Mis on andmeturve? (0)

Mis on  andmeturve ? 
 
Andmeturve  on  äärmiselt  lai  mõiste,  mille  erinevate  tahkudega  puutuvad  kõik  arvutikasutajad 
tihti  kokku,  isegi  kui  nad  seda  otseselt  endale  ei  teadvusta.  Oleme  tuttavad  kasutajanimede  ja 
paroolidega,  kui  oma  tööjaama  sisse  logime,  kuid   andmekaitse   tähendab   enamat   kui  vaid 
failidele juurdepääsu piiramist ja kettakasutuslimiite — see mõiste hõlmab ka  viiruseid . õigemini 
nende vastu võitlemist, varundamist. võrguserverite kaitset ja mitmeid muid. 
Infotehnoloogiat  kasutades  mõtleme  enamasti  ainult  arvutitele,  kuid  andmekaitse  mõiste  jääb 
bittidest  ja  baitidest  kõrgemale  (kuigi  ka  neil  on  kindlasti  oma  osa),   kattes   ka  füüsilisi  ja 
organisatsioonilisi meetmeid. Kõige parematest paroolikaitsesüsteemidest pole midagi kasu, kui 
parool   ise  võrdub  kasutajanimega.  tvle  võime  serveri  ette  panna  võimsa  tulemüüri,  kuid  selle 
efekt  muutub  nulliks,  kui  igaüks  võib  asutuse  uksest  sisse  astudes  serveri  kaenlasse  võtta  ja 
lihtsalt  minema  jalutada.  Selliseid  küsimusi  ei  saa  jätta  ainult  arvutimeeste  lahendada  — 
andmekaitse on  valdkond . kus on oma roll täita nii juhtkonnal, süsteemiadministraatoritel kui ka 
tavakasutajatel, kes  arvutitega  oma igapäevatöös kokku puutuvad.  
 
Arvutisüsteemi  varad  
Infoühiskond  ja  sinna  suundumine  ei  ole  tänapäeval  arvatavasti  kellelegi  enam  uudiseks. 
Infoühiskonna  üheks  põhitunnuseks  on,  et  materiaalsete  ressursside  kõrval  (näiteks  maa  ja 
kinnisvara)  omandavad  üha  suuremat  tähtsust  ja  väärtust  inforessursid  -  andmed  ja 
informatsioon. Firmade töö muutub sellega seoses märgatavalt, õigemini võib väita, et Eestis ja 
lääneriikides on muutus suuremas osas juba toimunud - suuremas osas asutustest näeb töö välja 
üsna ühtemoodi. Olgu tegu tarkvarafirma, panga või ministeeriumiga, inimeste töö neis seisneb 
ühtviisi  arvutiekraanil  olevate   andmetega   opereerimises  ja  nende  põhjal  otsuste  vastuvõtmises 
(kuigi andmed, millega töötatakse, võivad loomulikult olla vägagi erinevad). Ka loomingulisema 
tegevuse  puhul  kasutatakse  üha  rohkem  arvuteid  ning  siingi  tekib  andmeid,  infot  ja  faile,  mida 
oleks vaja kaitsta. 
Töö  käigus  loodud  ja  kasutatavate  andmete  kõrval  väärivad  kindlasti  märkimist  muud  löös 
kasutatavad   ressursid ,  näiteks   tarkvara   (sealhulgas  operatsioonisüsteem  ja   rakendustarkvara )  ja 
riistvara   ( arvutid ,  serverid,  võrgu-   seadmed ).  Kõiki  neid  kolme  võib  vaadelda  koos 
arvutisüsteemi  varadena,  millel  on  oma  spetsiifika  võrreldes  muude  varadega,  ning  millele 
omaniku ja kasutaja seisukohalt esitatakse kolm peamist nõuet. 
Varadele esitatavad nõuded 
Varad peavad olema käideldavad (ingl. k. availability). See tähendab, et varadele peab volifatud 
kasutajatel  olema  juurdepääs  ettenähtud  ajal  ja  tingimustel.  Kasutajate  all  mõeldakse  siin  peale 
inimeste  ka  muid  antud  organisatsioonis  leiduvaid  üksusi,  millel  on  vajadus  mõnd  ressurssi 
kasutada.  Näiteks  võib  ette  kujutada  veebiserverit,  mis  perioodiliselt  andmebaasiserverist 
andmeid loeb ja veebi- külastajale kuvab.  Veebiserver  on siin kasutaja, kellele andmebaasiserver 
ja selles leiduvad andmed peavad olema käideldavad. 
Käideldavus  tähendab   muuhulgas ,  et  turvasüsteemid  ise  ei  tohi  volitatud  kasutajale  varadele 
juurdepääsuks  liigseid  takistusi  teha,  samas  kui  volitamata  (lubamatutel)  kasutajatele  peab 
juurdepääs  endiselt  keelatud  olema.  Teatavasti  on  iga  süsteemi  omadused   kompromiss   kolmest 
komponendist :  funktsioonide  arv,  kasutusmugavus  ja  turvalisus.  Kõiki  kolme  korraga 
maksimumi   viia  ei  õnnestu,  Oks  tuleb  enamasti  teise  arvelt.  Kui  rõhume  liigselt  turvalisusele, 
kannatab kasutamismugavus, mis halvimal juhul võib ka turvalisusele endale saatuslikuks saada. 
Kui  näiteks  nõuda   kasutajalt   20  märgi  pikkuste  paroolide  mõtlemist  ja  kasutamist  ( kusjuures  
pooled  neist  peavad  olema  kirjavahemärgid  ning  ükski  märk  ei  tohi  korduda),  siis  ei  suuda 
kasutaja sellist monstrumit korraga meelde jätta ning kinnitab ta paberitükile kirjutatuna kuvari 
külge.  Kui  ründaja  satub  antud  kontorisse,  ei  ole  tal  enam  mingit  tarvidust 
paroolimurdmistarkvara  pruukida  -  aga  just  sellise  tarkvara  tõö  raskendamiseks  olid  algsed 
pikkusenõuded  kehtestatud.  Kuigi  viimase  aja  suund  tarkvaraarenduses  paistab  üldiselt  olevat 
funktsioonide  ja  kasutamismugavuse  laiendamisele  turvalisuse  arvelt,  ei  maksa  siiski  ka 
turvalisusaspekti päriselt tähelepanuta jätta. 
Teine arvutivõrgu varadele esitatav nõue on terviklusnõue (integrity).  Lühidalt tähendab see,  et 
varasid   peavad  saama  muuta,  lisada  või   kustutada   ainult  selleks  igal  juhul  eraldi  volitatud 
kasutajad.  Jällegi  on  tegemist  suhteliselt  laia  mõistega,  mis  hõlmab  muuhulgas  nii  riistvara 
paigaldamist,  tarkvarapakettide  konfiguratsiooni   muutmist   kui  ka  andmefailide  ja  dokumentide 
kaitset volitamata muutuste eest. 
Viimane  nõuetest,   konfidentsiaalsus   (con-  fidentiality)  tähendab,  et  andmeid  peavad  saama 
lugeda  ainult  volitatud  asjaosalised.  Konfidentsiaalsus  on  üldiselt  turbeaspekt,  millele 
tavakasutajate  seas  kõige  enam  tähelepanu  pööratakse,  kuna  ta  tundub  kõige  põnevam  olevat, 
hõlmates  igasugu  «vigureid»,  näiteks  failide  krüpteerimine,  « peitmine »  jms.  Võib  aga  väita,  et 
liigselt  ei  maksa  konfidentsiaalsusele  näiteks  käideldavuse  arvelt  tähelepanu  pöörata,  kuna 
andmete  hävimine  toob  enamasti  kontori  tööle  kaugelt  rohkem  kahju  kui  ühe  dokumendi 
«lekkimine». Mis kasu on krüpteeritud failidest, kui varukoopiad on tegemata ning nad kettavea 
tõttu hävivad? 
