√(kuri) = ?

Teema püstitus

Vali üks suurematest IT-turvariskidest (võib võtta tekstist, aga võib ka kirjeldada mõnda muud) ja analüüsi seda ajaveebiartiklis. Mida tuleks "Mitnicki valemi" kolme komponendi (tehnoloogia, koolitus, reeglid) selle maandamiseks ette võtta?

Hmmm...

Ma nüüd lähenen sellele teemale natukene diagonaalis võibolla, kuid loodan siiski et see väga mööda ei lenda. Üks suurimatest turvariskidest IT-süsteemides on loomulikult inimene. Me võime selle taandada absurdini, et kui inimest pole, pole ka probleemi (kollektiivselt inimkonnana, mitte stalinistlikult :D). Sest et kui inimkond praegu maa pealt kaoks, kaoksid koos nendega ka IT turvariskid.

Mida ma muidugi täpsemalt silmas pean on see, et inimkomponent mängib kõikides teistes turvariskides piisavalt suurt rolli, et see omaette tähelepanu alla võtta. Inimesed on mugavad, laisad ja geniaalsed. Nagu ka selle nädala foorumipostitustest juba välja saab lugeda leitakse viis kuidas saada kõrvale tüütust paroolide vahetamisest põhimõtteliselt sama vana parooli taaskasutades viimast märki muutes. Boonuspunktid veel selle eest kui kirjutame ta post-it'i peale maha, et viimane number sassi ei läheks, ning kui vana märkmepaber täis saab, viskame selle paberikorvi.

Jube keeruline on luua kõigile ettevõtte kasutajatele oma kontod, ning pahatihti võib see ka maksta lisaraha per nägu. Lihtsam on regada kõigile üks kasutaja, mille parool on jagatud ning kui tüütu 2FA hakkab kinnituskoodi nõudma, siis küsime seda meilikonto haldaja käest usalduse peale. Boonuspunktid selle eest kui 2FA käib telefoni kaudu ja sa juba ennetavalt paned igale küsimusele "oled see sina?" linnukese kirja, et sõbral elu mugavam oleks.

Aga mida siis teha?

Aus vastus on ei tea. Tehnoloogilises mõttes peab tõenäoliselt leidma tasakaalu tehnilise turvalisuse ning kasutusmugavuse vahel. Kui ukse avamine tehakse liiga keeruliseks, pannakse sinna lõpuks kivi või kaigas vahele. Seda võib näiteks proovida maandada alarmiga kui uks liiga kaua avatud on, aga noh, selle saab nätsu täis toppida. Igale tehnoloogilisele lahendusele leiab tõenäoliselt geniaalse mugavduse, mis selle täielikult ära nullib.

Reeglite disainimise juures on vaja näha vaeva, et nad oleksid lihtsad, tõhusad ning arusaadavad. Ma tunnetuslikult paneksin reeglid pigem samasse patta tehnoloogiaga; mida muud nad on kui natukene vähem formaalsed algoritmid. Inimestel kipub olema kalduvus reegleid väänama hakata, eriti kui nendest aru ei saada, või kui nad mõttetud tunduvad.

Koolituse mõttes... Ma töötasin kunagi Klick'i poes klienditeenindajana ning meil olid iga paari kuu tagant mingid müügikoolitused kus mitte kunagi ei õpetatud mitte midagi uut; kogu aeg korrutati ainult ühtesid ja samu asju. Mingi aja peale tekkis mul aimdus, et tõenäoliselt on see nii by design. Tulebki korrutada kogu aeg ühte ja sama; ka turvalisuse koolitus ei saa kunagi läbi. Tuleb uutele inimestele õpetada samu põhitõdesid, miks neid vaja on, mis juhtub kui neid ei järgita. Sama moodi tuleb vanadele olijatele tuletada neid samu asju uuesti meelde. Ei saa loota, et teed nt ettevõttes ühe turvakoolituse ning nüüd ongi asi ants.

