14 nädal: Andmeturve

Inimfaktor on uks suurimaid, kui mitte kõige suurem turvarisk. Seda põhjustavad mitmed tegurid, kuid lihtsustatult tuleneb see peamiselt inimese tähelepanematusest või teadmatusest. Kuna inimesed ja olud on erinevad, võivad andmeturbe jaoks ohtlikud olukorrad ilmneda mitmel viisil. Suur osa andmeturbega seotud probleeme tuleneb just inimfaktori tõttu. Turvaekspert Mitnicki sõnul sõltub turbe efektiivsus kolmest osast: tehnoloogia, koolitus ja reeglid.

Probleem

Paljud inimesed ei ole teadlikud kõigist võimalikest ohtudest ning nad ei suuda olla pidevalt tähelepanelikud ja kursis uute ohtudega. Näiteks pärast pikka päeva ei märgata, et e-kirjas olev link on kahtlane või kasutatakse mitmes erinevas keskkonnas sama, või sarnast parooli. Tihti unustatakse ka turvauuendusi teha  ja need lükatakse kuude kaupa edasi.

See muudab ründaja töö lihtsamaks, kuna ei ole vaja läbi viia keerulisi tehnilisi rünnakuid, vaid piisab ühe inimese eksimusest, et saada ligipääas süsteemile või ettevõtte andmetele.

Lahendus

Mitnicki arvates saab inimfaktorit vähendada kolme lähenemise abil.

Tehnoloogia

Tänapäeval on kasutusel eri lahendused, mis proovivad vähendada inimese kokkupuudet ohtlike olukordadega. Näiteks kasutatakse tülemüüre, pahavaratõrjet ning piiratakse ligipääsu kahtlastele veebilehtedele. Samuti on kaheastmeline autentimine väga efektiivne viis turvalisuse tõstmise jaoks kuna see aitab vältida ründajal süsteemile ligipääsu saamist isegi siis, kui kasutaja teeb vea.

Koolitus

Töötajate koolitamise tähtsus aina kasvab ajaga, arvestades kui kiiresti tehnoloogia areneb. Ründajad kasutavad üha rohkem psühholoogilisi võtteid, et inimesi manipuleerida. Tihti on ka probleemiks see, et koolitused toimuvad ainult tööle asumisel ning hiljem neid ei korrata. Enda kogemuse järgi võin öelda, et praktilised ja korduvad koolitused aitavad teadmiseid kinnitada  ja vältida vigu.

Reeglid

Igal asutusel on omad turvareeglid, mis peavad olema selged ja arusaadavad. Kui ettevõtte poolne töö on tegematta, näiteks reeglid on ebaselged, siis neid ei täideta. Oluline on ka reeglite jõustamine, kui reegleid ei kontrollita ega järgita, siis kaotavad need oma mõtte. Julgelt võin öelda, olles varem IT osakonnas töötanud on töökohtades sageli turvanõuded, mita kõik teavad aga ei järgita. Kui reegleid jõustatakse ja neist peetakse kinni, väheneb ka eksi,uste arv märgatavalt. 

Kokkuvõte

Inimfaktorit ei ole võimalik täielikult kõrvaldada aga selle mõju saab oluiliselt vähendada eri tehnoloogiate, koolituste ja reeglite kasutusega. Igaüks neist aitab tõsta inimeste teadlikust või aitab vähendada nende kokkupuudet kahtlaste asjadega ja igaüks neist aitab luua täjuslikuma süsteemi. Kui ükski neist on nõrk, siis vahet pole kui tugevad teised osad on, jäävad turvariskid alles ja rünnakuid on tunduvalt kergem läbi viia.