Arvutisüsteemide ohud 
Põhimõtteliselt on ohustatud kõik arvutisüsteemi varad - andmed, tarkvara ja riistvara. Erinevate 
ründajate  tähelepanu  on  suunatud  erinevatele  süsteemi  komponentidele,  ning  selle  pilguga 
tulekski hinnata, millised ohud süsteemi kõige rohkem ähvardavad. Madalama klassi ründajat ei 
huvita   sugugi   arvutitesse  salvestatud  andmed  -  tema  näeb  arvutites  tarbeelektroonikat  samaselt 
telerile, mille saab kahtlasele edasimüüjale kasudega maha müüa. 
Arvutustehnika üheks eripäraks on tema portatiivsus - pole sugugi  haruldane , et väike,  taskusse  
mahtuv  seade  võib  maksta  mitukümmend   tuhat   krooni.  See  muudab  kõrgtehnoloogiaga 
varustatud  kontorid  varastele  eriti  atraktiivseks  ning  sellega  tasub  kontori  sisustamisel  ja 
projekteerimisel  ka  arvestada.  Pole  mõtet  vargavastastelt  süsteemidelt  kokku  hoida.  Samas  ei 
pruugi kallis riistvara sugugi olla arvutisüsteemi väärtuslikem osa - enamasti on selleks andmed, 
mis tekkinud inimtöö käigus. Andmeid on raske hinnata. Andmete hävimine põhjustab enamasti 
palju suuremat kahju kui riistvara või tarkvarapakettide puhul, sest kui tarkvara ja riistvara saab 
alati uuesti osta ja paigaldada, siis andmeid pole niisama lihtsalt võimalik uuesti tekitada (juhul 
muidugi, kui pole tehtud korralikke varukoopiaid - varundamisest tuleb allpool veel  juttu ). 
Kõiki arvutisüsteemi komponente ohustavad nelja põhitüüpi ohud. 
Halvang  (interruption)  on  mõne  vara  kasutuskõlbmatuks  muutumine  või  hävimine.  Riistvara 
puhul  võib  selle  põhjuseks  olla  nt.  vargus  või   riknemine ,  tarkvara  puhul  aga  andmete 
kustutamine  või  hävimine  andmekandja  vea  tõttu.  Andmepüük  (interception)  on  andmete 
lugemine  või  pealtkuulamine  volitamata  kasutajate  poolt.  Süsteemi  poolt  vaadatuna  võib 
andmepuüki  käsitleda  andmelekkena,  kus  lekivad  konfidentsiaalsed  andmed.  Modifitseerimine 
(modification)  on  varades  volitamata  muudatuste  tegemine  (riistvara  puhul  näiteks 
konfiguratsiooni  lubamatu  muutmine),  võltsimine  (fabrication)  tähendab  muuhulgas  varade 
lisamist, sõnumite taasesitust vääras kontekstis ja sõnumi  saatmise  salgamist. 
Ohtude allikad 
Kõigi  kirjeldatud  ohtude  allikad  jaotuvad  lähtekoha  järgi  stiihilisteks  ja  ründekavatsusli-  keks. 
Stiihilise  ohu  puhul  pole  ohtu  põhjustava  sündmuse  põhieesmärk  arvutisüsteemi  varasid 
ohustada,  vaid  see  on  mõne  muu  sündmuse  «kõrvaltoime».  Siiski  ei  maksa  stiihilisi  ohte 
alahinnata, kuna just need on väikestes asutustes põhilise kahju  tekitajad . Vaevalt hakkab keegi 
korraldama   suurejoonelist  rün-  deoperatsiooni  serverisse,  kuhu  on  salvestatud  andmed,  mis 
väljaspool  antud  asutust  suurt  huvi  ei  paku.  Kõvaketas  võib  aga  rikneda  sõltumata  arvutist  ja 
organisatsioonist, kuhu ta paigaldatud on. 
Niisiis   liigituvad  stiihiliste  ohtude  alla  riist-  varatõrked  ja  neist  tulenevad  andmekaod.  Ka 
riistvaratõrgetel  võib  olla  mitu  põhjust.  Tänapäeval  juhtub  harva,  et  seade  iseenesest  välise 
põhjuseta  rikneb.  Küll  aga  võib  see  juhtuda  väliste  häirete  mõjul,  millest  levinumad  on 
voolutõuked elektrivõrgus ja äikeselõõgid, mis võivad tabada nii elektri- kui telefoniliine, samuti 
tuleb  ette  üleujutusi  ja  tulekahjusid.  Ka  inimeksitused  on  stiihilised  ohud  -  inimese  eesmärk  ei 
pruugi  olla  andmeid  hävitada,  kuid  näpuviga  käsurea  parameetrite  sisestamisel  võib  kustutada 
aastatepikkuse  töö   viljad .  Stiihilised  ohud  on  ka  kasutajast  sõltumatud  võr-  gukatkestused,  mis 
tänapäeva  andmesidest  sõltuvas  maailmas  üha  häirivamaks  saavad  ja  mõnel  juhul  ka  reaalset 
kahju  põhjustavad  -  võime  seista  küsimuse  ees,  kust  peaks  alustama?  Kas  ehk  osta  võimas 
tulemüür, et end Internetist tulevate rünnete eest kaitsta, või hoopis  uuem   server  koos korraliku 
varundus -  süsteemiga,  et  andmed  jätkuvalt  säiliksid?  Või  hoopis  korraldada  töötajatele 
koolitusseminar, et neid  turbe  alal harida? 
Poliitika ja põhimõtted 
Kõik  ülalnimetatud  sammud  on  mõistlikud,  kuid  praktikas  peaks  neile  eelnema  aluspõhimõtete 
paika   panemine ,  mida  tuntakse  ka  organisatsiooni  turvapoliitika  nime  all.  Turvapoliitika  on 
infovaradega  tegeleva  asutuse  töös  üks  keskseid  dokumente,  millest  lähtub  edaspidine  tegevus. 
Alati ei peagi poliitika olema väljendatud paksu ehiskirjas üriku näol, nagu nimest võiks arvata; 
pigem on tegu lihtsate põhimõtetega, mida igaüks mõista ja järgida suudab. 
« Andmeturbe   infotehnoloogilised  meetodid»  (vt.  lõpust  «Viited»)  fikseerib  turvapoliitika 
elementidena järgmised  asjaolud : 
• 
Andmeturbe  motivatsioon  
• 
Ettevõtte töö sõltuvus andmetöötlusest 
• 
Häiringute  tagajärjed  näiteks  jääb  sooritamata  oluline  tehing,  kuna  andmebaasiserver 
polnud hetkel kättesaadav. 
Ründekavatsuslike  ohtude  puhul  on  ründaja  peamiseks  eesmärgiks  konfidentsiaalsetele 
andmetele lubamatult ligi pääseda või asutuse tööd varade hävitamisega häirida. Paneme tähele, 
et  ründaja  ja  rünnaku  mõiste  iseenesest  ei  eelda,  et  kumbki  peaks   tulema   väljastpoolt  antud 
organisatsiooni. Tõepoolest, väikeste asutuste puhul ei seisne oht varadele niivõrd häkkerites või 
konkureerivates  asutustes,  kuivõrd  just  oma  firma  töötajates  ja  muudes  isikutes,  kellel  on 
ressurssidele juurdepääs. Oht võimendub, kui inimesed on ala- motiveeritud ja seega altid väliste 
mõjutuste ajel ebaausateks tegudeks. 
Nagu  näha,  on  stiihiliste  ja  ründekavatsuslike  ohtude   iseloomud   erinevad,  millest  tulenevad  ka 
kaitsevahendite  eripärad.  Samas  on  olemas  universaalseid  vahendeid  (nt.  varun-  damine),  mis 
efektiivselt aitavad mõlema ohu- liigi vastu võidelda. 
