Kuidas pank end turvaliseks teeb?

Kas ka sina oled nende seitsmekümne seitsme protsendi hulgas, kes pole oma tööga rahul? CV.tee aitab sind. Suur töökuulutuste buum on jälle alanud ja nüüd on õige hetk end CV.tee keskkonnas nähtavaks teha. Aktiveeri oma CV, luba

Laupäeva pärastlõuna on käes, tere tulemast kõigile kuulajatele, Taavi Kotka, Henrik Roonemaa juhivad nagu ikka Restarti saadet ja täna on meil külaline, kelle nimi on Tiit Hallas, tere. Tervist. Me peame sind tutvustama, nagu me ikka tutvustame oma külalisi enne, enne jutu juurde asumist, nii et aga võib-olla ma lasen sul ise teha, et sa praegu oled LHV panga infoturbejuht. Sinu, sinu mure on see, et kas keegi teine peale õiglaste omanikke saab ka pangast raha kätte või ei saa, on ju.

Jah, nii ta on, et tegeleme infoturbega LHV-s ja, ja tagame siis oma klientide raha turvalisuse elektroonilistes kanalites.

Minu, minu mälestustes sa oled peamiselt figureerinud SMITi, ehk siis siseministeeriumi IT, mis asi, ta on osakond või siseministeeriumi IT? Info, nii-öelda sama inimesena, infoturbejuhina, et, et siis, siis su ülesanne oli kaitsta Eesti riiki. Samasugustel rünnakutest, aga veel enne seda olid sa veel pangas.

Jah, nii on, et, et Swedbankis sai samamoodi infoturbega tegeletud ja, ja seal siis peamiselt elektroonilistes kanalites ja, ja. No intsidentidega tegeletud infoturbe vallas, peamiselt hiljem siis elektrooniliste kanalite pool ja arhitektuuri ja disainiga tegeletud turbevaatest.

Ja veel enne olid sa kunagi TTÜ-s, sest mina mäletan sind TTÜ ajast igatahes.

No TTÜ-s, aeg-ajalt figureerin siiamaani, nüüd, nüüd küll võib-olla rohkem lektori rollis, aga, aga jah. Töötanud ma selles mõttes ei ole.

Ta oli eriline, täpselt samasugune habe oli sul umbes ka ülikooli ajal. Täpselt samasugune välja põhimõtteliselt ka kakskümmend aastat tagasi.

Okei, aitäh, ju siis ma olen hästi säilinud.

Aa ei, no selles mõttes IT, IT-inimesed on eriti erilised ju noh, nii-öelda tänapäeval nad on juba hakanud kuidagi sulanduma muu ühiskonna nagu osaks, aga omal ajal nad olid. No selgelt arusaadavad, nad ju kutsuti patsiga poisteks ja karvasteks ja nii edasi, on ju, et. Ja neil on kõigil olnud alati mingi seljakott seljas ja, ja hästi paks joppest. Ei,

muster ei olnud,

aga just see, et, et paks soe jope ja seljakott ja, ja see oli umbes selline klassikal kui IT-poiss nagu, et.

Sa tundsid, Tiit, ennast ära või olid klassikaline IT-poiss? Jah, see jope jäi korraks, jäi võõraks, aga noh, eks aeg-ajalt ikka on külm, aga sellega, et on küll, sest et asjad peavad ju kaasas olema, eks.

Muidugi. No vot, aga lähme hoopis, hakkame Swedbank'a pärast pihta, et räägime raadio kuulajale, kuulajale ära, et mida teeb üks infoturbeinimene Swedbankas? Või üldse pangas?

Infoturbe on sihukene hea, lai valdkond, et sinna alla saab tänapäeval vist kõik katta, aga kui rääkida konkreetselt minu enda rollist Swedbankas, siis. Eks ta algaski peamiselt intsidentide tuvastamisega, ehk siis suurem osa ongi logide analüüs ja igasugu anomaaliate tuvastamine, et, et. Noh, kuna mul endal analüütika on hästi hingelähedane, siis igasugused need pettused ja, ja logide analüüs ongi see, mis nagu nii-öelda tegelikult selle silmas olema paneb. Et, et otsida selliseid asju, mida võib-olla igapäevaselt ei peaks seal olema, põnev.

No need valdkonnad, kus sa oled olnud, on ju pangandus ja, ja, ja noh, suur osa või suur lõpp Eesti e-riigist või mingist väga olulistest projektidest. Et mulle tunduvad, et need on keskmisest nagu raskemini kaitstavad või, või keskmisest suurema huviga kurikaelte poolelt, siis et on see niimoodi või? Kas sa oled ka otsinud selliseid asju, mis on just hästi rasked, et, et mitte mingit teatise tehast turvata kuskil?

Täpselt nii ongi, et, et kui nüüd mõelda ka siseministeeriumi või-või SMITi peale, siis ega SMIT täna valvab ju kolmandiku Eesti riigist, sisuliselt. Ja, ja need teemad, millega nad tegelevad alates siseturvalisusest, tükike julgeolekut, kogu pääste-häirekeskus, eks ju, ja piirivalve, Schengeni piir, need on hästi olulised teemad. Ja mind ennekõike sütitavad ka need teemad, mis on justkui olulised, et, et kui meil ikkagi piir mõne ajaga seisab, siis kas tehniliselt või, või siis nagu füüsiliselt ei ole võimalik üle piiri minna. See on ikka päris kriitiline pahandus ja, ja see, et, et kaitsta asju, mis on teiste jaoks olulised, see on nagu kuidagi motiveerib, see on see, mis nagu sütitab jälle.

Aga jah, me esialgu sinna panga juurde, enne kui me SMITi juurde lähme, et räägime just kuulajale ära, et noh, et mis tüüpi rünnetust me räägime üldse, on ju, et. Et ühelt poolt on see, et keegi teeb sul, ma ei tea, masspäringuid ja proovib su süsteeme halvata, neid aeglaseks muuta, muuta või, või sõna otseses mõttes. Serverit kukutada, eks, aga, aga teine osa on see, kus sa lähed ja otsid välja, et oi, et nagu. Mingi välismaa krediitkaart võtab praegu Jõhvi ATM-ist raha välja, on ju, ja et kas ikkagi on nagu õige omanik selle nagu kaardi taga või aparaadi taga. Ja, ja kuidas me nüüd selle kuti kätte saame, on ju, et, et kumb see rohkem sinu maailm on?

Tegelikult mõlemat, et isegi ma toon kolmanda avate veel juurde, et kui me mõtleme täna nagu rünnete peale, mis toimub nii-öelda noh, jutumärkides pankade suunal, siis ega rünnatakse klienti, seda. Nagu me filmides näeme, et kindlasti graafiliste ründevahenditega muidugi, aga-aga rünnatakse, eks ju, panga tuumiksüsteeme ja mida kõike sellist. Seda ikka nagu naljalt ei näe, et pigem sa näed, eks ju, jah, selliseid automatiseeritud skännimisi, tavalise turvanõrkuste otsimisi, nagu ma arvan, iga teine teenus näeb, sest nad ei ole sihitud. Aga pankade puhul rünnatakse klienti ja, ja kõige huvitavam ongi just see, et, et kliendi käitumise nii-öelda muutus. Et kui sa ikkagi näed, et, et kui keskmine kodanik logib internetipanka ja ütleme, vaatab oma väljavõtted, siis läheb, teeb mingi makse, siis vaatab jälle väljavõtet ja teeb mingeid toiminguid, mis tunduvad normaalsed. Siis, kui ühel hetkel toimub makse sekund pärast sisse logimist näiteks või, või noh, umbes niimoodi, siis tegelikult see on juba asi, mille peale võiks nagu hakata vaatama, et mis seal siis täpsemalt toimus. Ja selliste stsenaariumite väljamõtlemine ja nende tuvastamine, nende nagu robotite ehitamine, mis seda kõike teeb, et see on see, mis on nagu põnev. Ja Et kui sul ikkagi sama isiku nimel olevad kaks erinevat kaarti võtavad ühel hetkel raha välja niimoodi, et on, on Eestist ja siis viis minutit hiljem on näiteks Hispaaniast võib-olla koht, millest selle sisse vaadata, et mis toimingud seal veel on. Ja kui pärast Hispaaniat toimub järgmine, järgmine tehing Tais, siis võib juba arvata, et ilmselt on kaart kusagilt rändama läinud, on ju.

