitte ainult andmetes endis, vaid ka esitlusviisis. Informatsiooni kontrollib ka kolmas osapool, näiteks Selveri Partnerkaardi alusel toimub tarbimisharjumuste analüüs. Kõige suuremaks ohuks on lõppkasutajad ning seda ennekõike teadmatusest. Siinjuures märkis ta ära arvutikaitse.ee positiivse mõju lõppkasutajate harimisel.
Pahavara on muutunud intelligentseks – ta oskab muteeruda, mis raskendab tema avastamist. Turvapaigad tuleb installeerida võimalikult kiiresti, kuna on tekkinud hulk inimesi, kes uurivad, mida üks või teine turvapaik teeb ning organiseerivad vastavalt selle ka mõne ründe. Seadusandlik surve peaks tekitama olukorra, kus mittetehnoloogilised aspektid muutuvad tehnoloogilistest olulisemaks. Näiteks et arvuti sulgemine muutuks sama tavapäraseks kui ukse lukustamine.
Lõpetas ta oma sõnavõtu viie märksõnaga, millele tuleks tema arvates senisest enam tähelepanu pöörata: X-tee, ISKE, kodanikuportaal, ID-kaart ja mobiil-ID.
Erkki Leego sõnul on absoluutse turvalisuse tagamine võimatu, ühtlasi hakkab turvataseme suurendamisel kasvavad kulud hüppeliselt. Kulutuste mõistlikul tasemel hoidmiseks tuleks teha riskide hindamine ning paika panna lubatud jääkriski tase. Turvalisusele kuluvad summad tuleks eraldada sellest lähtuvalt. Nii oleks võimalik maandada oma olulisemad riskid, hoides seejuures kulud kontrolli all.
Ettekandes toodi välja ka põhilised kulude kohad – need on olukorra hindamine ja dokumenteerimine, infrastruktuuri planeerimine ja seadistamine, tarkvara litsentsid, füüsilise turbe tagamine, koolitus.
Avo Aasma rääkis, kuidas ehitada infrastruktuuri mõttes jätkusuutlikku ettevõtet. Eelkõige tuleks alustada riskide hindamisest ja võimalike tagajärgede mõju hindamisest. Infotehnoloogilises plaanis on oluline koht varundusel ning selles osas oleks vajalik teha kõigepealt korralik varundusplaan. Samas plaanist ning selle järgi tegutsemisest üksi ei piisa – vajalik on teha ka taasteplaan ning see korralikult läbi testida. Mõned inglisekeelsed märksõnad: Business Impact Analyse, Backup planning, Disaster recovery planning.
Mari Seeba käsitles riigi ja kohaliku omavalitsuse andmekogude pidamise infosüsteemides kohustuslikust ISKE-t. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mida võivad kasutada ka äriettevõtted oma IT varade turvalisuse tagamiseks. Ettekandes räägiti ISKE rakendamise protsessi põhietappidest ning sellest, kuidas neid etappe lihtsam läbida oleks.
Marti Toropov rääkis sellest, kuidas inimesed turvaliselt siduda andmete ja teiste ressurssidega. Arvestades, et tänapäeval on veidigi aktiivsemal kasutajal keskmiselt 20 erinevat kontot (kasutajanime ja parooli), on oht, et inimene hakkab seal kasutama samu paroole. See on aga suur risk, sest juhul, kui ühes kohas saab parool avalikuks, on võimalik sisse saada ka teistesse kohtadesse. Ettekandes analüüsiti tsentraalses identiteedi halduse häid ja halbu külgi. Lisaks vaadeldi ka ID-kaardi ja Mobiil-ID ning Open-ID võimalusi tsentraalse identiteedi loomisel.
Peeter Lorents jutustas Eestisse loodava NATO küberkaitsekeskuse minevikust, olevikust ja tulevikust ning andis ülevaate keskuse tegevuse põhivaldkondadest. Ettekandes mainiti ka, et viiest teadustöötaja kohast on täidetud juba kolm ning nimetas ka kaks nime, mida ma siinkohal turvakaalutlustel kordama ei hakka. Samas seonduvad need nimed mul rohkem tehisintelligentsi ja andmekaevandusega ning minu jaoks jäi arusaamatuks, kuidas on sellel pinnal võimalik välja pakkuda ka info- või IT-infrastruktuuriturbe analüüse ja kontseptsioone. Ettevõtjatel soovitati hoida ja arendada kontakte ning suhteid, kuna NATO keskusest saadav teadmus annaks kindlasti mingi tehnoloogilise eelise maailmas läbi löömiseks.
Toomas Lepik tegi kiire ülevaate Eesti ja rahvusvahelisest küberruumi olukorrast. Muuhulgas märkis ta, et hinnanguliselt on Eestis umbes 270 000 internetiühendusega arvutit, millest iga päev nakatub pahavaraga umbes 500. Ettekandes toodi välja olulisemad hetkel valitsevad trendid pahategude tegemisel internetikeskkonnas (märksõnad: automatiseeritud ründed, koduseadmete ründed, pool-legaalsed viisid raha teenimiseks). Lisaks andis ta nõuandeid, mida jälgida oma informatsiooni kaitsmiseks. Siin tooks eriti välja idee, et kasutaja vajab harimist ning et internet on üks suur keskkond, kus ühe tegemised mõjutavad ka kõiki teisi.
Selle seminari kohta leiab informatsiooni ka Äripäeva kodulehel. Samuti peaks sinna lähiajal ilmuma ka ettekannete slaidid.
Äripäev ise on teinud kokkuvõtte ainult Toomase ettekandest
Selleks, et milleski osaleda, peaks esmalt teadma, et see (antud juhul seminar) üldse toimub. ÄP oleks võinud kasvõi Arvutikaitse blogi vahendusel eelnevalt sellest seminarist teada anda.
Ei saa mainimata jätta, et teatud inimeste arvates oli see seminar juba ette igav (paluks tähele panna postituse kuupäeva)
http://www.cybersecurity.ee/index.php?option=com_content&view=article&id=119:jaerjekordne-ning-igav-ueritus&catid=25:the-project
Tegu pole muide mingi poisikese blogiga vaid ühe eesti andmeturbefirma esindajaga, kes ise samuti läbi koolituste leiba teenib.
No ei ole slaide. Ehk saaks äripäevnikke torkida? Või ei soovigi nad neid netti panna (täiesti arusaadav, tasuline-äriline üritus ju ikkagi)?
Slaidid on Äripäeva veebis siiski olemas 🙂
http://www.aripaev.ee/temp/seminar/28052008/seminar.html