Millest alustada 
Organisatsioonis  on  arvutisüsteemi  varad,  mida  on  vaja  kaitsta  ohtude  eest,  lähtudes 
ülalkirjeldatud nõuetest. Selle tõdemuse järel 
• 
Tõsisemate häiringute tagajärjed 
• 
Teatava  turvataseme vajadus riskide minimeerimiseks 
• 
Nõutav turvatase 
• 
Tegevuse üldised turvanõuded 
• 
Asjassepuutuvad seadused 
• 
Aastased lubatavad kahjusummad 
• 
Mitmesuguste tarbijate nõuded informatsioonile 
• 
Personali hea psühhosotsiaalse ja füüsilise töökeskkonna tarve 
• 
Vastutus 
• 
Juhtkonna vastutus 
• 
Operatiivne vastutus tegevusharude järgi 
• 
Koordineerimine  
• 
Andmeturbe  alane  töö 
• 
Turvaanalüüsid 
• 
Tegevusplaanid 
• 
Täitmise kontroll 
• 
Väljaõpe ja teadistus 
• 
Eelarve 
Ülaltoodut  võib  pidada  maksimumprogrammiks,  mida  igas  organisatsioonis  ei  ole  alati 
otstarbekas järgida. Kui paljut sellest kasutada, sõltub antud asutuse eesmärkidest,  vajadustest  ja 
võimalustest.  Kindlasti   tasuks   tähelepanu  pöörata  motivatsioonile  ning  esimene  samm  poliitika 
koostamisel   olekski   hinnata,  kui  olulist  rolli  arvutisüsteemi  varad  ja  infovarad  antud  asutuses 
mängivad  -  aga  nagu  ülal  näidatud,  võib  eeldada  selle  rolli  ajas  kasvamist.  Seega  tuleks 
hetkeolukorra  fikseerimise  kõrval  pöörata  tähelepanu  tulevikule  ja  poliitika  edasisele 
arendamisele,  et  võimaluste  kasvades  ka  organisatsioonis  kasutatavad  andmekaitsevahendid 
«järgi jõuaksid». 
Sellega   seondub   vastutus  andmeturbeala-  se  tegevuse  eest  -  poliitika  arendamise  kõrval  ka 
konkreetsetele  situatsioonidele   reageerimise   osas.  Tasub  toonitada,  et  kuigi  andmeturbe  alal  on 
võtmerollis  IT   osakond   vöi  arvutisüsteemide  toimimise  eest   vastutav   isik,  ei  tasu  andmeturvet 
kindlasti ainult infotehnoloogide hooleks jätta. Esiteks mõjutab süsteemi  toimimine  kogu asutuse 
tööd   tervikuna   ning  just  juhtkond  peaks  huvi  tundma  andmekait-  sealase  tegevuse  vastu  (kuigi 
IT-osakond  võib  loomulikult  tegeleda  konkreetsete   mehhanismide   ja  vahendite  juurutamisega). 
Teiseks  nõuavad  turbealased  ümberkorraldused  kohati  muudatusi  kogu  asutuse  töös,  mille 
tegemiseks IT-osakonnal  volitused  puuduvad. Näiteks saab juhtkonna käskkirjaga 
paha  omada   soovitusi   eelmistelt  töökohtadelt  ning  veidi  vestelda   eelmiste   tööandjatega,  et 
inimese usaldatavusele kinnitust saada. Ka kõigi teiste puhul tuleb silmas pidada, et tehnilised ja 
ametialased  oskused ei ole ainukesed kriteeriumid, mille järgi töötajat hinnata; nende kõrval on 
oluline  ka  usaldatavus,   eetilisus   ja  asutuse  missiooni  mõistmine  ning  soov  selle  elluviimisele 
kaasa aidata, muuhulgas ka turvanõudeid järgides. 
Andmete  osas  tuleb  anda  hinnang  töös  kasutatavate   infovarade   vajalikele  turvalisus-  nõuetele. 
Mõnel 
juhul 
osutub 
otstarbekaks 
andmete 
klassifitseerimine 
näiteks 
konfident- 
siaalsusgruppidesse  -  osa  andmetest  peab  jääma  varjatuks,  kuid  teiste  puhul,  vastupidi,  on 
oluline,  et  neid  saaks  nt.  veebi  kaudu  kasutada  kogu  maailm  või  asutuse  töötajatest  laiem 
kasutajaskond.  Samuti  võib  juhul,  kui  andmete  puhul  on  oluline  nende   terviklus   või 
kättesaadavus, kasutada vastavat jaotust. 
Järgmiseks  sammuks  (mis  võib  ka  turvanõuete  kehtestamisele  eelneda)  oleks  arvutisüsteemi 
varade  registri koostamine, mis hõlmab nii arvuteid endid, lisaseadmeid  kui ka  andmekandjaid . 
Infovaradest  kuuluvad  siia  erinevat  tüüpi  infokogumid,  mis  asutuse  käsutuses  on  ja  mille 
kasutust  oleks  tarvis  reguleerida.  Näiteks  arvutite  puhul  tuleks  kindlasti  fik-  kehtestada 
käitumisreegleid  töötajatele,  mis  on  kõigile  (sealhulgas  ka  juhtidele  endile)  kohustuslikud, 
käsitledes näiteks konfidentsiaalsete materjalide kasutamise reegleid. 
Varad ja inimesed 
Kui on selgeks tehtud, et asutuse töös on arvutisüsteemi varad elulise tähtsusega, oleks järgmine 
samm  tööprotsessis  osalevate  infovarade  ja  inimeste  defineerimine.  Personali  osas  tuleb  panna 
paika  inimeste  kohustused  ja  volitused  turvanõuete   tagamisel   ning  tundliku  infoga 
ümberkäimisel, sellega seoses ka koostada turvaeeskirjad ja neid inimestele tutvustada. Kindlasti 
ei  tohiks  turvaeeskirjad  olla  liiga  keerulised  ja  ülepaisutatud,  kuna  praktika  näitab,  et  liiga 
keerulisi  eeskirju  hakatakse  paratamatult  ignoreerima.  Tuleb  ka  jälgida,  et  volitused  kuuluksid 
tõesti  ainult  neile,  kellele  ette  nähtud,  ja  et  oleks  efektiivselt  võimalik  volitusi  tühistada  (nt. 
vallandamise korral inimese kasutajakonto sulgeda). 
Kõrgendatud  turvalisusnõuetega  keskkonnas  võib  olla  vajalik  töötajate  usaldatavuse  kontroll  ja 
analüüs.  Seda  tuleks  rakendada  ka  uute  inimeste  töölevõtul,  eriti  võtmeisikute,  nt. 
süsteemiadministraatori  puhul  -  siin  ei  teeks  seerida  nende  ostu-,  garantii-  ja  hooldelepin-  gute 
tingimused  ning  komponentide  seerianumbrid,  lisaks  isik,  kes  vastutab  arvuti   korrektse  
toimimise eest ja turvaülema nimi, kui selline ametikoht on asutuses loodud. Samuti on arvutite 
puhul võimalik  fikseerida  kasutatavate lisaseadmete tüübid, konfiguratsioon ja võrguparameetrid 
(mis  tuleks  registreerida  iga  võrku  ühendatud  seadme  kohta).  Tegelikult  oleks  loogiline,  et 
selline  eeltöö   tehtaks   ära  juba  kaugelt  enne  turvavajaduse  teadvustamist  -  et  ülalkirjeldatud 
andmed oleksid olemas alates arvutivõrgu ja arvutite kasutuselevõtu hetkest. Kui aga neid siiani 
pole kasutatud, on turvanõete kehtestamine hea põhjus infovarade registri loomiseks. 
Arvutisüsteemi  varade   register   on  kasulik  mitmel  põhjusel.  Nagu  ülal  kirjeldatud,  tasub  sinna 
muuhulgas lisada ka konfiguratsiooni- info, et konfiguratsiooni oleks võimalik vajadusel taastada 
(selleks  võib  vajadus  tekkida  kõige  erinevamatel  ja  ootamatutel  põhjustel)  Samuti  on  kallimad 
arvutitarvikud  tänapäeval  varustatud  seerianumbritega,  mis  hõlbustab  varguste  avastamist,  kui 
need  näiteks  varguse  korral  (seadmed  varastati,  kuid  säilis  register  seerianumbritega)  mõnda 
avalikku  uudisegruppi  postitada.  Sama   kanal   võiks  töötada  ka  teises  suunas  -  kui  pakutakse 
müüa  kahtlast  kraami,  tasub  järgi  küsida,  kas   kellelgi   ei  ole  midagi  sarnast   hiljuti   «kaduma» 
läinud.  On  teada  juhtumeid,  kus  selline  avalikke   kanaleid   kasutav  suhtlus  on  viinud  tegelike 
varguste avastamiseni. 
