Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda

Kui on tahe, on ka võimalus!

Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda?

Erkki Leego – juhtivpartner

(1/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10

Erkki LeegojuhtivpartnerHansson, Leego & Partner


Millise kogemuse pealt räägin

• Üle 14 aasta tundliku info kaitsel– Vabariigi Presidendi Kantselei, infonõunik

– Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja

– Tartu Ülikooli Kliinikum, IT direktor

– Hansson Leego & Partner, juhtivpartner



• Hansson, Leego & Partner– IT juhtimise ja konsultatsiooniettevõte

– HLP põhiline teenus on ettevõtete esindamine kogemust ja kõrget erialast kompetentsi nõudvates IT projektides

– 10 eksperti


Hansson, Leego & Partner

• IT juhtimine ja konsultatsioon

• Arenduse koordineerimine ja järelevalve


(3/25)

ja järelevalve• Andmeturbe konsultatsioon

Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10


Mõned mõisted


(4/25)

Mõned mõisted



Andmeturbe 3 põhikomponenti

1. Konfidentsiaalsus• Andmete kättesaadavus ainult selleks volitatud

isikule või tehnilisele vahendile

2. Terviklus• Andmete õigsuse, täielikkuse ja ajakohasuse

tagatus ning päritolu autentsus ja volitamatute



tagatus ning päritolu autentsus ja volitamatute muutuste puudumine

3. Käideldavus• Kasutamiskõlblike andmete õigeaegne ja hõlbus

kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele)


Andmete turvaklass (nt. K2T3S1)

Andmete käideldavus (K):

K0 – töökindlus – pole oluline; jõudlus – pole oluline;K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv tippkoormusel – tunnid (1÷10);K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv tippkoormusel – minutid (1÷10);K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja kasv tippkoormusel – sekundid (1÷10).

Andmete terviklus (T):

T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja ajakohasuse kontroll pole vajalik;T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse ja ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele;T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll;T3 – info allikas, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse,



(1÷10). peab olema tõestusväärtus; vajalik on info õigsuse, täielikkuse ja ajakohasuse kontroll reaalajas.

Andmete konfidentsiaalsus (S):

S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on määratud tervikluse nõuetega);S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.

Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”


Andmete kaitsel - näiteid

• Riigikogu Kantselei– Hääletussüsteemi töökindlus ja terviklus– 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes Kerdi. Kaks aastat hiljem karistas fraktsioon Kaubat Ja Anti Liivi, sest nende süül õnnestus opositsioonil riigieelarve eelnõu parlamendi


(7/25)

õnnestus opositsioonil riigieelarve eelnõu parlamendi menetlusest välja lükata.”

• Tartu Ülikooli Kliinikum– 22 suurt infosüsteemi 24/7, käideldavus ja terviklus

• Tartu Ülikooli Eesti Geenivaramu– Isikuandmete turvaline haldus, konfidentsiaalsus



Näide infosüsteemist - EGV




Turbe strateegilised küsimused

• Mida on vaja kaitsta? – Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse?

• Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida?


(9/25)

tagajärgi me soovime vältida? – Millise hinnaga? Kui suurt katkestust võime me enne tegutsemist taluda?

• Kuidas me määratleme ja efektiivselt haldame jääkriski?


The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum


100% turvalisust ei ole olemas

• 9/11 terrorirünnak (11.09.01)– Kaks 110-korruselist WTC hoonet ja hulk muid hooneid

hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud

– Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva– Investeerimispank Cantor Fitzgerald L.P. kaotas 658

töötajat• Societe Generale hiigelpettus (01/08)

– Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju

– Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises

• Lähis-Ida riikide interneti katkestus (01/08)


(10/25)

• Lähis-Ida riikide interneti katkestus (01/08)– Mitme veealuse kaabli katkemine põhjustas paljude

Lähis-Ida riikide Interneti side kadumise 10 päevaks– 80 milj. kasutajat häiritud (70% Egiptusest, 60%

Indiast)• UK MTA andmete kadumise intsident (10/07)

– Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma

– Intsident puudutab 25 milj. UK elanikku• Küberrünnakud Eestis kevad 2007

– DOS rünnakud Eesti riigiasutustele ja pankadele



Ohud, nõrkused, risk, meetmed

• Oht– Süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus

• Nõrkused– Vara või vararühma nõrk koht, mida saab ära kasutada oht



• Risk– Tõenäosus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse

• Turvameede– Riski kahandav teoviis, protseduur või mehhanism


Ründed ja muud ohud (ISKE)

• Andmeid ei ähvarda ainult rünnakud• ISKE standardi ohtude ja rünnete grupid:

– G1 – vääramatu jõud– G2 – organisatsioonilised puudused– G3 – inimvead– G4 – tehnilised rikked ja defektid


(12/25)

– G4 – tehnilised rikked ja defektid– G5 – ründed– G6 – andmekaitseohud



Privaatsusest


(13/25)

Privaatsusest kübersõjani



Mõned ühiskonna trendid

• Andmeid on väga palju– 2007 – 281 exabyte(1018)

– 45 GB iga inimene

• Sõltuvus infost ja


(14/25)

• Sõltuvus infost ja elektroonilistest töövahenditest kasvab

• Privaatsuse tunnetus muutumas



Iseloomulikud intsidendid

• Vajalikke andmeid ei saa kasutada– Hävinevad, ei leia enam üles, ei pääse ligi

• Töövahendid on kasutamatud– Arvuti on viiruse poolt aeglaseks muudetud– Arvutid, serverid, programmid ei toimi

