Kolmkümmend turvasoovitust arvuti lõppkasutajale

Valdo Praust

Eesti E-tervise Sihtasutuse (Tervise Infosüsteemi) turvajuht

20-aastase kogemusega andmeturvaekspert

valdo@e-tervis.ee

5. novembril, AD 2010

1. Arvestage, et turve ei tähenda ainult salastust. Lõppkasutaja jaoks tähendab turve ka seda, et ei tohi lasta asju volitamatult muuta (võltsida) ega lasta muuta oma arvutit pahalaste jaoks platsdarmiks

2. Teadke, et arvutis töötav tarkvara on alati teatud tasemel vigane – me peame sellegaoma tegevuses leppima ja arvestama. Muidu ei saaks viirused/troojalased üldse tegutseda

3. Lõppkasutaja turbel on kolm alusvaala: toimiv (sisselülitatud) tulemüür, toimiv ja automaatselt end uuendav viirusetõrje programm ja turva-uuenduste automaatne aktiveerimine

4. Administraatori õigustes ei tohi personaalarvutis töötada! Võib vaid tarkvara ja/või konfiguratsiooni muutmiseks/uuendamiseks

5. Toimiv viirusetõrje ei aita alati pahalaste/rünnete vastu 100% juhtudel. Avastamata jäävad nn OD (null-päeva) viirused, mida viirusetõrje pole veel suutnud tundma õppida. Need võivad teha väga palju pahandust

6. Kui arvuti on turvauuendused laadinud ja tahab taaskäivitamist (all paremal kollane kilp), tuleb seda teha kohe, kõik oma tööd eelnevalt salvestades. Lükates seda tegevust edasi (nt tööpäeva lõppu) riskite sellega, et Teie arvuti on uute pahalaste vastu (veel) kaitsetu

7. Kui arvutis toimub tõsine turvarike (paremale alla ilmub punane kilp), siis tuleb töö koheselt lõpetada arvutit seinast välja tõmmates. Nakatumine ja muud pahateod võivad sel juhul toimuda sekunditega! Käivitada võib arvutit siis vaid vastavate oskustega IT-(turva)spetsialist

8. Kui peres kasutatakse arvutit mängimiseks, meelelahutuslikes kohtades käimiseks vms, on mõistlik nendeks tegevusteks soetada eraldiseisav, tööarvutist erinev arvuti

9. Arvutisse võib installeerida vaid kontrollitud tarkvara. See nõue ei puuduta vaid tööarvuteid, vaid ka neid arvuteid, kus Te kasutate ID-kaardi rakendusi (mis peavad olema turvalised)

10.Näidake vähemalt kaks korda aastas oma arvutit kogenud IT-(turva)spetsialistile. Kui Te oletate midagi kahtlast (käitumise põhjal), tuleb näidata arvutit spetsialistile esimesel võimalusel

11.Personaalarvuti konto on üldiselt isikupõhine. Lubamatu on, et sama kasutajakontot kasutab kaks või enam inimest – kõigile neile tuleb luua eraldi konto. Teise inimese arvuti taha lubamine eeldab üldjuhul kontolt väljalogimist

12.Alati tuleb paroolipõhisele autentimisele eelistada ID-kaardi põhist autentimist. ID-kaardis asuvaid võtmeid ei saa mingi pahalane üle võrgu varastada ega kopeerida

13.ID-kaart on Teie personaalne turvaline autentimisvahend, mida peate hoolega hoidma. ID-kaarti ja selle PIN-koode ei tohi kunagi teisele isikule üle anda.

