[Tanel]

TELIA PRESSTEADE - Selleks, et kaitsta end identiteedivarguse eest tuleb nii isiklikes kui ka tööalastes tegemistes hakata kasutama isikutuvastamisel meetodeid, mis ei seo inimest ühe kindla salasõnaga.

Eri rakenduste ja teenuste kasutamisel on jätkuvalt kõige levinum autentimisviis kombinatsioon kasutajatunnusest ja salasõnast. Sellele on mõnel juhul lisandunud biomeetrilised tuvastusviisid, mida sageli kasutatakse ka hoopis alternatiivina kasutajatunnuse ja parooli sisestamisele.
„Üha populaarsemaks on muutumas ka ühekordsed paroolid ehk OTP-d, mida kasutatakse täiendava turvakihina,“ selgitab Telia küberturbe lahenduste arhitekt Kristjan Aljas. „Need paroolid genereeritakse spetsiaalses mobiilirakenduses või teenusepakkuja pilveteenuses ning edastatakse kasutajale näiteks e-posti või SMS-i teel.

Kuigi selline lisakaitse sisselogimisel võib tunduda piisav, tõdeb Aljas, et tegelikult on küberkurjategijad juba leidnud viise läbi eri õngitsusskeemide ja vahendajarünnete, kuidas ikkagi märkamatult soovitud andmetele ligi pääseda.
„Sellise riski maandamise üks võimalus oleks digitaalsete tuvastusvahendite täiendamine mõne füüsilise komponendi või seadmega, millele ligipääsu omamata ei ole autentimist lõpuni viia võimalik. Hea näide on Eesti ID-kaart, mille põhiprobleem on aga piiratud kasutusvõimalus, kuna globaalsetel platvormidel ja teenustel pole sellega liidestatust,“ räägib ta.

Füüsiline turvavõti hakkab salasõnu asendama
Kuna autentimisstandardeid arendav ühendus FIDO Alliance on võtnud suuna salasõna-põhisest isikutuvastusest järk-järgult loobumisele, tuleks ka Eestis teha samme selles suunas. Üks võimalus on asjatundja sõnul maailma juhtiva turvavõtmete tootja Yubico pakutav turvavõti YubiKey. Seda kasutavad juba USA ja Euroopa paljud valitsusasutused ning rahvusvahelised finantsorganisatsioonid, kes on nüüdseks säästnud juba sadu miljoneid eurosid, mis muidu oleks kulunud pettuste ja küberrünnakutega tehtud kahju likvideerimiseks.
„2025. aasta uuringute kohaselt on IT- ja OT-süsteemide kaitsmiseks mõeldud paroolivaba autentimine võetud laialdaselt kasutusele juba tervishoius, energeetikas ja valitsusasutustes,“ räägib Aljas. Lisaks salasõnadest ja nendega seotud probleemidest vabanemisele on YubiKeyl tema sõnul eeliseid veel. Näiteks võimaldab turvavõti isikutuvastust pilveteenuste platvormidel ning see ühildub paroolihaldurite ja kesksete identiteedi- ning autentimisplatvormidega. Kuna YubiKey võtmed on saadaval eri korpustes ja nii USB-, NFC- kui ka Lightning-liidestega, on neid lihtne kaasas kanda ja need toimivad enamikus seadmetes.



Toetamaks FIDO Alliance-i salasõnadest loobumise põhimõtet, kuuluvad Aljase sõnul YubiKey-del põhinevad isikutavastuslahendused ka Telia küberteenuste portfelli. Kuna füüsilise turvavõtme laiem kasutuselevõtt tähendab ka seda, et turule tuleb seadmeid, mille turvalisuses ei saa olla kindel, soovitab ta enne nende kasutuselevõttu arutada mõne spetsialistiga. „Kindlasti tuleks kriitiliste turvalahenduste ning seadmete ostmisel kasutada tootja ametlikku müügikanalit ja volitatud partnereid,“ rõhutab Aljas. „Vältima peab soodsamana näivaid veebipoode ja tarnekanaleid, kus puudub võimalus tuvastada, kellel ja millisel eesmärgil on olnud ligipääs ostetud seadmetele ja kas nendega on transpordi või ladustamise käigus manipuleeritud.“

YubiKey juurutamisel on hea võtta appi mõni kogenud partner, kes aitab teha vajalikud seadistused, leppida kokku protseduurid ja koolitada töötajad.

Allikas: Telia

[Tanel]

YubiKey hinnapakkumised HinnaVaatluses: https://www.hinnavaatlus.ee/search/?query=YubiKey

[DigeBeni]

Mida aeg edasi, seda vähem tekitavad kahjuks usaldust nö. laialdaselt kasutuses olevad (standardsed) lahendused.

Eriti valguses, kuidas valitsused nõuavad kõikvõimalikele turvalahendustele üsna agressiivselt tagauksi ja mida popim on lahendus, seda rohkem pakub see ka huvi erinevatele hämaratele ringkondadele.

Lisaks kaasneb turvalisuse keerukusega pahatihti kasutajate poolne tõrge, kui midagi on liiga keeruline või muudab igapöevatöö liiga ebamugavaks, siis üritatakse sellest oma tarkusega mööda minna ja kuna "lollid" on leidlikud, siis võib su uhkest turvalahendusest saada mõne nupumehe tõttu pelgalt turvalisuse fassaad, mis kehtib vaid paberil.

[skyTronic]

Vaatan, et hinnavaatlus.ee on passkey lisamise implementeerinud, aga lisades on valikus ainult Windows Hello ja Yubikeyd lisada ei saa.

[Prillpapa]

Kuidas Eestis õiguslikult on sätestatud, ka võimude nõudmisel peab loovutama oma salasõnad jm või saab keelduda.

