Tag Archives: küberturvalisus

Oma kodulehe või e-posti turvalisust saab testida igaüks

Tõnu Tammer, CERT-EE juht

Igal kodulehe omanikul või e-posti kasutajal tekib varem või hiljem küsimus: kui turvaline on minu IT-lahendus ja kuidas see kogu maailmale välja paistab? Selleks, et üht või teist nüanssi testida, ei ole vaja IT-haridust ega arusaamist Linuxi konsoolist. Kodulehe või e-posti turvalisuse testimine pole kunagi varem olnud nii lihtne kui praegu.

Internetist leiab mitmeid turvalisuse testimise tööriistu, mida saab kasutada igaüks. Näiteks blogi pidaja või ettevõtte juht saab nende abil vaadata, kui hästi või halvasti on tema koduleht või e-posti server seadistatud.

Toome välja mõned tööriistad, mida kasutame ka ise, et üht või teist nüanssi testida.

Tööriistad, millega saab testida kodulehe ja e-posti seadistusi

Hardenize

https://www.hardenize.com/

See on eriti hea ja universaalne tööriist, mis võimaldab kontrollida, et sinu internetiaadressi ehk domeeni seadistused oleksid sellisel tasemel nagu tänapäeval olla võiksid. Samuti saab sealt kontrollida, kas meiliserveri seaded tagavad heal tasemel sõnumisaladuse ja andmekaitse ning kas kodulehe puhul on tagatud kasutajate turvalisus. Eesti turult leiab teenusepakkujaid, kelle kõige odavama, vähem kui 10€ kuus maksva paketiga on võimalik koduleht ja e-post seadistada nii, et enamik testitavatest aspektidest läbitakse edukalt ehk tulemus on roheline. See tähendab, et teenusepakkuja on teinud enda poolt mõistlikud sammud ja kodulehe/domeeni haldaja on teinud ära teise poole.

Näide Hardenize'ist

Näide Hardenize’ist: kõik testid on võimalik läbida edukalt

Security Headers

https://securityheaders.com/

Sobib kodulehe pisut põhjalikumaks testimiseks.

Tööriist võimaldab testida, milliseid juhiseid annab koduleht brauserile. Nende juhistega on võimalik piirata või keelata ebasoovitavaid tegevusi. Näiteks saab vähendada seda infohulka, mis muidu kasutaja kohta edasi liiguks, kui ta sinu kodulehelt ära läheb.

A+ ja A on eeskujulikud tulemused, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide Security Headersist

Security Headers: A tulemuse saavutamine ei ole samuti keeruline

Qualis SSL Labs

https://www.ssllabs.com/ssltest/analyze.html

Hea ja universaalne tööriist, millega saab kontrollida, kas suhtlus kodulehega on krüpteeritud selliselt, et tagatud on andmete turvalisus ja kasutaja privaatsus. Tänapäeval võiks juba iga veebileht avaneda vaid TLS 1.2 või TLS 1.3 protokolliga. Kindlasti ei tohi enam kasutada SSL 3 ja SSL 2 protokolle, mis ei taga turvalisust. Protokollide TLS 1.0 ning TLS 1.1 kasutamine on samuti mõistlik lõpetada, sest neis esineb turvanõrkusi, mis on uuemates versioonides parandatud.

Tulemused A+ ja A on eeskujulikud, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide SSL Labsist

SSL Labs: A+ tulemuse saamine ei ole keeruline

TLS

https://www.checktls.com/TestReceiver

Võimaldab testida meiliserveri seadistusi.

See tööriist on samuti väga võimekas. Kui valida „Output format“ alt „SSLProbe“, siis kaardistatakse kõik e-posti serveri võimalused (sarnaselt eelmises punktis toodud SSL Labsi testiga). Ka e-posti serverite puhul võiks kirjavahetus käia vaid TLS 1.2 või TLS 1.3 protokolliga. SSL 3 ja SSL 2 kasutamine ei taga turvalisust ning protokollide TLS 1.0 ja TLS 1.1 kasutamine on samuti mõistlik lõpetada. Testi tulemuste lugemise teeb lihtsaks asjaolu, et punasega kuvatavaid tulemusi ei tohiks olla ning sobilikud on üksnes roheliselt kuvatud tulemused.

Hea tulemuse näide TLSist

Rohelisega kuvatakse hea tulemus

Halva tulemuse näide TLSist

Punasega kuvatakse need aspektid, mis nõuavad kindlasti meiliserveri omaniku tähelepanu

MECSA

https://mecsa.jrc.ec.europa.eu

Euroopa Komisjoni teadus- ja arendustegevuse üksus JRC on loonud e-kirja testimiseks universaalse tööriista. Erinevalt paljudest teistest võimaldab see testida nii e-kirja saatmise kui vastuvõtmise turvalisust. Kuna saatmise ja vastuvõtmise seadistusi tuleb e-postiserveris seadistada eraldi, võivad eri suunas liikuvatel e-kirjadel olla erinevad seadistused.