14.Lubamatu on ID-kaardi PIN-koode üles kirjutada. PUK-kood on aga lausa soovitav peidetud kujul (mida teate ainult Teie) üles kirjutada

15.Lubamatu on ID-kaarti kasutada võõras arvutis, mille turvasätinguid Te ei tunne

16.Lubamatu on ID-kaardi PIN-koode sisestada paigas, kus keegi võib neid pealt vaadata

17.Hoidke ID-kaarti arvutis nii lühidalt kui võimalik (kui kaart pole arvutis, ei saa pahalas-tarkvara seda kasutada)

18.Kui siiski tuleb mingil põhjusel autentida enda paroolipõhiselt, tuleb paroolide käitlemisel arvestada teatud reegleid. Parool ei tohi olla kergelt äraarvatav (12345, qwerty, sünnikuupäev vms)

19.Parool peab olema vähemalt 9 märki pikk ja sisaldama väike- ja suurtähti, samuti erimärke

20.Mitmes kohas ei tohi kasutada sama parooli (rengelt on keelatud tähtsa koha parooli kasutada meelelahutuslikes keskkondades)

21.Paroole ei tohi ilmutatud kujul üles kirjutada (võib peidetud kujul)

22.Paroolide automaatse meeldejätmise funktsioon tuleb veebibrauserites deaktiveerida – meeldejäetud paroolid on kerge saak pahalastele. Paroole tuleb hoida kas meeles või spetsiaaltarkvaraga krüpteeritult (seda viimast korraldaldab Teie IT spetsialist)

23.Töökohalt lahkudes logige alati end välja (kõik süsteemid ei tee seda automaatselt). Ajutiselt lahkumisel kasutage mõne minuti pärast aktiveeruvat ekraanilukku (mida saab avada parooliga)

24.Tundmatutelt inimestelt meilimanustena saadavaid asju ei tohi avada. Ka pealtnäha tuttavatelt inimestelt saadavaid meilimanuseid ei või avada, kui ei ole eelnevalt teada, et ta midagi säärast saadab – meilisaatja nime ja muid rekvisiite saab väga kegresti petta (meiliteenus ei nõua saatja autentimist)

25.Veebis avanevad soovimatud hüpikaknad (mille funktsioonist Tee aru ei saa) tuleb alati sulgeda paremalt ülevalt nurgast ristikesest, mitte kunagi „No“ või „Cancel“ vms nupust, mis asub aknal

26.Kui kasutate mobiilseid seadmeid (pihuarvuti, sülearvuti) tuleb seal kas konfidentsiaalseid andmeid mitte töödelda või tuleb nende sisu krüpteerida. Vastav tarkvara on enamike platvormi de jaoks olemas. Sama kehtib mobiilsete andmekandjate (mälupulk, kõvaketas) kohta

27.Tundmatust turvakeskkonnast pärinevate võõraste portatiivsete andmekandjate (mälupulk, väline kõvaketas) ühendamine oma arvuti taha on üldjuhul lubamatu (kui ei ole selleks loodud eri protseduuri ja seadeid IT spetsialisti poolt)

28.Konfidentsiaalsete andmete kustutamine peab toimuma eritarkvaraga, opsüsteemi vahenditega kustutades jäävad andmed tegelikult alles. Kriitiline on see mobiilsete andmekandjate (mälupulk, väline kõvaketas, sülearvuti) korral

29.Digiteabele tõestusväärtuse andmiseks (selle tegemiseks paberdokumendiga õiguslikult identseks) on vaja varustada ta digiallkirjaga. Digiallkiri seob dokumendi matemaatiliste võtetega allkirja andja ID-kaardis oleva võtmega, mida võltsida ei saa. ID-kaardi põhine autentimine sellist seost ei loo, kuna autentimine toimib enne dokumendi loomist (keskkonda sisenemisel), digiallkirjastamine aga pärast dokumendi valmimist

30.Enne digiallkirja andmist vaadake, millele Te alla kirjutate. Kunagi ei tohi (mitte-IT spetsialist) digiallkirja anda DOC ega DOCX laiendiga dokumentidele – sobivaim on PDF-dokument, kuid sobib ka RTF.

Edasised turvaküsimused:

valdo@e-tervis.ee

+372 514 3262

Tänan tähelepanu eest!