Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
1. Kui on tahe, on ka võimalus!
Privaatsusest kübersõjani - kuidas
infoühiskonnas ellu jääda?
Erkki Leego – juhtivpartner
(1/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
Erkki Leego
juhtivpartner
Hansson, Leego & Partner
2. Kui on tahe, on ka võimalus!
Millise kogemuse pealt räägin
• Üle 14 aasta tundliku info kaitsel
– Vabariigi Presidendi Kantselei, infonõunik
– Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna
juhataja
– Tartu Ülikooli Kliinikum, IT direktor
– Hansson Leego & Partner, juhtivpartner
Erkki Leego – juhtivpartner
(2/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
• Hansson, Leego & Partner
– IT juhtimise ja konsultatsiooniettevõte
– HLP põhiline teenus on ettevõtete esindamine
kogemust ja kõrget erialast kompetentsi nõudvates IT
projektides
– 10 eksperti
3. Kui on tahe, on ka võimalus!
Hansson, Leego & Partner
• IT juhtimine ja
konsultatsioon
• Arenduse
koordineerimine
ja järelevalve
Erkki Leego – juhtivpartner
(3/25)
ja järelevalve
• Andmeturbe
konsultatsioon
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
4. Kui on tahe, on ka võimalus!
Mõned mõisted
Erkki Leego – juhtivpartner
(4/25)
Mõned mõisted
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
5. Kui on tahe, on ka võimalus!
Andmeturbe 3 põhikomponenti
1. Konfidentsiaalsus
• Andmete kättesaadavus ainult selleks volitatud
isikule või tehnilisele vahendile
2. Terviklus
• Andmete õigsuse, täielikkuse ja ajakohasuse
tagatus ning päritolu autentsus ja volitamatute
Erkki Leego – juhtivpartner
(5/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
tagatus ning päritolu autentsus ja volitamatute
muutuste puudumine
3. Käideldavus
• Kasutamiskõlblike andmete õigeaegne ja hõlbus
kättesaadavus selleks volitatud tarbijaile (isikutele
või tehnilistele vahenditele)
6. Kui on tahe, on ka võimalus!
Andmete turvaklass (nt. K2T3S1)
Andmete käideldavus (K):
K0 – töökindlus – pole oluline; jõudlus – pole
oluline;
K1 – töökindlus – 90% (lubatud summaarne seisak
nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja
kasv tippkoormusel – tunnid (1÷10);
K2 – töökindlus – 99% (lubatud summaarne seisak
nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja
kasv tippkoormusel – minutid (1÷10);
K3 – töökindlus – 99,9% (lubatud summaarne
seisak nädalas ~ 10 minutit); lubatav nõutava
reaktsiooniaja kasv tippkoormusel – sekundid
(1÷10).
Andmete terviklus (T):
T0 – info allikas, muutmise ega hävitamise
tuvastatavus ei ole olulised; info õigsuse, täielikkuse
ja ajakohasuse kontroll pole vajalik;
T1 – info allikas, selle muutmise ja hävitamise fakt
peavad olema tuvastatavad; info õigsuse, täielikkuse
ja ajakohasuse kontroll erijuhtudel ja vastavalt
vajadusele;
T2 – info allikas, selle muutmise ja hävitamise fakt
peavad olema tuvastatavad; vajalik on info õigsuse,
täielikkuse ja ajakohasuse perioodiline kontroll;
T3 – info allikas, selle muutmise ja hävitamise faktil
peab olema tõestusväärtus; vajalik on info õigsuse,
Erkki Leego – juhtivpartner
(6/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
(1÷10). peab olema tõestusväärtus; vajalik on info õigsuse,
täielikkuse ja ajakohasuse kontroll reaalajas.
Andmete konfidentsiaalsus (S):
S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on
määratud tervikluse nõuetega);
S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku
õigustatud huvi korral;
S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs
teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;
S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele
on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.
Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”
7. Kui on tahe, on ka võimalus!
Andmete kaitsel - näiteid
• Riigikogu Kantselei
– Hääletussüsteemi töökindlus ja terviklus
– 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja
vastunuppudega mängija on Tõnu Kauba. 2000. aasta
augustis visati ta aastaks fraktsioonist välja, kuna tema
poolthääl aitas ametist maha võtta tollase kaitseväe
juhataja Johannes Kerdi. Kaks aastat hiljem karistas
fraktsioon Kaubat Ja Anti Liivi, sest nende süül
õnnestus opositsioonil riigieelarve eelnõu parlamendi
Erkki Leego – juhtivpartner
(7/25)
õnnestus opositsioonil riigieelarve eelnõu parlamendi
menetlusest välja lükata.”
• Tartu Ülikooli Kliinikum
– 22 suurt infosüsteemi 24/7, käideldavus ja terviklus
• Tartu Ülikooli Eesti Geenivaramu
– Isikuandmete turvaline haldus, konfidentsiaalsus
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
8. Kui on tahe, on ka võimalus!
Näide infosüsteemist - EGV
Erkki Leego – juhtivpartner
(8/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
9. Kui on tahe, on ka võimalus!
Turbe strateegilised küsimused
• Mida on vaja kaitsta?
– Miks on seda vaja kaitsta? Mis juhtub siis kui ei
kaitse?
• Milliseid potentsiaalseid ebasoovitavaid
tagajärgi me soovime vältida?
Erkki Leego – juhtivpartner
(9/25)
tagajärgi me soovime vältida?
– Millise hinnaga? Kui suurt katkestust võime me enne
tegutsemist taluda?
• Kuidas me määratleme ja efektiivselt haldame
jääkriski?
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum
10. Kui on tahe, on ka võimalus!
100% turvalisust ei ole olemas
• 9/11 terrorirünnak (11.09.01)
– Kaks 110-korruselist WTC hoonet ja hulk muid hooneid
hävinenud, 18 000 väikest äri hävinenud või ümber
paigutatud
– Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva
– Investeerimispank Cantor Fitzgerald L.P. kaotas 658
töötajat
• Societe Generale hiigelpettus (01/08)
– Jérôme Kerviel kauplemistehingud põhjustasid pangale
76 miljardit krooni kahju
– Süüdistus volitamata ligipääsus ja usalduse
kuritarvitamises
• Lähis-Ida riikide interneti katkestus (01/08)
Erkki Leego – juhtivpartner
(10/25)
• Lähis-Ida riikide interneti katkestus (01/08)
– Mitme veealuse kaabli katkemine põhjustas paljude
Lähis-Ida riikide Interneti side kadumise 10 päevaks
– 80 milj. kasutajat häiritud (70% Egiptusest, 60%
Indiast)
• UK MTA andmete kadumise intsident (10/07)
