Veldre: e-ühiskond vajab lapitud turvaauke

Riigi Infosüsteemi Ameti infoturbe eksperdi Anto Veldre sõnul on e-ühiskonna jätkusuutlikuks toimimiseks ühiskonnal vaja teatavat stabiilsust ja toimekindlust.

„Seetõttu tuleb eelistada turvaaukude kiiret parandamist sellele, et iga üksiku turvaaugu, mis tehnikule kindlasti väga huvitavaid, üksikasju saab ajalehest lugeda ning järele proovida veel enne, kui auk ise saab parandatud,“ sõnas ta.

Äripäev kirjutas e-maksuameti turvaaugust, mis lubas ettevõtjail ligi pääseda kohtu ja prokuratuuri andmetele, mida nad poleks tohtinud näha. Pärast seda, kui Äripäev pöördus kolmapäeva õhtul maksuameti poole, turvaauk likvideeriti.

Järgneb Riigi Infosüsteemi Ameti infoturbe eksperdi Anto Veldre kommentaar:

Infosüsteemide arendamisel tuleb ikka ette nii tehnilisi vigu kui ka inimlikke eksimusi. Antud juhul käitus Äripäev väga õigesti ja eetiliselt, teavitades probleemist kohe ka teenuse omanikku. Kirjeldatu põhjal jääb mulje, et tegemist oli kliendikonteksti ebapiisavast valideerimisest tingitud konfidentsiaalsusrikkega.

Rahandusministeeriumi infotehnoloogiakeskus reageeris suvisele ajale vaatamata väga kiiresti ning parandas turvavea loetud minutite jooksul pärast esmast teadet. Ühtlasi ei olnud turvaviga pärast seda enam testimiseks ega hindamiseks kättesaadav, mistõttu selgitusi vea põhjuse, ulatuse või ärakasutamise kohta saab nüüd jagada vaid Maksu- ja Tolliamet ise.

Riigi Infosüsteemi Amet on viimaste aastate jooksul käivitanud turvaintsidentidest raporteerimise süsteemi, milles osalevad nii elutähtsate teenuste osutajad kui riigisektoris etalonmeetmete süsteemiga ISKE hõlmatud asutused. Olulistest intsidentidest raporteeritakse kiiresti ja põhjalikult.

Avaliku huvi ning teenusepakkuja turvasüsteemide mitteavalikkuse vahel peaks ideaaljuhul valitsema tasakaal, mis väljendub selles, et juhtunud intsidente käsitletakse koolitustel, konverentsidel ning teadlikkuse tõstmise kampaaniates, kuid tõepoolest, mitte alati ei nimetata asutust või firmat, kus konkreetne juhtum aset leidis, täisnimega.

E-ühiskonna jätkusuutlikuks toimimiseks on ühiskonnal vaja teatavat stabiilsust ja toimekindlust. Seetõttu tuleb eelistada turvaaukude kiiret parandamist sellele, et iga üksiku turvaaugu (tehnikule kindlasti väga huvitavaid) üksikasju saab ajalehest lugeda ning järele proovida veel enne, kui auk ise saab parandatud.

Pelgalt programmeerimisvigadest tingitud turvaauke (nagu HeartBleed) esineb praegu juba oluliselt vähem kui keerukusest tingitud arhitektuuri- ja analüüsivigu, mille tagajärjel põhjustab turvarikke täiuslikult kirjutatud programm.

Osale arutelus

  • Harry Tuul

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

Derivco is looking for a TECHNICAL COORDINATOR

Derivco Estonia OÜ

08. detsember 2017

Derivco is looking for a TECHNICAL WRITER

Derivco Estonia OÜ

15. detsember 2017

IT Koolitus otsib KOOLITAJAT

IT Koolituskeskuse OÜ

10. detsember 2017

Arvamused

Teabevara