Aga mis siis saab, et ühesõnaga avastate, et oi, et nüüd Jõhvis võetigi nagu noh, tõenäoliselt on tegemist pettusega, on ju. Esimene asi on, proovite klienti kätte saada või lä

Noh, meie esimene asi on kliendi jaoks ikkagi kulutused maha tõmmata, ehk siis jah, see politsei track käib paralleelselt, aga, aga meie jaoks on vaja aru saada, kus kohas kaart kopeeriti. Ehk siis me hakkame tagasi vaatama sealt, et kus kohas siis nii-öelda need erinevad kuritarvitatud kaardid kokku puutusid, võimalikus kohas. Ja kui me sealt tuvastame selle nii-öelda common place of purchase'i või selle koha, kus nad siis nii-öelda lekkisid, siis sealt vaatame ülejäänud mõjuga kaardid. Saadame kas teavituse või sulgeme kaardi ja siis hakkame alles tegelema sellega, et Ennekõike esimene samm iga intsidenti juures on ikkagi see, et, et üritame ta kokku tõmmata ja ära piiritleda, et edasi ei leviks.

Kas sul ei ole Taavi pank helistanud või minule on helistanud, mitte küll LHV, aga, aga üks CVS pank on helistanud, et kuulge, et me näeme, et te tegite praegu sellise asja, on ju, olles kuskil Hispaanias või et noh, on see okei või? Ja siis ma ütlen jah, ma pidin ütlema, et jah, et see on okei ja nad rahuldasid sellega.

Pean tunnistama, et see kunagi väga ammu on juhtunud, aga kuna ma reisin hästi palju, oma töö tõttu erinevates riikides, siis kuidagi need algoritmid on läinud natuke intelligentsemaks, et enam ei, ei teavitata, et. Et noh, mul oli siin üks paar nädalat tagasi, ma olin viies Euroopa linnas nelja päeva jooksul, on ju, et, et, et siis.

Aga võib-olla sa oled just, sa oled nagu nii hea target pank on käed püsti tõstnud, et me ei saa ise ka aru, et mis algoritmi Kotkale kohaldada või, või sa, või sa arvad, et kas sellisele hullule saab ka algoritmi peale panna või ei saa?

Eks saab ikka, aga, aga ma arvan, et, et noh, kui inimene reisib palju ja on ettevõtlik, eks need kliendi profiilid on ka erinevad ja seal on vastavalt see nii-öelda riskitase ka erinev, et, et ilmselt seal on ka alternatiivsed meetmed ja, ja. Ega jällegi, kui me oleme näinud, et inimene tõesti reisib, siis seal annab ka võib-olla mingisuguseid riske võtta selle koha pealt, et, et me seda kaarti kohe ei sulge lasema inimesele välismaale oma toimingut lõpuni teha ja siis hiljem arutleme selle üle, eks ju, et, et. Et siin on kindlustused ja erinevad muud meetmed veel, et.

Aga kui suur see, ütleme niimoodi, et see on nüüd pidevalt muutuv maailm, see on täpselt nagu ma ei tea, dopingusportlastega, et dopingukütid on alati nagu kaks sammu maas nendest, kes seda neilt traage välja mõtlevad, on ju, et. Et teil ka, et kui suur see meeskond teil oli üldse Swedbankas?

Numbritesse võib-olla konkreetselt ei lähekski, see isegi ei ole nii oluline, aga ma vastaks sellele poolele küll, et, et ongi põnev maailm ja, ja võib-olla see asi, mis. Mis nagu sütitas mind ka sellega tegelema, on see, et sa peadki mõtlema nagu seesama pätt. Ehk siis, kui sa nagu töö juures mõtled selle peale, kuidas, kuidas siis kaitsta nende stsenaariumite peale, siis nagu muul ajal või ütleme, kui sa kodust loed, mida maailmas tehakse, sa üritadki välja mõelda, et kuidas ma ise ründaks? Et noh, mismoodi nagu seda nagu jama tekitada ja siis selle pealt hakkad iseendale vastu töötama, et on niisugune natuke skisofreliline maailm, aga, aga see on nagu hästi niisugune jälle põnev koht.

Aga mõtlengi, et sa pead noh, suutma ikkagi panna ennast, ütleme okei. Selle rünnata avaikse kliendivaatenurka ka, on ju, ja üks kuulsamaid Swedbank ajaloo ründeid on toonud selline, kus tuleb vigases eesti keeles kiri ja ütleb, et. Kaotasime ära teie paroolikaardi koodid ja olge head, palun, sisestage nüüd kõik need numbrid uuesti meile siia koos oma kasutajanime ja salasõnaga, on ju, et. Et noh, see on ikka päris rumal, aga samas oli ikkagi nagu inimesi, kes olidki nagu ja, ja panidki selle informatsiooni sisse, sisse, et. Et kas sa, kui sa täna vaatad nagu noh, sellel ajal läheb tagasi, et kas eestlase nii-öelda küberkirjaoskus on läinud paremaks või ta tegelikult on võimeline ikka noh, samasuguse ründe ohvriks langema?

Eks aus vastus on see, et, et eks, eks on ikka valmis inimesed langema ohvriks ikka ja, ja kuidas seda ennetada, ma arvan, et seal ei olegi. Need ei ole tehnilised ründed, need on kõik, on sotsiaalsed ründed ja, ja siin ainus, või ütleme, üks suuremaid asju, mida pank saab ära teha, on oma kliendile selgitada, kuidas teenus töötab. Näiteks sellesama ründe ennetamiseks ju, Swedbank tegigi kampaania ja kirjutab igas oma lepingus ka, et pank mitte kunagi ei küsi sult neid pinne korraga mitte ühelgi lehel. Me ei küsi neid meili teel, ei tee kõiki muid asju. Et selline kommunikatsioon on juba väga hea, et klient teab, kuidas pangateenus töötab, et noh, PIN2-te sisestades sa ei peaks panka sisse logima näiteks, see on väga hea asi, mis meelde jätta. Paraku, kuna seda võib-olla ei ole piisavalt räägitud, siis me näeme tänase päevani selliseid ründeid, kus kohas nagu teatud petuste puhul inimesed proovivad PIN2-ga internetipanka sisse logida ja taustal siis pätt teeb, eks ju, mingisuguse toimingu.

Aga see on isegi juba suhteliselt tehniline, on ju, et noh, väga palju on ju ka neid ründeid, kust lihtsalt tuleb kiri ja noh, võltsitud eemal ja aadressilt, jätab mulje, nagu see on sinu raamatupidaja või sinu tegevdirektor, mis on nüüd need juhatuse esimehe petused, käisid meil

siin.

Jõu, kanna raha üle, kiiresti, kohe on vaja, noh, et seal ei ole ju eriti midagi, tehnilise, tehniline on see null koma üks protsenti sellest.