Koolitus on minu peas natukene teises rollis, kuigi koolituste käigus antakse ka kindlasti edasi teadmisi erinevatest ohtudest jms, on ta lisaks ka see liim mis tehnoloogilistel lahendustel ning reeglitel põhinevat süsteemi koos hoiab; või see õli mis ei lase sellel süsteemil rooste minna, kumb metafoor parem tundub :)

Ehk siis kokkuvõtteks. IT on inimeste poolt loodud inimeste heaks ning inimene on ka minu peas see kuhu peaks panema suurima fookuse, et meie süsteemid sünniksid turvaliselt ja oleksid turvalised kasutada. 

 

Comments

Post a Comment

Popular posts from this blog

Kolm põnevat IT-lahendust

Kiire sissejuhatus Tänase postituse teemaks on ITSPEA 1. nädal ehk siis kolm põnevat IT-lahendust. Esimene kui lahendus mis tekitas tõelise revolutsiooni IT-maastikul, teine mis oli oma ajast nii ees et põrus ning kolmas mis oli piisavalt totter, et tekitab küsimusi. Revolutsioon Lahendus, mis minu arust tekitas väga suure revolutsiooni oli kasutajasõbralike ning taskukohaste nutitelefonide ilmumine. Ma arvan, et see pole kokkusattumus, et näiteks sotsiaalmeedia kasutus on alates nutitelefonide tulekust niivõrd palju kasvanud (https://ourworldindata.org/rise-of-social-media). Interneti kaudu meedia tarbimine, selle loomine ning suhtlemine kolis tubadest tänavale, ühistransporti, baaridesse ning natukene taunitavalt isegi autorooli. Sisuliselt on see tehnoloogia areng ühendanud peaaegu kogu maailma inimesed internetti (https://playablemaker.com/global-smartphone-ownership-the-big-picture). Visioon  Asi, mis on oma ajast niivõrd ees, et põrus läbi on minu silmis Meta virtuaalreaalsus...
Read more

Vanad kalad uues meedias

Sissejuhatuseks Seekordseks nädala ülesandeks on analüüsida kahte traditsioonilise meedia kanalit, üks neist millel läheb hästi ka uues meedias, ning teine millel päris nii hästi ei lähe. Pean tunnistama, et mul endal läheb see piir traditsioonilise ja uue meedia vahel natuke hägusaks, tunnetuslikult oleksin liigitanud juba ka uudisteportaalid traditsioonilise meedia valdkonda, mille hiljem küll ümber mõtlesin. Teine raskus antud teemavaliku juures on see, hästi vs halvasti minek uues meedias on mõnevõrra subjektiivsem kui eelnevad teemad, eks ma seega lähtungi siinkohal sellest kuidas üks ja teine mulle endale tunnetuslikult paistavad (siinkohal ei saa ka vältida võimalust, et mul on mingi eelnev  bias,  mida ma ei suuda märgata). Eesti Televisioon ja Kanal 2 Ma valisin oma võrdluseks kaks Eesti telekanalit traditsioonilise meedia esindajatena, kellel on olemas ka uue meedia kanalid (siinkohal võib üldse ära mainida, et raske on praegusel ajal leida mõnda meediakanalit, mille...
Read more

Vaba teema: tegelt on ju täitsa lahe

Mõned aastad tagasi juhtusin ma vaatama taolist toiduteemalist Netflixi sarja nagu Somebody Feed Phil. Sarja peategelane oli parasjagu Taanis toitu avastamas, ning sattus jutustama koka Christian Puglisiga, kes kurtis, et parima pizza tegemiseks on vaja värskeid koostisosi. Seejuures mainis ta, et õppis pizza jaoks värsket mozzarellat tegema Youtube'ist ( https://calatoriisifarfurii.ro/interview-christian-puglisi ). Sarnast asja olin kuulnud ka varem, kui mu abikaasa uuris oma siseviimistlejast tädi käest kuidas midagi patheldada või krohvida (ma täpselt ei mäleta), ning sai vastuseks et vaata Youtube'ist. Mõeldes nüüd tagasi oma senise elu peale, olen ma interneti abil õppinud kitarri mängima, programmeerima, sõrmedega vilistama, natukene suupilli mängima, sotsiaalärevuse ning stressiga võitlema (need viimased on veel käimasolevad teekonnad). Kõik need on ainult mõned üksikud näited, mis mulle kohe pähe tulevad, kuigi ma arvan et see loetelu on tõenäoliselt palju-palju pikem. ...
Read more