Moodsa ajastu riskid

Kui on tahe, on ka võimalus!

Moodsa ajastu riskid

Erkki Leego – juhtivpartner

(1/16)Moodsa ajastu riskid / Võrguvara Kevad Summit 2011 / 05.05.11

Erkki LeegojuhtivpartnerHansson, Leego & Partner


Millise kogemuse pealt räägin

• Üle 15 aasta tundliku info kaitsel– Vabariigi Presidendi Kantselei, infonõunik

– Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja

– Tartu Ülikooli Kliinikum, IT direktor

– Hansson Leego & Partner, juhtivpartner

• Hansson, Leego & Partner



• Hansson, Leego & Partner– IT juhtimise, arenduse juhtimise ja andmekaitse korraldamise teenused

– Riigikogu-, Õiguskantsleri- ja Riigikantselei, 4 suurimat haiglat, Tervise Arengu Instituut, Quattromed HTI Laborid, Riigikontroll, TÜ Eesti Geenivaramu, Pärnu ja Tartu linnavalitsus, Balbiino, ...


Andmeturbe 3 põhikomponenti

1. Konfidentsiaalsus• Andmete kättesaadavus ainult selleks volitatud

isikule või tehnilisele vahendile

2. Terviklus• Andmete õigsuse, täielikkuse ja ajakohasuse

tagatus ning päritolu autentsus ja volitamatute



tagatus ning päritolu autentsus ja volitamatute muutuste puudumine

3. Käideldavus• Kasutamiskõlblike andmete õigeaegne ja hõlbus

kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele)


Info lekib või varastatakse

• Wikileaks– Okt. 2010 avaldati 400 000 dokumenti Iraagi sõja kohta– Nov. 2010 alustati USA diplomaatilise kirjavahetuse avaldamist

• Infoleke ehmatas Tartu linnaametnikke– 19.03.10 Tartu linnavalitsus sulges eile juurdepääsu sadadele ametkondlikuks kasutamiseks määratud


(4/16)

sadadele ametkondlikuks kasutamiseks määratud tundlike isikuandmetega dokumentidele, mis olid paar nädalat kõigile näha ...

• Infovargused– 04.05.11 Sony vastu korraldatud küberrünnaku käigus võisid kurjategijate kätte sattuda enam kui 100 miljoni inimese nimed, aadressid ja ka krediitkaardiandmed. Leket uurivad teiste seas ka FBI ametnikud

Moodsa ajastu riskid / Võrguvara Kevad Summit 2011 / 05.05.11


Privaatsuse paratamatu kadu

• Sotsiaalvõrgustikku koguneb tausta kujundavaid infokilde– Facebook, Twitter, Linkedin– Päevamärkmed, pildid, sõbrasuhted, Likes, kommentaarid

• Otsingumootoritesse koguneb tausta kujundavaid infokilde– Töökoha kontaktide nimekiri– Spordivõistluse finišiprotokoll


(5/16)

– Spordivõistluse finišiprotokoll– ...

• Kapo: eriteenistused saavad üha enam infot veebist• Google ja Apple nuhivad läbi telefonide

– 21.04.11 Eelmisel nädalal tuli avalikuks, et Apple'i nutitelefon ja tahvelarvuti iPad 3G salvestavad peidetult, krüpteerimata failina infot kasutajate liikumise kohta ning õige tarkvaraga on võimalik täpselt kaardile kanda, kus inimene on käinud.



Nutitelefon kui infovaramu

• “Kogu elu taskus”• Varguse korral

– Hulk privaatset infot võõrastes kätes


(6/16)

– Identiteedi (ajutise) ülevõtmise võimalus



Surve turvalisuse vähendamisele




Usaldusväärsus kahtluse all

• Riigikogu elektroonilise hääletussüsteemi usaldusväärsus– 15.11.07 Postimees: “Keskerakonna tuntuim poolt-ja vastunuppudega mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes Kerdi.”


