-
Notifications
You must be signed in to change notification settings - Fork 2
/
Copy path5Turvaanaluus.html
218 lines (205 loc) · 20.4 KB
/
5Turvaanaluus.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
<html>
<head>
<title>5. Turvaanalüüs</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta name="generator" content="HelpNDoc Personal Edition 4.7.1.684">
<meta name="keywords" content="">
<link type="text/css" rel="stylesheet" media="all" href="css/reset.css" />
<link type="text/css" rel="stylesheet" media="all" href="css/base.css" />
<link type="text/css" rel="stylesheet" media="all" href="css/hnd.css" />
<!--[if lte IE 8]>
<link type="text/css" rel="stylesheet" media="all" href="css/ielte8.css" />
<![endif]-->
<style type="text/css">
#topic_header
{
background-color: #EFEFEF;
}
</style>
<script type="text/javascript" src="js/jquery.min.js"></script>
<script type="text/javascript" src="js/hnd.js"></script>
<script type="text/javascript">
$(document).ready(function()
{
if (top.frames.length == 0)
{
var sTopicUrl = top.location.href.substring(top.location.href.lastIndexOf("/") + 1, top.location.href.length);
top.location.href = "index.html?" + sTopicUrl;
}
else if (top && top.FrameTOC && top.FrameTOC.SelectTocItem)
{
top.FrameTOC.SelectTocItem("5Turvaanaluus");
}
});
</script>
</head>
<body>
<div id="topic_header">
<div id="topic_header_content">
<h1 id="topic_header_text">5. Turvaanalüüs</h1>
</div>
<div id="topic_header_nav">
<a href="451Testimisstrateegiad.html"><img src="img/arrow_left.png" alt="Previous"/></a>
<a href="6Arendusprotsessikirjeldus.html"><img src="img/arrow_right.png" alt="Next"/></a>
</div>
<div class="clear"></div>
</div>
<div id="topic_content">
<p></p>
<p class="rvps48"><span class="rvts20">Peatükis on kaardistatud erinevate osapooltega (sh RIA ja CERT) mobiilsetel platvormidel turvariskid ning pakutud välja sammud riskide leevendamiseks. Lisaks peatükis käsitletule on erinevatest vaadetest nutiseadmete ja/või eID turbeaspektid kajastatud veel:</span></p>
<ul style="text-indent: 0px; margin-left: 48px; list-style-position: outside;">
<li style="text-indent: 0px" class="rvps49"><span class="rvts22">ID-kaardi, mobiil-ID ja digi-ID lahenduse ISKE mudeli alusel kirjeldatud ohud ja rakendatavad turvameetmed on kirjeldatud RIA PKI </span><a class="rvts24" href="https://ria.ee/public/ISKE/id_kirjeldus.odt">turbekirjelduses</a><span class="rvts22">.</span></li>
<li style="text-indent: 0px" class="rvps49"><span class="rvts22">asutustele ja ettevõtetele nutiseadmete kasutamise perspektiivist lähtuv ohtude ja turvamisega mõeldud meetmete poliitika on toodud </span><a class="rvts24" href="https://ria.ee/public/ISKE/Juhend_mobiilsete_seadmete_turvapoliitika_loomiseks_0.9.odt">mobiilsete seadmete turvapoliitika loomise juhendis</a><span class="rvts22"> (2011, RIA).</span></li>
<li style="text-indent: 0px" class="rvps49"><span class="rvts22">arendamise fookusest lähtuv turvameetmete rakendamise analüüs on toodud dokumendis </span><a class="rvts24" href="https://ria.ee/public/publikatsioonid/Suunised_nutitelefoni_rakenduste_valjatootajatele.pdf">turvalise arenduse suunised nutitelefonide rakenduste väljatöötajatele</a><span class="rvts22"> (2011, ENISA). </span></li>
<li style="text-indent: 0px" class="rvps49"><span class="rvts22">2013. aasta lõpus riigi ja erasektori koostöös käivitatud </span><a class="rvts24" href="http://www.vaatamaailma.ee/nutikaitse">NutiKaitse 2017</a><span class="rvts22"> projekti materjalides. </span></li>
</ul>
<div class="rvps17"><table width="100%" border="1" cellpadding="4" cellspacing="-1" style="border-width: 0px; border-collapse: collapse;">