Täpselt nii ongi, et, et ma ei tea, kas see on hea või halb, aga, aga kogu see nii-öelda IT-maailm minu hinnangul on läinud nagu justnimelt sinna turvalisuse poole, et enam. Noh, ei ole vaata liiga palju seda, et, et meil mingisugune konkreetne pahavara tuleks ja võtaks konto üle, kui piisab sellest, et ma saadan lihtsalt kirja, ma saadangi mass kirja, eks ju, saadan. Ma ei tea, sajale tuhandele inimesele, meiliaadressid saab ju ostu ometigi, eks, ja, ja kõik on umbes sama sisuga, et kanna kohe raha siia, eks ju, olen sinu, siia ei jõu, on ju. Ega selle vastu tehniliselt võidelda ongi keeruline ja isegi kui me täna, eks ju, põristame trummi, et, et olge ettevaatlikud emailiga ja tehke email turvaliseks ja ärge saatke arveid emailiga. Okei, no aga lepime kokku, et homme tuleb see arve faksiga, et noh, me ei hakka rääkima, et ärme faksiga usalda või et ärme postkastist enam arveid võta. Just, helistab keegi või nii edasi, et keskenduma peaks just sisule, et, et rääkige võib-olla majas läbi, et kuidas need protsessid töötavad, et kui te oma, oma ülemusega korraks suhtlete ja lepite kokku, et kuule, teeme nii, et ära mulle meili teile sihukeseid asju saada, et noh, helista mulle, kui sul on vaja ülekannet teha või helista üle või noh, kuidas iganes. Ja need kokkulepped majas nagu peavad, tööprotsessid on paigas, siis sihukesed kirjad ei toimita kunagi. Et noh, toimivad nad sellepärast, et me ei ole kokkuleppinud, kuidas me teeme, et kui, kui Hendrik mulle saadab kirja, eks ju, et kuule. Ma olen siin praegu Hispaanias kinni, et tuhat kakssada taval kohe, on ju, siis mu esimene reaktsioon on see, et ma helistan sulle, vaata, küsin. Miks sa päriselt oled? On päriselt ikka nihuke lugu või? Et noh, ongi, see on nagu käitumise kokkuleppimine, mitte nagu see, et nüüd ma hakkan oma postkasti paremini turvama või kuidagi. No

SMS-i saatjaid on suhteliselt trihtne, fake-ide, ma olen aru saanud, et ma ei, ei ole tegelenud ise, aga noh, põhimõtteliselt minu arusaam on, et internetis on teenused selle jaoks. Et paned püsti ja, ja tulebki minu numbrit, on ju, sulle võib-olla, Taavi, et kuule, mul on suur häda, on ju, et tuhat euri vaja. Ja noh, kui ikkagi minu numbri ja nimega SMS tuleb, siis ma arvan, et sellesse sa juba suhtud vähema hoolsusega kui mingisse e-maili, et ma arvan, et need ongi, et lõpuks neid võimalusi on ju piiramatu hulk, on ju. Või noh, keegi ajab ära mu Facebooki, teeb chat'i akna lahti, on ju, ütleb sealt, et kuule, Taavi, õudne häda on, et noh. Niimoodi, sealtkaudu turvamine tundub jah, lootusetu töö.

Aga igal juhul jah, ma ütleksin küll, et, et, et seda nii-öelda kanalit, kustkaudu arve tuleb, seda, seda nagu püüda, püüda on nagu ikkagi suhteliselt keeruline, võrreldes sellega, et lähme sinna sisusse või selle algpõhjuse juurde, et miks see makse toime pannakse üldse, et.

Aga ma ütlengi, et kuna see pettuste maailm on niivõrd lai, siis selle esimese ploki lõpetaseks, et. Et kas teie maailmas kehtib ka see reegel, et kõigepealt vaatame, kuidas me nag Suured kalad kinni saame ja siis vaatame, kuidas nagu noh, ma ei tea, oma krediitkardi pettused või midagi, midagi sellist, et kuidas me sellega tegeleme. Või see on pigem nagu noh, ühesõnaga, kummal olulisem, kas rahasumma või rahamass või tehingute arv, mis, või pettuste arv, mida te nagu peamise taga ajate ka nagu noh, et vastu, vastu, vastu saada.

See on väga hea küsimus, ei ole sellist nii-öelda ühest süsteemi, et lähtume alati niimoodi, vaid pigem on, ma arvan, et mõlemad on olulised, et hästi laia mõjuga teemad on kindlasti maini mõttes, eks ju, olulised. Samas hästi suure kuluga teemad on samamoodi, eks ju, lõpuks põrgatavad mainesse ja, ja, ja tulevad tagasi siis sanktsioonide või millegi muuga, et. Et kui on nagu nii-öelda rahuaeg, et keegi aktiivselt ei ründa, siis on loomulikult mõistlik teha esimesena ära võimalikult olulise mõjuga asjad, mis on võimalikult lihtsad, need low hanging fruit, nii-öelda. Aga kui me räägime aktiivsest ründest, siis ma väidan, et me nagu niimoodi noh, ongi emotsiooni najal ja ärilistest mõjudest lähtuvalt me hindame neid asju case by case.

Teeme siia pausi ja siis jätkame.

Restart jätkub ja Tiit Hallasega räägime sellest, kuidas turvata panku ja muid olulisi suuri organisatsioone. Sa eelmisest plokist korra käis läbi ka, sa ütlesid, et, et neid otseseid ründeid nagu panga kui sellise vastu on, on pigem vähem, et rünnatakse klienti ja. Ja et asjad ei käi nii nagu filmis ja siis ma hakkasin mõtlema, et noh, et kui mina, kes ma ei ole häkker ja ei ole ründaja, on ju, pole seda kunagi teinud, et. Et ma ikka prooviks nagu rünnata, et ma tahaks seda arvutit saada, kus raha on. Ma ründaks seda arvutit pangas, miks see nii on siis või kas, kas, kas seda arvutit ka rünnatakse või see on nii võimatult keeruline, et keegi lihtsalt ei hakkagi üldse tegelema sellise väikse asjaga?

No IT-maailmas on hästi riskantne öelda, et mingi asi on võimatu, et lõpuks on nagu kõikvõimalik, eriti vaadates siin eelmise aasta alguses välja tulnud igasuguseid turvanõrkusi siin protsessorite tasemel juba ja nii edasi, et. Et seda nagu ei tahaks öelda, aga, aga, aga, aga seda ma võin küll öelda, et needsamad nii-öelda siis arvutid, kus rahapeidus on, need on nagu niivõrd. Mitme erineva siis nagu kihi poolt kaitstud, et nad ei ole, eks ju, sellised, mis on otsapidi surges välisvõrgust üldse nähtavad või, või midagi, mida sa näed, vaid see on ikkagi. Pangad on mitte ainult infoturbe vaatest, vaid ka nagu IT-halduse ja arenduse vaatest ikkagi hoolega läbi mõelnud, sest noh, see on see, see on see põhiline vara, mida kaitsma peab, see on see ground juuls, nagu öeldakse, seal. Infoturbe maailmas, mille, mille kaitsmise nimel kõike tehaksegi.

Aga kuidas sul on mingid protseduurilised reeglid, et noh, et, et a la, et kui see summa läheb, ma ei tea, mingist miljonist ülesse poole, on ju, et siis peab olema neli paari silmi nagu, mis. Mis veel lisaks teevad mingi füüsilise kliki selleks, et üldse midagi liiguks, on ju, et

Jah, aga teistpidi on see ikkagi noh, minu mõistuseks ka keeruline aru saada, et. Et kui me teame noh, kui ligadi-logadi see IT-turvamaailm on, on ju, aga siis me loeme, et, et noh, suurfirmast X läks kolmsada miljonit ja üheksasada miljonit kontot ja. Seisid seal, ma ei tea, oli, krüptitud ei olnud, võeti lahti, ammu oli krüptitud, noh, kogu see jama, on ju, või kui lihtne on fish'ida inimesi ära selleks, et nad teeksid midagi. Et siis meil on siiski nagu terve hulk noh, organisatsioone ka Eestis, keda noh, teada, laiemalt teadaolevalt ju suurelt häkitud ei ole, pangad käivad sinna alla, on ju. Telkode andmebaase ei näe nagu eriti kuskil liikumas, on ju, mingeid Eesti krediitkaadi kasutuse, noh, krediitkaadide numbreid. Ja, ja riik on samasugune, et ega mingit noh, tohutult suurt, väga halvavat nagu noh, demoraliseerivat leket riigist ei ole ju olnud midagi väiksemat, võib-olla on olnud. Et kas selle taga, ma ikka küsin IT-turva inimeste käest, kui nad mulle ette satuvad, et, et kuidas see võimalik on, kas see on juhus või on Eesti millegi poolest peaaegu parem kui, kui näiteks, kui näiteks Dropbox või. Või ma ei tea, kes iganes, Yahoo või kuidas seda tehakse?