– Kaks Suurbritannia maksu- ja tolliameti arvutiketast
kõikide lastetoetust saanud perede andmetega läks
teekonnal ühest kontorist teise kaduma
– Intsident puudutab 25 milj. UK elanikku
• Küberrünnakud Eestis kevad 2007
– DOS rünnakud Eesti riigiasutustele ja pankadele
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
11. Kui on tahe, on ka võimalus!
Ohud, nõrkused, risk, meetmed
• Oht
– Süsteemi või organisatsiooni kahjustada võiva
soovimatu intsidendi potentsiaalne põhjus
• Nõrkused
– Vara või vararühma nõrk koht, mida saab ära
kasutada oht
Erkki Leego – juhtivpartner
(11/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
• Risk
– Tõenäosus, et vaadeldav oht kasutab ära mingi vara
või vararühma nõrkused, põhjustades varade
kaotuse või kahjustuse
• Turvameede
– Riski kahandav teoviis, protseduur või mehhanism
12. Kui on tahe, on ka võimalus!
Ründed ja muud ohud (ISKE)
• Andmeid ei ähvarda ainult rünnakud
• ISKE standardi ohtude ja rünnete grupid:
– G1 – vääramatu jõud
– G2 – organisatsioonilised puudused
– G3 – inimvead
– G4 – tehnilised rikked ja defektid
Erkki Leego – juhtivpartner
(12/25)
– G4 – tehnilised rikked ja defektid
– G5 – ründed
– G6 – andmekaitseohud
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
13. Kui on tahe, on ka võimalus!
Privaatsusest
Erkki Leego – juhtivpartner
(13/25)
Privaatsusest
kübersõjani
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
14. Kui on tahe, on ka võimalus!
Mõned ühiskonna trendid
• Andmeid on väga
palju
– 2007 – 281 exabyte
(1018)
– 45 GB iga inimene
• Sõltuvus infost ja
Erkki Leego – juhtivpartner
(14/25)
• Sõltuvus infost ja
elektroonilistest
töövahenditest
kasvab
• Privaatsuse
tunnetus muutumas
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
15. Kui on tahe, on ka võimalus!
Iseloomulikud intsidendid
• Vajalikke andmeid ei saa kasutada
– Hävinevad, ei leia enam üles, ei pääse ligi
• Töövahendid on kasutamatud
– Arvuti on viiruse poolt aeglaseks muudetud
– Arvutid, serverid, programmid ei toimi
• Delikaatne informatsioon võõrastele
kättesaadav
Erkki Leego – juhtivpartner
(15/25)
kättesaadav
– Piinlikud fotod, eravestlused, terviseinfo,
mobiiltelefoni sisu
• Infovargus
– Klientide andmebaas jm. ärisaladused
• Arvutikuriteod
– Krediitkaardipettused, ahistamine e-keskkondades
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
16. Kui on tahe, on ka võimalus!
Privaatsus muutumas
• Klienditeenindus, CRM-süsteemid vajavad detaile
• Sotsiaalvõrgustikud koguvad märkamatult tausta
kujundavaid infokilde
– Facebook, Twitter, Linkedin
– Milliseid päevamärkmeid teed, milliseid pilte üles laadid, kelle
sõber oled, millest vaimustud, mida kommenteerid
• Otsingumootorid koguvad märkamatult tausta
kujundavaid infokilde
Erkki Leego – juhtivpartner
(16/25)
kujundavaid infokilde
– Töökoha kontaktide nimekiri
– Spordivõistluse finišiprotokoll
– Artikkel ajalehest
– Koolinimekirjas olev laps
– Linnavalitsuse otsus trahvi vaide lahendamise kohta
– Proovi oma nime alt Google-st...
• minul täna hommikul 3280 tulemust
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
17. Kui on tahe, on ka võimalus!
Kilde E. Leegost Google abiga
• Seotud ettevõtteid - Hansson, Leego & Partner, Tartu
Ülikooli külalislektor, Eesti Geenivaramu, Arengufond,
Tiigrihüppe SA, Concordia Ülikool, Riigikogu, Vabariigi
Presidendi Kantselei
• Sotsiaalvõrgud – LinkedIn, Facebook, in.ee, Geni
• Pere – abikaasa Merike, lapsed Stella ja Steven. Steven
edukas keemiaolümpiaadidel, kergejõustikus
• Palju artikleid ja ettekandeid – Arvutimaailm, Äripäev,
ÄP blogi, IT juhtimise käsiraamat
Erkki Leego – juhtivpartner
(17/25)
ÄP blogi, IT juhtimise käsiraamat
• EÜS-i liige
• Ettevõte HLP - ÄP Tartumaa TOP-s 34. (2007), parim
Eesti kapitalil IT-gasell 2009. a.
• Valgetähe teenetemärgi kavaler
• Klaviatuuri kasutamise kiirus vähemalt 300 (2009)
• Mängib korvpalli (Riigikogu versus linnapead, 2001)
• Kui edasi tuhnida, leiab veel palju iseloomulikku ...
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
18. Kui on tahe, on ka võimalus!
Milline info on privaatsem?
