Nädal 14: Küberturbe kõige nõrgem lüli

Kevin Mitnicki poolt püstitatud idee, et küberturvalisus on tehnoloogia, koolituse ja reeglite korrutis, mitte summa. Nagu nulliga korrutades muutub ka kogu avaldis nulliks, kui vaid üks tegur on null. Antud avaldist võib täiendada ning viia üle eri vormidesse, kuid siiski on vältimatult üheks teguriks kogu avaldises inimesed. [1]

Miks just inimesed on kõige nõrgim lüli peitub selles, et me ei ole arvutid. Inimesed väsivad ja ei pea vastu pidevale survele, mida tegelikult peab taluma töötades igapäevaselt internetti ühendatud arvutiga. Aastaid järjepidevust võib saada nullitud ühe kahtlase lingi avamisega pärast väsitavat päeva. Siinkohal võib muidugi tuua sisse ka väite, et turvalisemad süsteemid peaksid minimeerima kasutaja võimalust mõne üksiku klikkiga midagi ära rikkuda.

Teisest küljest on probleemiks veel puudulik koolitus. Nagu ka mainitud, on tegelikult iga internetti ühendatud arvuti firmas potentsiaalne nõrkus. Vastavalt käsitletavate andmete tundlikkusele peaks iga arvuti taga tegelev inimene olema vastava koolitustasemega. Tegelikkuses muidugi asjad nii ei käi. Olen ise korduvalt töötanud firmades, kus paroolid on kõige algelisemad ja paberlipikute peale kirjutatud ning küberturvalisuse alaseid koolitusi lihtsalt ei toimu ega pole mingeid eeskirju peale mõne mööda käies mainitud vaheülemuse märke, kes ei tea arvutitest midagi.

Isiklikult usun rangelt, et tegemist on laialdasema probleemiga, mida ei lahenda ükski eeskiri, koolitus või muu inimesi kontrollida üritav tegevus. Koolitamine ja reeglistikud on muidugi kasulikud, kuid isegi kompetentne inimene on väsiv ja võib vigasid teha. Arvutid aga lohakusvigasid ei tee, seega kõige suurema potentsiaaliga küberturvalisuse parendamises on tehnoloogia. Mitmes tänapäevases suurfirmas on sellest aru saadud ja rakendatakse süsteeme, kus kasutaja kahju tegemisvõimalusi piiratakse maksimaalselt. Erinevad piletisüsteemid, kus kasutajal on ainult ligipääs tehnoloogiatele selleks ajaks kui neid kasutada on vaja jne. Samuti automaatsüsteemid, mis küsivad mitu korda kinnitust enne kahtlase tegevuse tegemist või isegi küsivad selleks luba vastavalt isikult. [2]

Siiski kaasneb inimeste piiramisega ka arengu pärssimine. See on ka üks põhjuseid, miks täielikku küberturvalisust ei saa olla. Selle metafooriline hind on liiga kõrge olukorras, kus firmad üritavad säilitada tasakaalu oma prioriteetide vahel. Seega tuleb igal firmal leida tasakaal vastavalt oma vajadustele.

Tegemist on probleemidega, mille on põhjustanud tehnoloogia ja mille lahendab ka suures pildis tehnoloogia. Nii tavakasutaja kui ka suurfirmade puhul tuleb rakendada tehnoloogiat, olgu selleks korralik paroolihaldussüsteem või isegi lähitulevikus “pass-keys” ja biomeetria.

Viited:

[1] Human Weaknesses in Cybersecurity

[2] The Human Factor in Cyber Security