Andmekandjad , andmed ja tarkvara 
Ka  andmekandjad  (CD-d,  disketid,  magnetoptilised   kettad ,  striimerilindid  jms.)  ja  asutuses 
kasutusel olevad tarkvarapaketid tasub registreerida ja need andmed kõigile avalikult nt. asutuse 
intranetis  või  muu  üldkasutatava  kanali  kaudu  kättesaadavaks  teha.  Esiteks  on  selline  info 
kasulik, kui tekib ootamatult vajadus mõne andmekandja järgi - siis saab registri põhjal kiiresti 
leida vaba ressursi. Teiseks käib tarkvarapakettidega kaasas ka lit- sentsiinfo, mis alati ei pruugi 
olla eraldi hologrammidega paberi näol, vaid võib ka  asuda  kunagi meiliga saabunud failis. Sama 
kehtib ka  pakettide  endi kohta, mis võivad poest  ostmise  asemel olla pärit Internetist, kusjuures 
täiesti  legaalselt.  Aeg-ajalt  aga  osutub  vajalikuks   programme   mõnda  masinasse  (uuesti) 
paigaldada, sel juhul on vajalikud nii paigaldusfailid kui ka litsentsiinfo. 
tumata  nende  konfidentsiaalsusastmest.  Sellist  olukorda  on  ka  võimalik  erivahendeid  kasutades 
(nt.  andmete  krüpteerimine)  vältida,  kuid  mängu  tulevad  majanduslikud  ja  opti- 
maalsuskaalutlused - kas on alati otstarbekas kõike viimseni peita, eriti süsteemiadministraatori 
eest,  kes  peaks  olema  äärmiselt  usaldatav  ja  kõrge  eetilisustasemega?  Ja  nagu  ülal  toonitatud, 
võib  liigne  turvalisuse  rõhutamine  teised  funktsionaalsusnõuded,  näiteks  käideldavuse  ohtu 
seada. Kui kõik andmed krüpteeritakse kolmekordsete paroolidega, mida teab vaid üks inimene, 
kes aga ühe  parooli  unustab, võib juhtuda, et andmed on jäädavalt kättesaamatud. 
Andmekaitse praktika 
Kui   hetkeolukord   on  üle  vaadatud  ja  turvapoliitika  põhimõtted  ning  tulevikusihid  paigas,  võib 
asuda  oma  arvutisüsteemi  varasid  ülalkirjeldatud  ohtude  eest  kindlustama.  Mõned  tegevused, 
nagu  näiteks  varade  registri  koostamine,  on  juba  käsitletud,  kuid  registri  näol  on  tegu  siiski 
passiivse kaitsemehhanismiga, mis otseselt varasid rünnaku ja ohtude vastu ei kindlusta - selleks 
on vajalikud turvaees- kirjad ja vahendid nende järgimiseks. 
Litsentsiinfo  kindlas  kohas  hoidmine  on  kasulik  ka  piraatlusevastast  võitlust  silmas  pidades. 
Nimelt  võib  lähiaastatel  oodata  piraatlusavastase  tegevuse  hoogustumist,  kusjuures  vastavad 
organisatsioonid   on  avalikult  kuulutanud,  et  esmajoones  ollakse  huvitatud  äri-  ja 
valitsussektorist.  Kasutatavate  pakettide  litsentsiinfoga  hoolikalt  ümber  käimine  aitab 
tulevikuprobleeme vältida (eeldades, et tarkvara legaalsel teel  hangitud  on, mida aga iga endast 
lugupidav asutus järgima peaks). Sellega seoses tuleb määrata tarkvara legaalsuse eest vastutav 
isik,  kelleks  on  enamasti  IT-juht  või  süsteemiadministraator,  nende  puudumisel  aga 
arvutisüsteemide tõö eest vastutav isik. 
Nagu ülal kirjeldatud, tuleb üle vaadata ja klassifitseerida ka asutuse töõs kasutatavad ja  tekkivad  
infovarad  ning  neile  esitatavad  nõuded.  Kui  nende  hulgas  leidub  konfidentsiaalseid  andmeid, 
tuleb  reguleerida  nende  kasutamise,  tekkimise  ja  säilitamise  kord  ning  volitatud  isikute 
juurdepääsuõigused ja kohustused. Konfidentsiaalsete andmete puhul on tihti küsimus selles, et 
juurdepääsu  neile  omab  volitatud  isikute  kõrval  ka  süsteemiadministraator,  kes  neid  oma  töös 
otseselt ei kasuta, kuid kellel on tehnilistel kaalutlustel juurdepääs kõigile süsteemi ressurssidele. 
Alljärgnevad alapeatükid käsitlevadki mitmesuguseid andmekaitse ja infoturbe praktilisi aspekte. 
Tasub  toonitada,  et  siintoodut  ei  saa  kindlasti  pidada  ammendavaks  materjaliks,  millest 
igapäevatöös  lähtuda,  niisiis  tasub   asjast   huvitatutel  tutvuda  lisamaterjalidega.  Mõned  viited  on 
toodud lõpus. 
Kohtvõrgu  turve  ja  klient -server mudel 
Tihti 
räägitakse 
eraldi 
füüsilistest, 
organisatsioonilistest 
ja 
infotehnoloogilistest 
turvamehhanismidest,  kuid  kohtvõrgu  projekteerimisel  ja  arendamisel  on  otstarbekas  arvesse 
võtta  kõiki  kolme  korraga,  kuna  üks  dikteerib  teise  -  füüsiline   paigutus   peaks  lähtuma 
kasutatavast ülesehitusmudelist, kasutus aga sõltub võrgu füüsilisest ehitusest, seega on oluline, 
et  juba  projekteerimisfaasis  tulevasi  kasutajaid  arvestatakse,  sest  ümberehitus  on  kallim  ja 
tülikam kui algusest peale korraliku projekti järgimine. 
Kohtvõrgu  projekteerimisel  tekkida  võivad  põhiküsimused  on,  kas  kasutada  võrdõigus-  võrgu 
( peer -to-peer)  või   klient -serveri  mudelit,  ja  millist  kaabeldustüüpi  kasutada  ( koaksiaal / 
keerupaar). 
Võrgu tüüp 
Väikeses  asutuses  paistavad  asjaolud  esialgu  rääkivat  võrdõigusvõrgu  kasuks,  kuna  arvutipark 
koosneb  peamiselt  tööjaamadest  ja  serveri  järgi  otsest  vajadust  pole.  Kasutusel  võib  küll  olla 
veebiserver,  kuid  tihti  asuvad  veebiteenusega  seotud  materjalid  hoopis   teenusepakkuja  
virtuaalserveris ning toimetatakse sinna üle Interneti, niisiis ei paista serveri järgi otsest vajadust 
olevat. 
Siiski tasuks alati kaaluda serverarvuti paigaldamist, ja seda mitmel põhjusel. Iga asutuse töös on 
peale  igaühe  isiklikus  kasutuses  oleva  info  (nt.  tarkvara,  millega  töötatakse)  ka  teatud 
ühiskasutuses olevad andmed, millele on vaja juurdepääsu kõigil, ning kohe tekib küsimus, kus 
selliseid  andmeid  hoida.  Lihtne  lähenemine  on  ühes  tööjaamas  määrata  kindlaks  ühiskasutuses 
olev  kataloog  ning  sellele  omakorda  juurdepääsuõigused  kasutajate  ja  tööjaamade  kaupa  -  sel 
puhul asubki nimetatud tööjaam sisuliselt failiserveri funktsioone täitma. 
