Rootsi hakkab pealt kuulama ka Eesti välissidet

Rootsi Riksdag otsustas nimelt, et alates 1. jaanuarist 2009 on kohalikul raadioluureametil õigus jälgida kogu Rootsi piire läbivat telekommunikatsiooniliiklust – e-kirju, andmesidet, kiirsuhtlus- ja muid sõnumeid ning telefonikõnesid. Kuna mitmed Eesti välissidekaablid kulgevad läbi Rootsi, hakatakse enesestmõistetavalt pealt kuulama ka andmeliiklust Eestisse ja Eestist välja.

Uudis rõõmustab kindlasti Skype’i turundajaid (Skype krüpteerib oma andmepaketid), need aga, kelle kirjakast asub mõnes välismaises serveris, võiksid samuti kontrollida, kas nad käivad oma kirju lugemas ikka üle krüpteeritud ühenduse.

Äripäeva infoturbe seminarist

Äripäev on läbi aastate teinud tänuväärset tööd ettevõtjate infoturbe alasel harimisel ning eile, 28. mail, õnnestus mul osaleda Äripäeva järjekordsel IT-turbe seminaril „Mida tähendab IT turvalisus ettevõtte jaoks?”

Arvestades möödunud aasta aprillis-mais toimunud sündmusi, oleks võinud eeldada, et tegemist on kuuma teemaga ning osalejaid on palju, kuid kahjuks jäi osalejate arv 30-40 ümber. Sellest on kahju, sest minu arvates on tegemist siiski olulise teemaga ning ka esinejad olid oma ala professionaalid.

Teemad ja esinejad

  •  IT turvalisuse trendid. Mis on selles valdkonnas hetkel aktuaalne? – Andres Salu, TÜ infotehnoloogiajuht
  •  Kuidas turvalisusega mitte üle pingutada? – Erkki Leego, Hansson, Leego & Partner OÜ juhtivpartner
  •  Kuidas planeerida äri jätkusuutlikuks (Business Continuity Planning)? – Avo Aasma, CISA BBM projektijuht
  •  ISKE – riiklik turvanõuete süsteem: kas lihtsam kui arvatakse? – Mari Seeba, Cybernetica AS IS audiitor
  •  Millel põhineb identiteedihaldus? – Marti Toropov, Microlink Eesti AS, valdkonnajuht (identiteedihaldus)
  •  Milliseid võimalusi pakub NATO Kooperatiivse Küberkaitse Ekstsellentsikeskus Tallinnas? – Peeter Lorents, NATO Kollektiivse Küberkaitse Ekstsellentsikeskuse loomise projektimeeskonna juht ja EBS’i IT õppetooli juhataja, professor
  •  Epistel küberruumi olukorrast ja hääd mõtted. – Toomas Lepik, CERT Eesti (Riigi infosüsteemide arenduskeskus) infoturbe ekspert

Millest räägiti
Andres Salu rääkis hetkel andmetöötluse ja -turbe trendidest suurima delikaatsete isikuandmete töötleja seisukohast. Mõned meeldejäänud märksõnad ja laused, millest räägiti:

Informatsioonil on tekkinud omaette väärtus, mis on suurem, kui tavaliselt arvatakse. Sageli pole väärtus mitte ainult andmetes endis, vaid ka esitlusviisis. Informatsiooni kontrollib ka kolmas osapool, näiteks Selveri Partnerkaardi alusel toimub tarbimisharjumuste analüüs. Kõige suuremaks ohuks on lõppkasutajad ning seda ennekõike teadmatusest. Siinjuures märkis ta ära arvutikaitse.ee positiivse mõju lõppkasutajate harimisel.

Pahavara on muutunud intelligentseks – ta oskab muteeruda, mis raskendab tema avastamist. Turvapaigad tuleb installeerida võimalikult kiiresti, kuna on tekkinud hulk inimesi, kes uurivad, mida üks või teine turvapaik teeb ning organiseerivad vastavalt selle ka mõne ründe. Seadusandlik surve peaks tekitama olukorra, kus mittetehnoloogilised aspektid muutuvad tehnoloogilistest olulisemaks. Näiteks et arvuti sulgemine muutuks sama tavapäraseks kui ukse lukustamine.

