Title back
Jaanuse asjad
Reklaam. Tehnoloogia. Meedia. Kasutajamugavus. Skype. Inimesed. Turvalisus. Keel. Kultuur. Valitsus. Privaatsus. Kommunikatsioon.

03. mai 2007

ID-kaart riikliku IT-julgeoleku seisukohast

Kirjutas Jaanus kell 10:10 | Püsiviide

Nüüd on vist juba kõigile selge, et küsimus pole ammu enam pronkssõduris, vaid Vene agressioonis. Üks osa sellest agressioonist on olnud ka küberründed, mis lähtuvad nii otse valitsusasutustest kui ka ajupestud kodanike poolt “spontaalselt” organiseerituna.

Selles valguses saab oluliseks küsimuseks, kuidas organiseerida IT-julgeolekut ja neile rünnetele vastu seista, et riigis normaalne elu tagada. Hetkelahendusena on paljudel saitidel välismaalt juurdepääs kinni keeratud. Seda on lihtne teha, eriti kui ründajad ei vaevugi eriti oma päritolu varjama nagu praegu. Aga pikemas perspektiivis ei ole selline lahendus vastuvõetav, sest muuhulgas tähendab see, et mulle ja paljudele Eesti kodanikele on riigiteenuste kasutamine ja riigiga suhtlemine võimatuks tehtud. Hetkel ei ole sellest midagi hullu, aga kui näiteks oleks tuludeklaratsiooni esitamise aeg ja ma seda Maksuametisse teha ei saaks, oleks asi päris halb.

Hetkel kaalutakse kindlasti erinevaid variante, kuidas pikemas perspektiivis IT-julgeolek tagada ja mis vahendeid selleks saab kasutada. Üks variant oleks teha nagu Hiinas, panna riigi “IT-piirile” püsti suur tulemüür ja kõik liiklus sealtkaudu läbi lasta ja tulemüür siis näo järgi vaatab, keda lubada ja keda mitte. Aga tegelikult on Hiina ainus riik, kes seda kasutab ja kaasaegses demokraatlikus Euroopas oleks see üsna ennekuulmatu, muuhulgas halvendaks ka teenuse kiirust ja kvaliteeti, kuna kuitahes võimas tulemüür lihtsalt ei jaksa kogu riigi liiklust läbi vaadata.

Variante on veel ja palju ja kindlasti lõpuks rakendatakse mingi kombinatsioon neist.

Ühe võimaliku variandina tuleb kindlasti kaalumisele ID-kaardi mõnevõrra laiem rakendamine riigiteenuste puhul. Kui praegu peab ID-ga sisse logima ainult siis, kui soovid nt X-tee kaudu mingit kaitstud infot vaadata, siis edaspidi võivad ka veebid olla turvatud ID-ga. Niisama lähenejatele näidatakse lihtsat tervituslehte, mida on märksa raskem pange ajada.

Selle kasuks räägib suhteline odavus — kogu infrastruktuur serverite jaoks on täna olemas ja reaalselt kasutusel. Kliendi poolel on ID-kaart juba miljonil inimesel olemas ja neil, kellel pole, on võimalik see endale üsna lihtsalt hankida. Samuti käivad erinevad kampaaniad kaardilugejate levitamiseks. Veel mõni aasta tagasi maksis odavaim variant 300 kr, nüüd saab selle pankade käest 90 krooniga.

Mis on ID kasutamise plussid riikliku IT-julgeoleku seisukohast:

  • ei ole vaja rakendada geograafilisi piiranguid. Teenus on avatud kõigile elanikele sõltumata asukohast. (ID-kaarti saavad taotleda nii Eesti kodanikud kui elamis- ja tööloaga isikud, st kõik, kes Eestis pikemalt seaduslikult elavad, või elavad mujal maailmas, aga soovivad jääda Eesti kultuuriruumi.)
  • kuna ID-kaart ei ole kopeeritav, ei ole võimalik korraldada DDoS-rünnakuid muidu kui reaalselt paljude isikute kaartide abil (vt järgmine punkt).
  • tuvastus käib isiku(koodi), mitte IP alusel. Kõik toimingud on seostatavad konkreetse isikuga. Väärkasutuse korral saab isiku tuvastada ja vastutusele võtta.
  • kasutajate ring on piiratud Eesti kodanike ja elamis- ning tööloaga inimestega ehk nendega, kellel Eestiga ka reaalselt midagi pistmist on. Igasugu muud “našid” siia ei kuulu.

Peamiselt käib jutt riigiteenustest, millest reaalselt sõltub riigi toimimine ja julgeolek (nt politsei jne). Erateenuste, nt meedia puhul peab igaüks ise arvutama, kas talle see mõistlik tundub. Nt meedia puhul kindlasti langeks lugejate arv. Samas on võimalikud ka kombineeritud lahendused, nt lubada kõigil väljaannet lugeda, aga ainult ID-ga kommenteerida või mistahes. Samas EPL just leidis, et nemad teevad kommenteerimise kõigile lahti. Ja Rein Lang jällegi ei ole nõus.

