Ebaoluline mõtteavaldus

Selle jutu alapealkirjaks võiks olla -kui suur peab olema mittesalajaste andmete kogu, et see kasvõi näiteks andmekaitseinspektsiooni huvitama hakkaks või millisest mahust alates nende andmetega midagi peale on hakata. Mõtted kogu sellele teemale viis juba eelmises postituses viidatud raamat. Kuna ma mitte kuidagi ei oska sellele teemale läheneda asja isiklikuks ajamata ja näiteid kasutamata, siis lähen kohe näidete kallale.

Oma nime kellelegi teisele ütlemist ei pea vist mitte keegi oluliste isikuandmete edastamiseks, mida iga hinna eest vältima peaks. Hea meelega jagavad inimesed isegi teistele oma nimekaarte kus veel palju andmeid lisaks.

Tavaliselt inimesed ainult naeravad enda kuhugi kogunenud nimekaardipakkide üle. Aga kui teha nendest nimekaartidest andmebaas? Mõni tuhat nimekaarti kokku koguda ei tohiks ju oluline probleem olla. Misiganes eluala ma ka ei võtaks, Eesti oludes on see suurem enamus sellel elualal tegelejatest.  Tõsi, igal inimesel pole nimekaarti, aga mulle sobib ka näiteks enamuse IT firmade töötajate ja väga paljude asutuste IT inimeste andmebaas. Neil tavaliselt nimekaardid ju olemas.Paljudel juhtudel pole isegi nimekaarte vaja. Uuemal ajal ju internet ja igasugu Orkutid ja Facebookid.

Kui muud halvad eesmärgid kõrvale jätta, siis kuipalju natukenegi suunatud spammi neile inimestele saata saaks!  Sama kehtib ka näiteks arstide või advokaatide või kelle iganes kohta.

Mida sellise andmebaasiga veel teha annab? Mingi aeg tagasi kummitas selline asi nagu tööjõupuudus ja inimesi lausa meelitati ühest ettevõttest teise.  Mida küll annaks advokaatide andmebaasiga teha asutusel kes vajab advokaati? Aga asutusel kes pakub töötajate otsinguteenust?

Muideks, telekas näidati vahepeal Honda arenduskeskust, kus humanoid roboteid arendatakse. Seal tehti kogu keskus filmimise ajaks töötajatest tühjaks. Rääkimata siis sellest, et keegi nende robotite arendajatest intervjuud annaks või tema nimigi teada oleks. Lihtsalt nimetud teadlased. Huvitav mida seal kardetakse?

Aga võtaks mõne muu näite ette. Veebipoed näiteks. Seal on olemas andmed inimese nime, aadressi (seda on krediitkaardi jaoks vaja), mingite kontaktandmete ja ostuajaloo kohta. Kui hästi need andmed turvatud ongi? Iga paari kuu tagant jõuab isegi ajalehtedesse kus jälle tuhandete ja vahel ka miljonite inimeste andmed jalutama läksid. Hea kui keegi arugi saab, et need andmed jalutama läinud on.

Kui sapmmi saatmine või oma poe kliendiks meelitamine on esmased pähe tulevad asjad, siis kuidas oleks näiteks vaatamisega kelle aadressilt spammile puhkuseteade vastu tuleb. Inimese aadress ja ka veebipoe ostude ajalugu on meil teada, et ootamatut külaskäiku planeerida.  Tegelikult ei pea selleks isegi ebaausal teel hangitud andmeid kasutama. Piisab näiteks blogi lugemisest või suhtluskeskkondade jälgimisest.

Kusjuures viimane polegi nali. Alles hiljuti oli teade, kus inimene sõitis puhkusele ja pani twitterisse sellekohase teate ka. Tagasi tulles oli tal võimalik jälle oma maja sisustama hakata.

Aga võtame veel midagi. E-mailid näiteks. Kui paljud inimesed peavad oma e-maile salajasteks? Paljud kaitsevad oma maile parooli või mingi krüpteeringuga? Paljudes kohtades on üldse mingi poliitika mis info võib e-mailides sisalduda? Enamuses ei ole mitte migit kaiset. Isegi mailide serverist kättesaamise parool on mailiklienti salvestatud.

