Tarbija kaldub eelistama lihtsamini turvatavat lahendust

Toetun infoturbe lähitulevikku prognoosides oma kogemustele ja USA tunnustatud infoturbe visionääri Eugene H. Spaffordi artiklitele.

- Üldkasutatavate infosüsteemide turvaprobleemid suurenevad, kuna tootjad lisavad müügi tagamiseks toodetele küsitava väärtusega omadusi. Suurel osal süsteemide loojaist pole koolitust või vahendeid ? tarbijad lihtsalt ei maksa rohkem turvaliselt loodud süsteemide eest. Läheb aastaid, enne kui arendajate enamik võtab kasutusse turvalised arendusmetoodikad ja kliendid suudavad eristada turvaliselt loodud süsteeme harjumusest ostetavaist.

- Turvasüsteemide turg kasvab. Tulemüürid, ründetuvastussüsteemid, antiviiruslahendused, haldus- ja jälgimisvahendid on lähiaastail kuum kaup. Samas nõuab tegelik turvaprobleemide lahendamine IT baasinfrastruktuuri ülesehituse ümberkujundust. Infoturbeettevõtted ühinevad, kuna paljude toodete funktsionaalne sarnasus muutub ilmseks.

- Kuna lisasüsteemid ei taga kindlust põhimõtteliste ja kasutajate vigade eest, pöörduvad tarbijad eriotstarbeliste lahenduste poole. Väiksema hulga funktsionaalsuse ja teenustega lahendus on lihtsamini turvatav. Monofunktsionaalsed seadmed levivad ka tarbijate hulgas, kes ei ole huvitatud või võimelised haldama keerukat multifunktsionaalsete süsteemide võrku.

- Rämpsposti probleem suureneb. Kuigi rämpsposti puudutav seadusandlus on loomisel, ei ole veel reaalselt toimivaid meetodeid nende seaduste rakendamisel rahvusvahelisel tasandil. Paljud võivad selle tulemusel loobuda e-posti kasutamisest praegusel kujul.

- Probleemid intellektuaalse omandi varguste, rämpsposti, riikide piire ületavate arvutite rünnetega tekitavad suurema vajaduse koostöö ja riikidevahelise suhtluse järele.

- Oodatust kauem on kulunud aega kindlustusfirmade kaasamisele inforiskide maandamiseks. Kui see juhtub, võib olla kindel teenusepakkujate ja tootjate vastu esitatud kahjutasunõuete kasvus. See võib viia massitarbetoodetele turvanõuete ja toodete turvalisust kinnitavate sertifikaatide olemasolu nõude kehtestamiseni riigi poolt.

- Tarbijad keskenduvad valedele asjadele. Pea kõik turvameetmed on suunatud väliste ohtude tõrjumiseks ja ennetamiseks. Viletsat tarkvara ostetakse edaspidigi, sest ?seda kasutavad kõik?. Koolitusele ja konsultatsioonidele kulutatakse viimases järjekorras, sest nende tulemused ei paista finantsaruannetes välja. Infoturbelahendusi ostetakse põhjusega, et tegu on nn tööstuse standardiga, mitte sellepärast, et nad on turvalised või põhjalikult testitud. Standardid pole tihti seotud lahenduse omadustega, vaid argumendiga ?kõik ju kasutavad?.

- Traadita võrkude kasutuselevõtt turvatundlikes lahendustes jätkub riskidest hoolimata. Tehnikud ja juhid toetuvad probleemide lahendamisel pigem tehnoloogiale kui protsesside juhtimisele ja koolitatud personalile. Võiksime suhtuda ettevaatusega uutesse tehnoloogiatesse: VoIP, Bluetooth, avatud lähtekood, tarkvara automaatne paikamine.

Mis võiks olla olulised arengud Eesti infoturbes? Kuigi Euroopa Liit teeb pingutusi, et riikide seadusandlus vastaks infoühiskonna väljakutsetele, läheb aastaid, enne kui efektiivne tegevuskava suudetakse ellu viia. Positiivse arenguna Eestis võib tuua infoturbe auditite tellimise suurenemise ettevõtete poolt. Paraku ei ole selle tõusu põhjuseks tihti mitte ettevaatamine ja strateegiline planeerimine, vaid halvad kogemused ja vead infoturbe varasemas rakendamises.

Samuti suhtutakse ka edaspidi infoturbesse kui pigem äriprotsesse toetavasse tegevusse, mis antakse IT-osakonna korraldada. Samas sõltub turbeprobleemide lahendamine peamiselt juhtkonna otsustest ja töökorraldusest. Tehnoloogia õlule pannakse ülesanne, mida peavad täitma inimesed. Unustatakse, et tehnoloogia on vaid vahend protsesside hõlbustamiseks. IT-personal või IT-halduse partnerid teevad, mida oskavad ja mida neile võimaldatakse ? ostavad ja paigaldavad uut tehnoloogiat, mis vajab täiendavalt haldamist, uuendamist ja hooldamist. Ilmselt läheb veel aastaid, enne kui inforiskide haldus kuulub iga ärijuhi baasharidusse.

Infosüsteemide tugevusõpetus on täna veel lapsekingades ja tõenäoliselt ei suudeta ka lähimate aastate jooksul ennustada ühe või teise infosüsteemi konstruktsioonilisi nõrkusi matemaatilise täpsusega. Nii nagu näiteks tänapäeval toimuvad betoonkonstruktsioonide tugevusarvutused. Enamik infosüsteemi riskianalüüse põhineb kogemuslikel teadmistel ja seetõttu jäävad süsteemid ka lähiaastatel innovaatiliste rünnete poolt haavatavateks.

Ka infoturbe mõiste on viimastel aastatel muutunud ja üha enam räägitakse pigem info tagamisest, kuna ala spetsialistid on avastanud, et probleemistik on palju laiem kui lihtsalt arvuti turve. Infotagamise all mõistetakse valdkondi turvalistest praktikatest kuni selliste süsteemide loomiseni, mis suudavad vastu seista vaenulike ilmastikunähtuste ja inimeste mõjule.

Autor: Tõnis Reimo