Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Maksuametis võib olla veel turvaauke
MTÜ Eesti Interneti Kogukond juhatuse esimees Elver Loho hinnangul võib maksuameti andmebaasides olla veel turvaauke.
„Piisava pühendumusega pätt suudab sisse murda nii maksuameti andmebaasidesse kui ka Kumusse,“ ütles Loho. Tema sõnul on just seepärast kaasaegsed turvalahendused orienteeritud sissetungikatse avastamisele (turvakaamerad füüsilises maailmas, sõltumatu logimine ja jooksev analüüs virtuaalmaailmas) ning kuriteo mõjude vähendamisele (iga väärtuslik maal eraldi seifis, andmed eraldi andmebaasides ja erineva juurdepääsukontrolliga).
Loho sõnul on kõige ohtlikum siiski alati inimfaktor. Kui Kumust koju mineva töötaja saab läbi otsida ja vaadata, et tal pole hinnalist maali peidetud särgi alla, siis maksuametist koju minev ametnik suudab ühe pisikese mälupulga peale peita tohutu koguse andmeid. „Ja isegi kui ta ei hakka andmete vargusega riskima, siis ega ukse peal keegi tema mälu ära ei kustuta. See, mida ta nägi päeval mõne firma raamatupidamist uurides, on tal endiselt meeles, kui ta sõpradega õhtul saunas õlut joob,“ selgitas Loho.
Kuna arvutiturbe ekspertide kogukond on Loho teatel Eestis üsna pisike ja omavahel käiakse palju läbi, siis viimaste aastate trend on olnud avastatud turvaaukude otse RIAsse raporteerimine, ilma et avalikkus üldse teada saaks. Auk parandatakse ära ja seltskonna sees omavahel arutatakse, aga sinna see jääbki. „Ajakirjandusse kipuvad jõudma vähetähtsate turvaaukude kirjeldused - enamasti leitud inimeste poolt, kes on väljaspool seda seltskonda. Ei mäletagi hästi viimast korda, millal mõni väga tõsine turvaauk meediasse jõudis. Mis aga ei tähenda, et neid poleks vahepeal leitud,“ selgitas ta.
Loho hinnangul seisneb probleemi üks pool selles, et riik tahab väikse rahaga palju saada ning ei oska alati turvalist lahendust nõuda - ideaalmaailmas järgneks iga olulise süsteemi hankele ka põhjalik turvaaudit. "Probleemi teine pool on asjaolu, et mitte keegi ei vastuta. Kui inimene hooletusest põhjustab avarii, siis seaduse järgi ta vastutab. Kui ametnik ei nõua riigihankes turvalist süsteemi ja programmeerija on hooletu, põhjustades olulise andmelekke, kehitatakse õlgu ja elatakse rahulikult edasi," lisas Loho.
Minu Äripäeva kasutamiseks logi sisse või loo konto.