Riskid ja turvalisus
Tänapäeval, mil enamik arvuteid on ühendatud Internetti ning e-äri osakaal suureneb pidevalt, on iga arvutivõrk potentsiaalne rünnakuobjekt. Peaaegu iga kuu on kuulda järjekordset uudist, milles räägitakse suurtest organisatsioonidest, kelle arvutivõrkudesse on sisse tungitud. Kuigi mõned turvaspetsialistid väidavad, et tegu on enamalt jaolt vaid teismeliste noorte ettevõtmisega, mille tagamõte on vaid mängulisus ning naljategemine, on nimetatud rünnakute iseloom aasta-aastalt aina tõsisemaks muutunud. Sääraste sissetungimiste tulemusena on lakanud töötamast mitmed arvutivõrgud ja -süsteemid, andmebaasides olevaid andmeid on oma äranägemise järgi muudetud, masinates olevatesse programmidesse on lisatud “tagauksi”, lekkinud on ettevõtte siseinfo ning süsteemides olevate kasutajate paroolid.
Isegi juhul, kui midagi ei ole kustutatud ega muudetud, peavad süsteemiadministraatorid kulutama tunde, vahel isegi päevi selleks, et taastada rünnakus kannatada saanud süsteemide töö ning tagada nende edaspidine turvalisus. Kuna puudub igasugune info ründaja eesmärkide kohta, tuleb alati arvestada kõige halvemaga. Inimesed, kes murravad süsteemidesse sisse vaid selleks, et ringi vaadata, tekitavad tõsist kahju isegi siis, kui nad ei loe kasutajate e-posti ega muud konfidentsiaalset infot ning ei kustuta süsteemis olevaid faile. Kui arvutite turvalisust peeti kunagi vaid mänguks ja kellegi isiklikuks lõbuks või huviks, siis need ajad on pöördumatult möödas.
Arvutitesse tungivad sisse erinevad inimesed. Kõige rohkem meediakära tekib tavaliselt teismeliste ümber, kes küberruumis seiklusi otsivad. Need kuuluvad noorte hulka, kes reaalses maailmas “laenavad” oma vanemate kiireid autosid, et lõbusõitu teha. Enamikul juhtudest ei ole nende eesmärk reaalse kahju tekitamine, pigem on nende jaoks olulisem adrenaliinikogus, mis antud tegevusega kaasneb. Teist tüüpi sissetungijad on märksa ohtlikumad. Nad on tõelised küberkurjategijad, kes surfavad mööda arvutivõrke ning otsivad haavatavaid süsteeme, et neile tõsist kahju tekitada. Osad nendest otsivad ohvrite arvutitest konfidentsiaalset informatsiooni, mida oma huvides ära kasutada ning kellelegi näiteks kalli raha eest maha müüa. Viimasel ajal on hakanud tekkima ka mõningad organiseeritud kuritegevuse ilmingud, kus spioonid, sabotöörid ning terroristid üritavad erinevaid arvutisüsteeme ära kasutades oma eesmärkideni jõuda.
Kes on arvutihäkker?
“The Hacker’s Dictionary” defineerib sõnaga “häkker” inimest, kellele meeldib arvutitega tegeleda, neid tundma õppida ning nende tööpõhimõttest detailideni aru saada vastupidiselt inimesele, kes eelistab arvutist teada ainult nii palju kui vaja. Lisaks nimetab antud raamat häkkeriks ka inimest, kes armastab programmeerimist ja reaalsete programmide kirjutamist, mitte ainult antud teemal teoretiseerida.
Mõni aeg tagasi käisid nimetatud sõna ümber suured vaidlused. Arvati, et häkkerid on suurepäraste võimetega tippklassi programmeerijad. Ühe näitena pakuti selleks isegi organisatsiooni Free Software Foundation asutajat Richard Stallmani. Mõned jällegi arvasid, et häkkerid on kurjategijad, nagu näiteks Mark Abene, keda tunti ka hüüdnime “Phiber Optik” all. Olukorra muutis keeruliseks asjaolu, et paljud turvaspetsialistid olid ise kunagi häkkerid olnud ning seda rohkem või vähem valgust kartva külje pealt. Selle tulemusena soovisid mõned antud terminist üldse lahti saada, teised aga üritasid seda siiski säilitada.
Praeguseks ajaks on probleem antud sõna ümber lahendatud. Kuigi mõned arvutispetsialistid armastavad end tänapäevalgi “häkkeriks” kutsuda, on enamik vastava ala inimesi selle vastu. Avalikkuse silmis on “häkker” omandanud varjundi, milles nähakse eriti andekat oma ala asjatundjat, kes tihti oma võimeid halbadel eesmärkidel ära kasutab. Ka meedias kajastatud vastavasisulised uudised on antud arusaama ainult võimendanud. Kõike seda arvestades ei ole seega mõistlik antud kontekstis terminit “häkker” pruukida.