Ega siin sellest ühest vastust on hästi keeruline nagu anda, et, et kui me võrdleme, eks Eesti riigi infosüsteeme võib-olla Dropboxiga, siis ma väidan, et eks seda huvi ehkki on vähem. Eesti riigi süsteemide vastu, noh, teine asi kindlasti on see, et, et Eesti riigi teadlikkus nii-öelda võib-olla management'i tasemel infoturbest ja selle vajalikkusest on, on. On mõnevõrra võib-olla parem tänu meie noorusele ja sellele, et me oleme seda teemat hästi palju ikkagi rääkinud ka. Et, et infoturbes, kohati infoturbe nii-öelda kogukonnas, inimestega arutledes, mulle jääb mulje, et, et kuna meil on nagu infoturbe vallas hästi palju fanaatikuid ja nad on, nad tahavad teha nagu asju hästi-hästi ideaalselt turvaliseks. Ja kui see ideaalsus ei ole saavutatud, siis justkui on nagu halvasti, et me ei ole turvalised ja siin asjad kukuvad ja tuuakse sihukesed marginaalsed näited, et näed, keegi häkiti ära või jälle ü Kui natuke korraks nüüd Euroopas ringi vaadata või vaadata veel kaugemale Ameerikasse, siis ma väidan, et Eesti tase nagu on noh. Ma isegi ütleks, et ikka kordades nagu üle sellest, mis mujal maailmas toimub, eks, et. Sellist asja, et sa lähed näiteks Eestis, lähed, ma ei tea, mõne autotootja kodulehele, või automüüa kodulehele ja, ja vaatad seal ringi. Ja vaatad, kas mõni turvanõrkus on või ei ole, versus see, et lähed suvalise Ameerikas oleva auto müüa kodulehele ja vaatad sealringi samamoodi. Siis noh, Ameerikasse leiad kahe minutiga neli turvanõrkust, Eestis võib-olla ikkagi peab pingutama, et midagi üldse ei leida.

Aga näiteks, Eestis pannakse praegu valitsust kokku, on ju. Ja noh, kindlasti on seal selles protsessis osalevate inimeste arvutites ja telefonides erakordselt huvitavaid materjale. Mis võivad olla huvitavad, noh, lihtsalt sellepärast, et need on huvitavad, on ju, aga et võib-olla, kui ma oleks suur vaenulik riik, kes on Eesti kõrval, äkki ma tahaks selle ära ajada näiteks, või äkki ma tahaks selle ära ajada ja nii-öelda lekitada avalikusse. Ja tegelikult panna sinna midagi juurde, mida seal enne ei olnud või võtta sealt midagi ära. Ja noh, mul ei ole erilisi illusioone, et näiteks ma ei tea, Jüri Ratast või Jüri, Jüri Ratase või Mart Helme või Martin Helme arvutit fishida, noh, see ei tohiks olla ju. Noh, mingi sama keeruline ülesanne kui kuu peale lendamine, see on ju võimalik.

Raske öelda, ma ei ole proovinud.

Ei noh, ma ka ei ole proovinud, jaa muidugi, aga sa ju tead ise ka, kui lihtsalt Fischina käid.

Absoluutselt, selles osas ma pean nõustuma, õnneks on, on meil terve organisatsioon siin, nii riigikantselei kui ka Riia näol olemas, kes selle probleemiga peaks tegelema ja inimesi sel temal koolitama. Ma ei ole ise nendest koolitusest osa võtnud, seega ma seda kvaliteeti taaskord ei oska kommenteerida, aga, aga. Aga inimesed vähemalt tegelevad sellega, ma loodan, et nad teevad head tööd ja see teadlikkus eelkõige nii-öelda. Pot

Aga kui sa SMIT-is olid, sa nägid, kui suur see huvi on? Mitte koolituste vastu, vaid selle riigi, riigi lahtihääkimise vastu.

Riigi lahtihääkimise vastu, ma väidan jälle, et, et ka ründaja toob maha selle low-hanging fruit'i, ehk siis pigem käiakse ja otsitakse dokumendihaldussüsteemidest lahtiseid dokumente, millal see AK marge on peale jäänud panemata ja mida saab meedias kasutada. Ja ilmselt on siis terve hunnik neid teisi organisatsioone, kes võib-olla jäävadki märkamata ka infoturbiinimeste poolt, kes lihtsalt on juba nii geniaalsed, et nad on ammu juba tekitanud tagaukse kuhugi läbi. Elmar Vaheri lapse sõbranna, eks ju, arvuti sisevõrku ja sealtkaudu tehakse hoopis mingeid asju, eks ju, mida tõesti ei oskagi otsida. Hoopis sellises kihis, mida me nagu ei oskagi vaadata, eks. Aga eks see on võib-olla üks põhjus, miks nende võtmepositsioonidel olevate isikute arvuteid ka nagu vähe tihemini võib-olla vaadatakse üle infotur

Aga mõtlengi, et sa just tõid selle väga hea näite, et, et sa kunagi ei tea, kustkaudu võib see nagu auk sulle sisse tekkida, mistõttu teie valdkonna inimesed alati, kui sa küsid midagi, siis nendele standardvastus on. Tugines see meie hetke teadmistele, vastus on selline, eks ju, on ju, ja, ja noh. Õige ongi see, et sa tegelikult ju ei tea, et, et kas sa oled nagu lõpuni puhas või mitte, on ju. Mis tähendab seda, et, et noh, nagu siin hiljuti lahvatanud dopinguskandaalid ja muud sihukesed nagu jamad või rahapestusskandaalid. Et küberturbe, infoturbe inimesed ju noh, osa nende tööst ongi. Sellisteks hetkedeks valmistumine, ehk siis seesama, et kui see pauk tuleb, kuidas sa probleemi lokaliseerid, sellest sa juba rääkisid eelmises plokis. Aga ka see, et mismoodi sa kommunikatsiooni teed. Et räägi sellest poolest ka, et kui palju sul üldse nagu, mis sul, mis sinu nii-öelda vaatest on suurim pauk olnud, kui sa pead ise minema kaamerate selgitama, et, et mis nüüd siis toimus?

Oh, sellist head näidet võib-olla ei oskagi kohe lennult tuua, et, et neid. Ma pean natuke mõtlema niimoodi jooksu pealt, jah.

Aga see on iseenesest hea, vaata, et kui inimene on aastaid, on suuri organisatsioone turvanud ja. Ja ei olegi nagu midagi eriti.

Selles mõttes küll, et, et eks sellist selgitustööd võib-olla pigem isegi kinnisemas ringis, mitte meedias, on ikka vaja teha, et, et eelkõige just nimelt mõjusid selgitada, et. Infoturbe maailmas üks hea näide on jälle see, et, et kuidas sa hindad enne seda, kui intsident käes üldse on, kui sa hindad näiteks IT-riske või mingisuguseid küberriske, küberriske, siis kuidas sa hindad seda tõenäosust ja mõju? Ehk siis, kas sa hindad seda nii-öelda läbi selle, et milline on nagu maksimaalne võimalik kahju, mis sul tekkida võib, et noh, et stiilis, et kogu raha läheb kaduma korraga, eks ju. Mille tõenäosus ometigi on nagu kaduvväike, eks ju, või siis sa hindad seda nii-öelda tõenäosust, mis on sellisel keskmisel juhtumil, mis väga kahju kaasa ei too, on ju. Ja kuidas sa siis viid selle otsuse nii-öelda, kuidas siis seenior menesmendi lauale, et nad teeksid mingisuguse adekvaatse otsuse, et kuidas, kas me üldse tegeleme selle riskiga või ei tegele. Ja, ja minul vähemalt täna, tänase kogemuse pealt ei ole sihukest head ühest lahendust, kuidas neid nagu riske monetiseerida või-või öelda siia, et näed, kui me. Ma ei tea, täna ei turva paika neid kolme servereid, siis meie rahaline kahju on selline. Et kuna seal üks-ühest seost ei ole, siis me tegelikult täna hindamegi neid asju läbi eksperthinnangu ja ütlemegi, et, et kuulge, meie tänaste teadmiste põhjal. Rünnete aktiivsuse ja nagu sellise kogemuse põhjal, eks ju, me hindame, et, et seda serverit täna võib-olla kohe batch'ima ei peaks, aga kindlasti järgneva kolme nädala jooksul, on ju, aga noh, see server, see peab olema nüüd homseks tehtud, muidu võib juhtuda suurem pahandus. Kui ta tegemata jäetakse ja see pahandus jääb tulemata, siis selle põhjal mitte järeldada, et aa, järelikult Hallas ajas mingit jama, vaata, vaid pigem järeldatakse, et noh, see kord läks hästi ja kui sul nagu on selline usalduslik suhe oma selle senior management'iga, siis tegelikult Niipea, kui peab hakkama seal midagi täpsemalt nagu graafikutega joonistama ja siis nagu mõõtma seda, et palju meil siis oli intsidente ja selle põhjal hakkame investeeringuid tegema. Hästi kiiresti läheb hästi valesti. Sest et, veel kord, sa võid homme saada pihta sellise asjaga nipsust, mis võtab sul kõik ära, on ju, ehkki see tõenäosus on väga väike, noh, välk võib ikka sisse lüüa, on ju.

