@ RESTART // 2019.03.23
geenius_restart_0821.mp3
KUUPÄEV
2019-03-23
PIKKUS
45m 03s
SAADE
RESTART
AI_KOKKUVÕTE
Saates „Restart/Ettemõte“ arutlevad Henrik Roonemaa ja Taavi Kotka LHV panga infoturbejuhi Tiit Hallasega küberturvalisuse üle panganduses. Fookuses on panga ja selle klientide kaitsmine rünnakute eest, eriti sotsiaalse inseneeria ja pettuste osas. Saates käsitletakse ka Eesti e-riigi turvalisuse taset ja infoturbevaldkonna väljakutseid laiemalt.
KÜLALISED
TEEMAD
ETTEVÕTTED
ORIGINAALKIRJELDUS
Restardis on külas LHV panga infoturbejuht Tiit Hallas, kellega räägime sellest, kuidas üldse nii magusat sihtmärki nagu üks pank küberturvaliseks teha ning kuidas rünnakud on pigem suunatud panga kasutajate, mitte niivõrd panga enda vastu. Kas küberturvalisuse alal valitsevates keerulistes tingimustes on üldse võimalik panka turvaliselt teha ja mida peaksid kasutajad silmas pidama, et nende rahale keegi võõras ligi ei saaks? Saatejuhid Henrik Roonemaa uudisteportaalist Geenius.ee ning Taavi Kotka.
Tegelikult mõlemat, et isegi ma toon kolmanda avate veel juurde, et kui me mõtleme täna nagu rünnete peale, mis toimub nii-öelda noh, jutumärkides pankade suunal, siis ega rünnatakse klienti, seda. Nagu me filmides näeme, et kindlasti graafiliste ründevahenditega muidugi, aga-aga rünnatakse, eks ju, panga tuumiksüsteeme ja mida kõike sellist. Seda ikka nagu naljalt ei näe, et pigem sa näed, eks ju, jah, selliseid automatiseeritud skännimisi, tavalise turvanõrkuste otsimisi, nagu ma arvan, iga teine teenus näeb, sest nad ei ole sihitud. Aga pankade puhul rünnatakse klienti ja, ja kõige huvitavam ongi just see, et, et kliendi käitumise nii-öelda muutus. Et kui sa ikkagi näed, et, et kui keskmine kodanik logib internetipanka ja ütleme, vaatab oma väljavõtted, siis läheb, teeb mingi makse, siis vaatab jälle väljavõtet ja teeb mingeid toiminguid, mis tunduvad normaalsed. Siis, kui ühel hetkel toimub makse sekund pärast sisse logimist näiteks või, või noh, umbes niimoodi, siis tegelikult see on juba asi, mille peale võiks nagu hakata vaatama, et mis seal siis täpsemalt toimus. Ja selliste stsenaariumite väljamõtlemine ja nende tuvastamine, nende nagu robotite ehitamine, mis seda kõike teeb, et see on see, mis on nagu põnev. Ja Et kui sul ikkagi sama isiku nimel olevad kaks erinevat kaarti võtavad ühel hetkel raha välja niimoodi, et on, on Eestist ja siis viis minutit hiljem on näiteks Hispaaniast võib-olla koht, millest selle sisse vaadata, et mis toimingud seal veel on. Ja kui pärast Hispaaniat toimub järgmine, järgmine tehing Tais, siis võib juba arvata, et ilmselt on kaart kusagilt rändama läinud, on ju.
Riigi lahtihääkimise vastu, ma väidan jälle, et, et ka ründaja toob maha selle low-hanging fruit'i, ehk siis pigem käiakse ja otsitakse dokumendihaldussüsteemidest lahtiseid dokumente, millal see AK marge on peale jäänud panemata ja mida saab meedias kasutada. Ja ilmselt on siis terve hunnik neid teisi organisatsioone, kes võib-olla jäävadki märkamata ka infoturbiinimeste poolt, kes lihtsalt on juba nii geniaalsed, et nad on ammu juba tekitanud tagaukse kuhugi läbi. Elmar Vaheri lapse sõbranna, eks ju, arvuti sisevõrku ja sealtkaudu tehakse hoopis mingeid asju, eks ju, mida tõesti ei oskagi otsida. Hoopis sellises kihis, mida me nagu ei oskagi vaadata, eks. Aga eks see on võib-olla üks põhjus, miks nende võtmepositsioonidel olevate isikute arvuteid ka nagu vähe tihemini võib-olla vaadatakse üle infotur
No aga teistpidi, mis on jälle hea nagu selle koha pealt, on see, et kui see huvi nüüd tekibki ja leitaksegi nõrkus, siis noh, siis mina näitan igal konverentsil oma ID-kaarti. Oma isikukoodiga ja, ja kõiki dokumendinumbritega, meelega, siis kui keegi suudab mulle kahju teha selle kaardi, selle pildi abil, siis on meil puskil väga tõsine noh, nii-öelda arhitektuurne viga tehtud. Süsteemtehniline viga tehtud, ehk siis jumala eest, kui see tuleb minu andmetega välja, siis on noh, ma ütlen, et see oleks kõige parem üldse. Ja sellepärast ma näitan alati, noh, sakslased on täiesti lolliks, kui sakslased näevad isikukoodi, ütlevad, et sa oled täitsa lause hobu, et mis mõttes sa näitad minu oma isikukoodi?
seal üks nüanss muidugi vist on, et kas näiteks logimise puhul või ütleme, isiku tuvastamise puhul on mingid reeglid, et, et ei tohi olla. Username ja parool näiteks, et ainult jah, et.
jah. Just, et noh, see on jälle koht, kus kohas pank või üldse asutus, kus kohas sa digiteenused kasutad, võiks oma klienti selles mõttes koolitada või meelde tuletada, et sisenemisel isiku tuvastamiseks kasutame me siiski ainult PIN ühte. Mitte kunagi PIN kahte ja PIN kahte me küsime ainult siis, kui sa pead midagi kas kinnitama või midagi allkirjastama või lepingut sõlmid, eks ju, et, et. Kui need asjad on pealuu sees, siis jällegi need ründed ka ei toimiks, aga täna paraku toimivad.
No seal on seesama teenuse tarbimise küsimus, et kui sul ikkagi kokkuvõttes on vaja teha, ütleme ma ei tea, rohkem kui kümne tuhande eurost ülekannet eraisiku konto pealt on ju, et, et. Kas sa ise tahaksid, et sul oleks mitu identiteeti, mille alt seda võimalik teha oleks nagu, et. Eestis ei ole võimalik, Eestis on võimalik teha ainult oma isikliku identiteedi all sihukest ülekannet.