Kasutatud allikad

https://www.upguard.com/blog/human-factors-in-cybersecurity

https://www.mitnicksecurity.com/in-the-news/the-hackers-guide-to-cybersecurity-top-tips-from-the-other-side-of-the-trench

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

1. nädal: Noppeid IT ajaloost

Üks, mis tekitas tõelise revolutsiooni IT-maastikul AWS Iga mõne aasta tagant tuleb IT lahendus, mis muudab seda, kuidas kogu maailm töötab. AWS on üks neist. See oli esimene pilveteenus, mis võimaldas saada suures koguses arvutusvõimsust ja sisaldas rohkelt erinevaid teenuseid. Pilveteenused muutsid ärimaailma igavesti. Selle asemel, et ettevõtted peaksid serveriruume kokku panema, saavad nad nüüd üürida nii palju arvutusvõimsust kui neil vaja on, siis, kui neil seda vaja on. Tänapäeval enamus internetti jookseb pilveteenuste peal ja võin julgelt öelda et 99% inimesi on pilveteenusega mingil kujul kokku puutunud. Üks, mis oli piisavalt totter, et küsida "Mis selle looja peas küll toimus?" Copiloodi Klahv 2024.a Microsoft lõi Copiloodi klahvi, lootes levitada oma AI kasutust ja populaarsust. Tegelikult suutis see vastupidist teha. Enamus inimesi on selle klahvi olemasolust häiritud, kuna see asendas parempoolse CTR klahvi (ise olen ka selle ohver). Kui otsida selle koh...
Lisateave

2. nädal: Interneti eelkäijad

Interneti ajalugu on pikk ja täis eri lahendusi, millest nii mõnigi on muutustele vastupidanud, teised aga ajale alla jäänud. Täna tutvustan SQL-i ja  ALOHANeti , mis on pärit ajast mil internet alles kujunes. Üks mis jäi ajale alla ALOHANet ALOHANet mõeldi Hawaii ülikoolis välja ja oli andmeedastus viis, mis ei ole enam tänapäeval kasutusel aga mille protokollid ja ideed elavad edasi. ALOHANet lahendas ühe suure probleemi, mis oli ülikoolil, et kuidas edastada andmeid eri saarte vahel, ilma et saatja peaks luba küsima, nagu tegemist oli ARPANET-iga.  Süsteem töötas nii, et kui pakett ei jõudnud kindla aja jooksul sihtkohta, siis saadeti saatjale teavitus sellest ja tal oli otsus kas uuesti proovida või mitte. Erinevalt siis ARPANET-ist, võimaldas ALOHANet kõigil andmeid edastada ilma luba küsimata. See mõte mõjutas ka eri tehnoloogiaid nagu Ethernet ja WIFI, mis kasutavad siiani ALOHANeti põhimõtteid. Põhjus miks see lõpuks ajale alla jäi oli kiire tehnoloogia areng. Kuigi id...
Lisateave

4 nädal: Info ja võrguühiskond

Jälgimiskapitalism ja digiaedik Eestis Eesti on rahvusvaheliselt tuntud väga arenenud digiriigina. Suur osa riigi teenuseid on internetis kättesaadavad, näiteks tervishoid, haridus, pangandus jne. Need teenused on turvlised ja enamus inimesi usaldavad neid. Riik kasutab tugevat andmekaitse ja autentimissüsteemi, milletõttu ei ole riigi e-teenustes jälgimiskapitalismi. Digiaedik Tänapäeval on andmetekaitse aktuaalne teema üle maailma. Suured ettevõtted koguvad kasutajate andmeid vastu nende tahtmist, kasutades kogutud andmeid reklaamide ja toodete arendamise jaoks. Samuti harjuvad kasutajad ka ühe ettevõtte teenuste ja keskkonnaga,  ning ei taha sealt enam lahkuda. Sellist olukorda kutsutakse digiaedikuks ning sellest on raske välja tulla. Ka Eestis on see probleemiks kuna paljud kasutavad samu rahvusvahelisi platvorme ning nende andmeid kasutatakse reklaamide või mingi muu kasumi jaoks. See võib ka mõjutada seda, et milliseid reklaame ja meediasisu iniemsed näevad, näiteks valimist...
Lisateave