Mida vähem turvalisust, seda parem – niiviisi mõelda tundub esialgu veider, sest turvalisus on pigem positiivne ja ihaldatud omadus. Kui seda aga mõõta ei osata või ei taheta, siis jääb iga turvalisusega seonduv nõue, soov ja visioon sisutühjaks loosungiks, kirjutab turvaspetsialist Sten Mäses ASA Quality Services blogis.
Turvalisuse reguleerimiseks on tarvis miskit mõõta. Mõõtmiseks on aga vaja kõigepealt see "miski" täpsemalt määratleda. Tunnetuslikult tähendab turvalisus igale inimesele midagi, aga selle täpsemal defineerimisel jäädakse sageli hätta. Täpsem turvalisuse mõiste seletus sõltub muidugi kontekstist, kuid suures plaanis on võimalik rääkida tunnetatavast turvalisusest ja mõõdetavast turvalisusest.
Turvatunne
Laiemas mõttes peetakse turvalisuse all tavaliselt silmas turvatunnet, mis on Maslow vajaduste hierarhiat iseloomustavas püramiidimudelis hõivanud täiesti omaette taseme. Kui mõelda mõnele ekstreemsele olukorrale (näiteks aktiivne sõjategevus või looduskatastroof), siis on üpris loogiline, et turvatunde saavutamine on väga prioriteetsel kohal. Surmahirmus inimesed ei mõtle tavaliselt tunnustusele ega gastronoomilistele naudingutele. Pigem fokusseerib inimkeha kõik oma ressursid selleks, et jõuda ohutu(ma)sse seisundisse. Ohtude vältimiseks ja turvatunde tekitamiseks on inimkond loonud kõikvõimalikud seadmed ja konstruktsioonid (muu hulgas näiteks kindlused ja kindlustused, turvavööd ja tulemüürid, helkur- ja kuulivestid, abielu- ja töölepingud). Paraku on tunnetel põhinev turvalisus väga individuaalne, sest iga inimese julge olek on ümbritseva keskkonnaga omamoodi suhtes – mõnele on julgeks olemiseks tarvis soomusrüüd, teisele reisikindlustust.
Tarkvara puhul võib ju selle kasutaja käest küsida, kui turvaliseks ta antud rakendust või süsteemi peab, kuid pahatihti ei pruugi tunnetuslik hinnang tegelikkusele vastata (kuigi vahel on tarkvara looja vaatenurgast lõppkasutaja hea enesetunne palju tähtsam kui süsteemi tegelikud turvaomadused). Seetõttu on tark lisaks kasutajate tagasiside kogumisele paika panna mõõdikud, mis annaks turvalisuse tasemest objektiivsema ülevaate.
Mõõdetud turvalisus
Nõuete ja eesmärkide seadmisel on tähtis, et need oleksid mõõdetavad. Vastasel korral on väga keeruline tõestada, et soovitud tulemus on saavutatud. Turvalisuse mõõtmiseks võib kasutada mitmeid andmeid. Näiteks võib loendada 2014. aastal USAs raporteeritud tarkvara haavatavused ning järeldada, et kõige haavatavamad operatsioonisüsteemid olid Apple Mac OS X, Apple iOS ning Linux kernel. Võib ka üles lugeda anti-viirus-programmi poolt avastatud pahavara-ründed või kokku liita tavakasutajate tehniliste probleemidega seonduvad appikutsed. Igal juhul annavad täpselt mõõdetavad numbrid võimaluse joonestada erinevaid graafikuid ning aitavad turvalisuse tasemest veidi objektiivsemat ülevaadet saada.
Teatud mõõdikute komplektid on muutunud sedavõrd populaarseks, et nendest on välja kujunenud standardid. Kuigi ka standardites võivad mõned mõõdikud ja definitsioonid jääda ebatäpseks, on nendest siiski suur kasu turvalisuse taseme hindamisel. Erinevad standardid (näiteks rahvusvaheline ISO 27000 seeria, kodumaine ISKE, veebirakendustele keskendunud OWASP ASVS, jne) võimaldavad kontrollida, millisel määral järgib kontrollitav produkt (tarkvara, teenus, protsess) spetsialistide poolt kehtestatud nõudeid. Standardid aitavad piiritleda testimise skoopi ning samuti parendada erinevate osapoolte vahelist suhtlust (eeldusel, et kõik osapooled on tuttavad standardis määratletud mõistetega).
Igaühele oma standard
Samas ei tohiks mõõdikute usaldamisega liialdada. Mõõdikud näitavad ainult neid haavatavusi, mis leiti üles ja raporteeriti. Näiteks mustal turul on kõrges hinnas haavatavused, mis on veel ametlikult raporteerimata, ning pahavarad, mis oskavad viirusetõrjeprogrammidele nähtamatuks jääda. Lisaks peitub igas tarkvaras veel hulgaliselt täiesti avastamata haavatavusi. Seega on väga oluline aru saada, mis peitub mõõdetud numbrite taga. Tuleb meeles pidada, et kõik sõltub alati kontekstist ning lihtsalt kahe numbri võrdlusest ei piisa adekvaatsete otsuste tegemiseks. Pahatihti tehakse aga lihtsustatud mudelite põhjal laiahaardelisi järeldusi. Rohkem vigu ühes või teises programmis või rakenduses ei pruugi sugugi tähendada, et see oleks sellevõrra rohkem või vähem turvaline. Tänapäeva tarkvara on sedavõrd kompleksne, et on mõttetu väita, et üks brauser, tekstiredaktor või operatsioonisüsteem on turvalisem kui teine.
Kokkuvõttes võib tõdeda, et turvalisuse mõõtmine ei ole lihtne. Turvataseme hindamiseks on otstarbekas igale juhtumile individuaalselt läheneda, sest mõtestamata mõõdikute väär tõlgendamine võib viia kurbade tagajärgedeni. Üldine turvateadlikkus ja turvaküsimuste üle mõtisklemine tuleb aga igal juhul kasuks.
Autor: Sten Mäses
Seotud lood
Riigi loodud IT-majad pakuvad erasektori IT-ettevõtetele järjest rohkem konkurentsi: võisteldakse tööjõuturul ja IT-firmadel on oht muutuda tööjõurendi pakkujateks, selgus Äripäeva raadio saates.