6 Isiklik turvaaudit
Peatükk annab ülevaate
- kuidas viia läbi kodune turvaaudit.
Definitsioon: turvaaudit
Turvaaudit on süsteemi ja toimingute sõltumatu läbivaatus ja uurimine (AKIT).
Küberturvalisuse auditi tegemisega seotud amet ettevõttes
Igas ettevõttel on vaja tagada, et teenused oleksid kliendile turvalised, aga ka seda, et töötajatel oleks turvaline oma tööd teha. Selleks tuleb appi infoturbejuht, kelle ülesanne on tagada, et ettevõttes oleks kokku lepitud infoturbe reeglid ja neid ka järgitakse. Kui sellist ametit ettevõttes pole, siis kannab seda rolli IT-juht. Kui ka IT-juhti ei ole, siis tegeleb sellega organisatsiooni juht või omanik.
Amet: infoturbejuht (Start-IT)
Infoturbejuhi peamised tööülesanded on
- infoturbe poliitika välja töötamine ja rakendamise jälgimine,
- infoturbe dokumentide, standardite ja tööprotsesside välja töötamine ja rakendamise jälgimine,
- infosüsteemide turvainstrumentide kasutuselevõtu koordineerimine,
- infosüsteemide riskide analüüs, sh regulaarsete turvarevisjonide läbiviimine,
- arendustegevused turbeintsidentide ärahoidmiseks,
- juhtide jt võtmeisikute teadlikkuse tõstmine turvariskidest, sh vajadusel nende koolitamine,
- koostöö korraldamine valdkondlike järelevalveorganisatsioonidega.
Tema töö tulemusena on infoturbepoliitika edukalt rakendatud, infoturberiskid kaardistatud ja informatsioonisüsteemid maksimaalselt turvalised, st et turbeintsidente ei esine või on nende arv viidud võimaliku miinimumini.
Ametinimetusena on kasutusel ka turbenõustaja, turbeanalüütik, turbetöötaja, turbespetsialist, turbetehnik, turbeinsener, turbehaldur, turbeaudiitor, turbeekspert, turbe vanemaudiitor.
Kodune turvaaudit
Üheks turvalisuse oluliseks osaks on märkamine, milline on meie ümbrus, mida teeme ja kuidas käitume ning millised on või võivad olla erineva tegevuse tagajärjed. Palju on räägitud, et internetis ei või teha seda ja teist ning ka piltide tegemisel tuleb küsida luba, kuid väga ei ole räägitud sellest, kuidas meil kodudes tegelikult tehnika kasutamine toimub – mida üksteisele kergekäeliselt jagatakse ning kuidas halvasti konfigureeritud WiFi-ruuter võib külla meelitada kutsumata külalisi.
Kuula saadet Huvitaja alates 27 minutist. Birgy Lorenz tutvustab teemat “Kodune Turvaadit“.
Ülesanne tunnis:
- Tunnis turvaauditi läbiviimiseks avage allolev fail ja vastake 25 küsimusele enda kohta.
- Kõige lõpus kirjeldage 5 sammu, mida pead tegema, et saada turvalisemaks.
- Mõtle ka sellele, et kui sa käid keskkondades, kus on sulle palju võõraid või kui sul on huvi tutvuda internetis inimestega, kas see käitumine võib saada ohuks sinu andmetele ja tehnikale.
FAIL: isiklik_turvaaudit
………………………………………………….
Kuidas viia läbi turvaauditit kodutööna (pikem analüüs, edasijõudnutele):
Ülesanne 1: Esiteks, et hakata kodus turvaauditit läbi viima, tuleks tegeleda loetlemisega ehk tuleks paberile kirjutada, millised digitaalsed seadmed meie majas ja meie pereliikmetel on ja kuidas need seadmed internetis käivad. Siia loetellu kuuluvad tava- ja nutitelefonid, arvutid nagu süle- ja tahvelarvuti, nutiteleviisor, mängukonsool, veebikaamera, turvakaamera, võrguseadmed sh WiFi seade ja kõik muud vidinad, millel võib olla ligipääs internetti. Näiteks on kellelgi kodus Kartozi jänes, mõned robootikavidinad, kellelgi teisel võib olla aga beebimonitor, server, nutikell või nutifotoaparaat või näiteks on terve maja muudetud targaks ja üle veebi saab juhtida nii toasoojust, vee ja elektri kasutust.