Üks võimalus inimese mailidele ligi pääseda on lihtsalt julmalt tema läpakas, halvemal juhul lauaarvuti, omastada. Igaks juhuks oleks mõistlik inimese käest enne parooli ka küsida. Millist juttu tuleb ajada või milline mail inimesele saata, et ta oma paroole edastaks, seda näitavad ilmekalt ka pankade pin koodide väljapetmise katsed. Kõik õnge ei lähe, aga aga hea jutu peale väga paljud. Enamus paroole on sellised, mida küsima ei peagi. Kahjuks.

Aga mis siis ikkagi e-mailides sisaldub? Saab sealt kokku asutuse klientide nimekirja? Huvitavaid paroole? Konfidentsiaalset infot kolmandate isikute kohta? Andmeid mille alusel selle inimese nimel midagi internetist tellida? Või üldse identiteedivargus toime panna? Ikka saab. Ja veel palju muudki. Paljude inimeste kogu elu on tema mailides ja internetikontodel, mille paroolid postkastis.

Mida ma kogu selle sogase jutuga öelda tahan? Enamus infot ei oma selle info omaja jaoks esmapilgul mingit olulist väärtust. Aga kui see info koguda kokku, süstematiseerida ja sealt järeldusi teha, siis läheb asi hulluks.

Kus on piir millest alates ebaolulised andmed muutuvad olulisteks? Ma ei usu et seda piiri kuhugi tõmmata saabki. Aga vähemalt peaks endale teadvustama, et sinu praht võib olla kellegi teise kullakaevandus. Ka IT valdkonnas.

Ajalugu paberkandjal

Lugesin just hiljuti järjekordselt Clifford Stoll-i raamatut The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. Kui keegi veel ei tea, siis see räägib ühe astronoomi tegevusest kräkkeri jälgimisel ja kinnipüüdmisel kuskil 1987 aasta paiku. Kuigi see raamat sisaldab paljut IT mõistes rauaaegset ja ka paljut millele nüüdsel ajal saab vastu vaielda, tulevad sealt välja mõned punktid mis kehtivad väga ka tänapäeval.

Paroolid. Millised nad peaksid olema ja kuidas ei tohi valida lihtsaid ja äraarvatavaid paroole. Samas ei tohi jälle paroolid olla sellised, mida muud moodi ei saagi kasutada kui kollase lipikuga monitori külge kleepides.

Programmide vaikeväärtused ja kuidas tegelikult ei tohi mitte mingil juhul loota, et kasutaja installeeritud programmide, operatsioonisüsteemide või mille iganes manuale loeks. Eriti sealt kus kirjas ‘Eriti oluline ohutusalane teave’. Sellest saab tegelikult järeldada, et kuigi tarkvara paigaldamine võib olla lihtne, siis tuleb kindlasti jälgida, mida selline paigaldus turvalisuse poole pealt kaasa toob. Tavaliselt nõuab see spetsialisti seda tööd tegema.

Kogu IT tehnika tavahooldus. Miks on seda vaja ja miks ei ole piisav kui tehnikale läheneda kui ainult kahe olekuga objektile – ta kas töötab või mitte. Kogu tehnika (ka kõik mis IT-sse ei puutu) võib olla natuke töötav, või osaliselt töötav või natuke katki või kuidas iganes. Tavakasutaja, kes tahab sellelt tehnikalt ainult mõnda üksikut funktsiooni ei pruugi ilmseid vigu seadmete töös märgata.

Kuidas IT turvalisus ja kasutusmugavus on tegelikult teineteise vastandid ja mõistlik süsteem on mingi kompromiss nende vahel. Peaaegu et lõputult turvaline arvuti oleks võimalik tekitada kui olemasolevast arvutist eemaldada kõik andmekandjad ja kindlasti küljest katkuda kõik juhtmed, panna see arvuti 10cm pakusest vasest kasti, valada kast täis betooni ja uputada kogu kupatus piisavalt sügavale ookeani. Kasutusmugavus sel arvutil on minimaalne. Turvalisus peaks ütlema, et piisav.

Need punktid on, nagu juba öeldud, välja tulnud raamatust, mis kirjeldab IT rauaaega. Huvitaval kombel kehtivad nad siiani. Tegelikult peaks kõik need punktid ja ka mõned mis selle raamatu kirjutamise ajal aktuaalsed ei olnud, ükshaaval läbi nämmutama, sest millegipärast kipuvad paljud, ka igapäev arvutitega kokku puutuvad inimesed nendele mitte mõtlema ja lapsikuid vigu tegema. Selliseid vigu aga üldjuhul kogu pahavara ära kasutabki.