Kas sinu kogemuses on, on selliseid nagu hetki olnud, et sa, sa tunned, et sa vastutad, sul on vaja mingit ressurssi või mingit asja teha. Ja sulle öeldakse lihtsalt,

Ma tavaliselt ei lähe sellise jutuga, et, et kas, kas jah või ei ja et, et kas on õnnistus või on noh, kõik saab kohe otsa, eks ju, ma lähen alternatiividega, et reeglina on hea panna kuni kolm alternatiivid, mis variandid on ja mis on võimalikud tagajärjed. Nende põhjalt on võimalik otsuseid teha, eriti kui taustateadmine ei ole väga hea. Et kui minna lihtsalt nii-öelda piltlikult öeldes, hüpata põlvedega selga ja öelda, et nüüd kõik turvaliseks või muidu kukub taevas alla, on ju, siis see ei ole väga konstruktiivne, et see lõppude lõpuks Noh, iga ettevõttega äri tegema, ka riik, eks ju, peab saama oma nii-öelda teenuseid pakkuda ja kui need nagu sada protsenti turvata, siis ühel hetkel see teenus lihtsalt muutub ebamugavaks või kasutamatuks, et see ei ole kellegi eesmärk, et. Minu, ma olen ise sõnastanud infoturbe eesmärgi selliselt, et see on vahend pakkumaks teenuseid võimalikult turvaliselt. Aga noh, rõhk sõnaga sellele, et sa pead need teenused ikkagi pakkuma, mitte ei pane neid teenuseid siin arvutisse ja betoneerime ära ja on hästi hästi kõik, on ju.

Pluss, su kasutajad hakkavad vist oma loomingut tegema, kui see on neil väga, väga nagu kinni keerad asjad.

Absoluutselt, IT-töötajaid turvates eriti veel, et, et kui sa hakkad midagi blokeerima, siis leitakse kümme erinevat moodust, kuidas seda loomingulisemalt, loomingulisemalt teha, et seda jälle ei ole vaja, et.

Aga tuleme sinna SMIT-i juurde tagasi, et kui panga puhul on see motivatsioon suhteliselt selge, et noh, et ala, et noh, ikkagi saaks raha ja, ja, ja. Kas raha välja petta või kedagi teise kontot kasutada, mis iganes, on ju, et see raha, raha, raha Siis SMIT, kes täna valdab siis nagu politsei ja piirivalve ja üldse noh, kõige siseturvalisusega seotud süsteeme, on ju. Et seal nagu esimese hooga noh, okei, ma ei tea, ma. Leiab mingi riiklikult salastatud dokumendid, ma sellest saab veel aru, eks, aga, aga ütleme nagu ma ei tea, Schengeni infosüsteem või. Või mis on selle sea, sealne nii-öelda nagu selle ründaja peamine motivatsioon, mida ta nagu saavutada tahab?

Ründaja motivatsiooni on hästi keeruline hinnata pea sisse ei näe, et, et kui ette kujutada, siis. Eks ma ise kujutan ette, need võib-olla kahespidiseid, et üks asi on saada seda informatsiooni võib-olla selle kohta, et, et keda ja mis põhjusel võib-olla üle piiri ei peaks lubama, mis on need rahvusvahelised tagaotsimisnimekirjad või noh, mingi selline sisuline informatsioon. Ja teine pool võib olla ju lihtsalt selleks, et nii-öelda käru keerata, vahet ei ole, kas ta siis on poliitiliselt ajendatud või mitte, et. Et Schengeni infosüsteemi puhul on, on terve hunnik nii-öelda reegleid, millele peab vastama ja kui sa nendele ei vasta, siis on, on jutt juba rahvusvahelisel tasemel väga tõsine. Ja sellist olukorda nagu ei ole võib-olla alati vaja, et selle nimel siis tegeletakse ka, et sellist olukord ei tekiks.

Aga ma siis mõtlen, et kas sinu töö SMIT-is oli samane, nagu sul pangas oli, et sa proovisid nagu. Noh, pannagi ennast nagu ründaja rolli ja, ja, ja mõelda välja siis neid stsenaariume ja, ja sellel vastavalt kaitset või, või oli see hoopis teistsugune?

Seal ta oli pigem oli üldisem, et me tegelesime selle poolega ka ja neid riske me tõime välja ja, ja nende riskide maandamisega me tegelesime ka, aga, aga. Aga minu enda sisuline roll tol ajal oli, oli seda asja seal struktuursemalt üles ehitada ja võib-olla selgemini need vastutusjooned paika panna, et mismoodi see infoturve võiks. Võiks üleüldse seal valitsemisalas mingisugust rolli ja funktsiooni täita, et.

Kui sa mõtled nagu häkker, või sa mõtled nagu, nagu kurjategija, kas, kas ma asjaolu, et Eesti ennast rahvusvaheliselt välja mängib kui sellist, noh, enneolematut e-ühiskonda ja. Ja ütleb, et noh, näete, meil on kõik asjad netis, kõik, kõik need teenused on netis, on ju, kuni valimisteni ja. Ja noh, siis meil on selline võidurõõmus naeratus, kui mõni suurriik ütleb, et jesus, et meie juures seda ei saaks kunagi teha, et noh, kuidas te suudate, me ütleme, aga vot me oleme nii head, on ju, et me suudame. Et kas see, selline kerge nagu hooplemine ja see, see märk Eesti küljes võib-olla mingi selline target, et, et sul on juba auasi näiteks või kihvt oleks, kui ma suudaks selle, selle, selle hoopleva väikse putuka maha võtta?

Minu isiklik arvamus on see, et, et selline hooplemine ei ole kunagi õigustatud, et selline inglise keeles hea termin, humbleness, selliste asjade puhul, kus kohas sa teed asju hästi, on võib-olla minu jaoks väärikam kui see, et, et me käime ja toome rüsikaga vastu rindu, et oh, kui turvalised me oleme. Neid inimesi, kelle pea, kelle, kelle puhul selline asi nagu trigerdab selle, hmm, challenge, accept it teema, vaata, et neid, neid võib-olla päris palju. Ja kuni sa ikkagi nagu noh, sada protsenti kindel ei ole, et see turvaline on ja sada protsenti üleüldse milleski kindel olla, on nagu väga kahtlane teema, eks. Senikaua ma jah, võib-olla väga ei, ei, ei laseks teistel kiita.