Lõpetas ta oma sõnavõtu viie märksõnaga, millele tuleks tema arvates senisest enam tähelepanu pöörata: X-tee, ISKE, kodanikuportaal, ID-kaart ja mobiil-ID.

Erkki Leego sõnul on absoluutse turvalisuse tagamine võimatu, ühtlasi hakkab turvataseme suurendamisel kasvavad kulud hüppeliselt. Kulutuste mõistlikul tasemel hoidmiseks tuleks teha riskide hindamine ning paika panna lubatud jääkriski tase. Turvalisusele kuluvad summad tuleks eraldada sellest lähtuvalt. Nii oleks võimalik maandada oma olulisemad riskid, hoides seejuures kulud kontrolli all.

Ettekandes toodi välja ka põhilised kulude kohad – need on olukorra hindamine ja dokumenteerimine, infrastruktuuri planeerimine ja seadistamine, tarkvara litsentsid, füüsilise turbe tagamine, koolitus.

Avo Aasma rääkis, kuidas ehitada infrastruktuuri mõttes jätkusuutlikku ettevõtet. Eelkõige tuleks alustada riskide hindamisest ja võimalike tagajärgede mõju hindamisest. Infotehnoloogilises plaanis on oluline koht varundusel ning selles osas oleks vajalik teha kõigepealt korralik varundusplaan. Samas plaanist ning selle järgi tegutsemisest üksi ei piisa – vajalik on teha ka taasteplaan ning see korralikult läbi testida. Mõned inglisekeelsed märksõnad: Business Impact Analyse, Backup planning, Disaster recovery planning.

Mari Seeba käsitles riigi ja kohaliku omavalitsuse andmekogude pidamise infosüsteemides kohustuslikust ISKE-t. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mida võivad kasutada ka äriettevõtted oma IT varade turvalisuse tagamiseks. Ettekandes räägiti ISKE rakendamise protsessi põhietappidest ning sellest, kuidas neid etappe lihtsam läbida oleks.

Marti Toropov rääkis sellest, kuidas inimesed turvaliselt siduda andmete ja teiste ressurssidega. Arvestades, et tänapäeval on veidigi aktiivsemal kasutajal keskmiselt 20 erinevat kontot (kasutajanime ja parooli), on oht, et inimene hakkab seal kasutama samu paroole. See on aga suur risk, sest juhul, kui ühes kohas saab parool avalikuks, on võimalik sisse saada ka teistesse kohtadesse. Ettekandes analüüsiti tsentraalses identiteedi halduse häid ja halbu külgi. Lisaks vaadeldi ka ID-kaardi ja Mobiil-ID ning Open-ID võimalusi tsentraalse identiteedi loomisel.

Peeter Lorents jutustas Eestisse loodava NATO küberkaitsekeskuse minevikust, olevikust ja tulevikust ning andis ülevaate keskuse tegevuse põhivaldkondadest. Ettekandes mainiti ka, et viiest teadustöötaja kohast on täidetud juba kolm ning nimetas ka kaks nime, mida ma siinkohal turvakaalutlustel kordama ei hakka. Samas seonduvad need nimed mul rohkem tehisintelligentsi ja andmekaevandusega ning minu jaoks jäi arusaamatuks, kuidas on sellel pinnal võimalik välja pakkuda ka info- või IT-infrastruktuuriturbe analüüse ja kontseptsioone. Ettevõtjatel soovitati hoida ja arendada kontakte ning suhteid, kuna NATO keskusest saadav teadmus annaks kindlasti mingi tehnoloogilise eelise maailmas läbi löömiseks.

