16 november 2000

Kas ainult häkker on süüdi infolekkes?

Eesti on läbi ja lõhki IT-riik. Vähemalt võiks siinviibija nii arvata, jälgides päevalehtede esikülgi, kus järjest vahelduvad häkkerlusjuhtumid ja nende kohtusse jõudmine. Vaevalt sai Tõnu Samueli ja hot.ee juhtum vaibuda, kui võisime teisipäeval Postimehest leida loo Hansapanga ja Ühispanga kliendibaase kopeerinud häkkeri Lauri Kriiska kohtu ette jõudmisest.

Loomulikult tuleb õiguskaitseorganeid tunnustada, et juhtumi uurimisega lõpuks kohtuasjani on jõutud. Loodetavasti saavad õiglase karistuse need, kes selle ära on teeninud. Siiski on loos mõned tahud, mis võiks sundida mõtlema neidki, kes selle asjaga otse seotud pole, kuid võivad tahtmatult olla segatud mõnesse järgmisesse juhtumisse.

Süüdistuse järgi nägi Kriiska juhuslikult pealt kaastöötaja paroole, mida sai hiljem andmete endale kopeerimiseks kasutada.

Seega pole siin tõsise, tehnilise häkkerlusega midagi pistmist. Selline juhtum on aga hämmastav, iseäranis pankade kaardikeskuses, mis võiks ju olla usaldusväärsusele pretendeeriv asutus. Juhuslikkusest rääkida on väär: tegu oli põhimõttelise veaga süsteemi ülesehituses.

?Kuidas veaga?? võib küsida. ?Arvutid töötasid ju korrektselt ja info lekkis inimeste kaudu.? Just nimelt! Turbespetsialistidele on Kriiska juhtum kahe käibetõe musternäide: 1. infotehnoloogilistest turvameetmetest märksa olulisemad on füüsilised ja organisatsioonilised, 2. enamik rünnetest (andmete vargus seda kahtlemata on) tuleb organisatsioonide endi seest.

Võime ette kujutada firmat või asutust, kus pärast tööpäeva lõppu põrandat nühkiv koristaja märkab irvakile jäetud seifiust, pistab sealt taskusse natuke raha ja kaob sellega nelja tuule poole. Juhtumi avastamisel teda muidugi karistatakse, päris puhtalt ei pääse teinegi osapool ? töötaja, kelle lohakuse tõttu vargus võimalikuks sai. Erafirmas ta vallandataks, ametiasutuses ootaks ka veel süüdistus ametialases lohakuses.

Pole teada, kas kaardikeskuses sai keegi karistada, kuid alust selleks oleks, samuti õppimisainet kõigile meile. Ja nimelt: asutuse töö peab olema korraldatud viisil, mis välistab infolekke inimfaktori kaudu või vähemalt minimeerib selle kahju.

Tihti pööratakse tähelepanu vaid IT turvamisele, unustades, et hooletud inimesed muudavad tehtud töö kasutuks. Turbespetsialistide käibenäide: kui sunnime inimesi kasutama kahekümnekohalisi, kirjavahemärkidest ja kreeka tähtedest koosnevaid paroole, kinnitatakse need ilusale helekollasele märkmepaberile kirjutatuna kuvari servale. Sealt pole Kriiska-taolisel ?häkkeril? mingi vaev neid üles noppida ja kasutada. Me ei saa eeldada, et igal pool ja ajal võetakse tööle ainult häid ja vastutustundelisi isikuid: IT-inimeste puudus on liiga suur selleks, et me jõuaks kõigi moraali ja eetikat vajaliku põhjalikkusega kontrollida.

Samal põhjusel ei tasu liiga sinisilmselt suhtuda järgmise põlvkonna IT-lahendustesse, kui endal puudub oskus nende turvalisuses veendumiseks. Inimesed on ekslikud, s.h IT-partnerid, kes võivad endagi teadmata tarnida puuduliku lahenduse. Partnerile ei saa täielikult usaldada organisatsiooni tööprotsessi korraldamist: sellega peab toime tulema igaüks ise, ka osas, mis puudutab andmete liikumist ja võimalikke lekkeid.

Vastuse pealkirjas esitatud küsimusele annavad õiguskaitseorganid. Siiski on selge, et meie arenevas ühiskonnas pole tihti õiges vahekorras inimese eetilised tõekspidamised ja talle usaldatud vastutuse määr ning probleemide põhjuseks on inimese enda väära käitumise kõrval tihti ka puudulikud tööprotseduurid, mis läbimõeldult koostatuna rikkumised võimatuks teeks.

Hetkel kuum