NÄDAL 14: Suurim turvanõrkus

 Kui minult oleks küsitud ca 10 aastat tagasi IT-turvariskidest, siis ilmselt oleksin ma ette kujutanud kedagi mingi kapuutsiga häkkerit pimedas toas, musta ekraani ees Matrixi koodi toksimas ning arvanud riskid tulevad kehvadest süsteemidest. Tänaseks mõistan, et üks suurimaid turvariske tänapäeval on tavaline inimene "mina" ise. Olgu selleks siis nõrk parool, kahtlase lingi avamine või lihtsalt oskamatus aru saada esimesest hetkest, et asi pole just kõige õigem. Just selle tõttu otsustasin võtta teemaks sotsiaalse manipuleerimise ehk social engineeringu, mis on minu arvates üks ohtlikumaid ja samas kõige alahinnatumaid turvariske üldse.

Kuna mul on olnud endal mitukümmend juhust vähemalt, kus olen kas kohe või hiljem läbi lõiganud, et mind üritatakse võrgus manipuleerida, siis mulle endale on välja joonistunud just see meetod nö kõige ohtlikumaks turvanõrkuseks. Tihtipeale ei murtagi süsteemi sisse läbi tehnoloogia nõrkuste, vaid läbi inimese enda kaudu. Kui inimene lobiseb ise moka otsast parooli ära või laseb pahavara vabatahtlikult sisse, siis ei ole enam väga vahet, kui kallis tulemüür või viirusetõrje ettevõttel kasutusel on. Just seepärast räägitakse ka "Mitnicki valemist", mille järgi ei piisa ainult tehnoloogiast, vaid on vaja korraga kolme asja - tehnoloogiat, koolitust ja reegleid. Kui üks neist lonkab, siis tekib üsna kiiresti auk sisse. Nagu ka selle nädala Eesti oma näitest.

Kui alustada tehnoloogia poole pealt, siis tänapäeval minu arvates peaks (ning ka paljultki juba realiseeruvalt) kasutusel olema mitmeastmeline autentimine ehk MFA, sest ainult paroolist enam ammu ilmselgelt ei piisa. Seda seetõttu, et kipume mugavusest samu paroole igal pool kasutama, ning kui kuskilt peaks üks andmeleke tulema, saadaks hakata kohe sama parooliga igale poole mujale sisse proovima saada. Samuti võiksid süsteemid automaatselt tuvastada kahtlast tegevust, näiteks kui keegi proovib järsku teisest maailma otsast sisse logida või hakkab massiliselt paroole toksima. Samas nii palju, kui mul kogemust "suur ettevõtetes" on siis sellelaadseid meetmeid juba rakendatakse. Samuti võiks olla palju agressiivsemad spämmifiltrid ja hoiatused kahtlaste linkide puhul, sest kui aus olla, siis mõni petukiri näeb tänapäeval juba päris usutav välja, eriti AI ajastul. See jällegi sõltub filtrist endast paljustki, kuna isegi riiklike ettevõtete siseelust on mulle silma hakanud, et filtri nö "tarkus" on kohati öö ja päev, kui need üksteise kõrvale võtta. Samas arvan, et see sõltub rohkem seadistusest ja "poliitikast", mis puudutavad reegleid.

Aga ainult tehnoloogiaga seda probleemi ära ei lahenda. Kui inimene ikkagi klikib kõige peale, mis liigub ja helendab (mida ka oma silmaga korduvalt näinud), siis varem või hiljem juhtub ikkagi midagi. Seetõttu on koolitus minu arvates isegi olulisem, kui tehniline pool. Reaalsuses peaks inimesi päriselt õpetama ära tundma petuskeeme ja kahtlasi olukordi. Kõige parem viis oleks ilmselt praktiline lähenemine, kus tehaksegi koolitusi ning kontrollitud õngitsuskirju ettevõtte sees ja vaadatakse, kes reaalselt õnge läheb. Minu tööl, suures ettevõttes kasutatakse seda praktikas kõigi töötajate peal, mis küll ajab mõningaid töötajaid ALATI närvi, kuid leian, et see on hea praktika. Seda just seetõttu, et tean juba nimeliselt inimesi, kes abosluutselt peale igat "õppust" peavad küberhügieeni koolitust uuesti läbima :)

Kolmas osa ehk reeglid on samuti vajalikud, sest ilma nendeta on tekkinud üsna kiiresti olukord, kus igaüks teeb asju oma loogika ja kõhutunde järgi. Peaks olema väga selged reeglid, millal tohib mingeid andmeid jagada ja kuidas paroole hallata ning mida teha kahtlase olukorra korral. Samas ei tohiks nende reeglitega ka täiesti üle võlli minna, sest kui süsteem tehakse liiga keeruliseks ja tüütuks, hakkavad inimesed otsima viise, kuidas neist mööda hiilida. Tõenäoliselt on enamus IT töötajate peast vähemalt korra käinud läbi selline "omalahenduse" mõtteiva. Näiteks kirjutatakse paroole kollasele märkmepaberile monitori külge, mida tuleb ette kindlasti paljudes ettevõtetes või kasutatakse igal pool sama parooli, sest "muidu ei jõua meeles pidada". Ehk siis turvalisus peab olema piisav aga samal ajal ka normaalselt kasutatav, muidu hakkab kogu süsteem iseendale vastu töötama.

