Veldre: e-ühiskond vajab lapitud turvaauke

„Seetõttu tuleb eelistada turvaaukude kiiret parandamist sellele, et iga üksiku turvaaugu, mis tehnikule kindlasti väga huvitavaid, üksikasju saab ajalehest lugeda ning järele proovida veel enne, kui auk ise saab parandatud,“ sõnas ta.

Äripäev kirjutas e-maksuameti turvaaugust, mis lubas ettevõtjail ligi pääseda kohtu ja prokuratuuri andmetele, mida nad poleks tohtinud näha. Pärast seda, kui Äripäev pöördus kolmapäeva õhtul maksuameti poole, turvaauk likvideeriti.

Järgneb Riigi Infosüsteemi Ameti infoturbe eksperdi Anto Veldre kommentaar:

Infosüsteemide arendamisel tuleb ikka ette nii tehnilisi vigu kui ka inimlikke eksimusi. Antud juhul käitus Äripäev väga õigesti ja eetiliselt, teavitades probleemist kohe ka teenuse omanikku. Kirjeldatu põhjal jääb mulje, et tegemist oli kliendikonteksti ebapiisavast valideerimisest tingitud konfidentsiaalsusrikkega.

Rahandusministeeriumi infotehnoloogiakeskus reageeris suvisele ajale vaatamata väga kiiresti ning parandas turvavea loetud minutite jooksul pärast esmast teadet. Ühtlasi ei olnud turvaviga pärast seda enam testimiseks ega hindamiseks kättesaadav, mistõttu selgitusi vea põhjuse, ulatuse või ärakasutamise kohta saab nüüd jagada vaid Maksu- ja Tolliamet ise.

Riigi Infosüsteemi Amet on viimaste aastate jooksul käivitanud turvaintsidentidest raporteerimise süsteemi, milles osalevad nii elutähtsate teenuste osutajad kui riigisektoris etalonmeetmete süsteemiga ISKE hõlmatud asutused. Olulistest intsidentidest raporteeritakse kiiresti ja põhjalikult.

Avaliku huvi ning teenusepakkuja turvasüsteemide mitteavalikkuse vahel peaks ideaaljuhul valitsema tasakaal, mis väljendub selles, et juhtunud intsidente käsitletakse koolitustel, konverentsidel ning teadlikkuse tõstmise kampaaniates, kuid tõepoolest, mitte alati ei nimetata asutust või firmat, kus konkreetne juhtum aset leidis, täisnimega.

E-ühiskonna jätkusuutlikuks toimimiseks on ühiskonnal vaja teatavat stabiilsust ja toimekindlust. Seetõttu tuleb eelistada turvaaukude kiiret parandamist sellele, et iga üksiku turvaaugu (tehnikule kindlasti väga huvitavaid) üksikasju saab ajalehest lugeda ning järele proovida veel enne, kui auk ise saab parandatud.

Pelgalt programmeerimisvigadest tingitud turvaauke (nagu HeartBleed) esineb praegu juba oluliselt vähem kui keerukusest tingitud arhitektuuri- ja analüüsivigu, mille tagajärjel põhjustab turvarikke täiuslikult kirjutatud programm.