Andmeturveː tehnoloogia, koolitus ja reeglid
Suurim IT-turvarisk: Inimene
"Errare humanum est, sed perseverare diabolicum" - Seneca
Osalesin paar kuud tagasi auditooriumis, kus ühele ettevõttele viidi läbi IT-turvakoolitust. Kui teema jõudis paroolideni ning aruteluni, siis tekkis mul mõrumagus "Heureka!" moment. Nimelt vajusid kuulajate suud ammuli kui selgitati, et paroole võiks vahetada oluliselt rohkem kui nad olid harjunud seda tegema (keskmine oli parooli vahetamine korra aastas, kui sedagi). Selge oli see, et suureks probleemiks oli "Kuidas ma uut parooli meeles hoian?". Olgugi, et koolitaja rääkis, et seda ei peagi otseselt tegema, vaid kui parooli haldajat kasutada, siis piisab ühe parooli teadmisest (A la KeePass). Vestlus jätkus vajalikkuses kahtlevate nootidega. Niisis, milles seisnes minu "Heureka!" moment?
Esimeseks, võib väita, et inimeste omanditunnetus/tunne kehtib väga tugevalt krüpteerimisvõtmetele - paroolidele. "See on ju minu parool, miks ma peaksin seda vahetama?". Õigustatud alateadlik tunnetus ja seisukoht, kuid masinate maailmas on tegemist täielikult riskantse hoiakuga. Sarnane "See on ju minu oma" hoiakuloor on veelgi enamalt levinud netimaailmas. Kui sul on kusagil konto/kasutaja, siis tõenäoliselt see ei ole sinu oma, sa vaid rendid seda. (Tõsi andmed võivad olla sinu omad, aga mitte "ketta-ruum" kus neid hoitakse). Seega mõistsin oluliselt paremini, miks inimesed võivad suhtuda paroolide vahetamise eelarvamustega.
Teiseks, mälu ja meeles hoidmise vajadus - mäletan, et sellest kirjutasin ühes oma eelmises ajaveebi artiklis (kui ei, siis vähemalt mõtlesin seda teha). Asja iva selles, et kui palju on üldine mälu / mäletamise kapasiteet vähenenud tänu virtuaalsetele andmekandjatele? Pean silmas just telefoninumbreid ja sünnipäevasi. Olgugi, et “triviaalsed” info fragmendid, kuid sellegipoolest ühiku ja talletamise oskuse mõttes tohutult olulised. Siit edasi arendades on loogiline tuletada, et uute asjade meeles hoidmine on pärsitud oskus. Sellest tulenevalt on arusaadav, miks uute asjade meeles hoidmine võib tunduda mõtetu.
Kolmandaks väga oluliselt nüansiks on mugavus. Hea küll, jäta parool samakas, aga pane kahe faktoriga autentimine peale. “A mis see kahe faktoriline autentimine on?”, “....”. Samuti on see kriitika alus - sisselogimise protsess mistahes keskkonda pikeneb *lausa* >10 sekundit. Kuna aeg on raha ja aega on vähe, siis ei ole kellelgi selleks aega. Ning oh seda õndsat mugavust mis meil igal pool pakutakse. Paljudes keskkondades hüppavad väikesed hüpikaknad mis pakuvad võimalust parooli meelde jätta. Niimoodi need kogunevadki kuni ühel hetkel on “arvuti aeglaseks läinud”, tehakse a la CCleaner’iga lehitseja vahemälud ning küpsised tühjaks ja siis on “ups, ma ei mäleta parooli…”. (Tunnetan seda sama mugavusussi iga kord kui Facebook küsib lisakoodi enne sisselogimist.)
Neljandaks - Me ei saa olla inimesed masinate maailmas. Me ei saa inimlike faux pas’dega ja meelevaldsete mugavustega olla turvatud ja hoitud. Nagu ka materjalides välja toodud on väga tõsine oht manipulatsioonile ja identiteedivargusele. Olgugi, et masinate ülestõus on ehk veel kaugel, siis teises otsas istuvad tihendid oskavad masinaid väga hästi kasutada heausksete inimeste vastu pisku teenimiseks.
Mitte, et Mitnicki seisukoht valed on aga see on juba level 3, katsuks kõigepealt inimestele selgeks teha kuidas nad endale vastu töötavad ja miks.
Allikates olen väljatoonud mõned artiklid paroolide kohta, nuta või naera.
Nii et kas “854ff9f9c57169db50b6edf2c15f9529” või “lammas”?
Kasutatud allikad:
Nii et kas “854ff9f9c57169db50b6edf2c15f9529” või “lammas”?
Comments
Post a Comment