[Anna tooli]

link :: Riigi Infosüsteemide Arenduskeskus


Riigikogu kinnitas 23. veebruaril eelnõu, millega muutub Riigi Infosüsteemide Arenduskeskus (RIA) alates 1. juunist 2011 ametiks. Uus Riigi Infosüsteemi Amet pakub turvalisuse tagamisel abi era- ja riigisektori infosüsteemide omanikele ning saab õiguse teha järelevalvet.

RIAl on hetkel kokku 11 põhivaldkonda, ametiks saamine puudutab kõige rohkem kahte infoturbega tegelevat osakonda. Lisaks saab amet juurde veel ühe valdkonna - järelevalve.

Kriitilise informatsiooni infrastruktuuri kaitse osakond (KIIK) hindab nö suurt pilti, kui hästi on riigis infosüsteemid turvatud ja koostab selle kohta riskianalüüse. Eestis vastutab iga elutähtsa teenuse pakkuja ise enda süsteemi turvalisuse eest. KIIK pakub süsteemide omanikele nõu, kuidas riske hinnata ja annab soovitusi, kuidas olulisi teenuseid kaitsta.

CERT Eesti (Computer Emergency Response Team) tegeleb Eesti arvutivõrkudes toimuvate juhtumitega. Osakonnalt saab abi, kui Eesti veebilehti või teenuseid rünnatakse või vastupidi, kui ülevõetud Eesti arvutid levitavad pahavara. Ametiks muutumisega saab CERT muu hulgas juurde võimekuse uurida pahavara koodi tasemel. Koodiaudit näitab, mille jaoks konkreetne viirus on loodud - kas ta saadab spämmi, varastab kasutaja andmeid või ründab teisi veebilehti.

Ameti täiesti uus funktsioon on järelevalve, seda nii elutähtsate teenuste turvalisuse kui uute infosüsteemide loomise üle. RIA hakkab kontrollima, et riigi ja erasektori elutähtsad infosüsteemid oleksid turvaliselt üles ehitatud ja hoitud.

[tola555]

loodame, et põhirõhk ei jää olemasolevate lahenduste turvalisuse kallal nokkimisele (ISKE laadne BS) vaid e-riigi arendamisse panustamisele. Praegu tundub, et igaüks leiutab omaette jalgratast riigi raha eest aga tervikut ei ole. Ma muidugi ei väida, et kõik peaks eesti.ee-sse toppima aga keegi võiks omada rohkem ülevaadet kui RIHA-s ja juhendada-soovitusi jagada asutustele. RIHA.sse jõuavad asjad kui pauk juba käinud aga kas keegi paralleelselt sama jalgratast teeb, seda ei tea keegi

[illukas]

kustmaalt läheb elutähtis infosüsteem.
Kas tõesti antakse RIA-le õigus kontrollida näiteks pankade infosüsteeme, kuidas käib kontrollimine, saadetakse mingi lontrus kontorisse kes siis nõuab serveritesse sisenemis võimalust või lastakse mingi bot võrgu kallale?

Tegelegu pigem id kaardi ja digiretsepti korraliku toimetamisega mitte ärgu pistku oma nina erasektorisse

[upper]

liiga suure kiirusega läheneme" vabale maailmale".

[tola555]

[illukas]

Just, tegelegu oma asjade normaalselt töötle panemisega, mitte erasektori kottimisega.
Vahepeal mõtlesin ja tekkis rida küsimusi, mis sõltuvad just sellest kui palju ja mis ulatuses neil sõnaõigus on.
Eesti energia
Mobiilside operaatorid
Pangad

*Kas saadetakse tõesti tont kontorisse ja nõutakse võrku sisenemise õigusi
*Tekitatakse kunstlik rünne
*Ärisaladuste hoidmise/edasimüümise/kaaperdamise küsimus ja garantii
*Juriidiliselt õigused kontrollida erasektori firmasid
*Kes paneb paika piirid kustmaalt on rakendus turvaline. Kui amet ütleb, et näe sul on port lahti kas siis peab tõesti pordi kinni panema

Pudru ja kapsad tõotab see asi tulla. Ma ei kujuta ette, et pankadesse lastakse mingi suvaline onu süsteemide kallale näppima...
Kui ei anta mingeid õigusi siis võib firma ajada mis iganes pläma sellele vaesele ametnikule, seega mis on point? Milleks?
Ma saan aru, et mõte on inspireeritud sellest emt hiljutisest jamast, kuid sedasi me selliseid olukordi küll ära ei hoia...
Erasektor on reeglina niiehknaa rohkem motiveeritud oma reakendusi ja servereid kaitsma (firma kasum ja raha taga), nüüd tekitatakse mingi osakond kes hakkab niiöelda "vett hämama" ja erafirmasid pooma ja käskima.
Riigi suhtumine näha- pole oma raha teeme nii kuidas heaks arvame, peaasi, et kuidagigi töötab (ee domeen, id kaardi rahaline pool, digiretsepti igakuised kulud jne jne jne). Krt tehku oma asjad korda.
Pindu teise silmis näeb, kuid palki (tervet metsa) oma silmis ei näe.

[upper]

no valimised ukse ees,otsustage

[voyager_est]

Rahunege palun maha! Mitte keegi ei tule HVF kasutajanimesid välja nõudma,
ega teie kodulehti puistama. Erasektori rakenduste kontrollimise all on silmas
peetud seda juhtu, et kui eraettevõte osutab halduslepingu alusel mõnda
riiklikku teenust. Näiteks ID-Kaart ja Sertifitseerimiskeskus, OMX Tallinna
Väärtpaberibörs ja Eesti Väärtpaberikskus, Krediidiinfo jne.

On ju selge, et selliste IT-süsteemide üle peab riigil kontroll ja teadine olema,
et kõik on korras ja mingit hävingu ohtu ei ole, või kui on, siis ainult minimaalne.

[Desmond5]

Uudise pealkirja lugedes juba oli aimata et siit hakkab selles stiilis möla tulema jälle, et riik teeb kõike nii kehvasti ja miski ei toimi jne. Kui kisada stiilis, et "tulumaksu maksta ei taha, pensionit tahame kõrgemat" ilma, et pakuks välja alternatiive, mida teha paremini siis tühjaks kisaks see ainult jääbki.

Reaalsuses täidab X-tee väga hästi oma eesmärki. Et klientrakenduste WSDL-id on tihtipeale paras supp, noh ja siis ? Ma ei tea ühtegi süsteemi kus seetõttu WSDL kasutamata oleks jäänud (ükskõik mis tehnoloogias). Teenuste valideeruvusega on jah amazing kui palju probleeme (ka X-tee enda omapärasuste tõttu) aga see pole küll midagi kaelamurdvat kompetentsetele arendajatele.

Keegi eespool mainis, et X-tee teenused by default on aeglased. Millega võrreldes aeglased ? Ega X-tee ei pane teenuse kiirust paika (turvaserver ei ole mingi pudelikael) vaid infra, millel teenus paikneb. Ning avalikus sektoris teenuse infra määrab üldjuhul tema otstarve. Näiteks Äriregister peab olema relatiivselt kiire teenus ning väga töökindel (ja seda ta ka on), samas jälle E-toimik tootepere puhul kiirus erilist rolli ei mängi (küll aga töökindlus).

Mingit pudru ja kaspast avaliku sektori IT projektide vahel ma ei näe - ministeeriumite vahel on sellest valdkonnas hea koostöö.

Ja ISKE on täiesti vajaminev klassifikaator. Paljud klientsüsteemid on integreeritud EL suurprojektidega, kus turvalisus on oioioi kui oluline.

[illukas]

[tola555]