Kindlasti toimub järgmistel aastatel selles vallas veel palju katsetamist ja eri lahenduste proovimist. Aga selge on see, et kindlasti peame edaspidi opereerima keskkonnas, kus tuleb arvestada vaenulike kavatsustega ja ennast nende eest kaitsta, tagades samas teenuse kättesaadavuse neile, kes oma normaalset elu ja tööd jätkama peavad.

Ahjah, kübersõja rinnetelt üks väike lahinguvõit ka. Veel eile oli sellel aadressil võimalik näha juhendit, kuidas Eesti riigiasutusi surnuks pingida ja spämmida. Sellise info näol on aga tegemist Google Notebooksi teenuse reeglite rikkumisega, mis ei luba avaldada ebaseaduslikku ega kedagi otseselt kahjustavat infot:

You agree to use Google services only for purposes that are legal, proper and in accordance with the Terms of Service and any applicable policies or guidelines.

Spämmimisjuhendite avaldamine ei ole ei “legal” (kindlasti mitte Eesti Vabariigi ja vaevalt, et ka Vene Föderatsiooni seaduste järgi) ega “proper”.

Andsime siis sõpradega Google’ile sellest nende tavavormi kaudu teada. Tänaseks on leht maha võetud.

Kindlasti ei ole mul illusioone, et see oli ainus selline leht — neid tehakse automaatselt hunnikute kaupa. Aga samas ei ole teenusepakkujatele neist teada andmine eriti keeruline ja üldiselt eemaldatakse selgelt ebaseaduslikud ja Interneti toimimist meelega häirivad materjalid hea meelega. Nii et kui keegi veel midagi sarnast näeb, andke aga lahkesti teenusepakkujale teada. Kui see teenusepakkuja ei asu *.ru all, siis ei usu, et see info eriti kauaks püsti jääb.

Teemad:

View blog reactions

Kommentaarid

Kas Sinu pakutud ID-kaardi lahendust võiks laiendada näiteks Euroopa Liidu kodanikele? Mul on näiteks üleoluline mitmetest Eesti veebisaitidest (riigiasutused ja meedia) infot kätte saada.

Juhuslikult käisin esmaspäeval Soome ID-kaardi taotluse sisse jätmas, kusjuures kiibid ja PINid ka mul varsti käepärast. Ma oleksin teatavatel tingimustel nõus end Eesti serverites identifitseerima, kui minu kaart selleks õiguse annaks.

Kirjutas: Larko | 3. mai 2007 20:55

Eesti ja Soome teevad ID arendusel tugevat koostööd. Olen mõni aasta tagasi ka ise Soome Väestörekisterikeskuses koosolekutel käinud, tehniliselt on projektid samadel alustel. Ühest küljest on ka ühe riigi piires asja piisavalt keeruline käima saada ja eri riikide vahel tuleb mitu erinevat süsteemi kokku panna, mis teeb natuke veel keerulisemaks, seadused ju erinevad jne. Aga teisest küljest oleks see hea näide EL-ile, kuidas riikide koostöös selliseid asju tehakse. Nii et ma ei välista kindlasti seda, et elektrooniline isikutuvastus hakkab ka riikide vahel toimima, mitte ainult riigisiseselt.

Kirjutas: Jaanus Author Profile Page | 3. mai 2007 21:31

Siin tuleb muidugi tasa ja targu arutada tingimusi. Kellel näiteks on juurdepääs andmebaasidele, kuhu võib-olla salvestub, mida ma Postimehe, Päevalehe, Ekspressi jne saitidel loen? Või millist infot ma valitsuse, Riigikogu või politsei saidilt otsin? Kas see üldse peab kuskile ID-kaardipõhiselt salvestuma? Ühelt poolt on saidihaldajal (olgu ta riik või eraõiguslik asutus) huvi kaitsta end rünnakute eest, teisest küljest ei tahaks mina kui infot otsiv inimene, et mu päringud isikuga seonduvates andmebaasides salvestuksid. Kui kasutaja tuvastamisest absoluutne tingimus teha, tuleb mul ehk oma infoallikad mujalt otsida, seda eriti kui erinevaid andmebaase kokku aetakse, mida kindlasti ka tehakse kuna see on võimalik.

Kirjutas: Larko | 3. mai 2007 22:51

Praeguse rünnaku puhul oleks ID-kaardiga süsteemidest vähe abi.

Võib eeldada, et pahalastel on kasutada kümned tuhaded viirustega nakatunud koduarvutid üle maailma, nendest väike osa Eestis.

Igasuguse DDoS rünnaku puhul koormatakse serverid üle. Lihtsamal juhul lihtsalt ummistatakse internetiühendus - selle vastu aitab ainult kiirem ühendus või tulemüür, mis “halvad” paketid enne ära viskab. Aga siis peab kuidagi vahet tegema õigetel ja pahatahtlikel suvalisest kohast välismaalt tulevas ID-kaardiga sisse logimise katsel.