Siiski peaks failide (ja vajadusel ka muude teenuste, nt. veebi, intraneti,  meili  jms.)  serveerimine  
olema  serveri  põhifunktsioon,  mitte  lisaülesanne  tööjaamaks  olemise  kõrvalt.  Tööjaama 
kasutajatele  on  enda  arvuti  üle  mõeldud  operatsioonisüsteemides  on  tunduvalt  rohkem 
tähelepanu  pööratud  failide  turvalisusele  ja  juurdepääsuõigustele  eri  kasutajate/gruppide  lõikes, 
muuhulgas on võimalik ka hiljem täpsemalt tuvastada failidega sooritatud tehingute aegu. 
Siiski  ei  pea  ülalkirjeldatud  server   kujutama   endast  seitsme  luku  ja  raudukse  taga  asuvat 
püssimeeste  poolt  valvatud  superarvutit.  Tänapäeval  on  mõeldav  ka  võimalus,  et  serverarvuti 
peal tõepoolest ka tööd tehakse ning ta näeb välja täpselt nagu tavaarvuti - ka tänapäeva arvutite 
jõudlusest   piisab   enamasti  nii  ekraani  taga  asuva  kasutaja  kui  võrguühenduste   teenindamiseks . 
Siiski peab sellisel juhul hoolega jälgima, et töötava kasutaja õigused ei ületaks tema volitusi, ka 
ei  maksa  serverarvutil  kasutada  liialt  ressursinõudlikke  või  veaohtlikke  programme.  Kohati 
kasutatakse  vastava  tarkvara   olemasolul   ka  võimalust,  et  kogu  töö  toimubki  serveris,  s.h. 
rakendusprogrammide  käivitamine,  ning  üle  võrgu  liigub  ainult  pilt,  kasutaja   hiire -  ja 
klaviatuuriva-   jutused ,  nii  et  tööjaamad  on  pigem   terminalid   kui  iseseisvad  arvutid.  Sellistes 
situatsioonides  on  tunduvalt  lihtsam  korraldada  nt.  tarkvara  paigaldamist  (seda  on  vaja  teha 
ainult  serveris,  mitte  kõigis  tööjaamades),  kuid  mil-  enamasti  antud  fäielik  kontroll,  ja  see 
tähendab,  et  konfidentsiaalsete  andmete  tööjaamas  hoidmise  korral  saab  neile  ligi  ka  antud 
tööjaama taga töötav isik, kelle volituste hulka see alati kuuluda ei pruugi. Teiseks on serverile 
juurdepääs  enamasti  piiratum,  mis  lähendab,  et  andmete  lekkimiseks,  aga  ka  tahtmatuks 
kustutamiseks  (nt.  arvuti  hangumise  tõttu)  on  vähem  võimalusi  -  kasutajad  kipuvad 
tööjaamadega otsekui nende töökindluse testimiseks teinekord kõige müstilisemaid eksperimente 
korraldama  ning  kui  tööjaam,  milles  faile  hoitakse,  programmivea  tõttu  hangub,  tähendab  see 
paremal juhul lihtsail töökatkestust, halvemal juhul aga kogu töö hävimist, kuna andmed võisid 
nt.  asuda  arvuti  puhvermälus,  kust  neid  ei  olnud  jõutud  veel  kettale  kirjutada.  Eraldiseisva 
serveri puhul on selliste vahejuhtumile tõenäosus tunduvalt väiksem. 
Serveris  asuvate  andmete  puhul  on  võimalik  ka  organiseerida  varundamist,  mis  tööjaamade 
vahel   hajutatud   andmefe  puhul  tunduvalt  keerulisem  on.  Lisaks  käivitatakse  serveris 
rakendusprogramme  tunduvalt  harvemini,  mis  vähendab  viiruste  poolt  tekitatava  kahju 
tõenäosust.  Serverile  on  juurdepääs  enamasti  piiratud,  mis  tähendab,  et  ka  andmete  lekkimise 
tõenäosus  on  väiksem.  Serverile  list  lähenemist  täpselt  kasutada,  sõltub  konkreetse  asutuse 
võimalustest ja vajadustest. 
Kaabeldus 
Tihti küsitakse, kas kasutada kontoris koaksiaal- või keerupaarvõrku. Hind räägib veidi esimese 
kasuks,  samas  on  käideldavuse  vaatenurgast  mõttekam  kasutada  teist.  Nimelf  toimib 
koaksiaalvõrk  ühtse  segmendi-  na  ning  mõne  võrgusõlme  rikke  korral  (nt.  kaabliprobleemid. 
kuna  keegi  astus  kaablile  peale)  on  häiritud  kogu  võrgu  tõö.  Keerupaar-  võrgu  puhul  on  iga 
ühendus jaoturist (hub) tööjaama või serverini vaadeldav eraldi seg- mendina, mis töötab teistest 
suhteliselt  sõltumatult  -  rike  ühes  teiste  tööd  ei  häiri.   Keeru -  paatvõrku  on  mõnevõrra  lihtsam 
laiendada  -  piisab  jaoturi  ja  tööjaama  vahelisest  lisakaab-  list.  Koaksiaalvörgu  puhul  on 
vörgusegmendi maksimaalne pikkus piiratud ning selle ületamisel on jällegi häiritud kogu võrgu 
töö. 
Serveri füüsiline turve 
Serveri  üheks  tunnuseks  on  talle  piiratud  juurdepääs  ning  seda  peaks  serveri  paigutamisel  ka 
arvestama. Kui tegu ei ole tööjaamana  kasutatava  serverina, võiks serverile füüsiline ligipääs olla 
ainult  süsteemiadministraatoril  või  tema  ülesandeid  täitval  isikul.  Kui  juurdepääsu  ei  vajata, 
võiks  server  olla  piiratud  juurdepääsuga  alal,  näiteks  eraldi  serveriruumis  või  selle  puudumisel 
lukustatavas  serveri-  kapis,  et  teadmatud  kasutajad  nt.  voolu  väljalülitamisega  kahju  tekitada  ei 
saaks. 
Server ei vaja kaitset ainult inimeste, vaid ka inimestest sõltumatute asjaolude eest. Nendeks on 
muuhulgas  tule-  ja  veeõnnetused,  mis  nii  serverile  kui  muule  tehnikale  palju  kahju  võivad 
tekitada.  Uputuste  vältimiseks  tuleks  server  paigutada  veetorudeta  ruumi  või  kui  see  ei  ole 
võimalik, siis tihti torustiku seisukorda kontrollida (meie laiuskraadidel on  uputuse  tõenäolisem 
põhjus lõhkenud toru kui  hiidlaine  või orkaan).  Tuleohutuse  tagamiseks võiks tehnika läheduses 
kehtida  suitsetamise  keeld,  hooletute  töötajate  puhul  ka  söömise  ja  joomise  keeld.  Kui  kohv 
satub  klaviatuurile,  tähendab  see   klaviatuuri   väljavahetust,  kui  aga  kuvari  kõrgepingesüsteemi, 
on tulemused ettearvamatud. 
Ohuallikad on ka elektri- ja telefoniliinid. Kindlasti peaks olulisi andmeid säilitav server olema 
kaitstud  puhvertoiteallikaga  (UPS),  mis  voolu  silub  ja  tagab  mõne  aja  vältel  toite  ka 
voolukatkestuse korral. Kui serverisse on mo- 
Juurdepääsu reguleerimine 
Juurdepääsu reguleerimise all mõeldakse ressursside volitamatu kasutamise takistamist 
- 
ressurssideks  võivad  siinkohal  olla  nii  riistvara  ja  asutuse  ruumid  kui  ka  failide  ja 
väljatrüki kujul esitatud andmed. 