• Delikaatne informatsioon võõrastele kättesaadav


(15/25)

kättesaadav– Piinlikud fotod, eravestlused, terviseinfo, mobiiltelefoni sisu

• Infovargus– Klientide andmebaas jm. ärisaladused

• Arvutikuriteod– Krediitkaardipettused, ahistamine e-keskkondades



Privaatsus muutumas

• Klienditeenindus, CRM-süsteemid vajavad detaile• Sotsiaalvõrgustikud koguvad märkamatult tausta

kujundavaid infokilde– Facebook, Twitter, Linkedin– Milliseid päevamärkmeid teed, milliseid pilte üles laadid, kelle

sõber oled, millest vaimustud, mida kommenteerid• Otsingumootorid koguvad märkamatult tausta

kujundavaid infokilde


(16/25)

kujundavaid infokilde– Töökoha kontaktide nimekiri– Spordivõistluse finišiprotokoll– Artikkel ajalehest– Koolinimekirjas olev laps– Linnavalitsuse otsus trahvi vaide lahendamise kohta

– Proovi oma nime alt Google-st... • minul täna hommikul 3280 tulemust



Kilde E. Leegost Google abiga

• Seotud ettevõtteid - Hansson, Leego & Partner, Tartu Ülikooli külalislektor, Eesti Geenivaramu, Arengufond, Tiigrihüppe SA, Concordia Ülikool, Riigikogu, Vabariigi Presidendi Kantselei

• Sotsiaalvõrgud – LinkedIn, Facebook, in.ee, Geni• Pere – abikaasa Merike, lapsed Stella ja Steven. Steven

edukas keemiaolümpiaadidel, kergejõustikus• Palju artikleid ja ettekandeid – Arvutimaailm, Äripäev,

ÄP blogi, IT juhtimise käsiraamat


(17/25)

ÄP blogi, IT juhtimise käsiraamat• EÜS-i liige• Ettevõte HLP - ÄP Tartumaa TOP-s 34. (2007), parim

Eesti kapitalil IT-gasell 2009. a.• Valgetähe teenetemärgi kavaler• Klaviatuuri kasutamise kiirus vähemalt 300 (2009)• Mängib korvpalli (Riigikogu versus linnapead, 2001)• Kui edasi tuhnida, leiab veel palju iseloomulikku ...



Milline info on privaatsem?

4

5

6

7



0

1

2

3

Kopsupõletik Perekond Vanus Sissetulek Isiklik telefon Koduneaadress

Allikas: E. Leego ja Äripäeva küsitlus 2007. a.


Kübersõda

• Kübersõda on sõda küberruumis; arvuteid ja internetti kasutatakse relvadena

• Kübersõda tihedalt seotud infosõjaga– Infosõda on kahe või enama osapoole vahel toimuv ürituste või masside teadvuse mõjutusprotsess

• Alles paari aasta eest jõudnud jõustruktuuride


(19/25)

• Alles paari aasta eest jõudnud jõustruktuuride tõsise tähelepanu alla

• Sõjalised eesmärgid– Hankida luureinfot – Halvata vaenlase sidevõimalused– Šabotaaž ja vandalism (Eesti, 2007)– Levitada desinformatsiooni, infosõda (Gruusia, 2008)



Kuidas infoühiskonnas


(20/25)

Kuidas infoühiskonnas ellu jääda?



Oskused läbi aegade

• Füüsiline osavus ja jõud


(21/25)

• Parem tehnoloogia

• Info kasutamise oskus



Ettevõtjana

• Tunne oma ettevõtte infoturbe olukorda– Tee selgeks, mis on väärtuslik– Riskianalüüs toob välja pingerea probleemidest ja nõrkustest

• Lähtu äri-põhistest kriteeriumitest– Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud – Valdkonnal peab olema selge vastutaja


(22/25)

• Turve on protsess– Loo jätkusuutlikule infotöötlusele orienteeritud kultuur– Liigu paremuse suunas teadlike ja jõukohaste sammudega

• Kulude asjakohasust on keeruline hinnata – turve on edukas siis kui midagi ei juhtu ...



Eraisikuna

• Ole teadlik– Mõtle hoolega, millist infot enda kohta avaldad ja kui vabalt suhtluskeskkondades end tunned

– Kui info on kord veebi jõudnud, siis välja enam võtta ei saa

– Nakatumiseks või ründe alla sattumiseks ei piisa ohtlike kohtade vältimisest

– Tea, mis on sulle kallis ja kaitse seda paremini


(23/25)

– Tea, mis on sulle kallis ja kaitse seda paremini• Omanda õiged oskused

– Info leidmiseks, olulise eraldamiseks ja mõtestamiseks, jätkusuutlikuks talletamiseks

• Kaitse oma lapsi– Noorte juurdepääs informatsioonile enneolematu– Rate.ee-s jmt. lihtne sobimatut info avaldada– Kurjategijatel otsetee sinu lapse magamistuppa



Kokkuvõte

• Andmeturbel kolm komponenti– Konfidentsiaalsus, terviklus, käideldavus

• Tuleb harjuda väheneva privaatsusega– Leia tasakaal mugavuse, e-keskkonnas nähtavuse ja privaatsuse vahel


(24/25)

• Kübersõjad on tulemas– Suunatud eelkõige militaarstruktuuridele

• Ellu jäämiseks põhiline – ole teadlik ja valda infoühiskonna oskusi



Tänan!




Erkki Leego, [email protected], www.hlp.ee

Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda

Technology

Transcript of Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda