Digiajastu trendid ja andmeturve

Kui on tahe, on ka võimalus!

Erkki Leego – juhtivpartner

(1/35)Digiajastu trendid ja andmeturve / 2017-01-24 / Tartu Kutsehariduskeskus

Digiajastu trendid ja andmeturve

Erkki Leego

juhtivpartner

Leego Hansson




Erkki Leego

• Hugo Treffneri Gümnaasium

• Magistrikraad informaatikas (Tartu Ülikool)

• Eesti Üliõpilaste Seltsi vilistlane

• Tartu Ülikool, 1. webmaster, teabetalituse vanemtoimetaja

• Vabariigi Presidendi Kantselei, infonõunik

• Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja

• Tartu Ülikooli Kliinikum, informaatikateenistuse direktor

• Leego Hansson, juhtivpartner, al. 2005

– IT juhtimise- ja konsultatsiooniettevõte



(3/35)

Leego Hansson

• Firma teenus on juhtida ettevõtete infotehnoloogiliste arengute elluviimist

• Osalenud üle 130 ettevõtte arengus

www.leegohansson.comwww.facebook.com/leegohansson/

Digiajastu trendid ja andmeturve / 2017-01-24 / Tartu Kutsehariduskeskus



(4/35)

Digiajastu trendid




(5/35)

Digiajastu eripära

• Füüsiline jõud ja osavus

• Tehnoloogia rakendamine

• Info kasutamine




(6/35)

60 sekundit Internetis

• 3,3 miljonit postitust Facebookis

• 400 uut videot YouTubes

• 55 555 pilti Instagrammis

• 3,1 miljonit Google otsingut

• 3,3 miljonit tviitiTwitteris

• 205,6 miljonit e-kirja


Vt. https://www.beingguru.com/2016/08/happens-online-60-seconds/



(7/35)

Teadmiste jätkusuutlikkus

Ma ei mäleta, mida ma ei mäleta

Ma ei tea, mida ma ei tea




(8/35)

Üldised tehnoloogia trendid

• Andmeid on väga palju

• Asjade internet (IoT)

• Alatine ühendus

• Pilvetehnoloogiate esiletung

• Sotsiaalsed võrgustikud

• Liidesed kasutajasõbralikumad

• Anonüümsuse ja privaatsuse vähenemine

• Teadmised ja nõu on käeulatuses




(9/35)

Eesti digilahenduste areng

• 99% pangaülekandeid elektroonilised

• 94% tulumaksu deklaratsioonidest esitatud e-Maksuameti kaudu

• 24% valijatest 2011. a. valimistel kasutasid e-hääletust

• 62% inimestest kasutas 2012. a. e-rahvaloendust

• 2000: e-maksuamet• 2000: m-parkimine• 2002 : ID-kaardi kasutuselevõtt• 2005: e-hääletuse kasutuselevõtt• 2007: m-ID kasutuselevõtt• 2007: e-politsei kasutuselevõtt• 2008: e-Tervise süsteemide

kasutuselevõtt• 2010: Digiretsepti kasutuselevõtt• 2012: e-rahvaloendus• 2014: e-residentsus• ID-kaarte 1 277 575

– Seisuga 24.01.2017– Rahvaarv 1 286 540 (01.01.2013)




(10/35)

Hea kasutatavuse omadused

1. Kerge õppida

2. Efektiivne kasutada

3. Kerge meelde tuletada

4. Vähe vigu

5. Meeldiv kasutada (fun)




(11/35)

Visioon tulevikust

• Microsoft Office Labs vision 2019

–https://www.youtube.com/watch?v=a6cNdhOKwi0


https://www.youtube.com/watch?v=a6cNdhOKwi0



(12/35)

Digiajastul vajalikud oskused




(13/35)

Tee endale teene!

• Pimekiri. 10 sõrmega. Vähemalt 300 lööki/minutis




(14/35)

Digiajastu olulised oskused

• Info leidmise oskus• Olulise eristamine ebaolulisest• Terviku nägemise oskus• Seoste loomise oskus• Arutlemise ja järelduste tegemise oskus• Suhtlemise ja eneseväljendamise oskus, sh.

visualiseerimise oskus• Meeskonnatöö oskus• Õppimise ja ümberõppimise oskus• Enesekaitse oskus digikeskkonnas




(15/35)

Informatsiooni kättesaadavus

Õige informatsioon õigel ajal õiges kohas

MIS? Milline info? Volitused?

KES? Isiklik, perekond ja sõbrad, meeskond, avalik

KUNA? Kohe, tööajal, 24/7, aastaid hiljem

KUS? Minu seadmes, arvutivõrk, reisil online ja offline

SEADE? Lauaarvuti, sülearvuti, nutiseade, veebilehitseja




(16/35)

Erinevad infoallikad

• Dokumendid– Elektroonilised– Paberdokumendid

• E-kirjad• Koosolekute märkmed -

salvestused• Telefonivestlused• Chat vestlused• Tööde register• Fotod• Faktid ja nipid




(17/35)

Informatsiooni sünkroniseerimine

• Erinevad asukohad, rakendused, teenused, seadmed

– Sama rakendus/teenus ja erinevad seadmed

– Sama info ja erinevad rakendused/teenused

– Võrgus / võrguta / mõlemad





Arenduse juhtimine

70% IT projektidest ei ole edukad• tulemus vale

• eelarve lõhki

• tähtajad üle



(19/35)

Oskuste arendamine

• Õpi eriti hästi matemaatikat ja inglise keelt

• Võta osa väga headest tasuta kursustest– Coursera – www.coursera.org

– Khan Academy - www.khanacademy.org

• Arenda klaviatuuri kasutusoskust– 300 lööki minutis

• Ole avatud informatsioonile ja analüüsi seda kogu aeg

• Ole kursis digiajastu võimalustega ja pane nad enda jaoks tööle!


http://www.coursera.org/

http://www.khanacademy.org/



(20/35)

Eesti hea koht

• Hea maine riiklike e-lahenduste loojana ja kasutajana

• Hea maine idufirmade kasvulavana– Skype, GrabCAD, Transferwise, Starship Technologies

• NATO küberkaitsekeskus• Euroopa Liidu sisejulgeolekuvaldkonna IT agentuur




(21/35)

Andmeturve




(22/35)

100% turvalisust ei ole olemas

• 9/11 terrorirünnak (11.09.01)– Kaks 110-korruselist WTC hoonet ja hulk muid hooneid

hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud– Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva– Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat

• Societe Generale hiigelpettus (01/08)– Jérôme Kerviel kauplemistehingud põhjustasid pangale 76

miljardit krooni kahju– Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises

• Lähis-Ida riikide interneti katkestus (01/08)– Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida

riikide Interneti side kadumise 10 päevaks– 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast)

• UK MTA andmete kadumise intsident (10/07)– Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide

lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma

– Intsident puudutab 25 milj. UK elanikku

• Küberrünnakud Eestis kevad 2007– DOS rünnakud Eesti riigiasutustele ja pankadele


http://upload.wikimedia.org/wikipedia/commons/f/fd/National_Park_Service_9-11_Statue_of_Liberty_and_WTC_fire.jpg

http://www.sgcib.com/

http://upload.wikimedia.org/wikipedia/en/b/bb/2008_submarine_cable_disruption_map.jpg



(23/35)

Infoturbe väljakutsed

• Vajalikke andmeid ei saa kasutada– Hävinevad, ei leia enam üles, ei pääse ligi

• Töövahendid on kasutamatud– Arvuti on viiruse poolt aeglaseks muudetud– Arvutid, serverid, programmid ei toimi

• Delikaatne informatsioon võõraste käes– Piinlikud fotod, eravestlused, terviseinfo,

mobiiltelefoni sisu - „kogu elu taskus“

• Infovargus– Klientide andmebaas jm. ärisaladused

• Arvutikuriteod– Krediitkaardipettused, ahistamine e-keskkonnas

• Seadused riigiti erinevad, aga võrk piirideta


INTERNET

WAN ISP- Elion

(4 Mb/s Sync)

