#14 Andmeturve - IT-turvarisk
Enamusel, kui mitte kõigil Eesti inimestel on ID-kaart ning sellega seoses on üks suurimaid turvariske Eesti ühsikonnas ID-kaardi sertifikaatidega seotud turvarisk. Tegemist oli kaardi tootjate poolse apsakaga, mille tulemusena pidi RIA (Riigi Infosüsteemi Amet) sulgema kõigi inimeste kaaridid, mis on väljastatud peale 2014. aasta 16.oktoobrit.
Margus Arm andis intervjuus teada, et veaga kaarte on Eestis umbes 800 000, kuid RIA suudab ID-tarkvara uuendusi välja saata umbes 15 000 ööpäevas. Sellise tempoga võtab kõigi ID-kaartide uuendamine ligi kaks kuud. Seega on paratamatu olukod et osade ID-kaardi omanike kaardid ei ole veel uuendatud, kui nad juba e-teenustest ära lõigatakse. [LINK]
ID-kaarti sai uuendada nii internetis, kui ka Politsei-ja Piirivalveametis. Koormatud olid nii RIA serverid, kui ka kõik PPA (Politsei-ja Piirivalve) kontorid üle Eesti. Ka mina olin nende "õnnetute" seas, kelle kaart ei töötanud vananenud sertifkaadi tõttu, viienda päeva öösel sain siiski löögile ning sertifikaadi uuendatud.
ID-kaarti kasutatakse nii isikut tõendava dokumendina, e-hääletamisel, dokumentide krüpteerimisel, elektroonilisel allkirjastamisel, arvete tasumisel, veebikeskkondadesse sisselogimisel ning ka kliendikaardina. Seega on see väga suur katastroof, kui kellegi identiteet varastatakse ning nende andmetega kurja tehakse. RIA tegutses igati korrektselt, pannes inimeste kaardid kinni nii ruttu kui võimalik. Inimestes tekitas see küll suurt segadust ja pahameelt, kuid ainult nii sai ära hoida suurt katastroofi mis oleks võinud juhtuda nii suure osa Eesti inimestega.
Selle suure turvariski valguses on paslik rääkida Kevin Mitnick-ust, kes on USA tagaotsituim inimene just nimelt arvuti- ja kommunikatsioonikuritegude pärast. Tänaseks on aga saanud temast turvaekspert, kes töötab firmas "Mitnick Security Consulting", mis aitab kontrollida ettevõtete julgeoleku tugevusi, nõrkusi ja võimalikke kitsaskohti. Tema on loonud "Mitnicki valemi", mis koosneb kolmest komponendist - tehnoloogia, koolitus ja reeglid. Tegemist on Mitnicki sõnul kolme komponendi korrutise, mitte summaga. Kui üks komponentidest on null või nullilähedane, on seda ka kogutulemus turvariskis. Nende kolme komponendi põhjal saame rääkida, sellest mida tuleb turvariski maandamiseks ette võtta.
Tehnoloogia - Autentimissüsteemide puhul on väga oluline tugevuskontroll, perioodiline vahetamine ja uuendamine. Kui RIA leidis tugevuskontrollis augu reageeriti väga kiiresti ning katastroof jäi tulemata. Liisaks tooksin välja, et tehnoloogiavalikutel on suur osa turvalisuse tõstmisel, sest seni kuni väga suur hulk pahavara sihib otseselt üht konkreetset platvormi, ei ole mingi vabandus alternatiivide eiramisele.
Koolitus - Siin võiksin välja tuua, et veebikeskkond id.ee on teinud väga head tööd luues videoid ja juhendeid. Õpetusi on tarkvara paigaldusest (kõigile arvutitele), sertifikaatide uuendamisest, autentimisest, allkirjastamisest jpm.
Reeglid - Kõigil peaks olema teada põhilised reeglid - kaarti ei tohi jätta laokile ega anda kellelegi teisele samuti ei tohi jagada paroole. Märgiksin ära ka selle, et arvutil tuleb kasutada kaitsetarkvarasid, tarkvara peab regulaarselt uuendama (lisaks sellele ka vanad üleliigsed sertifikaadid kustutama) ning e-manuseid võib avada vaid juhul kui oled saatjas täiesti kindel.