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px; background-color: #deeaf6;"><p class="rvps6"><span class="rvts25">Risk</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px; background-color: #deeaf6;"><p class="rvps6"><span class="rvts25">Leevendusmeetmed</span></p>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">m-ID puhul kahe kanali puudumisest (nutiseadmes e-teenuse kasutamine ja inimese autentimine toimub samas seadmes) tulenevalt piisab ainult nutiseadme ründamisest.</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Cybernetica poolt läbiviidud analüüs</span><a class="rvts40" href="5Turvaanaluus.html#ref_030">30</a><span class="rvts22"> tuvastas mitmeid nõrkuseid, millede parandamine vajab muudatusi DigiDocService-i ja mobiil-ID-d kasutatavate serverite töös.</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">m-ID kontseptsioonist tuleneva turvalisuse põhinõude (</span><span class="rvts23">second channel</span><span class="rvts22">) kaotsimineku leevendamise riske ja meetmeid on vajalik täiendavalt eraldi uurida.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Kasutajate privaatsusega kaasnevad ohud, tulenevalt asjaolust, et osa informatsiooni liigub kasutaja kontrolli alt kolmandate osapoolte valdusesse (nt pilvelahendused).</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajad on teadlikud, kas andmed liiguvad kolmandate osapoolte valdusesse (pilvelahenduste populaarsus ja kasutatavus nutiseadmetes) või mitte.</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajale on võimaldatud alternatiivid tehniliste lahenduste näol, kus andmeid kolmandate osapoolte kätte ei liigu.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Teadmatust kasutamisest ja/või teadlikkuse puudumisest tulenevate turbenõrkuste avaldumine.</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajate teadlikkuse tõstmine (koolitused, seminarid, tutvustused) ja kasutusvõimaluste laiendamine.</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Turvakontrollide rakendamise nõuete sätestamine rakenduste ja teekide arendajatele.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Teenuse osutajast tulenevad ohtude avaldumine (SK ja/või mobiilioperaatorite teenuste rünnatavus).</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Rakenduvad olemasolevad teenuse osutaja leevendamismeetmed.</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Rakendused peavad olema avaldatud ainult tootjate ametlike levituskanalite vahendusel, mis võimaldab säilitada tootjapoolse turvamudeli (</span><span class="rvts23">rooting</span><span class="rvts22">, </span><span class="rvts23">jailbraiking</span><span class="rvts22"> vms on taunitav).</span></li>
<li value="3" style="margin-left: 0px" class="rvps47"><span class="rvts22">Välja töötada eID tarkvara kasutamiseks ja arendamiseks õiguste süsteemi hea tava, mille kohaselt mobiilirakenduste õigused peavad olema viidud optimumini.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Rakenduse ebapiisavast testimisest ja/või auditeerimisest kaasnevad ohud kasutaja andmete lekkimisele (andmete kättesaadavus, pealtkuulatavus, hõive jt).</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Rakendus testimiseks sätestatud testimisnõuded on kirjeldatud ning testimised on läbi viidud vastavalt sätestatud testimisprotseduuridele (sh turvatestimised).</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Toetatud nutiseadmete ja nende lisaseadmete (BLE, USB, NFC jt) testimine.</span></li>
<li value="3" style="margin-left: 0px" class="rvps47"><span class="rvts22">Arendamise parimate praktikate ja standardite järgimine.</span></li>
<li value="4" style="margin-left: 0px" class="rvps47"><span class="rvts22">Rakenduse lähtekood on tsentraalselt avaldatud ja kättesaadav ning hinnatav/parendatav kõigile huvilistele.</span></li>