USA-s vist oli kuidagi nii, kus varasem õigus jäi kehtima ja süüalust ei tohi sundida salasõna avaldama aga see ei kehti uuematele tehnoloogiatele nagu biomeetrilised vm lahendused, ehk USA-s salasõna sinult välja peksta ei tohi, tohivad häkkida, otsida ehk on kuskil kirjas ja tohivad sunniga avada sinu seadmeid kui need on nt näo, sõrmejälje tuvastuse või selle yubikey-ga või muu turvatehnoloogiaga.
Muidugi veel ägedam kui kasutad küll salasõnu aga hoiad neid mõnes passwordi hoidlas mis avaneb mugavalt nt sõrmejäljega
USA puhul muidugi veel nüanss, kus erinevalt meist "kõik on seaduse ees võrdsed" seal ei kehti, USA enda kodanikud oluliselt paremini õiguslikult kaitstud kui mõne teise riigi kodanikud kuni terrorismisüüdistuseni, keda tohib inimröövida, hoida kinni salavanglas kolmanda riigi territooriumil, kasutada tema peal "laiendatud ülekuulamise metoodikaid" ja vangile ei laiene õigus inimõigustele (mille peamine õigus on elule), süüdistusele ega kohtupidamisele.

Kuidas Eestis on, kui võimud annavad korralduse "ava oma telefon/arvuti/jm", kas peab alluma, või on erinevus menetluses, nagu Pruunsilla juhtumi puhul, kus võimud said paroolidele ligi panga laekas turvaliselt hoitud saladustele, need sealt välja nõuda, ning samuti üritasid korduvalt paigaldada kahtlusaluse seadmetesse vargsi kaugteel pahavara, mis muudaks andmekandja&seadme võimudele ligipääsetavaks.

Vandenõu teoreetiliselt saab riik igasugu riigiäppide läbi samuti ligipääsuvektori oma alamate seadmetesse. Sisuliselt kõik äpid ja tarkvarad riigi poolt, mis ei põhine avatud koodil, või millele installi järgselt lisatavad "uuendused&parandused" ei ole kontrollitavad - võivad sisaldada riigi julgeoleku huvides tagauksi ja toimida kas süsteemselt või teenistustele huvipakkumise korral eraldi aktiveerituna nuhkvarana.
Seadme enda metainfo on Eestis nagunii massijälgimise ja talletamise all, ehk kus sideseade viibib, mis numbritega suhtleb, mis võrkudes, ajal jne. Viimatine kohtupidamine küll kuulutas selliselt kogutud andmed tõenditena kõlbmatuks, sest on aastatetagused Euroopa Kohtu ja Eesti Riigikohtu otsus, kuidas Eesti võimude selline andmete kogumine ei ole õiguspärane.
Kuna aga kehtiv õigus ei näe ette sanktsioone ega karistusi, kui riigivõim või selle institutsioonid käituvad õigusvastaselt või õiguspäraselt, ei ole institutsioonidel ka tungi õigusvastaseid jälgimisi, andmekogumisi ja selle kasutamist omal äranägemisel lõpetanud. On ainult kommunikatiivsed ebamugvused avalikkusega antud teemadega suhtlemisel ja ebameeldivused kohtuastmetega kui need pretsendente loovad ja illegaalselt kogutud infot ei taha kohtukõlbulikuks pidada.

Seega ka nende usk "minu oma riik iial midagi sellist küsitavat" ei teeks ei kehti juba ammu, on enne teinud, teeb ka praegu, tõestatult ja lubamatuks hinnatud - ikka jätkuvalt teeb.
Enne tasuks hoolikalt läbimõelda, kas üks järjekordne riigi pakutav lisamugavusteenus ikka on nii ohutu ja nunnu kui seda propageeritakse. Võimatu ei ole ka variant kus täna igati aus ja mõnus lahendus võib mõne aja pärast muutuda teenistustele huvipakkuvaks ja nt 3 aasta pärast uuendub-asendub ohutu äpp verisooniga, mis teeb lisaks varjatult veel midagi mida varem ei teinud.

riigi e-küber-jm-propagandas saab nõustuda ainult üldisel tasemel, kus e-it-küber on tänapäeval turva ja ohutusteema ja seda ohutus ja turvalisusteemat kasutavad riigid ära ka oma huvides ja alama kahjuks.
Õigus tundub olema neil vanadel riikidel kus ollakse jätkuvalt skeptilised e-valimiste ja üldse tehnoloogiate suhtes mida riik võib tahta ent mis kodanikule sisus põhjustavad läbipaistmatust, lisariske nii andmeturvalisuse, kui küberohte väljast ja oma riigi poolt tekitatult.

Vanemas nö paberkorralduses või selgelt institutsionaalselt-tehniliselt-lahenduslikult lahus digitaalstete teenuste puhul on ohud, et neid saab ära kasutada kodanike vastu palju kasinamad, vs Eesti peatne superandmebaas kuhu on koondatud kokku kõik andmebaasid üldse AI monitoorida ja leida alamete ja ettevõtete kohta kõike seda mida muidu leida oleks keerulisem ebaefektiivne.
Eesti e-riigi edulugu kipub veidraks kiskuma kus iga digiteenus ja pealesurutud teenus on üksikuna võetes nunnu, edasiviiv-eesrindlik, mis lõpuks maandub suurde katlasse, mis tühistab kõik varasemad detailid mured privaatsuse, suure venna ohud.
Nii, et ka täna promotav pisike mugavusäpp võib olla homne kohustus, millega alam loovutab mitte teoreetiliselt sõrme vaid praktiliselt terve käe.

[Renka]