Juurdepääs ruumidele, dokumentidele ja tehnikale 
Kindlasti tuleb reguleerida asutuse ruumide kasutamise kord ja piirata neile juurdepääs (võtmed, 
magnetkaardid)  -  enamasti  ei  vaja  sellised  abinõud  eraldi  turbepoliitikat,  vaid  on 
iseenesestmõistetavad  ka  siis,  kui  andmeturbe  vajadus  veel  teadvustamata.  Siinjuures  tasub 
toonitada,  et  tihti  ei  osata  ohtu  kõrvalistes  asjaoludes  näha.  Näiteks  on  enamasti  koristajal 
mõistetavatel  põhjustel  igale  poole  füüsiline  juurdepääs  olemas,  sellega  seoses  ka  juurdepääs 
näiteks  dokumentide  väljatrükkidele,  mis  hooletult  lauanurgale  jäetud.  Töötajatele  tuleb 
selgitada,  et  väljatrükile/koopiale  kehtivad  samad  konfidentsiaalsusnõuded  mis  dokumendi 
originaaleksemplarile  või  algfailile,  ning  pärast  kasutamist  tuleb  konfidentsiaalsed  materjalid 
hävitada. Seejuures ei saa hävitamiseks pidada lihtsalt prügikorvi heitmist, kust igaüks väljatrüki 
üles  korjata  ja  ära  viia   demi   kaudu  ühendatud  telefoniliin,  peaks  ka  see  puhvertoiteallika  või 
äikesekaitse  läbima,  sest  liini  tabanud  äikeselõögl  tagajärjel  mustaks  põlenud  modem  ja  arvuti 
sisemus ei kuulu kahjuks sugugi fantastika valdkonda, vaid on paljude kurb kogemus. 
Arvutustehnika  on  määratud  töötama  kindlates  temperatuuri-  ja  õhuniiskusevahemi-  kes,  mis 
näidatakse  ära  iga  seadme  kasutusjuhendis.  Enamasti  on  tegu  umbkaudsete  vahemikega,  mille 
piire  testima ei tasu hakata. Eraldatud serveriruumi korral, kus on väikeses ruumis palju tehnikat, 
tuleks kaaluda konditsioneeri ostmist, kuna arvutustehnikast eraldub soojust, mis väikese ruumi 
suhteliselt  kuumaks  suudab  kütta  ning  tehnikale  halvasti  mõjuda  võib.  Samuti  ei  tasu  serverit 
paigutada rõskete seinadega keldrikorrusele, kus õhuniiskus liialt suur. Kui serveriruum puudub, 
võib serveri ülesandeid täitev arvuti asuda inimestega samas ruumis, näiteks eraldatud kapis (kus 
aga  tuleb  samuti  õhuliikumine  vastavate  avadega  tagada).  Sellisel  juhul  pole  eraldi 
kliimasüsteemi  vaja,  kui  tõotajad  ise  seda  ei  nõua  -  üldjuhul  kehtib  reegel,  et  kui inimesed  end 
ise  mugavalt   tunnevad  (temperatuur ja õhuniiskus on sobivad), ei ole ka tehnikale ohtu  karta . 
võib, ilma et seda märgataks, vaid vajalik on eriseadmete kasutamine. 
Juurdepääs andmetele, paroolkaitse 
Sisselogimisel ja andmekaitses üldse kasutatakse juurdepääsuõiguste piiramiseks tihti paroole ja 
kasutajakontosid. 
Serverites 
seonduvad 
nendega 
kasutajate 
ja 
kasutaja- 
gruppide 
juurdepääsuõigused  erinevatele  failidele  ja  kataloogidele.  Kasutajakonto  idee  iseenesest  peaks 
kõigile mõistetav olema, kuid paroolidega seotud turvalisusnõuete vastu kiputakse kahjuks tihti 
eksima , mistõttu võiks olulisemaid nõudeid  veelkord  rõhutada. 
Parooli  pikkuseks  soovitavad erinevad allikad vähemalt 6-8 märki, kusjuures parool ei tohi olla 
kasutajanimega seonduv ega kergelt ära arvatav. Kui lasta kasutajatel parool ise valida, tekib oht, 
et  sisestatakse  lihtne  sõna,  mis  on  kergesti  meeldejääv  -  see  võib  aga  tähendada,  et  ta  on  ka 
kergesti  antud  kasutajaga  seostatav  ja  ära  arvatav.  Mõnikord  nimetatakse  parooli  «salasõnaks», 
selline  nimetus  on  aga  eksitav,  sest  parool  ei  tohiks  olla  mingisugune  mõtestatud  sõna,  vaid 
peaks  olema  suvaliste  suur-  ja  väiketähtede,   numbrite   ning   kirjavahe -  jm.  märkide  äraarvamatu 
kombinatsioon. 
Paroole saab automaatselt genereerida ning kasutajatele omistada, kuid siin tuleb jälgida, et kõik 
paroolid  ei  saaks  süsteemiadministraatorile  automaatselt  teatavaks  ning  ei  tekiks  lekkeohtu. 
Enamikus  operatsioonisüsteemides  sisaldub  võimalus  esmakordsel  sis-  selogimisel  paluda 
kasutajal  endale  ise  uus  parool  sisestada,   soovitav   on  ka  parooli  muutmise  nõudmine  teatud 
intervalli  (näiteks  kaks  kuud  järel).  Kasutaja  sisestatud  parooli  saab  kontrollida  teatud  filtrite 
abil, et ta ülalkirjeldatud tingimustele  vastaks  (ei oleks tuntud sõna, kasutaja sünnipäev vms.). 
Kohti, kus kasutajalt parooli nõutakse, on tänapäeval rohkem kui üks - tuleb jälgida, et töötajad 
ei  kasutaks  kõikjal  sama  parooli.  Eriti  ohtlik  on  samaste  paroolide  ja  kasutajatunnuste 
kasutamine  nii  kohalikku  serverisse  logimisel  kui  ka  Internetis  enda  mõnele  veebi-  saidile 
tutvustamisel,  sest  avalikku  võrku   saadetud   paroolide  puhul  ei  pruugi  me  kunagi  teada,  mis 
nendega  tegelikult  tehakse.  Alati  on  olemas  võimalus,  et  Internetti  saadetud  andmed  satuvad 
pahatahtlike institutsioonide kätte, sealhulgas meiliaadressid, mida võidakse kasutada rämpsposti 
saatmiseks. Seega tuleks töötajatelt nõuda kõikjal erinevate paroolide kasutamist. 
piate  serverisse  tagasi  kopeerimisega,  mitte  aga  reaalse  rahalise  kahjuga  infokaost,  mis  võib 
halvemal juhul põhjustada kogu asutuse töö halvangu ja äriühingu puhul pankroti. 
Varundamise  tähtsust  on  raske  üle  hinnata,  kuid  pahatihti  kiputakse  seda  hoopis  alahindama  - 
paljud  asutused  mõistavad  varundamise  vajalikkust  alles  siis,  kui  esimene  kurb  kogemus  juba 
käes.  Kuna  andmetel  pole  hinnasilti  küljes,  ei  osata  neid  riist-  ja  tarkvaraga  vähemalt 
võrdväärseks  hinnata  enne,  kui  nad  kadunud  on.  Kui  aga  varundamise  vajalikkus  kord  selgeks 
saab (kas enda või teiste negatiivsete kogemuste põhjal), ei kiputa selles enam kahtlema. 
Eeltingimuseks  varukoopiate  tegemisel  on  ülalkirjeldatud  klient-serveri  mudeli  rakendamine  - 
serveri  fikseeritud  kataloogis  ja  sell«'  alamkataloogides  olevaid  andmeid  on  palju  kergem  koos 
varundada  kui  tööjaamadesse«  suvaliselt  laiali  pillutatud  faile.  Sõltuvalt  kasu  tatavate  ja 
loodavate  andmete  mahust  võil)  mõnikord  osutuda  vajalikuks  kasutajate  vöi  gruppide  lõikes 
kettakasutuslimiitide kehtesi i mine, kuna varundusmeedia maht on piiratud samuti aitab selline 
piirang   ketta   ootamatu  täitumise  ja  ruuminappuse  vastu,  kuna  vah  i   kettaruum   kipub  alati 
kasutajate poolt täidetud saama. 
