Igasuguse infotöötluse ja infosüsteemide alustalaks on andmed. Internetieelsel ajastul oli andmete omandamiseks ainus viis nende füüsilisele asukohale juurdepääs. Seega, andmekao tuvastamine oli lihtsam - kui andmete füüsiline kandja oli hoiukohast kadunud, oli tõenäoliselt tekkinud andmekadu või andmeleke. Nii näiteks meenub juhtum aastast 2004, kus kaitseminister Margus Hansonil kadus portfell riigisaladust sisaldavate dokumentidega. Andmeleke võis tekkida ka andmete kopeerimise käigus, ent kuna kopeerida tuli valdavalt andmete füüsilises asukohas, oli vahelejäämise tõenäosus suurem. Lisaks piirdus kahtlusaluste ring enamjaolt siseringiga ehk inimestega, kellel oma positsiooni tõttu oli andmetele ligipääs või oli võimaliku andmekao tekkepõhjus tuvastatav nt sissemurdmisjälgedega.
Andmete Interenetist ligipääsetavusega on mitmed toimingud muutunud kiiremaks ja mugavamaks. Näiteks kui varasemalt tuli sünni registreerimiseks minna tingimata kohalikku omavalitsusse, kus hoiti infot vastavas piirkonnas resideeruvate isikute kohta, saab nüüd seda mõnel tingimusel teha eesti.ee'sse sisselogides. Kuna erinevad süsteemid on omavahel seotud, jagatakse vastsetele lapsevanematele isegi e-kirjaga infot võimalike toetuste kohta, mida saab samuti büroodes järjekordades istumise asemel taotleda mugavalt vabalt valitud kohas. Toimingud, mille käigus raha liigub, on mugavad tänu pangakaartide laialdasele levikule ja Internetipangandusele jne.
Interneti kaudu on oht, et andmetele saavad pea märkamatult ligipääsu isikud, kellele see ette pole nähtud suurem. Isegi kui netiliikluse kaudu on võõraste sissetung tuvastatav, võib see kogu ülejäänud liikluse sisse "ära sulanduda". Nii on üsna sagedased uudised, et mõnest süsteemist on kasutajate andmed lekkinud. Olenevalt andmete iseloomust võib näiteks kasutajaandmete lekkimine tuua endaga kaasa väikseid ebamugavusi suurenenud rämpskirjade mahu näol, manipulatsioonideni täiendava info saamiseks või ka suuri riske, kui lekivad näiteks pangakonto andmed või paroolid.
Selliste andmelekete põhjused on enamjaolt:
- Ebaturvalised paroolid või paroolide leke (antud juhul siis andmebaasi tasandil)
- Tarkvaras esinevad nõrkused ehk tagauksed
Muidugi võib olla ka tegu klassikalisemate põhjustega, nagu siseringi kuuluva inimese pahatahtlikkusega või inimliku veaga.
Tarkvaraarendaja seisukohalt pakub mulle enim huvi tagauste vähendamine võimalikult minimaalseks (soovitatavalt nullini). Lahendused koosnevad kolmest komponendist - tehnoloogia × koolitus × reeglid.
Tehnoloogia
Siinkohal leiavad kindlasti rakendust:
- nõrkuste avastajad, millega saab analüüsida andmebaase ja ligipääse nendes olevate andmetele;
- logimine, kus märgitakse üles, kes tegi päringu, millise päringu ta tegi ja mida ta päringule vastuseks sai. Muidugi on tähtis hoida ka logide sisu ja asukoht turvalisena, sest muul juhul võivad ka need kujutada endast turvariske;
- autentimissüsteemid ehk andmetele ligipääsuõiguste jagamine peaks toimuma kasutajapõhiselt. Lihtne näide on pangandusest, kus eraisik pääseb ligi ainult ennast puudutavale infole, aga pangatöötaja saab vaadata ka teiste pangaklientide andmeid;
Koolitus
Tagauste sulgemiste eeldus on tarkvaraarendajate teadlikkus võimalikest turvariskidest ja nende ärahoidmisest. Kindlasti peaks turvalisuse teemad olema kaasatud programmeerimise ainetesse juba üsna varasel tasemel - ainuüksi selle pärast, et siis tekib arendajal harjumus nendele mõelda ja igapäevatöös praktiseerida. Hea näitena võin tuua Vali-IT, kus "Hello World"-ist alustades jõuti kolmenädalase õppe jooksul näidisrakenduseni, mis vajas autentimist. Õppekava järgi võiks Tallinna Tehnikaülikooli IADB ehk IT süsteemide arenduse erialal olla andmeturvele suurem rõhk - leidub üks valikaine "Andmeturve ja krüptoloogia" ning programmeerimise ainete kirjelduses turvalisust silma ei hakanud. Õnneks saab tühimikku iseseisvalt täita näiteks IVSB Küberturbe tehnoloogiate õppekava aineid võttes või täiendkoolitustel. Üks tuntumaid ettevõtteid, kes Eestis koolituste ja turvatestimisega tegeleb on Clarified Security, kes jäi hiljuti silma ka meediale kui peamine turvatestimise hangete võitja.
Reeglid
Siinkohal on reeglid paslik äriloogika tasandil kokku leppida. Ehk millisele kasutajale millised õigused anda, kusjuures järgida tuleks seda, et kasutajal oleks nii vähe õigusi kui võimalik ja nii palju õigusi kui vajalik.