Tallinn

Uniper VPN

Domeeni-

kontroller

Tallinn LAN

Kokku

67 tööjaama

77 aktiivset kasutajakontot

8 võrguprinterit

VmWare

Failiserver

DOKU

Infrastruk-

tuuri serverid

E-post

MS ExchangeLADU TELLIMINE

TOODE 2

Finants

MS Dynamics AX

EMC

andmemassiiv

Tartu

Uniper VPN

Paide

Uniper VPN

Viljandi

Uniper VPN

WAN ISP- Elion

(2 Mb/s)

WAN ISP- Elion

(2 Mb/s)

WAN ISP- Elion

(8Mb/s sync)

Tartu LAN

Domeeni-

kontrollerTOODE

Terminali-

server

Kokku

35 tööjaama

43 aktiivset kasutajakontot

6 võrguprinterit



(24/35)

Infoturbes kolm komponenti

1. Konfidentsiaalsus

– Konfidentsiaalset infot tuleb kaitsta volitamata avalikustamise eest

2. Käideldavus

– Kasutaja peab saama talle vajalikul hetkel kasutada talle vajalikke teenuseid

3. Terviklikkus

– Andmed peavad olema täielikud ja volitamata muudatuste eest kaitstud





Andmete turvaklass (nt. K2T3S1)

Andmete käideldavus (K):

K0 – töökindlus – pole oluline; jõudlus – pole oluline;

K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10);

K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10);

K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10).

Andmete terviklus (T):

T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontroll pole vajalik;

T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse ja ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele;

T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll;

T3 – info allikas, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas.

Andmete konfidentsiaalsus (S):

S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on määratud tervikluse nõuetega);

S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;

S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;

S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.

Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”




Ohud, nõrkused, meetmed

• Oht

– Süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus

• Nõrkused

– Vara või vararühma nõrk koht, mida saab ära kasutada oht

• Risk

– Võimalus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse

• Turvameede

– Riski kahandav teoviis, protseduur või mehhanism



(27/35)

Andmeturbe põhimõisted

Andmeturbe vastutaja

Andmete omanik

Andmed

Nõuded

Meetmed

Andmeturbepoliitika

Ohud

Nõrkused

Andmeturbe teooria ja praktika / 2016-11-23 / Eesti Äriarhiiv



(28/35)

Ohud

• Füüsiline kahjustus– Tuli– Veekahjustus– Saaste– Suurem õnnetusjuhtum– Seadmete või infokandjate hävimine– Tolm, korrosioon, külmumine

• Looduslikest sündmustest tulenevad– Klimaatilised nähtused– Seismilised nähtused– Vulkaanilised nähtused– Meteoroloogilised nähtused– Üleujutused

• Oluliste teenuste kaotus– Õhu konditsioneerimise või veevarustuse süsteemi rike– Elektritoite kadumine– Sideseadmete rike

• Kiirgustest tingitud häired– Elektromagnetiline kiirgus– Soojuskiirgus– Elektromagnetilised impulsid– Ebausaldatavaist allikaist pärit andmed– Riistvara manipuleerimine– Tarkvara manipuleerimine– Asukoha tuvastamine

• Teabe turvalisuse rikkumine– Paljastavate parasiitsignaalide püük– Kaugluure– Pealtkuulamine– Infokandjate või dokumentide vargus– Seadmete vargus– Kõrvaldatud infokandjate omastamine– Paljastamine

• Tehnilised tõrked– Seadme tõrge– Seadme väär töö– Infosüsteemi ummistus– Tarkvara väär töö– Infosüsteemi hooldatavuse rikkumine

• Lubamatud toimingud– Seadmete volitamata kasutamine– Tarkvara pettuslik kopeerimine– Võltsitud või kopeeritud tarkvara kasutamine– Andmete rikkumine– Andmete ebaseaduslik töötlus