Näide: kodused seadmed ja keskkonnad (kaardistus)
Isa seadmed on lauaarvuti ja Samsungi nutitelefon, konto pangas, Gmailis, Twitteris ning Signalis. Lisaks teeb isa kaugtööd kasutades sisselogimiseks VPN ja ID-kaarti. Autot tangib ta läbi rakenduse Tangi ja pargib läbi rakenduse Pargi ning teed juhatab Waze. Isal on ka Garmini spordi-nutikell. Ema seadmed on tahvelarvuti ja Apple nutitelefon ja Apple nutikell. Emal on konto pangas, erinevates sotsiaalmeediates (FB, Whatsapp, Youtube, blogid, Pinterest) ja Skype-is. Oste teeb ta läbi rakenduse Shein ja toitu tellib läbi Wolti. Kui on vaja, siis kasutab ta ka Bolti erinevaid võimalusi (takso või auto rent). Noorimale lapsele on loodud konto Animal Jam, Club Penguin, Lego ja teistes keskkondades. Noorema lapse toas on üleval ka beebimonitor. Vanemal õel on nutitelefon, kooli poolt antud sülearvuti ning tahvelarvuti. Keskkondi, mida vanem õde kasutab on palju (Instagram, TikTok, Twitter, Snapchat, Whatsapp, Ask.fm jne), lisaks on tal veel kooli poolt määratud hulk kohustuslikke e-keskkondi, millesse on ta samamoodi konto teinud läbi koolis kasutatava Microsoft Office 365 lahenduse (ekool, Opiq, TeBo, E-koolikott, Foxcademy, mida ta kasutab läbi Smart-ID), kontodega on tehtud Skype, Flickr, Kahhoot, Quizziz, Learningapps, Padlet ja 10Monkeys. Koolist koju sõiduks kasutab vanem õde vahel ka Tuule tõukeratta renti. Keskmise lapsel on nutitelefon. Tema kasutab kooli asjadeks Eduten PlayGroundi, kuid on teinud omale konto ka Snapchatti, et klassikaaslastega suhelda. Selleks ta küsis ema luba ja ema andis. Konto on tehtud vale vanusega. Keskmisel lapsel on ka oma Lego robotikomplekt, mida ta saab oma nutiseadmest juhtida.
Kuid see pole veel kõik! Majas veel olevad seadmed: uks avaneb läbi rakenduse Glue (võtmeid keegi kaasas ei kanna, uks avatakse nutiseadmega); uksekella lahendus on Ring, millega saab näha, kes on ukse taga ja temaga rääkida läbi kõlari; autovärav avaneb lahendusega Connexoon; kaamerad ümber aia filmivad ka natuke tänavat. Maja küttesüsteem ja päikesepaneelid on internetis läbi Honeywell rakenduse. Interneti ja TV-teenust pakub Telia (WiFi-router, swich, digibox), mobiiliteenuseid pakuvad pere liikmetele ka Tele2 ja Elisa.
Ülesanne 2: Teiseks tuleks kirjeldada ära pereliikmete digitaalsed oskused ja harjumused. Näiteks isale meeldib internetis mänge mängida ja vahel tõmbab ta alla ka muusikat ja filme. Arvutit tunneb ta keskmiselt, aga satub tihti hätta ning peab abi küsima, mida ta väga teha ei taha. Ema enamasti käib oma sülearvutiga pangas ja teeb tööasju. Tehnikat kasutab ta samamoodi kesktasemel, nii kuidas tööjuures projektijuhil vaja. Ema arvuti ja nutiseadmega mängib väike õde ka nutimänge, kasutades ema sotsiaalmeediakontosid. Vanem õde on suur arvutihuviline ja seepärast on tal oma sülearvuti, mida ta kasutab oma toas. Keskmisel lapsel on luba kasutada tahvelarvutit, aga ainult elutoas. Kooli- või tööasjade tegemiseks kasutab pere ühte ja sama elutoa jagatavat arvutit, kuid kõikidel on arvutisse logimiseks oma konto. Samas on vennal ka nutiseade, mida ta kasutab õhtuti oma toas. Kodus olev WiFi on paroolivaba, sest elatakse maapiirkonnas metsa sees ja keegi enamasti sinna ei satu. Lisaks on kodu juhitud üle interneti – saab seadistada kaameraid (nii toas kui väljas) ja näha, kui palju on maja katusel olevad elektripaneelid elektrit tootnud.
