Eelistada tuleb turvaaukude kiiret parandamist

07. juuli 2014, 00:00

E-ühiskonna jätkusuutlikuks toimimiseks on ühiskonnal vaja teatavat stabiilsust ja tomekindlust. Seetõttu tuleb eelistada turvaaukude kiiret parandamist näiteks sellele, et iga üksiku turvaaugu üksikasju (mis on tehnikule kindlasti väga huvitavad) saab lehest lugeda ja järele proovida veel enne, kui auk ise saab parandatud.

Nimi pole alati vajalik. Avaliku huvi ning teenusepakkuja turvasüsteemide mitteavalikkuse vahel peaks ideaaljuhul valitsema tasakaal, mis väljendub selles, et juhtunud intsidente käsitletakse koolitustel, konverentsidel ja teadlikkuse tõstmise kampaaniates, kuid mitte alati ei nimetata asutust või firmat, kus see juhtum aset leidis.

Riigi Infosüsteemi Amet on viimaste aastate jooksul käivitanud turvaintsidentidest raporteerimise süsteemi, milles osalevad nii elutähtsate teenuste osutajad kui ka riigisektoris etalonmeetmete süsteemiga ISKE hõlmatud asutused. Olulistest intsidentidest raporteeritakse kiiresti ja põhjalikult.

Infosüsteemide arendamisel tuleb ikka ette nii tehnilisi vigu kui ka inimlikke eksimusi. Antud juhul jääb kirjeldatu põhjal mulje, et tegemist oli kliendikonteksti ebapiisavast valideerimisest tingitud konfidentsiaalsusrikkusega. Rahandusministeeriumi infotehnoloogiakeskus reageeris esmasele teatele turvaaugust väga kiiresti ning parandas turvavea loetud minutite jooksul pärast seda. Ühtlasi ei olnud turvaviga pärast seda enam testimiseks ega hindamiseks kättesaadav.

Programmeerimisvigu vähem. Pelgalt programmeerimisvigadest tingitud turvaauke (nagu näiteks interneti turvaühenduses leitud turvaauk Heartbleed) esineb preagu juba oluliselt vähem kui keerukusest tingitud arhitektuuri- ja analüüsivigu, mille tagajärjel põhjustab turvarikke täiuslikult kirjutatud programm.

Raadio ettevõtlikule inimesele

Äripäeva raadio 92.4

Hetkel eetris

Kava

    Vaata kogu kava
    Äripäev https://www.aripaev.ee/img/id-aripaev.svg
    06. July 2014, 21:23
    Otsi:

    Ava täpsem otsing