4
5
6
7
Erkki Leego – juhtivpartner
(18/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
0
1
2
3
Kopsupõletik Perekond Vanus Sissetulek Isiklik telefon Kodune
aadress
Allikas: E. Leego ja Äripäeva küsitlus 2007. a.
19. Kui on tahe, on ka võimalus!
Kübersõda
• Kübersõda on sõda küberruumis; arvuteid ja
internetti kasutatakse relvadena
• Kübersõda tihedalt seotud infosõjaga
– Infosõda on kahe või enama osapoole vahel toimuv
ürituste või masside teadvuse mõjutusprotsess
• Alles paari aasta eest jõudnud jõustruktuuride
Erkki Leego – juhtivpartner
(19/25)
• Alles paari aasta eest jõudnud jõustruktuuride
tõsise tähelepanu alla
• Sõjalised eesmärgid
– Hankida luureinfot
– Halvata vaenlase sidevõimalused
– Šabotaaž ja vandalism (Eesti, 2007)
– Levitada desinformatsiooni, infosõda (Gruusia, 2008)
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
20. Kui on tahe, on ka võimalus!
Kuidas infoühiskonnas
Erkki Leego – juhtivpartner
(20/25)
Kuidas infoühiskonnas
ellu jääda?
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
21. Kui on tahe, on ka võimalus!
Oskused läbi aegade
• Füüsiline osavus ja jõud
Erkki Leego – juhtivpartner
(21/25)
• Parem tehnoloogia
• Info kasutamise oskus
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
22. Kui on tahe, on ka võimalus!
Ettevõtjana
• Tunne oma ettevõtte infoturbe olukorda
– Tee selgeks, mis on väärtuslik
– Riskianalüüs toob välja pingerea probleemidest ja nõrkustest
• Lähtu äri-põhistest kriteeriumitest
– Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud
– Valdkonnal peab olema selge vastutaja
Erkki Leego – juhtivpartner
(22/25)
• Turve on protsess
– Loo jätkusuutlikule infotöötlusele orienteeritud kultuur
– Liigu paremuse suunas teadlike ja jõukohaste sammudega
• Kulude asjakohasust on keeruline hinnata – turve on
edukas siis kui midagi ei juhtu ...
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
23. Kui on tahe, on ka võimalus!
Eraisikuna
• Ole teadlik
– Mõtle hoolega, millist infot enda kohta avaldad ja kui
vabalt suhtluskeskkondades end tunned
– Kui info on kord veebi jõudnud, siis välja enam võtta ei
saa
– Nakatumiseks või ründe alla sattumiseks ei piisa ohtlike
kohtade vältimisest
– Tea, mis on sulle kallis ja kaitse seda paremini
Erkki Leego – juhtivpartner
(23/25)
– Tea, mis on sulle kallis ja kaitse seda paremini
• Omanda õiged oskused
– Info leidmiseks, olulise eraldamiseks ja mõtestamiseks,
jätkusuutlikuks talletamiseks
• Kaitse oma lapsi
– Noorte juurdepääs informatsioonile enneolematu
– Rate.ee-s jmt. lihtne sobimatut info avaldada
– Kurjategijatel otsetee sinu lapse magamistuppa
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
24. Kui on tahe, on ka võimalus!
Kokkuvõte
• Andmeturbel kolm komponenti
– Konfidentsiaalsus, terviklus, käideldavus
• Tuleb harjuda väheneva privaatsusega
– Leia tasakaal mugavuse, e-keskkonnas nähtavuse ja
privaatsuse vahel
Erkki Leego – juhtivpartner
(24/25)
• Kübersõjad on tulemas
– Suunatud eelkõige militaarstruktuuridele
• Ellu jäämiseks põhiline – ole teadlik ja valda
infoühiskonna oskusi
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
25. Kui on tahe, on ka võimalus!
Tänan!
Kui on tahe, on ka võimalus!
Erkki Leego – juhtivpartner
(25/25)Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda? / 23.09.10
Erkki Leego, erkki.leego@hlp.ee, www.hlp.ee