Ka  paroolide  säilitamisel  tuleb  olla  hoolikas  -  kõige  rangematele  nõuetele  vastavast  paroolist 
pole kasu, kui see on kirjutatud märkmepaberile klaviatuuri kõrval. Kasutajatele tuleb selgitada, 
et  parool  on  sarnaselt  pangakaardi  PIN- koodile   või  koduvõtmetele  salajane  informatsioon, 
millele  kellelgi  peale  kasutaja  (ka  mitte  süsteemiadministraatoril)  ei  tohi  juurdepääsu  olla. 
Erandjuhul  (parooli  kadumine  põhjustaks  märgatavat  kahju,  mida  ei  korvaks  ka  parooli 
vahetamine)  võib  paroole  säilitada  näiteks  kindlalt  suletud  seifis,  kuid  siis  peab  selleks  olema 
tõeliselt mõjuv põhjus ning ka turbereeglistik parooli kasutamiseks. 
Varundamine 
Varundamine, andmetest varukoopiate tegemine (backup) on universaalsemaid kaitse- meetodeid 
andmete  sihiliku  või  juhusliku  hävimise,  seega  töötulemuste  kaotamise  vastu.  Andmed  võivad 
tööjaama või serveri infokandjatelt kustuda või kasutuskõlbmatuks muutuda kõige erinevamatel 
põhjustel,  alates  voolukatkestusest  ja  lõpetades  Interneti  kaudu  serverisse  sissemurdmise  või 
kontori  tüh-  jaksvarastamisega.  Õigeaegselt  tehtud  (ja  turvaliselt  säilitatud)  varukoopiate  korral 
piirdub kõikidel nimetatud juhtudel taastetöö varukoo 
Varundusmeetodi  valimisel  on  võimalusi  palju,  ühtne  ja  odav  variant  on  kasutada  va- 
rundatava(te)   kataloogi (de)  sisu  mõne  arhi-  veerimisprogrammiga  kokkupakkimist  vajadusel 
krüpteerimist  ja  talletamist  kas  sama  arvuti  teisele  kõvakettale  vöi  mõnda  teise   arvutisse .  Selle 
meetodi  puuduseks  on  et  mõnikord  puudutavad  ohud  (nt.  vargus)  server,st  suuremat  hulka 
arvuteid, ning koos alq- fa Iidega  lahkub  sellisel juhul ka  varukoopia  Alternatiiviks on erinevate 
varundusseadmete  ja  andmekandjate  kasutamine.  Nendeks  on  erinevatel   aegadel   olnud 
magnetlint /striimeriImt  magnetoptiline  salvestus  ja  paljud  muud  vahendid.  Suuremat  osa  neist 
saab kasutada ka tanapaeval.  
Varukoopiate  tegemise  sagedus  sõltub  asutuse  töö  intensiivsusest.  Enamasti  peetakse   sobivaks  
varundamist  kord  nädalas,  kuid  suurema  firma  puhul  võib  kõne  alla  tulla  ka  iga  päev  toimuv 
varundamine. 
Varukoopiate puhul peaks silmas  pidama , et neile kehtivad samad konfidentsiaalsus- nõuded kui 
neil olevatele algandmetele, seega tasuks varukoopiaid hoida kaitstud keskkonnas, näiteks seifis 
- see aitab ka varukoopiate säilimist kindlustada, sest lahtiselt riiulil vedelevad kettad või lindid 
võivad ebaterve uudishimu äratamise kõrval ka lihtsalt maha kukkuda, tolmust kahjustatud saada 
vms. 
Intemetiühenduse ohud 
Tänapäeval  on  Intemetiühendus  enesestmõistetav  nähtus.  Veebilehekülg  ja  elektronpost 
avardavad tunduvalt asutuse töötamise ning info  hankimise , vahetamise ja levitamise võimalusi. 
Avaliku võrguga (aga just seda  Internet  on) ühendus on kahesuunaline tee - just samamoodi nagu 
asutuse  serveri  kaudu  saab  ligi  laia  maailma  võrguressurssidele,  on  ka  firma  ise  avatud  kõigile 
uudistajatele, ning halvemal juhul ka rünnatav, kui pole õigeaegselt turvameetmeid rakendatud. 
olema  korraga  asutuse  avalik  veebiserver  ja  sisemiste  dokumentide  server,  isegi  kui  need 
funktsioonid arvatakse turvaliselt eraldatud olevat. Suurema osa rünnete  tagajärg on, et ründaja 
saavutab  rünnatavas  serveris  juurka-  sutaja  õigused  ning  saab  selle  kaudu  ligi  ka  kaitstuks 
arvatud  failidele.  Hoolika  administreerimisega  asjatundliku  operaatori  poolt  on  võimalik 
saavutada teatud mõistlik turbetase, kuid ohud jäävad siiski. 
Lahendusi  on  mitmeid.  Kui  firma  võrguühendus  piirdub  peamiselt  oma  veebisaidiga,  tasuks 
kaaluda  hoopis  välise  teenusepakkuja  veebiteenuste  kasutamist.  Sellisel  juhul  paigaldatakse 
firma  veebiküljed  teenusepakkuja  arvutisse  ning  firma  enda  serverid  võib  välismaailmast 
turvaliselt eraldada. Kui aga soovitakse firmas kasutada enda veebiserverit, elektronpostivahetust 
jms. veebiteenuseid, tasub vastavad serverid paigutada tulemüüri taha, mis ebasoovitavad väljast 
tulevad  ühendused  enne  serveritele  edastamist  filtreerib.  Tulemüür  üksi  ei  taga  täielikku 
turvalisust, sest probleeme leitakse ka veebi- jms. serverites endis. Seetõttu tuleks avalikku võrku 
ühendatud arvutitesse, mis pakuvad avalikke teenuseid (nt. veeb), piiratud juurdepääsuga failide 
paigutamist äärmiselt hoolikalt kaaluda. 
Alljärgnevad alampeatükid käsitlevadki mõnd ohufaktorit, millega Intemetiühenduse olemasolul 
tuleb arvestada. Loomulikult ei saa siintoodut pidada täielikuks turvajuhiseks 
- 
süsteemi  turvalisuse  tagab  kõige  paremini  siiski  oma  ala  tundev  süsteemiadministraator 
või vastava ala ekspertidest koosnev konsultatsioonifirma. 
Ründed serverisse 
Intemetiühendusega arvuti on alati potentsiaalsete rünnete sihtmärk ning praktika näitab, et uued 
võrku  ühendatud  arvutid  leitakse  ka  suhteliselt  kiiresti  üles,  isegi  kui  neid   avalikes   kanalites  ei 
reklaamita.  Lõpmata  turvaliseks  ei  õnnestu  servereid  kunagi  teha,  kuid  alati  on  võimalik 
saavutada  mõistlik  ressursi-  mahutuse  ja  turvalisuse  suhe.  Alati  ei  tasu  liigseid  vahendeid 
turvalisuse  tagamisele  pühendada,  pigem  oleks  tihti  mõttekas  osa  neist  pühendada  hoopis 
kasutusmugavuse  tagamisele  -  et  kasutajatel  endil  ülimalt   turvalise   serveri  kasutamine 
ebamugavaks ei muutuks. 
Püsiühenduse korral on serveri liigne funktsionaalsus turvalisuse seisukohast ebasoovitav - sama 
arvuti ei peaks kindlasti 
Elektronposti  ohud 
Elektronpost on äärmiselt mugav ja odav suhtluskanal, mis firmade tööd  paljuski kergendanud. 
Siingi  on  tegu  kahe   teraga   mõõgaga  -  uue  suhtluskanaliga  kaasnevad  mitmed  ohud,  millest 
paljusid ei teadvustata enne, kui keegi teine need kätte näitab või kui meili kaudu saadetud viirus 
suurema osa asutuse infost hävitab või ründajale  saadab . 