(8/16)

kaitseväe juhataja Johannes Kerdi.”– Kauba soovis tõestust, et viga ei olnud hääletussüsteemis

• Keskerakond on seadnud e-Valimiste usaldusväärsuse kahtluse alla



Talitluspidevuse häired

• Digitaalne retsept– 01.01.10 muutus kohustuslikuks– Tõsised häire süsteemi kasutamisel ja aprillis kaaluti kasutamise ajutist peatamist

– Riistvaraline platvorm nõrk• 2011. a. Riigikogu valimised

– Häälte lugemise tipptunnil tekkis tunniajane tõrge


(9/16)

– Häälte lugemise tipptunnil tekkis tunniajane tõrge tulemuste edastamisel Internetti

– Viga andmebaasilahenduses• Eesti Energia uus infosüsteem

– 03.05.11 Eesti Energia ei suutnud uuele kliendiinfosüsteemile üleminekul suurte koormustega arvestada ning selle tõttu oligi elektrinäidu teatamine esmaspäeval halvatud, tunnistas energiafirma juhatuse liige Margus Rink.



Küberrünnakud

• Šabotaaž ja vandalism (Eesti, 2007)• Desinformatsiooni levitamine, infosõda (Gruusia, 2008)

• Google ja veel 20 firmat Hiinast lähtuva küberrünnaku all (12/2009 – 01/2010)


(10/16)

• Stuxnet viirus (2010)– Spetsiaalset disainitud väga keerukas viirus Iraani Natazi tuumarajatiste seadmete rikkumiseks

– Küberrelva loomise taga professionaalne meeskond



Kaugteenuste usaldamine

• Kaugteenuste revolutsioon– E-post: Gmail, Windows Live Mail, Yahoo, ...– Pildid/videod: Picasa, Youtube, ...– Sotsiaalvõrgustikud – Facebook, LinkedIn, Twitter– Failijagamine – Dropbox, Google Docs, Livedrive, ..– Pilveteenused


(11/16)

– Pilveteenused– ...

• Milline on teenusosutaja vastutus?– Kättesaadavuse osas– Andmete säilitamise osas

• Failide jagamise mugavus versus ettevõtte reeglid ja volitused



Intsidentide mõjud suurenevad

• Societe Generale hiigelpettus (01/08)– Jérôme Kerviel kauplemistehingud

põhjustasid pangale 76 miljardit krooni kahju

– Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises

• Lähis-Ida riikide interneti katkestus (01/08)– Mitme veealuse kaabli katkemine

põhjustas paljude Lähis-Ida riikide


(12/16)

põhjustas paljude Lähis-Ida riikide Interneti side kadumise 10 päevaks

– 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast)

• UK MTA andmete kadumise intsident (10/07)– Kaks Suurbritannia maksu- ja tolliameti

arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma

– Intsident puudutab 25 milj. UK elanikku



Lapsed uute ohtude küüsis

• Noorte juurdepääs informatsioonile enneolematu– Sh. pornograafia, vägivallale ja sallimatusele õhutavad käsitlused

• Rate.ee-s, Facebook-s jmt. lihtne sobimatut info avaldada


(13/16)

info avaldada– Kui info on kord veebi jõudnud, siis välja enam võtta ei saa

• Kurjategijatel “otsetee lapse magamistuppa”– Vanematel ei ole veel oskusi lapsi selle ohu eest kaitsta



Infopõhine kihistumine

• Füüsiline osavus ja jõud

• Parem tehnoloogia


(14/16)

• Parem tehnoloogia

• Info kasutamise oskus– Info leidmine, olulise eraldamine ja mõtestamine, jätkusuutlik talletamine



Kokkuvõte

• Andmeturbe fookus konfidentsiaalsuselt käideldavusele

• Privaatsuse paratamatu kadu


(15/16)

• Privaatsuse paratamatu kadu

• Andmeturbe intsidentide mõju aina suurem



Tänan!




Erkki Leego, [email protected], www.hlp.ee

Technology

Moodsa ajastu riskid