Pika sessiooni puhul on teoreetiline võimalus, et delikaatseid isikuandmeid näevad inimesed, kel ei ole selleks õiguseid ega ka mitte vajadust. 

Kõige lühem sessiooni kestus on eLasteaed.eu-s

Eestis on kasutusel mitu erinevat e-õpilaspäeviku süsteemi, mille puhul on nende peamised kasutajad ehk õpetajad andnud arendajatele korduvalt tagasisidet, et süsteemi pidevalt uuesti sisse logimise nõudmine on tüütu ja tülikas. 

Tagasisidest tulenevalt on mitmed arendajad tulnud õpetajatele vastu ning sessiooni kestust korduvalt pikendanud. Kuigi sessiooni pikendamisega on õpetajate tööd lihtsustanud on selle varjuküljeks turvarisk. 

Sessiooni kestuse pikendamist on õpetajad nõudnud eKoolilt ja Eliisilt. Stuudiumi puhul pole seda küll nõutud, kuid seal pakutakse võimalust jätta kasutaja meelde 14 päevaks. 

“Kuna sessioonide üleval hoidmine on ressursimahukas ülesanne, siis on selle lõpetamine peale viimast tegevust olnud ka kiirem. Pikka aega oli see 15 minutit. Kuna õpetajad protestisid, siis pikendasime seda. Praegune 1 tund tundub olevat sobiv sessiooni pikkus, kuigi võib tekitada turvariski, saabub vahetund, õpetaja lahkub klassist ja unustab eKoolist välja logida, mis jääb õpetajate enda vastutusele,” ütles eKooli esindaja Ene Lindemann.

Neljast e-õpilaspäeviku süsteemist pakub kõige lühemat sessiooni kestust eLasteaed.eu, mille arendaja sõnul tuleneb see just sellest, et võõrad inimesed ei pääseks ligi delikaatsetele isikuandmetele. 

eLasteaed.eu keskkonna tootejuhi Marko Praakli sõnul saab kasutaja valida kuue erineva sessiooni kestuse valiku vahel, kuid vaikimisi on see seatud kümne minuti peale, maksimaalselt saab see eLasteaed.eu-s olla viis tundi.

“Pedagoogid lasteaedades kui ka asenduskodudes kasutavad arvutit suhteliselt korraks ning seetõttu on vajalik, et sessiooni kestvus oleks võimalikult lühike, et juhuslikud isikud ei satuks nägema delikaatseid isikuandmeid. Hetkel mil sessiooni kestvus hakkab otsa saama, kuvatakse kasutajale teada 5 min hoiatusega ning seejärel logitakse automaatselt vastava kasutajaga seotud kõik avatud veebilehed välja. Kasutajale võib see tunduda küll ebamugav, kuid meie juhindume võimalikult väikesest sessiooni kestvusest, et maandada võimaliku riski,” ütles Praakli.

Kuigi tootejuhi sõnul ei ole nad sessiooni kestuse osas statistikat teinud on enamik kasutajaid jätnud selle vaikeväärtuseks ehk kümne minuti peale. Sessiooni pikkuse määramisel on nad lähtunud riiklikest portaalidest, kus on see enamjaolt 30 minuti kandis. 

Stuudiumis saab kasutaja jätta meelde 14 päevaks

Smart-ID ja Mobiil-ID puhul on vaikimisi kõige pikem sessiooni kestus Eliisis, kus ei pea kasutaja eelnimetatud autentimislahenduste puhul parooli uuesti sisestama 24 tunni möödudes. Teiste autentimisviiside puhul on sessioon piiratud viie tunni peale. 

Eliisi sessiooni pikkus on kujunenud välja aja jooksul peamiselt õpetajatelt saadud tagasisidest tulenevalt. Sellest lähtuvalt on Eliisi arendanud Eliis Tarkvara OÜ tegevjuhi Rasmus Grossi sõnul sessiooni kestust korduvalt pikendanud. 

Kuigi vaikimisi hoitakse kasutajat kõige pikemalt sees just Eliisis on Stuudiumis olemas valik, mille tegemisel jäetakse kasutaja meelde 14 päevaks. Vaikimisi on sessioon määratud seal kahe tunni peale.

Stuudiumi arendaja Joel Limbergi sõnul on sessiooni pikkus valitud tasakaaluna turvalisuse ja kasutusmugavuse vahel. Sessiooni pikkuse olulisemat lühendamine muudaks Limbergi sõnul Stuudiumi kasutamise tõenäoliselt ebamugavamaks, kuid turvalisust oluliselt ei suurendaks. 

“Kuna Stuudium on koolis kasutatav keskkond on oluline, et õpetaja saaks ilma korduvalt sisselogimata teha tunni alguses ning lõpus vajalikud sissekanded. Kooli ja õppetöö kontekstis on suurim sisselogimisega seotud turvarisk see, kui õpetaja (või õpilane) jätab Stuudiumisse sisse logitud arvuti valveta ning lukustamata, näiteks vahetunnis klassist välja astudes. See aga tähendab, et potentsiaalsel halbade kavatsustega “võõral” on Stuudiumisse sisselogitud arvutile ligipääs juba esimeste minutite jooksul, ja ka juhul, kui sisselogimine aeguks väga, ebamõistlikult, kiiresti, näiteks 10 minutiga, on ligipääs sel hetkel siiski aktiivne,” ütles ta. 

Limbergi kinnitusel ei ole nad kasutajatelt saanud tagasisidet, et sisselogimise järgselt hoitakse kasutajat keskkonnas, kas liiga vähe või kaua. 

RIA peab pikka sessiooni turvariskiks

Riigi infosüsteemi ameti (RIA) küberturvalisuse teenistuse intsidentide käsitlemise osakonda (CERT-EE) juhtiva Tõnu Tammeri sõnul on sisselogimise pikk ajaline kestus kasutajale ühest küljest mugavam, kuid teisalt kätkeb pikk sessiooniküpsise kehtivus endas turvariske.

“Ohtu kujutavad näiteks sellised olukorrad, kus sama arvutit kasutavad erinevad inimesed (nt. raamatukogudes kasutatavad ühisarvutid). Samuti on võimalik sessiooniküpsiseid teatud juhtudel varastada, mis jällegi annab varastajale ohvri nimel lihtsama teenustesse ligipääsu. Sellepärast on oluline, et lisaks kehtivusele oleks rakendatud ka sessiooniküpsiste kaitsemeetmed,” ütles Tammer.

E-teenuste puhul ei ole RIA ühegi konkreetse e-teenuse osas andnud välja soovitust, kui pikk või lühike peaks sessioon olema. Seda ei ole määratud ka ISKE rakendusjuhendis, mis on infosüsteemide kolmeastmeline etalonturbe süsteem, mille eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus.

“Iga teenuse omanik peab hindama, kust jookseb tasakaal kasutaja mugavuse ja kasutaja andmete turvalisuse vahel,” lisas Tammer. 

Smart-ID ega Mobiil-ID puhul ei ole sessiooni kestust pannud paika ka sertifitseerimis- ja ajatempliteenuse pakkuja SK ID Solutions AS.