Rämpspost 
Rämpspostiga (spam) on ilmselt iga meili- konto omanik kokku puutunud - reklaamijatele on see 
lihtne  ja  odav,  kuid  tüütu  viis  saata  kuulutusi  miljonitele  meilikasutajatele  ilma  mingit 
vahendustasu   maksmata.  Rämpsposti-   tajatele   (spämmijatele)  võivad  elektronposti-  aadressid 
sattuda  erinevaid  kanaleid  pidi  -  nende  hulgas  on  ka  oma  aadressi  mõnes  veebisaidis 
registreerimine, 
meililistide 
tellimine 
või 
avalikesse 
uudisegruppidesse 
postitamine. 
Rämpspostiga   samasse   kategooriasse  kuuluvad  ka  erinevad   ahelkirjad ,  mille  valimatut 
edasisaatmist  tuleb  ebasoovitavaks  pidada  ja  paluda  töötajatel  seda  mitte  teha,  vaid  ahelkirjad 
oma postkastist kustutada. 
Rämpspostiga  võib  aga  kokku  puutuda  ka  salakavalamal  moel  -  nimelt  on  vanemale 
meiliserverite  tarkvaras  mõnikord  viga,  mis  lubab  kasutajal  A  saata  firma  B  serveri  kaudu 
rämpsposti  kasutajale  C,  kusjuures  kasutaja  A  ei  pea  sugugi  antud  asutusega  seotud  olema  ega 
serveris  kasutajakontot  omama  -  piisab  vaid,  kui  server  on  maailmale  posti  vastuvõtmiseks 
avatud.  Seejuures  jääb  mulje,  et  rämpsposti  algne   saatja   pärineski   firmast   B,  mis  selle  kaudu 
äärmiselt halba valgusesse satub. Et meiliseiver ei saaks rämpspostitaja- tele platvormiks, tasub 
Intemetiühendusega serveri administreerimisele äärmiselt suurt tähelepanu pöörata - kas palgata 
selleks vastav inimene (kes aga ka oma professionaalsust eelnevalt tõestama peab) vöi väiksema 
koormuse  korral  osta  teenus  sisse  sobivast  firmast  (mille  professionaalsust  aga  pole  alati  kerge 
hinnata).  Kahtluste  korral  inimese  või  firma  usaldatavuses  tasub  alati  konsulteerida 
spetsialistidega, keda usaldatakse, näiteks pärida aru avalikes uudistegruppides. 
Viirused  
Tänapäeval  liigub  suurem  osa   viirustest   meili  vahendusel,  nii  on  otstarbekas  nad  paigutada 
elektronposti käsitlevasse alajaotuses- 
võimaldab  Internetist  BO-ga  ühenduval  ründajal  kasutaja  arvutiga  kõikvõimalikke  toiminguid 
sooritada   -  alates  failide  kopeerimisest  kuni  taaskäivituseni.  BO  vastu  pakub  tõhusat  kaitset 
korralik tulemüür, mis ründajal ohvri arvutisse paigaldatud BO-ga ühenduda ei lase, kuid teatud 
võtteid kasutades ei aita ka see. 
1999.  aastal  saavutasid  mitmed   trooja   hobused  ( Melissa ,  Zipped_files  jt.)  kiirelt  ülemaailmse 
leviku  ja  hävitasid  miljonite  dollarite  väärtuses  infot  -  see  näitab,  kui  kergelt  haavatavad  on 
tänapäeva  kõrgtehnoloogilised  asutused,  räägitagu  turbest   kuipalju   tahes.  Endiselt  on  ainuke 
tõhus  kaitse  viiruste  vastu  nende  süsteemi  sattumise  vältimine.  Seetõttu  tasuks  kehtestada 
elektronposti  saatmise  ja  vastuvõtu  reeglid,  mille  järgimine  on  kõigile  süsteemi  kasutajatele 
kohustuslik.  Alljärgnevalt  on  toodud  reeglite  võimalik  näidisvariant  (originaali  autor  -   Russ  
Cooper, NTBugtraq). 
Kui  Sa  saad  kirja,  millele  on  manusena  (attachment)  lisatud  fail  (sõltumata  sellest,  kes  kirja 
saatis), siis: se. Suur osa siin kirjeldatust kehtib aga ka muid kanaleid kasutavate viiruste kohta. 
Möödas  on  ajad,  kui  meili  kaudu  liikuvad  viirused  kuulusid  utoopia  valdkonda  ja  piirdusid 
hoiatuse   vormis  sisutute  kirjadega,  mille  ainsaks   ohuks   oli,  et   lihtsameelne   kasutaja  neid 
valimatult  edasi  saatis,  tekitades  serverite  ummistumise  ohu.  Tänapäeva  meili-  ja 
rakendusprogrammid  on  sedavõrd  edasi  arenenud,  et  meiliga  saab  saata  ka  käivitatavaid  faile, 
mida  kasutaja  paari  hiireklõpsuga  avada  saab.  Veelgi  enam,  ka  traditsioonilistesse  dokumendi-, 
tabelarvutus-  jms.  failidesse  on  lisandunud  käivitatava  osa  lisamise  võimalus.  Kasulike 
funktsioonide  toimetamise  kõrval  võib  aga  ka   dokumentides   sisalduda  ka  viirusi  või  trooja 
hobuseid. 
Trooja  hobune  on  programmilõik,  mis  kasulikuks  maskeerununa  kasutajat  end  käivitama 
ahvatleb,  kuid  kasuliku  funktsiooni  täitmise   varjus   ka  ebasoovitavaid  tegevusi  korda  saadab 
(näiteks  meilib  ründajale  mõned  kasutaja  paroolid).  Viimase  aja  tõsiseltvõetavamaid  trooja 
hobuseid on  Back  Orlfice (BO) ja tema uus  versioon  Back Orifice 2000 (B02K), millest esimene 
tuli  välja  augustis  1998  ja  saavutas  kiiresti  ülemaailmse  leviku.  BO  näol  on  tegu 
ründeprogrammiga, mis end käivitamisel kasutaja arvutisse paigaldab ning 
1. 
ÄRA PUUDUTA LISATUD FAILE. Ära 
ava neid, ära vaata neid, ära salvesta ka kettale. 
2. 
Kontakteeru väidetava saatjaga ning küsi kinnitust, et tema tõepoolest antud kirja ja failid 
saatis. 
3. 
Küsi temalt täpselt üle, millega on tegu. 
4. 
Kui  ei  tea,  kuidas  toimida,  pöördu  usaldatava  arvutispetsialisti,  näiteks  oma 
süsteemiadministraatori  poole.  Kodus  olles  vöid  küsida  abi  Interneti  teenusepakkujalt.  ÄRA 
SAADA KELLELEGI SAADUD FAILE -  oota , kuni Sult neid eraldi küsitakse. 
Kui  saadad  kirja,  millele  on  plaanis  manusena  faile  lisada,  pea  meeles,  et  tahtmatult  võid 
nakatada  adressaadi viirusega. Et seda vältida: 
1. Enne manuse saatmist teavita adressaati ALATI  eelnevalt manuse tulekust. Kirjelda, millega 
on tegu ja miks Sa selle talle saadad. Pea meeles, et samaseid kirju oskavad viirused automaatselt 
koostada, nii et püüa originaalne olla ja oma  
• 
Attack Signatures  Glossary .  http://www.cvber.ee/infosecuritv/resource s/qlossarv.pdt 
Raamatute  ja  üldharivate  materjalidega  tutvumise  kõrval  on  praktilise  turbevajaduse 
rahuldamiseks äärmiselt oluline, et hoitaks end kursis turbealaste päevateemadega näiteks 
vastavate  meililehtede  ja  veebikülgede  vahendusel.  Alljärgnevalt  on  toodud  mõned 
lähtekohad. 
• 
http://www.securitvfocus.com 
• 
http://www.ntbuotrag.com 
• 
http://www.IOpht.com 
• 
http://www.insecure.oro 
• 
http://www.eeve.com 
• 
http://www.microsoft.com/securitv 
• 
http://xforce.iss.net 
• 
http://www.cvber.ee/infoturve/