Olles üks asjaosaline, kes tegelikult tegeleb riikliku mainega, siis siin on hästi palju legende. Et üks legend on see, et eestlased käivad mööda maailma ringi ja tahavad, kui ägedad nad on. See ei ole nii, et kui sa vaatad nagu ettekandeid, siis tegelikult meile kiputakse külge kleepima, neid me oleme nii ägedad, noh, a la näiteks siin. Risto Rossar tõi välja, et noh, et miks me käime mööda maailma ja räägime, kuidas me õpetame oma algklasside lastele noh, progemist. Mitte keegi pole öelnud seda. See on kunagine tõlkes kaduma. Kas New York Times või, või, või oli Washington Post, kes tõlkis valesti ja pani suure pealkirja, et vaata Obama, mismoodi eestlased sunnivad oma lapsi progremisel, meil pole veel siin interneti. Muld

nädal aega tagasi, üks Ameerika ajakirjanik küsis, et kuidas teil selle projektiga läheb, kas endiselt kõik õppima?

Ja, ja, ja vägades paljudes kohtades on see, et, et me oleme ühesõnaga nagu väsinud hüppamas sinna embrasuurile ütlema, et ei, see ei ole ikka nii, et tegelikult on, meil on võimalus õppida seda progemist ja see ei ole kohustuslik ja noh. Noh, mingi hetk, jumal eest, tahate udu-mudu kirjutada, kirjutage, täpselt samamoodi nagu kogu maailm teab, et Eestis on kõik blockchain'is. Jumala eest, ma olen väsinud seda selgitamast, on ju. Ja näiteks minu ettekannetes, see on omaette peatükk, et kus ma räägingi sellest, et. Et kui sul on kõik digitaalne, sa pead olema nagu valmis selleks, et, et sul ühel hetkel lööb nagu ilge välk sisse. Ja sul peab ühiskonnas nii palju usaldust, et kui sul on ilge pauk käib, noh nagu meil oli sellesama ID-kaardiga näiteks, on ju. Et noh, selles mõttes ilge pauk, et midagi konkreetset ei juhtunud, aga noh, oli oht, et võib juhtuda, on ju. Et sellel hetkel nagu ühiskond oskab nagu sellega toime tulla, on ju, ja mida rohkem selliseid harjutusi nii-öelda või õppusi, mil nagu võimalik läbi viia on, seda tugevamaks me ise muutuma, on ju. Et see on üks osa nagu sellest nagu turbe ehitamisest. Aga tihti see, mida meie nagu ütleme siin Eestis nimetame hoopimiseks, on noh, ütleme üldjuhul on see mingi välisajakirjanike oma fantaasia vili. Ja mis siis pärast tekib tunne, et oi, Noh, tuleb see mingi klepekas sinna külge, mida Ilves, noh, eriti oli Ilvesega oli seda, kus oli nii-öelda mingi vana imes pastakast nagu artikli, on ju. Pani ühe Ilvese tsitaadi sisse, on ju, ja siis tekkis niisugune tunne, et nagu president oleks midagi rääkinud, on ju, et noh, et, et.

Aga kas iseenesest see, see riigi noh, ütleme seesama küsimus, mida ma Tiidu käest küsisin, et kas see on olnud nagu riigis arutusel, et noh, et. Kui me nüüd ikka nagu liiga palju neid pealkirju saame, et noh, et ju siis nagu mingitel endadel kuskil konverentsil tekib äk

No aga teistpidi, mis on jälle hea nagu selle koha pealt, on see, et kui see huvi nüüd tekibki ja leitaksegi nõrkus, siis noh, siis mina näitan igal konverentsil oma ID-kaarti. Oma isikukoodiga ja, ja kõiki dokumendinumbritega, meelega, siis kui keegi suudab mulle kahju teha selle kaardi, selle pildi abil, siis on meil puskil väga tõsine noh, nii-öelda arhitektuurne viga tehtud. Süsteemtehniline viga tehtud, ehk siis jumala eest, kui see tuleb minu andmetega välja, siis on noh, ma ütlen, et see oleks kõige parem üldse. Ja sellepärast ma näitan alati, noh, sakslased on täiesti lolliks, kui sakslased näevad isikukoodi, ütlevad, et sa oled täitsa lause hobu, et mis mõttes sa näitad minu oma isikukoodi?

Aga Tiit, kas ütleme näiteks panganduse noh, IT poole ülesehitamine, selle, selle back-end'i ülesehitamine on kuidagi võrreldav, noh, ma ei tea, nagu lennujaama business'iga, et mulle tundub, et lennujaama business sõltuvalt sellest, noh, kui arenenud riigis sa üldse oled, see tundub täpselt samasugune. Et mul on teooria, et kusagil on mingisugune tarkade inimeste klass, on ju, kes ei lasegi sul noh, sellest halba koledat lolli lennujaama teha, et see peab igal juhul nagu toimima, on ju. Näiteks pankadega on samamoodi, et, et kas ka noh, näiteks nagu LHV või need teised pangad hakkavad ise nullist vaatama, et noh, kuidas me nüüd siis seda värki siin teeme või on mingi rahvusvaheline niisugune nagu lennujaama standard, et noh, tehakse nii ja vot nii tehaksegi.

Pankadel noh, õnneks ei, selliseid, selliseid standardeid ees ei ole, nagu on lennujaamadel või lennukitel üldse, et, et kui mõeldagi selle peale, et. Ma ei tea, lennukisse selle, pilootidel on need ekraanid, mille pealt nad asju juhivad, eks ju, et kui nüüd tahaks panna sinna selle vana hea selle. Pehme ekraani asemel võib-olla uue mingi iPadi, on ju, siis seda sertifitseeritakse, ma kujutan ette kaheksa aastat, on ju, et, et eks lennujaamal ilmselt on umbes sarnaseid asju, mida tehakse. Pankade puhul on hästi palju regulaatoreid ja hästi palju Meil vist vastavuskontroll luges ette, et konkreetselt meile kehtib neid üle mingi saja neljakümne, mida me peame täitma, mida iga aastaga uuendatakse. Aga õnneks ei ole seal jah, kirjas sellist asja, et, et, et te peate tegema infosüsteemi nüüd täpselt selliseks, on öeldud pigem laiemalt, et palun mõelge oma riskid läbi ja tehke. Erandiks on muidugi pangad, kes on Eestis kas või elutähtsa teenuse osutajad, kuskohast tulevad juba selgemad reeglid, et noh, mitu saiti, mitu andmeside ühendust ja nii edasi, mis on kõik seal ilusti seaduses loetletud. Aga, aga taaskord ega ka seal ei öelda nii täpselt ette, et ma ei tea, tarkvara peab olema selliselt üles ehitatud, arvestama nende nüanssidega, et, et paljuski on kogu pangandus ja riskivõtmise küsimus, samamoodi kõikide lahenduste puhul. Kas seal,

seal üks nüanss muidugi vist on, et kas näiteks logimise puhul või ütleme, isiku tuvastamise puhul on mingid reeglid, et, et ei tohi olla. Username ja parool näiteks, et ainult jah, et.

Ei, see jah, loomulikult selliseid, selliseid asju, see jah, ei puuduta nüüd nii väga enam, ma saan võib-olla küsimusest valesti aru, et, et mitte infra poolt, aga sisulises pooles kindlasti on seesama kliendi onboard'imise osas palju reegleid ja klientide. Tuvastamise osas ja ütleme, võib-olla internetipanga seansi pikkuse osas ja nii edasi, et selliseid tingimusi tuleb kindlasti sealt regulatsioonidest ette. Aga,

aga kui mina näiteks otsustaksin võib-olla Taaviga, et me hakkame nüüd tegema Eestisse, teeme ühe väikse panga, on ju, ja noh, meil on vaja e-panka, et, et Käime mööda Eestit ringi, otsime üks-kaks venda, kes on varem midagi progenud ja ütleme, et tulge hakkake panka tegema või on see nagu selles mõttes nagu valmis business, et. Et noh, kusagil maailmas ongi mingid tüübid, kes ma ei tea, müüvad või, või tulevad ja teevad sulle naks-naks nagu.

Helistad Neiveltile ja saad Pako peal platvormi.

Noh, et kas see on, on sellised business'id nagu tekkinud?