<li value="5" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kiire ja efektiivne parendus- ja levitusprotsess vigade ilmnemisel (täiendavad tugilepingud, partnerid, väliste ekspertide kaasamise võimekus).</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Seadme ja/või levituskanali tootjate poolsed turbenõrkused muudavad eID lahenduse haavatavaks.</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Viimastele op. süsteemi täiendustele arendatud ja toetatud lahendus (operatiivne ja ajakohane uuendusprotsess ja selle järgimine).</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">eID tarkvara levitamiseks kasutatakse ainult op. süsteemi tootjate poolseid ametlikke levituskanaleid (täiendavad tootjapoolsed läbivaatused/sertifitseerimised, tarkvara automaatsed uuendused klientseadmetes, nutiseadmetes soodustatakse platvormi turvamudeli kasutamist – taunitakse </span><span class="rvts23">rooting</span><span class="rvts22">, </span><span class="rvts23">jailbraiking</span><span class="rvts22"> jms lahendussuundi).</span></li>
<li value="3" style="margin-left: 0px" class="rvps47"><span class="rvts22">Korporatiivklientidele eID tarkvara laiendamine Mobile Enterprise Security platvormile (nt Samsung Knox</span><a class="rvts40" href="5Turvaanaluus.html#ref_031">31</a><span class="rvts22">, Microsoft Windows Instune).</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Seadme ja/või ligipääsude vargusest, kaotamisest või edasiandmisest tulenevad turbenõrkused</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajate teadlikkuse tõstmine (koolitused, juhendid jne).</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Tehnilise lahenduse täiendamine kasutaja identifitseerimise võimekusega.</span></li>
<li value="3" style="margin-left: 0px" class="rvps47"><span class="rvts22">Nutiseadmete kaardilugejate tugi süsteemis, mida on süsteemi ülevõtmisel võimalik seadmest eemaldada.</span></li>
<li value="4" style="margin-left: 0px" class="rvps47"><span class="rvts22">Rakenduse eemaldamisel seadmelt kindlustada tehnoloogiliselt, et maha ei jää sensitiivseid andmeid.</span></li>
<li value="5" style="margin-left: 0px" class="rvps47"><span class="rvts22">Monitooringusüsteemi loomine, mis võimaldab kasutaja käitumismustrite muutuseid analüüsida ja hinnata.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Kriitiliste veaparanduste ja paikade levitamise sõltuvused kolmandatest osapooltest (platvormitootjatest).</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajatele jooksva informatsiooni andmise võimekuse loomine rakendusse, kuidas probleemide ilmnemisel käituda (osa kasutajatoe süsteemist).</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Alternatiivse kanalina riigiportaali eesti.ee vms analoogse veebirakenduse kasutamise võimaldamine nutiseadmes, kui levituskanali vahendusel koht- ja/või hübriidlahendus ei toimi või toimimine on häiritud.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Rakenduste paljususest tulenevalt kasutatakse ebaturvalisi (nt mugavusest, harjumusest vms tingituna) eID rakendusi.</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Ametlike eID komponentide ja rakenduste reklaam, turustamine ja </span><span class="rvts23">branding</span><span class="rvts22">.</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Läbi keskse ühenduspunkti (SK) lubatakse ainult rakendusi, mis on läbinud täiendavad turvatestimised.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Lisaseadmete ja/või ebaturvaliste andmesidekanalite kasutamisest tulenevad riskid.</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajate teadlikkuse tõstmine (juhendid, koolitused).</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Võimalikult laiapõhjalised seadmete testimised ja valideerimised.</span></li>