Selle testi eripära on see, et testimiseks tuleb sisestada testija e-posti aadress ning saadud kirjale tuleb saata vastuskiri.

Ekraanipilt tulemustest

Üldine ülevaade on “Summary” all ning vahelehelt “Advanced” näeb rohkem tehnilist infot.

RIA juht Taimar Peterkop: küberturvalisuse seadus on vajalik meie tänapäevase eluviisi kaitseks

Riigikogu menetleb küberturvalisuse seaduse eelnõu. Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop selgitab, miks sellist seadust on vaja ning kuidas see aitab tagada küberturvalisust. Tekst avaldati 15. märtsil 2018 Delfi arvamusrubriigis.

Taimar Peterkop

Küberturvalisuse seadus aitab ettevõtetel ja riigil paremini koos turvalisust tagada ning kaitsta Eesti digiriiki. Kuna ühiskonna toimimine sõltub üha enam infosüsteemidest, nõuab küberruumi kaitse selgemaid regulatsioone, kiiret reageerimist ja riigi panust vastutuse võtmisel.

Tänane Eesti õigusruum ei toeta meie ühise digitaalse riigi ja inimestele eluks vajalike (energia, telefoniside, meditsiini jms) teenuste kaitset piisavalt. Riikliku julgeoleku ja kaitse tagamise kohustus on asutuste õlul, kellel ei pruugi olla head ja terviklikku olukorra ülevaadet küberruumis toimuvast. Teenuse pakkujalt eeldatakse küberintsidendi lahendamist ja otsuste tegemist, mis aga mõjutavad suuremal või vähemal määral meid kõiki – seda, kas ja kuidas toimib meie e-riik. Nende otsuste tegemise juures saab riik olla vaid soovitavas rollis, mis tähendab, et riigil pole meid kõiki puudutavas küberturvalisuse valdkonnas ei korralduste andmise ega nende eest vastutuse võtmise õigust.

Riigi Infosüsteemi Ameti juhtimisel on enam kui aasta töötatud seaduse kallal, mis lisaks Euroopa Liidu võrguturbe direktiivi rakendamisele likvideerib need puudujäägid õigusruumis – seab riigile suurema kohustuse ning annab ka õigused. Meie kohustus on digiriigina teha enam ja olla teerajajaks küberturvalisuse valdkonnas laiemalt, mistõttu peame pingutama, et ka meie õigusruum järgiks meie pidevaltareneva digitaalse eluviisi tagamise vajadusi. Nagu ID-kaardi päästmine näitas, siis riik ei saa jätta ühiskonna kaitse kohustust ettevõtetele ega küberruumis tekkivaid ohuolukordi kuidagi eirata. Selliselt toimides kaoks usaldus, mis on aga digiriigi toimimise alus.

Küberturvalisuse seadus on sama oluline ja vajalik kui mistahes füüsilises maailmas toiminguid reguleeriv seadus, kas või näiteks pääste- ja korrakaitseseadused. Suure tõenäosusega ei tule lennufirmad pommikahtluse korral lennujaamas kahjusid sisse nõudma, sest lennujaam järgis politsei korraldust ning võimaldas neil inimeste elusid päästa. Samas, kui on kahtlus, et aeronavigatsiooni süsteemides on mingi keeruline pahavara, mis võib protsesse iga kell juhtida ja peatada, siis puudub lennujaamal täna alus riigi soovituste alusel oma teenuseid peatada, kuni probleem on likvideeritud. Kehtiva õiguse järgi ei ole selge, kas riik saab anda sellise korralduse, ning lennujaamal endalgi pole kindlust, kuidas sellises olukorras riigi soovituste järgi tegutseda. Sarnaseid näiteid võib tuua ka muudest valdkondadest.

Eestis registreeritud küberturbejuhtumite hulk lööb tänavu rekordeid: eelmise aasta juhtumite arv oli ligi kolmandiku võrra suurem kui mullu, küündides 11 000-ni. Põhjused registreeritud juhtumite taga on väga erinevad, alates seadmeriketest ja inimlikest eksimustest kuni pahatahtliku tegevuseni. Jälgides maailmas toimuvat näeme üha enam, et suurenenud on välisriikide ründav tegevus küberruumis. Eesti riigiasutuste andmesidevõrke skannitakse ja kaardistatakse pidevalt, kontrollitakse meie kommunikatsioonivahendite võimekust ja üritatakse lisaks riigiasutustele tungida ka elutähtsaid teenuseid pakkuvate ettevõtete arvutivõrkudesse.