Ülesanne 3: Paku välja kolm asja, mida saaks teie pere teha turvalisemalt. Lisaks tasub mõelda, millised juhtumid on tõenäolisemad ning milliste probleemide ilmnemisest võib kõige enam kahju tulla.
Näide: turvaaudit (pere harjumused ja soovitused)
- ISA suurimaks riskiks on see, et kui ta tõmbab internetist faile alla (näiteks läbi failivahetuse Torrent). Nii võib ta esiteks rikkuda seadust (autorikaitse, piraatlus) ja kaasa saada soovimatud viirused ning muud pahalased. Kindlasti peaks olema arvutis peal viirusetõrje ja tulemüüri programm. Samuti peaks arvutid olema tarkvaraliselt uuendatud, muidu on pahalased kiiresti platsis. Mõistlik on need programmid panna peale kõikidele pere arvutitele ja nutiseadmetele.
- EMA suurimaks ohuks on see, et kuna ta kasutab nutiseadet ja arvutit koos pere väikseima lapsega, siis võib juhtuda, et pesamuna teeb seadmetega midagi sellist, mis toob ema mainele kahju – näiteks võib ta sotsiaalmeedias teistele hakata kirjutama erinevaid tähti, millest keegi aru ei saa ning mängides mänge hakatakse neid jagama ema teistele sõpradele, mis võib tihti viia selleni, et mõni tuttav lihtsalt blokeerib sellise „spämmari“ ära. Lisaks on probleem ka selles, et kui samade seadmetega tehakse ka pangaülekandeid või muid rahalisi operatsioone, siis vale klõpsutamine võib ka seal midagi vussi keerata. Mõistlik oleks oma nutiseadmeid lapse kätte mängimiseks mitte anda või siis vähemalt iga kord kas kõikidest keskkondadest välja logida või teha ka nutiseadmele teine „lapse konto“.
- VANEMA ÕE suurimaks mureks võib pidada tema oskused tehnikat kasutada, millest võib tekkida liigne enesekindlus. Tõenäoline on ka see, et kuna pere teised liikmed võivad olla veidi hooletud oma tehnikaga, siis saab tema lihtsalt kellegi teise rumalusest pihta. Seega targa õe ülesandeks võiks saada nii koduse tehnika kontroll kui ka oma pereliikmete harimine, mida võiks teha ja mida mitte.
- KESKMINE LAPS tegutseb seadmetega küll elutoas, aga õhtuti on tal lubatud kontrollimatu tegevus oma toas nutiseadmega, mis võib viia selleni, et öösel mängitakse telefoniga mänge või jutustatakse klassikaaslastega. Samuti on ohuks ka see, et kui kaua sedasi väikest ekraani vaadata, siis rikutakse ära nii oma silmad kui selg, seega tuleks kindlasti läbi rääkida reeglid – kaua on mõistlik nutiseadet kasutada ning millal on magamise aeg.
- MAJA üldine suurim mure on aga see, et WiFi võrk on turvamata ning uued targa maja digiteenused võivad kergekäeliselt olla ligipääsetavad ka teistele, mis sest, et elatakse metsa sees. Seega tegelikult tuleks alustada sellest, et igale teenusele tuleks seada parool ning vajadusel info liikumine lasta ka krüpteerida.
Slaidid õpetajale (näidis):
Lisalugemiseks
- Häid mõtteid turvaauditi tegemiseks saad gümnaasiumi küberkaitse kursuselt.