<li value="3" style="margin-left: 0px" class="rvps47"><span class="rvts22">Ebaturvaliste seadmete keelustamisprotseduuride ja tehnoloogilise võimekuse väljaselgitamine ning rakendamine.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Seadmete ühiskasutusest tulenevad riskid (seadmed on perekonna vms liikmete ühiskasutuses jne).</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajate teadlikkuse tõstmine (juhendid, koolitused).</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Tehnilise lahenduse täiendamine kasutaja identifitseerimise võimekusega.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Mobiilse veebilahenduse (riigiportaal eesti.ee) kasutamisega kaasnevad turbenõrkused (andmete ja/või identiteedi vargus jms)</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Toimingute logimine ja jooksev analüüsimine. Analüüsi põhjal tegevuste käivitamine (logimisel peab olema tagatud isiku privaatsuse, isikuandmete jmt kaitse – pigem on fookus isiku käitumismustrites erisuste põhjalt järelduste tegemine).</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Veebilahenduse parimate turvapraktikate rakendamine.</span></li>
</ol>
</td>
</tr>
<tr valign="top">
<td width="212" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><p class="rvps6"><span class="rvts20">Seadmetest ja/või ühenduskanalist tulenevad tehnilised probleemid toovad kaasa ka täiendavate ohtude avaldumise andmete lekkimiseks või mittesihipäraseks kasutamiseks (libatugijaamad, SS7, OTA).</span></p>
</td>
<td width="386" valign="top" style="border-width : 1px; border-color: #5b9bd5; border-style: solid; padding: 0px 7px;"><ol style="text-indent: 0px; margin-left: 21px; list-style-position: outside; list-style-type: decimal;">
<li value="1" style="margin-left: 0px" class="rvps47"><span class="rvts22">Süsteemi haldaja poolne tõrgete tuvastamine ja edasine juhtumipõhine menetlemine. Vajab täiendavat uurimist ja analüüsi.</span></li>
<li value="2" style="margin-left: 0px" class="rvps47"><span class="rvts22">Monitooringusüsteemi väljaarendamine ja rakendamine eID tarkvara kasutamise jälgimiseks (sh nii rakenduste kui teenuse osas).</span></li>
<li value="3" style="margin-left: 0px" class="rvps47"><span class="rvts22">Kasutajatoe süsteemi laiendamine mobiilsete platvormide toetamiseks.</span></li>
</ol>
</td>
</tr>
</table>
</div>
<p class="rvps18"><span class="rvts33">Tabel </span><span class="rvts33">12</span><a name="Tabel13"></a>
<span class="rvts33">. eID süsteemi turberiskid ja leevendusmeetmed</span></p>
<hr style="height: 1px; color : #000000; background-color : #000000; border-width : 0px;">
<p class="rvps12"><a name="ref_030"></a>
<span class="rvts27">[30] Krüptograafiliste algoritmide kasutusvaldkondade ja elutsükli uuring. Cybernetica AS [</span><a class="rvts28" href="http://id.ee/public/kryptoalgoritmide_elutsykli_uuring_15-07-2011.pdf">URL</a><span class="rvts27">]</span></p>
<p class="rvps38"><a name="ref_031"></a>
<span class="rvts36">[31] KNOX on tootja spetsiifiline (Samsung) korporatiivtaseme turbelahendus nutiseadmetele (</span><span class="rvts37">Mobile Enterprise Security</span><span class="rvts36">) Android/iOS platvormile. Analoogne pilvepõhine lahendus Windows platvormile on Windows Instune (mis toetab Windows Mobile 8.1 ja Samsung KNOX standardeid). Korporatiivtaseme lahendusena on tegemist tasulise teenusega, mida üldjuhtumil tavakasutajad ei kasuta. Lahenduse toe lisamise positiivse aspektina on võimalik tõsta seadmete platvormi turvalisust. Teisalt on sellisel juhtumil vajalik täiendavalt arvestada pilvepõhiste lahenduste (KNOX, Intune vt) tulenevate nõuetega (kasvab süsteemi keerukus).</span></p>
</div>
<div id="topic_footer">
<div id="topic_footer_content">
Elektroonilise identiteedi (eID) tarkvara laiendamine mobiilsetele platvormidele, v1.0. Sertifitseerimiskeskus AS, Finestmedia AS, Applaud OÜ (2014-2015)</div>
</div>
</body>
</html>