Nädal 14 (5.05 - 12.05)

Kui andmeturve mõtestada lahti kolme komponendi (tehnoloogia, koolitus, reeglid) korrutise kaudu, tundub asi pealtnäha lihtne: ära lase ühel neist komponentidest nulli langeda ja "jääd ellu". Ent kas 3x1x1=3 on hea tulemus 3x3x3=9 kõrval? Vaatenurga küsimus...

Üheks suurimaks turvariskiks peab allakirjutanu IoT seadmeid, täpsemalt siis kodumajapidamise asjad-vidinad, mis võrku ühendatakse. Eks hinnang, jällegi, on subjektiivne, ent minu silmis tundub, et suuremad ohud on veel ees ja tulemata. Sest helgemad pead on lähitulevikuks ennustanud IoT seadmete arvu kasvu kiirenemist:


Kui tehnoloogilise poolega saavad *asjade* tootjad veel enam-vähem hakkama (eeldusel, et software/firmware upgrade on automaatselt uuenevad, et turvariskidele võimalikult kiirelt jaole saada), siis viletsamini on koolituse ja reeglitega.

Programmeerimist saame me koolis ja koolitustel õppida. Arvuti igapäevakasutamist saavad "onu Jüri" ja "tädi Maali" ka soovi korral mõnel vastavasisulisel koolitusel. Ent seda, et kuidas IoT seadmeid võrku ühendada (millise WiFi parooliga? Äkki võiks seade täiesti eraldiseisvas subnet'is olla?) ei õpeta tädi Maalile ja onu Jürile keegi. Samuti mitte seda, et software/firmware võivad vajada aeg-ajalt uuendamist. Õigemini ei oska ilmselt nad ka selle peale tulla, et vidinates võib oht üldse peituda.

Reeglitest ka: ISKE (uuem versioon E-ITS on kõigest 630 lehekülge (!) pikk...) toredad dokumendid koos oma reeglitega on suurtele organisatsioonidele ilmselt vajalikud, ent mida teha keskmiste ja väike-ettevõtetega? Vastavasisuline sertifitseerimine tundub minu hinnangul liiga suur halduskoormus kogu selle protsessi juures. Ning ikkagi, kuidas me veel siis reeglid tädi Maalile ja onu Jürile IoT seadmete puhul selgeks teeksime?! Küsimusi on rohkem, kui vastuseid.



Kasutatud kirjandus:

1) https://venafi.com/blog/top-10-vulnerabilities-make-iot-devices-insecure/ 

2) https://iot-analytics.com/number-connected-iot-devices/

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Nädal 10 (07.04 - 14.04)

Kujutis
Hakatuseks pean ütlema, et artikli läbilugemine (ja sellest arusaamine) nõudis omajagu pingutust, sest polnud a) lühemate killast ega b) liialt kergelt mõistetav ning hoomatav. Ent kui püüaks kuidagi artiklit kokku võtta: Moglen toob välja, et tõenäoliselt (või vähemalt loodetavasti) teeb vaba tarkvara ( free software ) võidukäigu traditsioonilise autoriõigustega seotud tarkvara üle. Autor nimelt väidab, et traditsiooniline autoriõiguste ja patentide õiguslik raamistik toob endaga kaasa "kunstliku süsteeemi", kus teadmisi käsitleme varana, mida kontrollib ja omab mingi väike klikk inimesi - täpsemalt siis väga mõjuvõimsad isikud või suurkorporatsioonid. Kui nüüd mõtiskleda, et kas see 23-24 aastaga reaalselt nii on läinud, siis paraku on autoril üksjagu õigust: suurkorporatsioonid valitsevad nii tarkvara kui riistvara turge ning väikese käputäie inimeste (loe: suurkorporatsiooni omanike) käes on üsna arvestatav mõjuvõim.  Vahest ehk oleks siinkohal kohane paralleel tõmmata ül
Lisateave

Nädal 7 (17.03 - 24.03)

Kujutis
 Algatuseks peab ütlema, et see litsentsitemaatika on siinkirjutajale keeruline hoomata. Vaatamata korduvale süvenemisele tunduvad asjad olema segamini nagu puder-ja-kapsad. Eks selle asjaga ole ilmselt sedasi, et praktika on parim viis teadmiste omandamiseks - senikaua kuni ei ole praktiliselt pidanud "nina teemas sees" olema, jäävad teadmised pinnapealseks. Ent eks ma püüan ikka =) Kui Naatan Nohik peaks oma tarkvaraprojektiga otsustama EULA (suletud lähtekoodiga) litsentsi kasuks, tuleb arvestada sellega, et lähtekood on suletud, mistõttu ei pruugi erinevaid vigu ja turvaauke heatahtlikud (eeldusel, et selliseid eksisteerib) kiibitsejad avastada ja teavitada. Samuti, kui on soovi võistelda konkureeriva analoogse tarkvaraga, tuleb see mõnes aspektis "üle trumbata". On selge, et tootetoetust tuleb pakkuda ja see läheb tarkvara arendanud ettevõttele ka jooksvate kuludena üht-teist maksma. Samuti maksab tootele EULA litsentsi väljastamine - suurusjärk on  ~1000 dolla
Lisateave

Nädal 15 (12.05 - 19.05)

Kujutis
Laiendan teemat IT-st üldisemalt tehnoloogia peale. Teame ju kõik, et tehnoloogia areng (eeskätt alates tööstusrevolutsioonist) on aidanud inimest saavuda rohkemat, elada paremini jne jne. Ent tulles nüüd eetika juurde ning alustaks teemat (pigem teoreetilise) hüpoteesiga: "Kõik tuli- ja raskerelvad tuleks maailmast ära kaotada ja nende omamine/valmistamine keelata! Tegemist oleks äärmiselt eetilise lükkega." Pealtnäha vaadates: no kas saab paremat eesmärki eetilises mõttes olla? Sõdu kui selliseid ei tohiks olla (täielik patsifism), keegi ei tohiks saada ligimest maha nottida. Ent isegi kui see keeld reaalses maailmas töötaks, jõuaksime järgmise probleemini: kus on kirjas, et eelnevate ajastute relvad (vibud, ammud, kirved, mõõgad jmt) on keelatud? Printsiip, et suurrahvad tahavad endiselt väiksemaid endile allutada, jääb ju samaks - piisab vaid ühest psühhopaadist liidrist (aastal 2023 ei ole vaja näiteid just kaugelt otsida) ning kallaletung ühele või teisele rahvale on ga
Lisateave