Infosüsteemide turvalisus

classic Classic list List threaded Threaded
11 messages Options
Reply | Threaded
Open this post in threaded view
|

Infosüsteemide turvalisus

KristiNõlvak
Kui palju olete kursis infosüsteemide turvalisuse teemaga?
Sattusin vaatama ühte väga huvitavat videot TEDx konverentsist, kus mees nimega Paul Holman näitab, kuidas on ülimalt lihtne lahti muukida meie tänapäeval kasutatavaid süsteeme: http://www.youtube.com/watch?v=hqKafI7Amd8.
Kui palju turvate teie oma vara, mida on võimalik läbi infosüsteemi lahti muukida?
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

DianaLohmus
Koduses infomajanduses on ikka püsti tavapärased tulemüürid ja viirusetõrjed, paroole või salasõnu ei salvesta arvutisse, ID-kaardi võtan kohe pärast kasutamist lugejast välja jne. Muidugi ei ole siin küsimus ainult füüsilises või loogilises turvamises, vaja on ka kainet mõistust, et igat vilkuvat asja ei ole vaja klikkida....
.
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

.
In reply to this post by KristiNõlvak
CONTENTS DELETED
The author has deleted this message.
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

KristiNõlvak
In reply to this post by KristiNõlvak
Kõige huvitavam ongi minu arvates lingina toodud videos see, et infosüsteemi lahti muukimise all ei peeta silmas ainult arvutitega seonduvat, vaid ka näiteks autolukke, pangakaarte, telereid (ligipääsu ühes hotellis teistele teleritele ja sellele, mida teised sinu hotellis vaatavad) ja telefoniseadme jälgimist.
ss
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

ss
This post was updated on .
In reply to this post by KristiNõlvak
Sattusin eile lugema huvitavat artiklit Snowdeni kohta ja kuidas ta ajakirjanikega suhtles.

https://firstlook.org/theintercept/2014/10/28/smuggling-snowden-secrets/

Tasub tähele panna esimest osa, kuidas ta Greenwaldiga lõpuks suutis turvalise sidekanali luua. Ei teagi kas nutta või naerda, kui ainsad tööriistad millega seda on võimalik teha on nii keerulised ja õrnad et isegi nende otsene sihtgrupp ei oska neid kasutada(Greenwald), isegi eksperdid teevad nende kasutuses vigu(Snowden ei saatnud suhtlust avades oma avalikku võtit) ja turvalise kanali loomine võtab aega kuid. Ja loomulikult ainult tööriistadest ei piisa, kui vale infot jagada vale inimesega pole mitte mingit vahet kui hästi krüpteeritud teie vaheline suhtlus on.

Aga algse postituse kohta: tundub et üldine trend turvamaailmas on sinna suunda et eeldatakse et ükskõik millist süsteemi on võimalik lahti murda ja keskendutakse pigem andmete kaitsele. Pole niiväga oluline kui kuhugi turvatud võrku satub pahavara kui on tagatud et see pahavara avastatakse kiiresti ja sellel pole võimalik kuidagi andmeid võrgust välja saada (ega ka muudmoodi mingit suuremat pahandust korraldada).

Isikliku digitaalse info kaitse on muidugi jälle teine teema, sest hetkel tundub nagu peaks andmete turvalisuse eest vastutama kasutaja ise, mis on minu arust täielik jama. Ei saa eeldada nagu peaks tavakasutaja oskama kasutada offline backupe, turvalist paroolihaldust, tundliku info krüpteerimist, jne. Need on kõik asjad mille peaks kasutaja jaoks arvuti ise ära tegema. Jah, võimalused on olemas, kuid need peaks olema by default kõik kasutuses, mitte nii et kasutaja peab ise hakkama neid paika sättima. Eriti räige on praeguste op. süsteemide juures minu arust see et op. süsteemid kaitsevad ennast hästi, sa ei saa ilma parooli sisestamata installeerida programme, draivereid, jne, kuid andmed mida tegelikult oleks vaja kaitsta, ehk siis kasutaja loodud info (dokumendid, pildid, jne) on enamasti täiesti vabalt kõigile kasutajaõigustes jooksvatele programmidele kättesaadavad. Linuxi puhul siis /home/ ja Windowsi puhul C:\Users\ . See on üks asi mida mobiilide operatsioonisüsteemid teevad palju paremini minu arust: programmil on õigus ligi pääseda ainult enda loodud infole ja muudele andmetele ligipääsu jaoks peab kasutaja programmile selleks õigused andma.

Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

SiimJur
In reply to this post by KristiNõlvak
Mingil määral olen kokku puutunud ISKE rakendamisega. Seda küll varasemas elu. Minu arvates kõige suurem turvaauk on endiselt kasutaja. Kui valitakse nõrk parool, kasutatakse avalikku (kontrollimata) arvutit süsteemi sisselogimisel jne, siis pole mõtet süsteemi enda turvalisuse peale väga palju kulutada, sest info on muud moodi lihtsamalt ligipääsetav.
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

karina.egipt
Nõustun eelkõnelejaga, et nõrgimaks lüliks on enamasti kasutaja ise ja seda mitte ainult infosüsteemide vaates. Siiamaani leidub inimesi, kes oma pin-koode pangakaartidele kirjutavad.
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

SiimVeskilt
In reply to this post by KristiNõlvak
Üldine teadlikus paroolide valimisel on üha suurenev probleem arvutusvõimsuse suurenedes. Kui näiteks wifi parool koosneb 8st sümbolist ja on numbrid ja lower-case tähed siis sellise parooli murdmine on võrdlemisi kerge. Isegi pikemad paroolid ei ole kaitstud, kui piisava ressursiga rünnata... kuigi WEP on õnneks nüüd kaduv nähtus. Aga sellegi poolest logivad osad inimesed oma netipankadesse avalikest wifi punktidest, ilmselt tahavad oma rahast ja identiteedist ilma jääda.

Kuigi Faraday puuri loeks küll päris turvaliseks.
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

mihkelmeerits
Tehnoloogide häda on see, et tehnoloogiat müstifiteeritakse kui turvalisuse toojat/hoidjat.
Ajalugu on kahjuks tõestanud, et murdumatu ei ole ükski turvasüsteem.

Tegelikkuses võime me turvalisusele läheneda kas -

a) lähtume, et turvalisust pole olemas. Lepin arvutit kasutades, et info mida me sisestame või loeme on nähtav ka kolmandale osapoolele.

b) turvalisus IT maailmas on võimalik tõsta, kuid mitte lõputult. Nt auto air-bag aitab küll teatud juhtudel vigastusi vähendada kuid selle olemasolu ei muuda sind surematuks ning ei päästa kõikidest õnnetustest. ST tuleb teha järeldus, et tehnoloogia abil ei ole mõtet säilitada oma kõige suuremaid saladusi, sest vastavad kaitsemehhanismid puuduvad
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

Kaidar
In reply to this post by KristiNõlvak
Õpetlik lugu, kuidas töö juures üritati ISKEt rakendada.
Tehti kõigepealt IT poolt koolitus ning selgitati, et arvutit ei tohi lahti jätta, isegi kui kolleegid on Sinuga samas toas, passworde ei tohi kleepida kuvari alumisele ribale jne.
Asi hakkas lõpuks toimuma, kuid IT juht käis mööda kontorit ja konfiskeeris kasutajatelt klaviatuure (juhul, kui arvuti oli jäetud lukustamata). Üldjuhul on inimeste harjumusi raske muuta ning tuleb eeldada, et kasutajad on mugavad ning tihti ei taju turvariske. Mingi aeg planeeritakse töö juures minna üle 9 kohalistele paroolidele, mis peab sisaldama suur-, väikest algustähte ning numbrit.
Tavakasutaja puhul pean mina kõige suuremaks riskiks gmaili passwordi lekkimist. Seetõttu muutsin paar aastat tagasi eraldi salasõna, kus kuskil mujal ei kasuta ning panin peale 2-astmelise tuvastuse (lisaks paroolile, küsib ka telefonilt koodi, kui oled esimest korda uues arvutis). Soovitan seda kõigile, sest kui gmaili konto läheb, siis tekib sellest väga palju tüli nii Sulle, kui ka võibolla neile, kes saavad palve raha kuskile mujale kontole kanda. Lisaks jääd ilma harjumuspärasest meilikontost, kirjavahetusest, kontaktidest. Ning meili puhul tehakse password recovery põhjal lahti ka suur osa teisi kontosid.
Reply | Threaded
Open this post in threaded view
|

Re: Infosüsteemide turvalisus

SimoVeikolainen
In reply to this post by mihkelmeerits
CONTENTS DELETED
The author has deleted this message.