Arvutitesse sissetungijaid nimetatakse nii mõneski kohas kräkkeriteks, küberkurjategijateks, vandaalideks, kriminaalideks. Nende hulgast kujutavad endast kõige tõsisemat ohtu kurjategijad, kes on kunagi antud ettevõttes töötanud. Nad on kursis ettevõtte turvapoliitikaga ning meetmetega, mida arvutisüsteemi kaitsmiseks kasutatakse. Tüüpiliseks näiteks on kunagine töötaja, kes ihkab ettevõttele kätte maksta. Ta on kursis, milliseid arvuteid on kõige mõistlikum rünnata, kus asub antud firma jaoks oluline info, millised kaitsesüsteemid antud arvutivõrgus eksisteerivad ning kus paiknevad tagavarakoopiad tähtsatest failidest.
Mis on arvuti turvalisus?
Mõisted “turvalisus”, “privaatsus”, “kaitse” omavad tihti mitut tähendust. Isegi süsteemide turvalisuse eest vastutavad isikud on tihti nende sõnade tähenduste osas eriarvamusel. Kõige lihtsam on püüda arvuti turvalisust lahti seletada praktilisest küljest.
Arvuti on turvaline, kui tema peale võib kindel olla ning arvutis olev tarkvara käitub ja töötab nii, nagu seda temalt oodatakse.
Seega võib turvaliseks arvutiks nimetada seadet, kuhu täna salvestatud andmed on loetavad ka nädala pärast ning neid saavad lugeda vaid selleks õigusi omavad isikud. Seda põhimõtet nimetatakse tihti ka usaldatavuseks: kasutajad usaldavad arvutit hoidma ja säilitama neile vajalikku infot.
Selle lähenemisnurga korral on ka vigane tarkvara, looduskatastroofid ning mistahes muud õnnetused arvutisüsteemi jaoks tõsised ohuallikad. Need riskitegurid on tihtipeale sama suured kui süsteemile volitamata juurdepääs ning seda eriti just praktilisest küljest lähtudes. Pole oluline, kas teile vajalikud andmed kustutas süsteemist kättemaksuhimulise töötaja või juhtus see hoopis arvutiviiruse või äikese tagajärjel. Tulemus on ikka see, et nimetatud andmeid ei ole enam võimalik arvutist kätte saada.
Siin toodud praktiline definitsioon ei pruugi küll sajaprotsendiliselt õige olla, kuid samas näitab ta piisavalt selgelt ära turvaküsimused, millega tuleb arvutisüsteemide toimimise eest vastutaval isikul iga päev kokku puutuda. Tõenäoliselt oleks märksa täpsem kasutada mõnda teoreetilist alust omavat definitsiooni, kuid see vajaks omakorda detailset seletust riskianalüüsist ning riskide hajutamise ja turvapoliitika kujundamise teemadel. Sellegipoolest on mõistlik üht-teist antud valdkondadest siiski teada. Olukord muutub teie jaoks raskeks, kui te pole enda jaoks selgeks mõelnud, mida te kaitsete, miks ning milliste ohtude eest te seda kaitset teostate. Lisaks selle on mõistlik end kurssi viia meetoditega, mille abil luua ja ellu viia üldise turvapoliitika alused.
Ei saa luua üldist universaalset turvapoliitikat; see tuleb paika panna lähtuvalt arvutisüsteemist ning süsteemi kasutamise eesmärkidest ning kitsendustest, mida just antud süsteemi juures arvestada tuleb. Kui näiteks arvutikasutamise üldise korra kohaselt on kõigil kasutajatel õigus installeerida süsteemi tarkvara, mida kõik teised kasutajad ka pruukida saavad, oleks mõistlik muuda programmifailide kausta õigusi selliselt, mis lubaks kõigil sinna oma programme paigutada, kuid samas ei luba teiste kasutajate poolt lisatud käivitusfaile kustutada. Kui aga on hoopis eesmärgiks vältida kasutajate poolset erinevate programmide installeerimist, tuleks aga programmifailide kausta õigusi muuta nii, et sinna saavad programme paigutada vaid süsteemiadministraatorid.
Ühe või teise eelpool toodud variandi rakendamine võib ootamatult üsnagi keeruliseks osutuda. On ilmne, et säärast süsteemi ei ehitata tühjale kohale. See tähendab, et antud arvutisüsteemi juba kasutatakse, kasutajatel on aga tekkinud oma harjumused, mida uue turvapol
iitika vastuvõtmisega ümber kujundama peab hakkama. Tõenäoline on, et nii mõnegi jaoks muutub töö ebamugavamaks, mis tähendab muidugi kaebusi süsteemiadministraatori aadressil.