Mõtted kuidas taltsutada kasutajat

 Pea iga IT süsteemi lahutamatu osa on kasutaja, sest kelle jaoks see süsteem ikka töötab. Laias laastus on tõsi, et ükskõik, mis turvameetmed on süsteemis paika pandud, suudab piisavalt laisk ja liedlik kasutaja nende positiivse mõju nullida. Kõrvalepõikena võib ka mainida, et mingil määral kehtib sama idee ebapädevate küberturbe tiimide kohta, kus üks võimalik rünakuvektor on küberturbetiim niivõrd ära ehmatada, et nad teevad iseenda infrastruktuurile DoS rünnaku. Selline kogemus tuleb asjaolust, et olen osalenud umbes tosina küberturbeharjutuse korraldamisel ning vahe tiimide vahel, kes suudavad stressirohketes olukordades rahulikuks jääda ja nende vahel, kes ei suuda on nagu öö ja päev. Aga nüüd tagasi tavakasutajate juurde. Vaadates Mitnicki valemit soovin esitada mõned mõtted tegelemaks kasutajate negatiivse mõju vähendamiseks süsteemide turvalisuses.

Esimese poolena võtan ette organisatoorse poole, mis hõlmab nii koolitust, kui ka reegleid(policy või ettevõtte sisene poliitika). Koolitus on esmajärgus oluline puht sellepärast, et kasutajad ei tekitaks turvaprobleeme pelgalt teadmatusest. Teisalt võimaldab koolituste tegemine ka läbi mängida standardolukordi ning vähendada organisatsiooni liikme/töötaja stressitaset sarnast olukorda kohates, mis viib jällegi paremate tulemusteni. Koolitust ja reegleid on siinkohal hea käsitleda koos sellepärast, et reeglid määravad rohkemal määral töötaja/lõppkasutaja käitumist olukordades, mis erinevad oluliselt standardist. Reeglite rakendamine vähendab ühle või teisel viisil paratamatult ettevõtte või organisatsiooni efektiivsust oma tuumikmissiooni täitmisel, muutes sageli näiteks kommunikatsiooniahelad kohmakamaks. Näiteks, kui ilma selge reeglistruktuurita saab küsimustele vastused otse ja kiiresti(võtame analoogiks UDP), muudab reeglite lisamine kahe inimese infovahetuse kolme või nelja isikut hõlmavaks protsessiks(TCP, kus on mitu "käepigistust juures"). Viimane oluline asi, mis on silma jäänud on reeglite järgmise koolituste ja reaalse elu vahe. Kui koolitusel on eesmärk täita kõik püstitatud eesmärgid, näiteks probleemide raporteerimine, siis päris elus lisanud eesmärkide hulka ka oma töökoha ja maine säilitamine, mis mõnede juhtimisstiilide korral viib erineva käitumiseni, koolitusel õpitust, töötaja poolt. Selle illustreerimiseks on minu arvates alati hea näide Jaapani autotootja Toyota tehase süsteem, mis on aasta-aastasse viinud toote parema kvaliteedini. Nimelt kehtib nendes tehastes paradigma, kus igal liinitöötajal on õigus terve liin seisma panna, elimineerimaks tuvastatud süstemaatilist viga. Kontrastiks USA autotehastes nähekse seda, kui mõttetut kulu järgmise kvartali aruannetes ning see väljendub sageli autode madalamas kvaliteedis. Ühesõnaga peab koolitusel õpitud reeglite järgimist ka soosima ettevõtte/organisatsiooni kultuur, ning tõrgete raporteerimine ei tohi turvalisuse/protsessi kvaliteedi säilitamise huvides saada karistatud vaid pigem kiidetud.

Tehnoloogia poole pealt soovin püstitada hüpoteesi, et väga range turvasüsteemide implementeerimine tehnoloogia tasemel toob endaga sageli kaasa soovitust vastupidise efekti. Nimelt olen oma töö käigus näinud, et kui turvalahendus, näiteks kaheastmelise autentimise, on kohmakas ning pikendab teenusesse sisselogimise aega rohkem, kui umbes 10 sekundit, siis loob kasutaja väga leidlikke meetodeid, kuidas nedest süsteemidest mööda pääseda. Olen klientide juures näinud, kuidas dokumente, millele turvakaalutlustel õigesti autentimata kasutajal ligipääsu pole, jagatakse suhtlusrakenduste kaudu või, kui töölauaaplikatsiooni ei saa kasutada ilma turvasedeteta, mitemfaktorilise autentimise parooligeneraator pannakse paroolihaldurisse samas arvutis, mis on küll parem, kui mitte midagi, kuid endiselt hävitab mitmefaktorilise autentimise mõtte. Kokkuvõtteks, kui tehnoloogia poole pealt on väga suur fookus rakenduste enda tööpõhimõtete turvamine ja igasuguste ärakasutatavate tõrgete eemaldamine, on teine ja mingil viisil võrdelt oluline aspekt see, et turvameetmete implementeerimine, ei segaks igapäevaseid toiminguid nii palju, et kasutajad neid lihtsalt ei rakenda. See on küllaltki keeruline tasakaaluharjutus.