Toomas Lepik tegi kiire ülevaate Eesti ja rahvusvahelisest küberruumi olukorrast. Muuhulgas märkis ta, et hinnanguliselt on Eestis umbes 270 000 internetiühendusega arvutit, millest iga päev nakatub pahavaraga umbes 500. Ettekandes toodi välja olulisemad hetkel valitsevad trendid pahategude tegemisel internetikeskkonnas (märksõnad: automatiseeritud ründed, koduseadmete ründed, pool-legaalsed viisid raha teenimiseks). Lisaks andis ta nõuandeid, mida jälgida oma informatsiooni kaitsmiseks. Siin tooks eriti välja idee, et kasutaja vajab harimist ning et internet on üks suur keskkond, kus ühe tegemised mõjutavad ka kõiki teisi.

Selle seminari kohta leiab informatsiooni ka Äripäeva kodulehel. Samuti peaks sinna lähiajal ilmuma ka ettekannete slaidid.

Online-allkirjade võltsimine jätkuvalt probleemiks

Eesti Arhitektide Liit taunib allkirjakogumisportaalis „Sammas saagu!“ – http://vabadusesammas.planet.ee/ toimuvat allkirjade võltsimist. Eesti Arhitektide Liidu esimehe Ike Volkovi allkiri püsis seal kogutavate allkirjade lehel veel mitu päeva peale avalduse tegemist lehe haldajatele, mis kinnitas Ike Volkovi poolt allkirja mitte andmist. “Selline juhtum seab selle nimekirja tõsiseltvõetavuse päris kindlasti kahtluse alla,” seisab EAL-i avalduses.

Tõenäoliselt pole siiski tegemist katsega kampaaniat diskrediteerida, nagu kahtlustab Hillar näiteks “Ei politseiriigile” kampaania puhul. Samas jääb probleem jätkuvalt üles ja tundub, et läheb aina teravamaks – miski ei takista ükskõik missuguste motiividega inimesi esinemast mistahes allkirjakampaanias ükskõik kellena. Ka kõige paremate kavatsustega algatatud online-allkirjade kogumise kampaania näitab seega pelgalt kogutud klikkide arvu, mitte reaalsete inimeste konkreetset tahteavaldust.

Ehk tasuks tulevikukampaaniate korraldamisel mõelda hoopis digiallkirjade kogumisele? Mõistagi koos vastavate meetmetega isikuandmete kaitseks ning võimalike kuritarvituste vältimiseks allkirjade kogumisel.

Arvutikaitse ABC

arvutikaitse_abc_esikaas.jpgSee on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaži valmis saab, siis ka Apollost ja mujalt.

Ühekülgne isikuandmete kaitse

Andmekaitse koosneb kolmest lahutamatust komponendist: andmete konfidentsiaalsuse, terviklikkuse ja käideldavuse kaitsest. Jälgides Andmekaitse Inspektsiooni tegevust, samuti lugedes uut isikuandmete kaitse seadust, tundub mulle paraku, et kogu AKI juriidiline, intellektuaalne ja haldussuutlik kapatsiteet võitleb, nii et veri ninast väljas, ainult ühe komponendi, see tähendab konfidentsiaalsuse eest, seda paraku kahe ülejäänud komponendi arvelt.

Loe edasi: Ühekülgne isikuandmete kaitse

Andmekaitse Inspektsiooni konverentsist

Käesoleval aastal jätkas Andmekaitse Inspektsioon oma möödunud aastal alustatud projekti andmekaitse päeva (28.01) tähistamist konverentsiga. See kord oli teemaks “Isikuandmete kaitse ja Meedia“.Hea mulje jättis see, et võrreldes möödunud aastaga oli konverents oma esinejate valiku ja korralduse poolest oluliselt tasakaalustatum, kui möödunud aastal. Samuti oli kohal üsna suur hulk rahvast (ligikaudu 200-250 inimest), kellest suurem osa olid ajakirjanikud ja juristid. Eks siinjuures oli kahtlemata üheks põhjuseks ka hiljuti lahvatanud skandaal sünnipäevaõnnitluste teemal.

Loe edasi: Andmekaitse Inspektsiooni konverentsist