Kui nüüd kogu seda pilti vaadata, siis on üsna hästi näha, miks ainult ühest komponendist ei piisa. Võid osta ettevõttele kõige kallima turvatehnoloogia maailmas aga kui töötaja klikib ikka lingile ja sisestab sinna oma Microsofti konto andmed, siis on kogu see uhke süsteem sisuliselt sama kasulik kui tabalukk kardina küljes.


Kokkuvõttes arvan, et suurim IT-turvarisk ei ole tänapäeval enam tingimata tehnoloogia nõrkus, vaid inimese enda usaldavus ja tähelepanematus. Just sellepärast on Mitnicki valem minu arvates siiani üsna pädev - tehnoloogia, koolitus ja reeglid peavad kõik koos toimima, sest kui üks neist ära kukub, hakkab üsna kiiresti kogu süsteem logisema.

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Nädal 5: Tarzan suurlinnas

Tänapäeva netikett Nii nagu päris- kui ka digimaailmas on kirjutamata seadusi ja juhindusi kuidas käituda. Kuid nagu elus ikka, siis ka mõlemas keskkonnas asjad muutuvad ajas. Nõnda ka reeglitega, mis ajapikku kas kaotavad oma vajadused või siis hoopiski täienevad. Võtan kokku enda vaatevinklist ühe vajaduse kaotanud ja tähendust lisandunud V. Shea kaks netiketikäsku Käitu sama malli järgi nagu igapäevaelus Tänaseks päevaks oleme suures pildis kolinud oma elud võrku. Nii uskumatu, kui see ka poleks siis on isegi "vanem" generatsioon, kes algul vägagi tõrkus ja nägi arvutite maailmas ainult moeröögatust on jõudnud omadega sotsiaalmeediasse ja teistele platvormidele, kus elu kihab. Ma arvan, et see paistab kõige paremini silma just sotstiaalmeedias, eriti Facebookis. Kindlasti kes olete kunagi lugenud kas siis poliitiku või mingi meedijamaja uudiste kommentaare, siis on silma paistnud just "vanemate" inimeste kommentaarid just selle poole pealt, et paljude kommentaari...
Lisateave

NÄDAL 4 | Info- ja võrguühiskond

  Mugavus jälgimiskapitali arvelt  Tänapäeva "time is money" ühiskonnas kipume me reeglina eelistama kiiremaid ja mugavaid variante, mõistmata, mis hinda me selle mugavuse eest maksma peame. Kuna miski siin meie universumis ei ole tasuta, siis "maksame" kas otseselt või kaudselt kinni ka teenused, mis näiliselt on tasuta. Kuid mis moodi ja mis hinnaga? Pea kõik veebipõhised "tasuta" ligipääsu ja kasutamisõigusega teenused (foorumid, sotsiaalplatvormid jne) sunnivad sind enne kasutamist või enne täielikku ligipääsu nõustuma nende kasutustingimuste, reeglite ja küpsistega. Sama kehtib ka enamus tarkvaraga. Olles üldjoones valiku ees "tingimused / terms and conditions " ja "nõustun / accept and continue", võin mürki võtta, et enamus "tavalistele" inimestele on lihasmällu sisse kodeeritud valida "nõustun" ilma tutvumata kasutamistingumstega. See tuleb ilmselt sellest, et kunagi on avatud kasutamistingimuste lehekülg, kus...
Lisateave

Nädal 3: Uus meedia

Otse punktini või leiba ja tsirkust? Nagu issanda loomaaed, on ka tänapäeva infomeedia internet oma valikutes lai ja kirju. On nii tasuta kui ka tasulise juurdepääsuga uudisekanaleid. Oma 3. nädala blogis võtan ette kaks tuntud Eesti uudisteportaali. Kaalukausile jäid  ERR ehk Eesti Rahvusringhääling ning  Kroonika . Et neid lihtsam võrrelda oleks toon kohe välja kummagile omasemad märksõnad. ERR Usaldusväärne - Kajastus on reeglina faktipõhine Ametlik - Riiklik taust Neutraalsus - Kajastus ei ole kallutatud vasak ega parempoolsele maailmavaatele Analüütilisus - Uudistel ja lugudel on sügavam analüüs Eesmärk ei ole raha teenida Kroonika Meelelahutuslik - Kajastatakse peamiselt kuulsuseid ning elustiili Intrigeeriv - Tühistest teemadest paisatakse välja suurem pealkiri, kui lugu ise Emotsionaalne - Kirjutatakse palju tunnetest ja draamast Mängulisus - Lood meenutavad rohkem turumuttide jutte, kui analüüsituid teemasid Eesmärk on raha teenida Kui avada ERR  kodulehekül...
Lisateave