Lõpetuseks leain, et iga Mitnicki valemi osa on küberturbe seisukohast oluline, kuid ehk noriks veidi väite osas, et kui ühe elemendi rskitase on null, siis on kogu süsteem justkui turvaline. Vähemalt koolituse ja reeglite osad on sellised, et puudulik lahendus nende osas suudab ikkagi terve süsteemi maha võtta, tinigtuna sellest, et iga süsteem mis on kasutatav on ka kasutaja poolt rünnatav.

Kasutatud materjalid:
See nädal eriti ei ole, kogu arutelu on pigem töö ja koolielu käigus läbi töötatud olukordadest.

Toyota näide heast kanbani implementatsioonist: https://kanbanize.com/blog/stop-the-line/ 

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Retsensioon Wikist "Kaugtööks kasutatavad tehnoloogilised vahendid"

 Üldmulje kirjatööst on hea - teema on ajakohane, teksti on hea lugeda ning mitte teemasse varem süvenenuna on ka killud kasulikku uut informatsiooni. Selline ongi hea Wiki artikli funktsioon: Informatsioon ilma draama ja sensatsioonideta. Lähemalt iga töö aspekti kohta järgnevates lõikudes: Maht ja käsitluse põhjalikkus: Täheldan, et töö maht on reeglites sätestatust veidi madalam, sest viie töös osaleja kohta on ca. 9 A4 lehte sisu(ilma sisukorra ja viideteta, kuid sisaldades vormingut). Ei saa selles osas samas üleliia kriitiline olla, sest ka enda grupis oli mahu ja liikmete suhe enam-vähem sama ning lihtsalt niisama mulli ajada, et maht täis saada ei ole ka mõistlik, kui kõik on öeldud, siis on ka artikli lõpp. Kõige vajaliku katmisest rääkides, täheldasin, et artiklit lugedes oli iga järgmine teema vastamas minu küsimustele stiilis: "Nii, see teema on olemas, aga kus see järgmine on?". Seega teemade katmise osas õnnestus justkui hästi ja kurta ei saa. Nüüd mahu juurde n
Lisateave

Ennetav või reaktiivne riskihaldus: Kumb? Miks? Millal?

 Igas piisava keerukusega süsteemis võivad tekkida teenust takistavad intsidendid(sh. küberrünnakud). Hetkel on IT maailmas suurem fookus just ennetava riskihalduse juurutamisel(rohkelt konsultatsioonifirmasid pakuvad teenuseid selliste protsesside juurutamises tarkvaraarenduse, küberturbe ja teenuse käideldavuse valdkondades.). Teine lähenemine on ilmselt veelgi ilmselgem, ja on tuntud kui reaktiivne intsidendihaldus, mis sisuliselt toimib kujul: Kui juhtub, siis lahendame. Kõigest kohe lähemalt. Alustuseks võiks käsitleda, miks ennetavat riskihaldust niivõrd palju reklaamitakse. Loomulikult tuleb välja tuua, et on päris hea, kui rünnakut või muud intsidenti ei juhtu üldse(kasutan riski ja intsidendihalduse terminoloogiat segamini, sest need on väga sarnased), kuid sellise relatiivse turvalisusega kaasnevad teatavad kulud. Kulud ei pea tingimata olema ka rahalised(kuigi sageli on ja lõpuks jõuab kõik sinna välja). Muud ennetava riskihaldusega seotud kulud on näiteks vajaminev testimis
Lisateave

Arutelu ebakindlatest ärimudelitest IT maailmas

Tarkvara arendamise rahastamiseks on mitmeid häid, dogmaatilisi, traditsioonilisi ja üldiselt toimivaid meetodeid. Sellenädalases kirjutises soovin minna teist teed. Miks vaadata igavaid ammu testitud lahendusi, kui saab arutleda mõne kahtlasema ärimudeli üle, ning leida, mis otstarbeks need head on. Esmalt vaatame annetustepõhist mudelit, mis on huvitav, sest selline mudel on tavaliselt heategevusorganisatsioonide pärusmaa, ning millegi arendamiseks see just kõige parem ei ole. Kursuse lähtematerjalis on selle kategooria näitena tooud välja Patreon, mille niiviisi liigitamise osas pean natuke vaidlema. Nimelt ei teeni Patreon, kui organisatsioon raha otse annetuste pealt, vaid teeb seda kaudselt, annetusi vahendades. Samuti ei ole platvormil "annetmaine" just vabatahtlik, sest mingi väärtuse selat saamiseks tuleb rohkem, kui mitte siiski ka rahakotirauad avada. Patreoni puhul on siiski tegu kõige rohkem ärivaralise vähemalt kaudselt annetuste peal töötava platvormiga, ehkki
Lisateave