Teadlane: Eesti e-riigi kui süsteemi ründekindlust ei tahetagi mõõta
E-riik on väga keerukas ja paljudest erinevat tüüpi komponentidest koosnev infosüsteem. Iga komponent kogu süsteemis võib olla vigane, mida näitas ka mullune ID-kaardi kriis. Paraku ei taheta Eesti e-riigi süsteemi ega ka komponentide ründekindlust mõõta, leiab TTÜ professor Ahto Buldas.
Oletame, et maja ehitatakse tugevusarvutusteta. Kui ta veel pärast valmimist püsti püsib, tugevdatakse seda lisakonstruktsioonide abil. Kuid vaevalt keegi sellises majas elada julgeks. Sama on iga vähegi keerulisema infosüsteemiga, näiteks e-riigis ID-kaardi lahendusega: sellised infosüsteemid tuleb samuti ehitada kohe ründekindlana. Paraku pole praegused Eesti kui e-riigi infosüsteemid ehitatud teaduslikust maailmavaatest lähtuva inseneri teadmisega, leiab Tallinna Tehnikaülikooli infoturbe professor Ahto Buldas.
Buldas rääkis riigikogus toimunud teaduspoliitika konverentsil, et tänapäeva infotöötlussüsteemid koostatakse mitut tüüpi komponentidest. Need komponendid võivad olla riistvara, süsteemne tarkvara, võrk, infrastruktuur, kuid ka ruumid või süsteemihalduse protokollid.
Kõik need komponendid on omakorda keerulised. Infosüsteemide tootmisahelad on korraga nii pikad kui ka laiad ja ka suurtootjad ei suuda ise neid komponente teha. Seetõttu ostetakse need sisse. Ka Eesti kui e-riik ostab.
"On põhjust uskuda, et enamus süsteemi komponente on vigased," lausus Buldas. Need vead võivad olla tootmispraak või kulumine, kuid vead võivad olla ka tahtlikult tekitatud.
Buldase ülesanne ongi olnud töökindla süsteemi ehitamine vigaste komponentidega süsteemidest.
Ta selgitas, et ründekindluse tagamine nõuab tavaliselt ka krüptograafia kasutamist. Samas puudub tänini kindel standard ründekindluse tagamiseks, mistõttu kaasataksegi teadlasi.
Buldas väitis, et ei ole võimalik luua töö- ja ründekindlaid süsteeme, mis vastaksid standardile. Vaid tööstuse tõelised tipud, nagu Amazon, Google jt teevad tõhusat koostööd ülikoolide ja teadusasutustega, vaid nemad kaasavad oma igapäevatöösse tippteadlasi. Samas enamikul ettevõtetest, kes meile ka infosüsteemide komponente toodavad, ei tee selles osas teadlastega koostööd.
Nii ei osata töö- ja ründekindlaid süsteeme luua, kuid ei osata ka mõõta nende ründekindlust, märkis professor.
Teades, et meie infosüsteemid koosnevad sisseostetud komponentidest ning olles teadlik ka nendes olevatest vigadest, on arusaamatu, miks ei kontrollita ja mõõdeta nende komponentide ründekindlust piisavalt, arutles Buldas.
Ka parimad sertifitseerimisettevõtted ei suuda tagada komponentide ründekindlust, märkis Buldas. Näiteid selle kohta pole vaja otsida kaugemalt kui meie möödunud aastal lahvatanud ID-kaardi kriisist.
"Infosüsteemide komponentide ostjad peaksid olema suutelised kontrollima komponente, et nad saaksid vastutada nende süsteemide eest. Veelgi kurvem on see, et süsteemide ründekindlust ei tahetagi kontrollida, vaid usaldatakse sertifitseerijate lubatut," rääkis Buldas.
Ehkki Eestis jälgib RIA krüptograafiliste komponentide ründekindlust, siis pole leidnud vastukaja idee, et ründekindlust peaks ka reaalselt mõõtma, ütles Buldas.
Ta tõi välja, et Eesti e-riigil on väga lai funktsionaalsus, kuid meil puudub riskide mõõtmine.
Buldas küsis oma ettekandes, miks ei tee riik koostööd ülikoolidega, kus krüptograafiaalased pädevad teadmised on olnud olemas juba 1990ndate keskpaigast. Ta leiab, et põhjus võib peituda kolmes aspektis:
- arvatakse, et standardiseerimine ja sertifitseerimine on piisav ründekindluse tagamiseks;
- Eesti teadlasi ei peeta pädevaks;
- arvatakse, et akadeemiline võrdub teoreetiline ja ebapädev.