Margus Arm andis intervjuus teada, et veaga kaarte on Eestis umbes 800 000, kuid RIA suudab ID-tarkvara uuendusi välja saata umbes 15 000 ööpäevas. Sellise tempoga võtab kõigi ID-kaartide uuendamine ligi kaks kuud. Seega on paratamatu olukod et osade ID-kaardi omanike kaardid ei ole veel uuendatud, kui nad juba e-teenustest ära lõigatakse. [LINK]
ID-kaarti sai uuendada nii internetis, kui ka Politsei-ja Piirivalveametis. Koormatud olid nii RIA serverid, kui ka kõik PPA (Politsei-ja Piirivalve) kontorid üle Eesti. Ka mina olin nende "õnnetute" seas, kelle kaart ei töötanud vananenud sertifkaadi tõttu, viienda päeva öösel sain siiski löögile ning sertifikaadi uuendatud.
ID-kaarti kasutatakse nii isikut tõendava dokumendina, e-hääletamisel, dokumentide krüpteerimisel, elektroonilisel allkirjastamisel, arvete tasumisel, veebikeskkondadesse sisselogimisel ning ka kliendikaardina. Seega on see väga suur katastroof, kui kellegi identiteet varastatakse ning nende andmetega kurja tehakse. RIA tegutses igati korrektselt, pannes inimeste kaardid kinni nii ruttu kui võimalik. Inimestes tekitas see küll suurt segadust ja pahameelt, kuid ainult nii sai ära hoida suurt katastroofi mis oleks võinud juhtuda nii suure osa Eesti inimestega.
Selle suure turvariski valguses on paslik rääkida Kevin Mitnick-ust, kes on USA tagaotsituim inimene just nimelt arvuti- ja kommunikatsioonikuritegude pärast. Tänaseks on aga saanud temast turvaekspert, kes töötab firmas "Mitnick Security Consulting", mis aitab kontrollida ettevõtete julgeoleku tugevusi, nõrkusi ja võimalikke kitsaskohti. Tema on loonud "Mitnicki valemi", mis koosneb kolmest komponendist - tehnoloogia, koolitus ja reeglid. Tegemist on Mitnicki sõnul kolme komponendi korrutise, mitte summaga. Kui üks komponentidest on null või nullilähedane, on seda ka kogutulemus turvariskis. Nende kolme komponendi põhjal saame rääkida, sellest mida tuleb turvariski maandamiseks ette võtta.
Tehnoloogia - Autentimissüsteemide puhul on väga oluline tugevuskontroll, perioodiline vahetamine ja uuendamine. Kui RIA leidis tugevuskontrollis augu reageeriti väga kiiresti ning katastroof jäi tulemata. Liisaks tooksin välja, et tehnoloogiavalikutel on suur osa turvalisuse tõstmisel, sest seni kuni väga suur hulk pahavara sihib otseselt üht konkreetset platvormi, ei ole mingi vabandus alternatiivide eiramisele.
Koolitus - Siin võiksin välja tuua, et veebikeskkond id.ee on teinud väga head tööd luues videoid ja juhendeid. Õpetusi on tarkvara paigaldusest (kõigile arvutitele), sertifikaatide uuendamisest, autentimisest, allkirjastamisest jpm.
Reeglid - Kõigil peaks olema teada põhilised reeglid - kaarti ei tohi jätta laokile ega anda kellelegi teisele samuti ei tohi jagada paroole. Märgiksin ära ka selle, et arvutil tuleb kasutada kaitsetarkvarasid, tarkvara peab regulaarselt uuendama (lisaks sellele ka vanad üleliigsed sertifikaadid kustutama) ning e-manuseid võib avada vaid juhul kui oled saatjas täiesti kindel.
Kommentaarid
Postita kommentaar