• Funktsioonide tõrked– Kasutamisviga– Õiguste väärkasutus– Õiguste võltsimine– Toimingute eitamine– Töötajate kättesaadavuse tõrge


Allikas: EVS-ISO/IEC 27005:2014



(29/35)

Nõrkuste valdkonnad

• Riistvara

– nt. tundlikkus pinge kõikumiste suhtes

• Tarkvara

– nt. pääsuõiguste väär jaotamine

• Võrk

– nt. kaitsmata sideliinid

• Personal

– nt. puudulikud töölevõtmise protseduurid

• Tegevuspaik

– nt. hoonete, uste ja akende füüsilise turbe puudumine

• Organisatsioon

– nt. kasutajate registreerimise ja kustutamise formaalse protseduuri puudumine


Allikas: EVS-ISO/IEC 27005:2014



(30/35)

Andmeturbemeetmed

• Turvameetmed otstarbe järgi:– ennetavad meetmed

– avastusmeetmed

– taastusmeetmed

• Turvameetmed teostusviisi järgi:– organisatsioonilised meetmed

– füüsilised meetmed

– infotehnoloogilised meetmed




(31/35)

Andmete kaitsel - näiteid

• Riigikogu Kantselei– Hääletussüsteemi töökindlus

• 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes Kerdi. Kaks aastat hiljem karistas fraktsioon Kaubat Ja Anti Liivi, sest nende süül õnnestus opositsioonil riigieelarve eelnõu parlamendi menetlusest välja lükata.”

• Tartu Ülikooli Kliinikum– 22 suurt infosüsteemi 24/7

• Tartu Ülikooli Eesti Geenivaramu– Isikuandmete turvaline haldus




(32/35)

Geeniandmete turvamine

Courier

Filled questionnairesPersonal data, health data, genealogy data.

Consent. Transportation code. Information encrypted.

Consent (p

aper fo

rm).

Bio

logic

al s

am

ple

s.

Coding center

Memory stick with encrypted messages

Consent forms. Questionnaires.

Receptionist

New barcode

High security area

Online access to database

Scientists

Health data. No identification

data.

Health data and identification

data

Operative database

Phenotype database

Data collector IS Communication server

Laboratory ISCryo Preservation – MAPI

Coding center IS

EGCUT IS 2002-2010

EXTERNAL DATABASESdata collecting

BIOSAMPLES DATAmanagement

PERSONAL-, GENEALOGY-, HEALTH DATA

Formatting for integration, deindentification

DKOOD

I U T L

I

HEALTH DATAdata collecting

I T

PHENOTYPESintegration, quality control,

analysis

U L

CODING CENTRE

H

GENOTYPESraw data, , quality control,

analysis

U L

PROJECT-BASED RESEARCH

L

CODE RELATIONS

U D L V

genotypes, fenotypes, biosamples, analysis

D V

BIOSAMPLES DATAanalysis

L

IKOOD UKOOD TKOOD LKOOD VKOOD

FOLLOW UPcoordination

D

FEEDBACKPERSONALIZED MEDICINE

genotypes, fenotypes, biosamples, analysis

DATA REALEASE

BIOSAMPLES DATAlogistics

LT

H

HKOOD

D V

D V




(33/35)

Andmeturbe näpunäited

• Hoia eemale ohtlikest paikadest– Piraatvideote ja tarkvara jagamiskohad

– Pornograafia, narkootikumid, relvad

• Kaitse oma digitaalset identiteeti– Telefonis ja internetilehitsejas sageli sisselogitud

paljudesse kohtadesse

– Kaheastmeline autentimine

• Kaitse oma tähtsaid andmeid– Määratle, millised andmed on tähtsad

– Taga nende varukoopia (sh. offline)




(34/35)

Norse Attack Map

• http://map.norsecorp.com/#/


http://map.norsecorp.com/




Tänan!


Erkki Leego

[email protected]

www.LeegoHansson.com

Technology

Digiajastu trendid ja andmeturve