Riigisaladusega arvutitele määratakse muuhulgas ka salasõna pikkus ({{commentsTotal}})

Arvuti, internet, küberrünnak.
Arvuti, internet, küberrünnak. Autor/allikas: Sputnik/Scanpix

Riigisaladust sisaldavate arvutite ja süsteemide kasutamist reguleerib praegu 2007. aasta lõpus kaitseministri poolt allkirjastatud määrus. Tosinkond aastat tagasi jõustunud määruses pole aastate jooksul suuri muudatusi tehtud, kuigi määruse jõustumise ajal oli salastatud teabega asjade ajamine valdavalt paberipõhine ning salastatud teabe töötlussüsteemid pigem teisejärgulise tähtsusega.

"Praeguseks on olukord vastupidine," nendivad välisluureameti ametnikud, kes on valmis kirjutanud uue määruse jaoks eelnõu – vaja on kaitsta süsteeme ja nendes töödeldavat teavet tänapäeva ohtude eest. Teiseks on vaja nõudeid kaasajastada seetõttu, et seda nõuavad nii NATO kui Euroopa Liit. Kolmandaks on välisluureametil uute reeglitega lihtsam kontrollida salastatud teabe töötlemist.

Määrus kirjutatakse paljude muudatuste tõttu täiesti uus.

Näiteks kehtestatakse salasõnale uus miinimumpikkus. Kui siiani oli selleks kaheksa tähemärki konfidentsiaalsel ja kõrgemal tasemel salastatud teabe süsteemis ning kuus tähemärki piiratud tasemel salastatud teabe süsteemis, siis uue nõude järgi on salasõna miinimumpikkus kõigis süsteemides 15 tähemärki.

Selgituseks öeldakse, et mida pikem salasõna, seda raskem on seda ära arvata või murda. "Iga uus tähemärk salasõnas raskendab selle äraarvamist eksponentsiaalselt. Näiteks on salasõna murdmine, kasutades jõhkra jõu rünnet (brute force attack) 15 tähemärgi korral 2 astmes 49 korda keerulisem kui kaheksa tähemärgi korral," märgitakse seletuskirjas.

Salasõnade turvalisemaks muutmiseks nõutakse uues määruses, et salasõna peab kindlasti sisaldama suurt ja väikest tähte ning soovitav oleks mõni tähemärk asendada numbriga, mis suurendab murdmiseks kuluvat aega veel mõnikümmend korda.

Lisaks ei tohi enam kasutada süsteemis 24 varasemalt kasutuses olnud salasõna. Senise nõude järgi on keelatud viie varem kasutuses olnud salasõna kasutamine.

Uus nõue on ka see, et süsteemis ei või enam kasutada riist- või tarkvara, mille salasõnu pole võimalik muuta.

Kontrolli, et juhe läheks õigesse arvutisse

Uue nõudena on määruses süsteemi kaablite visuaalne eristatavus, et arvuteid ei ühendataks kogemata valesse arvutivõrku. Selleks tuleb nüüdsest eristada ühenduskohtades olevad kaablid võrgupesast seadmeni. "Nõue aitab vähendada olukordi, kus ekslikult valesse võrgupessa ühendatud kaabel võib süsteemi kuuluva võrguseadme ühendada valesse arvutivõrku. See läbi võib salastatud teave sattuda teise süsteemi," kirjutatakse seletuskirjas.

Karmimaks muudetakse reeglid ka viirustõrje kohta. Näiteks on uueks nõudeks, et süsteemile tehakse regulaarselt viirustõrje kontrolli. Perioodiks määratakse iga viirustõrjeks kasutatavate signatuuride andmebaasi uuendamine. "Sellega vähendatakse riski, et süsteemis olevast viirusest saadakse teada alles hiljem, kui teabe salajasust, terviklust või käideldavust on juba rikutud," seisab seletuskirjas.

Uus nõue on ka, et süsteemis kasutatakse edaspidi vaid autentsest allikast pärinevat tarkvara. "Nõude eesmärk on tagada, et teabe töötlemiseks kasutatav tarkvara oleks saadud autentsest allikast, näiteks tootjailt või ametlikult edasimüüjalt, avaliku lähtekoodiga tarkvara open source allikast," märgitakse seletuskirjas. Samuti nõutakse nüüd, et süsteemis kasutatav tarkvara oleks ajakohane ning turvauuenduste toega.

Ohtlikuks peetakse seletuskirja järgi WiFi ja Bluetoothi kasutamist. "Erilist tähelepanu tuleb pöörata raadioliideste (WiFi, Bluetooth jm) kasutamisele, sest nende kasutamisel ei ole töötleval üksusel suure tõenäosusega võimalust omada täielikku kontrolli perimeetri üle," seisab seletuskirjas.

Samuti hakatakse dokumenteerima seda, kes ja millal süsteemis muudatusi teeb. Lisaks koostatakse nn valge nimekiri, milles on kirjas lubatud ühendused internetti ehk nimekiri, millistel veebisaitidel on lubatud käia.

Uue nõudena peavad kõik süsteemi kasutajad läbima regulaarselt IT-turvalisuse ja -teadlikkuse koolituse, mis sisaldab vähemalt e-posti turvalisust, interneti turvalisust, mobiilsete seadmete turvalisust, andmete kaitset, pahavara, manipuleerimisvõtteid ja organisatsiooni siseohte.

Eelnõu esitatakse kooskõlastamiseks riigikantseleile ja ministeeriumidele ning arvamuse avaldamiseks välisluureametile, kaitseväele, kaitseressursside ametile, riigi kaitseinvesteeringute keskusele ja kaitseliidule.



Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: