Uudis

Ekspert Huawei juhtumist: tegelikud turvaaugud ujuvad varem või hiljem pinnale, nagu juhtus Eestis kaks aastat tagasi

Klaid Mägi juhtis Eesti CERTi ja töötab nüüd kübertrube ettevõttes Cybexer. Foto: Sander Ilvest/Scanpix

Kas Huawei toodetes on tegelikke turvaauke või tagauksi, mille kaudu andmeid Hiina saadetakse, selgub aja jooksul, sest sellised asjad ujuvad varem või hiljem pinnale, rääkis küberturvalisuse ekspert Klaid Mägi.

Eelmisel nädalal teatas riigi infosüsteemi amet, et turvakaalutlustel Eesti riigivõrkudes Huawei seadmeid ei kasutata. Ühtegi otsest turvariski ei nimetatud, RIA toetub “partnerriikide info najale”. Ka Euroopa komisjoni digivolinik Andrus Ansip ütles, et Huawei pärast peab mures olema.

Meenutame juhtumit, kus Eesti telefonidest läksid andmed Hiina

Mägi sõnul ei ole viimasel ajal küberturvalisuse ringkondades siiski ilmunud ühtegi avalikku fakti teadaoleva haavatavuse või tagaukse kohta Huawei toodetes. Nii on kaks varianti: kas tegu on poliitikaga ehk USA võttega oma turu soosimiseks või siis turvariskiga, mille  detaile teavad mõne riigi luureagentuurid.

“Kui see on [reaalne turvarisk], siis saladuseks see jääda ei saa. Maailm on tarku inimesi täis, erasektor testib ka kõike, millel on selline tähelepanu. Lõpuks ei ole võimalik andmeid niimoodi varastada, et sellest jälge maha ei jää,” rääkis Mägi Geeniusele intervjuus.

Mägi meenutas, et 2016. aastal avastati tarkvara nimega ADUPS, mis saatis telefonidest Hiina serveritesse inimeste SMSe ja muid andmeid. “Tegime Eesti CERTis tihedat koostööd Läti CERTiga ja avastasime, et Eestiski on telefone, mis seda sama ADUPS firmwarei kasutavad. Analüüsisime telefonide andmeliiklust, leidsime Hiina serverite IP-aadressid ja koos Eesti internetiteenustepakkujatega blokeerisime need aadressid Eestis ära, millega andmete saatmine lõppes,” rääkis Mägi, kes juhtis enne Eesti CERTi tööd ja töötab praegu ettevõttes Cybexer. ADUPS oli näide sellest, et salaja andmete varastamine tuleb varem või hiljem välja.

Erasektori jaoks on RIA hoiatus väga kasulik

Mägi ütles veel, et eraettevõtjate jaoks on RIA hoiatus Huawei eest siiski väga kasulik.

“Ettevõtjad jälgivad ju ka meediat ja uudiseid ning kui mõni neist jõudis otsusele, et tahab maandada riske, siis ta küsis “Mida ma tegema pean, et näiteks Huawei välistada?”,” rääkis Mägi. Varem ei olnud ettevõtjal selleks mingit alust. “Nüüd saab vähemalt viidata RIAle, kuigi nende otsus oli ainult riigivõrkude kohta,” rääkis Mägi.

Mida teha?

Mida Huawei turvariski kohta ette võtta, seni, kuni fakte napib? Klaid Mägi soovitas:

  • Kui tegu on kriitilise infosüsteemiga, kus tuleb kõik riskid maandada, saab igale seadmele tellida turvaanalüüsi ja -testimise, nii ei pea lihtsalt lootma või kartma
  • Muul juhul tasub vaadata laiemat pilti ja mitte ainult keskenduda ühele tootjale – kas seadmest käib läbi avalik info, mis liigub niikuinii teiste ettevõtete võrkudes, või ei?
  • Tuleb kasutada kainet mõistust: iga kodukasutuses või lihtsalt Huawei logoga seadet nagu telefone ja tahvleid pole mõtet karta
Märksõnad:

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.