Edukamate DDoS rünnakute puhul ei koormata internetiühendust, vaid serverit ennast, küsides talt midagi aeganõudvalt. Eesti serverid ei suutnud isegi selles koguses veebilehti näidata, ning ID-kaardiga sisse logimise katse õigsuse kontrollimine on tõenäoliselt palju keerulisem ülesanne kui veebilehe näitamine.

Kui ka enne serverisse jõudmist paigutada tulemüür, mis lubab läbi ainult väikese osa väljastpoolt Eestit tulevatest sisselogimise katsetest, siis saavutavad ründajad praegusega võrreldes täpselt samasuguse tulemuse: Eesti seest saab ligi, aga väljast on sisselogimine üle koormatud.

Kirjutas: mattias | 4. mai 2007 17:00

Larko - pärast seda, kui ID-kaardiga on isikutuvastus tehtud, ei jälgi enam keegi, mis saite ja millal sa loed. Igal saidiomanikul on olemas info selle kohta, mida sa tema saidilt loed, aga ei ole mingit überbaasi, kus kõik saidid on kirjas, kus sa käisid. ID-kaardi teenuste pakkujal võib küll olla info selle kohta, et teatud ajal läksid teatud saidile (nt eesti.ee), mis siis kontrollis sinu ID-kaardi sertifikaatide kehtivust, aga tal ei ole infot selle kohta, mis lehekülgedel sa seal saidil käisid, kaua viibisid jne.

mattias - eks siin on eri variante, aga see, et “ID-kaardiga sisse logimise katse õigsuse kontrollimine on tõenäoliselt palju keerulisem ülesanne kui veebilehe näitamine”, ei pruugi igas olukorras täpne olla, kõik sõltub teostusest ja detailidest. Idee ongi selles, et ilma tuvastamata tulijatele näidata ainult lihtsat staatilist tervituslehte, mis midagi üle ei koorma ega serverilt võhma ei võta, ja ressursimahukamaid lehti näidata ainult neile, kes korrektselt tuvastatud on.

Kirjutas: Jaanus Author Profile Page | 8. mai 2007 00:18

Kommenteeri





Minu blogid

in English
eesti keeles
Misc Random

Otsi

My status

Mina

Kes, mis, miks
Kirjuta lühisõnum
Lisa kontaktidesse
Saada meil: jaanus ‘at’ jaanuskase.com

Teemad

ajalugu amazon andreikorobeinik animatsioon apple arnoldrüütel arved arvuti auto autorikaitse avts bbc beercolors belgia berliin blogimine blueman boston bränd chicago civilization cmu comiclife connecticut demokraatia demoscene disain dubistdeutschland e-kommerts e-post e-riik eesti eesti90 eestivene elion emt epl esseekonkurss estonianair etv eurolaul2008 euroopaliit expat film finantspettused foto google hansapank haridus heategevus hosting html huumor id-kaart ikea innovatsioon iraan isiklik isikukood itunes jaantätte juhtimine kaitsevägi kanada kapo kasutajamugavus keel kiireee komöödia kontakt2006 kuritegevus küberkaitse külmsõda lennartmeri lhv liiklus london luksemburg luxembourg läti m-kommerts mac maksimarket maksuamet media meditsiin meedia microsoft mobi mobiil monitor muusika myspace mängud mööbel müüa nagiee ngo nyc ohutus pangandus pittsburgh poliitika politsei poola pr prantsusmaa president pria privaatsus programmeerimine prototüüpimine psp raamatud rahandusministeerium rateee reinlang reisimine reklaam riik riistvara rumeenia saaremaa saidiuudised saksamaa saku seb seedcamp skype spa sport spämm starman statoil taaskasutus tallink tallinn tartu teater teenindus terminoloogia tervishoid toit tootearendus tootlikkus turundus turvalisus tähtpäevad tööturg tüpograafia ui-police usa uudised valimised2007 varia veebiteenused veebitehnoloogiad venemaa võrdõiguslikkus wrongparking äripäev ühistransport üritused

Arhiiv

October 2008
September 2008
August 2008
July 2008
June 2008
May 2008
April 2008
February 2008
January 2008
December 2007
November 2007
October 2007
September 2007
August 2007
July 2007
June 2007
May 2007
April 2007
March 2007
February 2007
January 2007
December 2006
November 2006
October 2006
September 2006
August 2006
July 2006
June 2006
May 2006
April 2006
March 2006
February 2006
January 2006
December 2005
November 2005
October 2005
September 2005
August 2005
July 2005
June 2005
May 2005
April 2005
March 2005
February 2005
January 2005
December 2004
November 2004
October 2004
September 2004
August 2004
July 2004
June 2004
May 2004
April 2004
March 2004
February 2004
January 2004
December 2003
November 2003
October 2003
September 2003
August 2003
July 2003

Meta

Telli RSS
[Mis see on? (eesti keeles)]
Add to Technorati Favorites!
Creative Commons License
This weblog is licensed under a Creative Commons License.
Powered by
Movable Type 4.21-en
Kasutan DreamHosti veebimajutusteenust. On hea. Soovitan.
DreamHost
Content end