Igapäevast turvalisust ohustavad aga veelgi enam küberkurjategijate ründed: lunavara levitamisega kasumit teenida lootev organiseeritud kuritegevus seab oma tegevusega ohtu inimeste elu ja tervise. Sagedased rünnakud haiglatele põhjustavad halvemal juhul arstiabi andmise katkemise. Selliste rünnakute vastu ei piisa parimatest infotehnoloogiavahenditest ega kõige pädevamast küberturvalisust tagavast meeskonnast, kui kasutaja pole riskidest teadlik või on hooletu. Oskus küberruumis turvaliselt toimetada ja riske õigesti hinnata võimaldab tagada turvalisuse kogu riigis.

Ühiskonna suureneva IT-sõltuvuse taustal areneb tehnoloogia ülikiiresti. Võrgu- ja infosüsteemide suurenev keerukus, internetti ühendatud väga erinevate seadmete kasvav arv ning küberruumis tegutsevate erineva motivatsiooni ja oskustega toimetajate kasvav hulk muudab küberturvalisuse üha suuremaks väljakutseks. Eesti senine edukas küberkaitse mudel põhineb kogukondlikul lähenemisel – riigi, ettevõtete ja haridusasutuste koostööl. Turvalisust ei saa võtta kergekäeliselt ja riik või ettevõtted üksi üksi ei suuda tagada turvalisust küberruumis. Küberturvalisuse seadus on üks oluline osa, mille pinnalt jätkuvalt ehitada seda kogukondliku küberkaitse mudelit.

Riigi infosüsteemi küberturvalisus

Riigi infosüsteemi turbe talituse juht Aare Reintam võtab kokku RIA olulisemad tegevused küberturbe edendamisel.

Eesti on infotehnoloogia kiire arenguga kaasas käiv riik. Meie infoühiskond ja infotehnoloogilised protsessid on arenenud nii kaugele, et peame igal elualal loomulikuks e-teenuste kasutamist ning ühiskonna usaldus e-kanalite kaudu esitatavate teenuste vastu aina kasvab.

Riigi Infosüsteemi Ameti ülesanne on tagada, et inimeste kasutatavad teenused oleksid kergesti kättesaadavad, mugavad kasutada, aga ka turvalised. Teenuste turvalisuse edendamiseks eesmärkide edendamiseks tegeleme järgnevaga:

  1. Koolitame inimesi, kes arendavad, haldavad ja kasutavad infosüsteeme ja nende pakutavaid teenuseid. 2013. aastal korraldasime 18 küberturbe koolitust, millest võtsid osa ligi 500 inimest. Koolitusi leidus nii juhtidele (läbistusdemod), administraatoritele (süsteemide turvaline konfigureerimine), tavakasutajatele (infoturbe sissejuhatus) kui riigiasutuste turvajuhtidele (seminarid);
  2. Koondame erialakogukondi, et tagada parem infovahetus e-kanalite ja töögruppide kaudu ning reageerimine intsidentidele. RIA eestvedamisel on loodud kriitilise informatsiooni kaitse tagamise töörühm, automaatjuhtimissüsteemide turvajuhtide kogukond, 2014. aastal luuakse riigiasutuste turvajuhtide komisjon;
  3. Koostame juhendeid: 2014. aastal oleme RIA kodulehel avaldanud 23 juhendit IT halduse ja IT-turbe paremaks reguleerimiseks.
  4. Arendame Eesti infoturbe standardit ISKE. 2015. aasta II pooles lubab Saksamaa Infoturbe Amet välja lasta uue Grundschutzi versiooni, mis tuleb õhem, täpsem, kiiremini uuenev ja kergemini järgitav;
  5. Kogume ja analüüsime elutähtsate teenuste riskianalüüse eesmärgiga omada ülevaadet ETOde küberturvalisuse tasemest ja nende vastastikusest sõltuvusest;
  6. Lähtuvalt ISKE nõuetest ja VV määrusest “Infoturbe juhtimise süsteem” kogume ning analüüsime Eesti riigis ja asutustes juhtunud intsidente, et töötada välja tõhusad kaitsemeetmed ja juhised edasiste intsidentide ärahoidmiseks ja mõjude vähendamiseks;
  7. Töötame välja regulatsioone infoturbe ühtluseks ja selgeks arenguks;
  8. Koostame küberturbe ülevaateid ja analüüse partnerasutustele ja asjaomastele huvigruppidele;
  9. Tellime ja korraldame turvatestimisi. Alates 2012. aastast on RIA korraldanud ligikaudu 40 turvatestimist ning tellinud umbes 10 läbistus- ja haavatustestimist.

Loetelu võiks ja saaks veel pikendada, kirja said vaid olulisemad tegevused. RIA-le on oluline, et Eesti e-riigi keskkond oleks innovaatiline, turvaline, kasutajasõbralik ja kõikidele kättesaadav.

Turvalist ja innovatiivset e-keskkonda soovides

Aare Reintam
Riigi infosüsteemi turbe talitus