Guugelda, Banking as a service, et, et tegelikult, kui tõsiselt rääkida, siis neid erinevaid CRM-e ja, ja liidestusvalmidusega neid tarkvarajuppe saab osta küll, et sellest on tehtud täitsa äri, aga ma kujutan ette, et. Kui sa need numbrid kokku lööd, siis eriti, kui sa Eestis seda panka teed, siis võib-olla sa ei tee järjekordselt jaepanka, teed midagi mingi väikse nüansiga ja siis see suur tarkvara enam ei, võib-olla ei tasu ära, et ongi lihtsam ehitada ise ülesse see asi.

Ikkagi leida mingit tüübid, kas Kuidas see eirpagandus käib?

Noh, näiteks.

Okei, teeme pausi ja siis jätkame. Jätkame restarti ja tänane saade on turvalisusest. No meil on ka, võib-olla kasutame juhust, et meil on inimene stuudios, kes teab neid asju ja siis küsime, et, et kuidas siis nüüd saaks teha nii, et mina suht kindlasti mingi sellise rumala rünnaku ohvriks ei langeks, ei kannaks oma raha kuhugi osakule või? Ei jagaks oma paroole raiali? Kas mingi tehniline vahend on või, et installi see asi, et, et sa, Tiit, ütled ja siis on elu lõpuni munetu.

Noh, see, et sa oma turvauuendusi peaksid paigaldama arvutile, on ilmselt juba, juba kõigile selge ja, ja antiviirus teatud juhtudele aitab ka lausa kümne protsendi vastu vist, et tasub, tasub peale panna. Aga, aga noh, täna, eks ju, on ikkagi enamik ründeid, mida me näeme, on seotud inimese ründamisega, et kui me mõtlemegi siin aasta lõpus läbi käinud sellest. Finantsjuhi pettusest, mida siin ka Riia ja PPA inimestele teavitasid ja, ja, ja emaili teel liikuvatest petoarvetest näiteks, siis. Siis ei maksa võib-olla keskenduda sellele, et, et IT juht peaks oma emaili turvaliseks tegema, mis on, mis on kahtlemata ka oluline, aga, aga olulisem sellest on äkki läbi rääkida see, et kuidas need maksed ikkagi majas sees nagu toimuvad. Et kui sinu juht saadab sulle e-kirja, et, et palun, tee see makse, siis noh, äkki kokku leppida, kas need asjad ikkagi peaks nii jäima, et võib-olla on lihtsam, kui see juht helistab näiteks või helistab üle või, või pärast siis meilidel kinnitab selle makse. Et reeglina need ründed õnnestuvad just seetõttu, et majas ei ole nagu läbi räägitud, mismoodi me need maksed üldse töösse paneme.

Aga kes seda rääkima peaks, selles mõttes, kas see on mingi asi, mida, mida noh, IT-mees oskab rääkida, see ei tundu nagu ka.

Vaata, eks, eks siin inimesed on ka põhjendanud, et miks nad ei küsi juhi käest üle, on see, et noh, vaata, kui juht kirjutab, et kiire on siin, mis ma lähen teda segama ja sihukene väike häbitunne on seetõttu. Mina asutuse juhina tunneksin ise muret ja läheks, räägiks raamatupidajaga ja ütleks neile, et kuulge. Ma ausõna ei saada teile kunagi meili teel sihukest asja, et ma helistan või helistan üle. Et see võtab raamatupidajad selle küsimise pinge võib-olla maha, eks ju, ja näitab ka juhi poolt ülesse seda, et meil tegelikult on selle teema vastu huvi. Ja selline üks kord või paar korda aastas nagu selle teema ülerääkimine, eriti kui ei ole infoturbe juhti majas, kes võiks nagu seda infot siis nagu vahendada. Ma arvan, et ei ole, ei ole liiast, et seda, seda võib täitsa teha ülevalt poolt allapoole ka, et siis on nagu süda rahul ja, ja oluline on just see, et. Et ei, ei m

Ja alati saab panna mingi piiri, et noh, et a la, et sul on vaja seda täiendavat kinnitust, näiteks kui summad lähevad üle, ma ei tea, viie tuhande euro näiteks. Et sa, et sa iga pisiasja pärast ei pea helistama, eks, aga lihtsalt, et, et kui ongi noh, teadlik suuremahuline kahju võimalik teha ettevõttele, et see on ära hoitud nagu.

Ja põhimõtteliselt on võimalik ka seda fake'ida kõike, on ju.

Noh, teoreetiliselt on, eks, aga see ongi see, et sa vähemalt nihutad seda pettuse võimalikkuse piiri edasi, et. Et kui, kui tuua jällegi mingi teine näide, kus kohas oli juttu sellest, et meilikontosid võeti üle ja saadeti sealt täitsa asjalikult vestlusest mingisuguseid arveid, siis nagu lõpetuseks, eks ju, noh, siis ega seal. Noh, teoreetiline variant on küsida siis vastaspartnerilt üle, et kas sa ikka mõtlesid seda arvet tõsiselt, on ju, aga või kasutada mingit teist vestluskanalit selle jaoks. Eks see ühelt hetkelt lähebki see nii-öelda tuvastamine hästi Low hanging fruit'i selle koha pealt sa tõmbad jälle maha, et sinu enda majasisene petus vähemalt ei tööta.

Aga kas mingi tehniline nii-öelda pangapettus on täna ka sinu laual, kui, kui noh, see on ju probleemne viis, me oleme tõesti ainult rääkinud noh, põhimõtteliselt lihtlabasest kelmusest.

Siiamaani on, on igasugused needsamad petukirjad, mis suunavad sind siis kodulehekülgedele, kus, kui asimiteeritakse panga kodulehte näiteks, et selliseid asju siin on hiljuti ka Eestist läbi käinud, ja. Ja, ja seal on nagu jällegi häkker või pahalane siis näinud rohkem vaevaid tehniliselt seda asja ette valmistada, aga, aga sisuliselt langeb ikkagi selle. Nii-öelda pangateenuste tundmise või, või tehniliste vahendite tundmise peale, eks ju, et noh, lihtne näide, et. Et kui, kui sa, kui, kui panka sisenemisult, sult küsitakse näiteks ID-kaardi või, või Smart-ID või Mobiil-ID puhul. PIN kahte näiteks, siis see võiks olla nagu ohumärk, samas elu on näidanud, et, et inimesed tihtipeale ei märka seda või arvavad, et ju ta siis on normaalne, kuna pank ju nii küsis. Pank

ise teab, mis ta küsib

jah. Just, et noh, see on jälle koht, kus kohas pank või üldse asutus, kus kohas sa digiteenused kasutad, võiks oma klienti selles mõttes koolitada või meelde tuletada, et sisenemisel isiku tuvastamiseks kasutame me siiski ainult PIN ühte. Mitte kunagi PIN kahte ja PIN kahte me küsime ainult siis, kui sa pead midagi kas kinnitama või midagi allkirjastama või lepingut sõlmid, eks ju, et, et. Kui need asjad on pealuu sees, siis jällegi need ründed ka ei toimiks, aga täna paraku toimivad.

See on muide sellest vist omaette saate teha kunagi, ma isegi mäletan neid aegu, kui me vaidlesime, kas üks pind või kaks pinni.

Me just tahtsime praegu pakkuda, et äkki kogu aeg või kolm pinni.

Ei, selles mõttes kunagi oli tõsine koolkondade teema oli ja oli väga suur ja võimas koolkond, kes ütles, et üks pind, et inimesi on ainult üks number meeles pidada. Et oli niisugune aeg. Aga ma küsin hoopis teise kandi küsimuse lõppe, lõppe, saate lõpuks, et. On hoopis ometi ründeliik, mis puudutab siserünnet, ehk siis sul on nii-öelda rott süsteemis, on ju, et kes siis on sõna otseses mõttes pääseb sinu tulemüüridest, muudest nagu läbi. Noh, ma ei tea, klassikaline näide, aitab kaasa rahapesule, ehk siis seesama, ma ei tea, mingil täiendava silmapaari printsiip on ju, kes peaks üle vaatama ja kinnitama üle näiteks mingit rahvusvahelist makset, on ju. Summas noh, ütleme näiteks mingi kaksteist miljonit eurot, on ju. Ja ta tegelikult näeb, et taustamaterjalid on puudu, et tehing ei ole põhjendatud. Teise osapool on mingid saared, on ju, juba ette haiseb tegelikult, on ju, ja noh, paneb ära, noh, kinnitab ära. Et kas nende püüdmine on ka sinu asi või see on pigem nagu mingi sisekontroll ja, ja, ja, ja noh, nii-öelda hoopis teine osakond.

