Eelistada tuleb turvaaukude kiiret parandamist

Nimi pole alati vajalik. Avaliku huvi ning teenusepakkuja turvasüsteemide mitteavalikkuse vahel peaks ideaaljuhul valitsema tasakaal, mis väljendub selles, et juhtunud intsidente käsitletakse koolitustel, konverentsidel ja teadlikkuse tõstmise kampaaniates, kuid mitte alati ei nimetata asutust või firmat, kus see juhtum aset leidis.

Riigi Infosüsteemi Amet on viimaste aastate jooksul käivitanud turvaintsidentidest raporteerimise süsteemi, milles osalevad nii elutähtsate teenuste osutajad kui ka riigisektoris etalonmeetmete süsteemiga ISKE hõlmatud asutused. Olulistest intsidentidest raporteeritakse kiiresti ja põhjalikult.

Infosüsteemide arendamisel tuleb ikka ette nii tehnilisi vigu kui ka inimlikke eksimusi. Antud juhul jääb kirjeldatu põhjal mulje, et tegemist oli kliendikonteksti ebapiisavast valideerimisest tingitud konfidentsiaalsusrikkusega. Rahandusministeeriumi infotehnoloogiakeskus reageeris esmasele teatele turvaaugust väga kiiresti ning parandas turvavea loetud minutite jooksul pärast seda. Ühtlasi ei olnud turvaviga pärast seda enam testimiseks ega hindamiseks kättesaadav.

Programmeerimisvigu vähem. Pelgalt programmeerimisvigadest tingitud turvaauke (nagu näiteks interneti turvaühenduses leitud turvaauk Heartbleed) esineb preagu juba oluliselt vähem kui keerukusest tingitud arhitektuuri- ja analüüsivigu, mille tagajärjel põhjustab turvarikke täiuslikult kirjutatud programm.