Eesti e-riigi kui süsteemi ründekindlust ei mõõdeta, sedastas Buldas ning lisas, et komponentide turvalisust kontrollitakse vaid Infosüsteemide turvameetmete süsteemi ehk ISKE raportiga. Ehkki ISKE-t kui meetodit pidevalt uuendatakse, on see kasutusse jõudes alati vananenud.
Buldase sõnul aga peaks komponentide ja infosüsteemide ründekindlust mõõtma ning ning selleks oleks vaja riigil teha koostööd just teadlastega.
Ahto Buldas pidas ettekande "E-riigi alustehnoloogiad turvalise kaitsjana" teaduspoliitika konverentsil "Kuidas teadus kaitseb Eestit?"
Riigi Infosüsteemi Ameti küberturvalisuse teenistuse juhi Uku Särekanno vastus Ahto Buldase ettekandele
Nii riik kui ka IT ettevõtted ja arendajad püüavad järgida kõikide e-riigi lahenduste puhul parimat praktikat ning standardit. Selle juurde kuulub kindlasti ka turvalisuse mõõtmine – IT-süsteeme testimine ning võimalike turvaaukude otsimine.
E-riigi arhitektuur on piisavalt keeruline ning kohati aegunud, vigu leitakse ja parandatakse jooksvalt. Lisaks erinevatele tehnilistele probleemidele, tuleb tänapäeval järjest rohkem arvestada ka keeruliste infosüsteemide puhul tarneahelast tekkivate probleemidega ja erinevate rist- ning piiriüleste sõltuvustega.
Kuna Eesti riik ja selle elanikud sõltuvad väga suurel määral toimivatest IT-lahendustest ja teenustest, siis seda olulisem on panustada nende turvalisemaks muutmisesse.
Infosüsteemide ehitamine turvaliselt (Security by dessign) on midagi, mida ka uus küberturvalisuse strateegia seab oluliseks eesmärgiks. Tee sinna on pikk ja keeruline, sest Eesti valitsussüsteem on detsentraliseeritud ning meil on siiski kasutuses väga suur hulk vanu platvorme.
Eesmärk on liikuda üle riigis uuematele ning turvalisematele platvormidele, see nõuab aega ning investeeringuid. Oluline on sealjuures see, et iga teenuseosutaja ise tajuks turvalisuse eest vastutust. Näiteks RIAs on loodud turvaarhitektide ametikohad e-riigi põhiteenuste – elektroonilise identiteedi valdkonna ning X-tee juurde. Seda mudelit soovitame ka teistele riigi IT majadele.
RIA intsidentide lahendamise osakond (CERT-EE) monitoorib ööpäevaringselt riigi võrgus olevaid seadmeid ning veebilehti, et tuvastada võimalikke nõrkusi. Oleme pakkunud läbivusteste oma erasektori partneritele ning kaasunud neid erinevatesse rahvusvahelistesse võrgustikesse (nt ENISA), et teadlikkus tehnoloogiaga seotud turvanõrkustest jõuaks meieni esimesel võimalusel. Lisaks ostame sisse nii ohuindikaatorite loetelusid kui ka krüptograafia uuringuid, mille järelmeid vahendame edasi nii riigi kui erasektori asutustele.
Ükski riskianalüüs, test või muu ennetusmeede, ei välista intsidenti, need toimuvad ja tihti on neil ka teenuse osutamist mõjutavad tagajärjed. Et need tagajärjed oleksid võimalikult väikesed ja teenuste osutamise tase võimalikult kiirelt taastatav, selleks korraldab RIA nii rahvusvahelisi kui ka siseriiklike kriisi(küber)õppusi, kus mängitakse läbi kriisi lahendamise protseduurid ja harjutatakse teenuse osutamise taseme võimalikult kiiret taastamist.
Süsteemide arendamisel on väga oluline kõiki neid riske arvestada ehk siis juba eos teha teadlikke valikuid. Oleme soovitanud süsteemi pidajatel planeerida arenduste eelarvesse ka süsteemide testimise jaoks ettenähtud summa – hinnangul võiksid testimised kuuluda süsteemi turvalisuse tagavate meetmete standardpaketti.