Seal on nüüd hästi olenev, et kui see tõesti on nüüd tuvastatud, et ta nii tehniliseks läheb, nagu sa siin kirjeldasid, et on mingisugune pahavara, mis liigub, siis ta jõuab ikkagi päeva lõpuks minu laua peale. Aga ma kujutan ette, et ta saab alguse ikkagi sellest, et no rahapesu on praegu hästi hell teema ja just nimelt see näide, mida sa kirjeldasid, et neid. Nii-öelda makseid lisaks masinatele vaadatakse ikkagi regulaarselt ka käsitsi üle ja sellised anomaaliad võiks tulla välja, et. Aga

muidugi, kui inimene ise on Rott.

Aga kui inimene ise on Rott, noh, jällegi seal on, õnneks neid kontrollijaid on mitu, on ju, aga, aga jällegi sisemise ründaja tuvastamine, jah, see on, see on pigem, eks ju, või sisemise kelmuse tuvastamine on pigem sisekontrolli teema, et. Me oleme üritanud neid rolle selle koha pealt lahus hoida, et sisekontrolliliste ööjõustega infoturul ei tegele, et need on tegevusvaldkonnad, mida vaatame eraldi, sest et see, seal võivad tekkida konfliktid.

Mis sinu arvates kogu sellest valdkonnast nagu edasi saab? Ma olen am Kolmsada parooli pikkusega kolmkümmend märki tükk, mida sa pead kolmekümne päeva tagant vahetama, noh, see on, see on kõik haige, see on täiesti haige maailm on ju, et see, see, mulle ei tundu, et see saaks nagu pikalt kesta, aga samas. Krediitkaardisüsteem on kestnud meil siin pool sajandit ja peale, on ju, ja noh, on, on veel vähem turvaline. Et kas sa näed, et siin nagu midagi üldse muutub põhimõtteliselt kogu selles värgis või, või on sinusugustel tööd veel viiesajaks aastaks?

Ma, ma kardan, et niipea väga kardinaalset muutust ei tule, ma loodan, et see asi ikkagi muutub umbes selliseks, nagu mul üks hea sõber toob ikka näiteks elektripistikuid. Et võib-olla kakskümmend viis, kolmkümmend aastat tagasi, eks ju, me ikkagi pidime lastele üle rääkima, et, et kuulge sõbrad, et ärge nagu toppige sukkavard, et elektripistikus see hästi paha on, on ju. No täna, eks ju, kui me vaatame elektripistikuid, siis see ei ole enam tehniliselt võimalik, noh, see üks mure vähem. Et, et ühel hetkel see, see IT-lahendus või, või see tehnoloogia kasut Juba by-disain turvaliseks, et me ei pea nendel teemadel nagu nii palju rääkima. Aga ma väidan, et, et täpselt nii nagu ka saate alguses oli jutuks, et, et see maailm areneb ju edasi, et infoturbi inimesed, noh, küll need ründed muutuvad, on ju, tuleb mingisugune teine alternatiiv. Ja, ja nendega peab edasi tegelema ikka, lihtsalt enam mitte nii primitiivsel tasemel, võib-olla. Mis paroole puudutab, siis see on üldse omaette küsimus, eks ju, et, et mille vastu see parool nagu kaitsema peaks ja, ja kui keeruline ta olema peaks ja kui tihti teda vahetama peaks, et sellest võ Minu enda seisukoht on pigem see, et, et las ta olla pigem pikk, pigem võib-olla mitte nii väga sümbolitega. Ja pigem vaheta teda harvemini kui tihemini, et kui sul on, ma ei tea, kord üheksa kuu jooksul või aastas vahetad oma kuueteist kohalist parooli, mis on ainult madalad tähed. Noh, arvutuslikult ta võiks olla turvalisem kui see, et sa vahetad iga kuu aja tagant oma kümnekohalist parooli, kus kohas on sümbolit tähed ja kõik muu, eks ju, noh, puhtmatemaatiliselt ja puhtsotsiaalselt, et sa ei. Ja, aga ütleme niimoodi, et ma ise vastan ka sinu küsimusele, et mul on tunne,

et siin läheb, mingil määral on kindlustusega. Ehk siis täna ka, et ütleme nii, et su krediitkaarditasud ja, ja kõik muu on suht kõrged, just sellepärast, et fraud'i hulk on suur. Et nii palju fraud juhtub ja selle fraud peab kõige kinni maksma ja kes ikka maksab, kui klient ise maksab selle kokkuvõttes ju kinni, on ju. Ja nüüd on, hakkab kindlasti toimuma mingi eristumine, et, et on olemas teatavad kliendirühmad või grupid, noh, umbes nagu kindlustused, et noh, et vaad, kui ma olen nagu liikluses nii-öelda ohutuma liikluskäitumisega ja ei riku ja, ja siis ma maksan vähem, on ju. Et, et, et siin tõenäoliselt juhtub sama asi, juhtub meil pangatasudega, et, et, et see, mismoodi sa teenust tarbid, see, mismoodi sa käitud, et see.

Sina hakkad rohkem maksma, kui sa oled iga päev erinevas riigis.

Tõenäoliselt olen jah, mina. Aga võib-olla minu turbekäitumine on väga kõrge.

Ja mu enda küsimus on pigem nagu see, et kas kogu seda, mida Tiit kirjeldas, seda sukavarga, vardavärki on võimalik internetis teha ilma, et, et noh, me kaotaks asju nagu näiteks erinevad identiteedid inimestele või et. Noh, et me, me ei seaks kohustuseks noh, täiesti raudkindlalt, ma ei tea, kuni füüsiliseni välja siit identida, kui sa üldse netti saad. Et see, see tundub ka huvitav minu jaoks.

No seal on seesama teenuse tarbimise küsimus, et kui sul ikkagi kokkuvõttes on vaja teha, ütleme ma ei tea, rohkem kui kümne tuhande eurost ülekannet eraisiku konto pealt on ju, et, et. Kas sa ise tahaksid, et sul oleks mitu identiteeti, mille alt seda võimalik teha oleks nagu, et. Eestis ei ole võimalik, Eestis on võimalik teha ainult oma isikliku identiteedi all sihukest ülekannet.

Ei, seda küll, aga internetis ma võin ikkagi käia kellena iganes. Ma

arvan küll, et, et tegelikult võiks see asi juhtuda selliselt, et sul on ikkagi terve

posi teenused, mida sa saad teha täiesti anonüümselt ja võib-olla seesama.

Noh, vaata, okei, internetist kommenteerimine on nagu täiesti omaette valdkond, mida võiks nagu arutada, aga, aga näiteks mingi uudiste lugemine või kas või oma, ma ei tea, mitme meilikonto omamine äkki või, või noh, selline kerge anonüümsus jumala pärast, on ju. Küsimus ongi pigem ju selles, et, et, et kuidas sedasama anonüümset meilikontot ka siis kaitsta, eks, ja noh, kuskil sa pead selle seose mõne oma turvalise seadmega tegema, on ju, et, et kas sinna tuleb mingeid häid maailma raputavaid alternatiive, noh, see on hea küsimus, ma lood Asi peab mugavamaks minema, ta on läinud natukene liiga keeruliseks.

Selge, saab ainult nõus olla. Aga meie saateaeg on läbi, aitäh kõigile kuulajatele, aitäh osalejatele ja me oleme uuesti eetris nädala aja pärast.