õpib ise ja õpetab edasi, vahel ka tagasi

Kulutasin tänased kohvipausid mõnedeks telefonikõnedeks. Kõigepealt loo ilmsikstuleku taustast, nimelt on Andmekaitseinspektsiooni aasta 2005 aruandes sees lk 7 kolmandik lauset mis viitab alustatud väärteomenetlustele:

[…] olid isikuandmeid sisaldavateks andmekandjateks, mis transportimisel isikuandmete vastutava või volitatud töötleja valdusest väljusid võimaldades nende omavolilist lugemist,kopeerimist, muutmist või ka kustutamist […] kolmandal juhul mälupulk ca 300 000 kaitseväekohuslase nimede ja aadressidega.

Teema olla üleval olnud eelmisel nädalal Riigikogu Põhiseaduskomisjoni avalikul istungil (11.03 protokoll hetkel puudu) ning jõudis sealt poliitikute / meedia tähelepanu alla.

Minu arusaamise kohaselt sattus mälupulk KAPO kätte (“asotsiaal leidis Tammsaare pargist” mida võib nähtavasti tõlgendada ka kui “kust saime? a vat ei ütle. mutid turul rääkisid”) kusagil augustis, KAPO inffis Kaitseministeeriumi ja nood võtsid baasi omaks. Allhankijal olnud aga muuhulgas KAPO antud luba töödelda mitte lihtsalt nimesid ja aadresse vaid lausa riigisaladust, andmed olla ministeeriumist välja transportimisel olnud korralikult krüptitud jne… ja kuna riigisaladust pold rikutud ohkasid kõik kergendatult ja andsid eraettevõtja karistamise Andmekaitseinspektsioonile (nii sept-okt), too loodab menetluse aprilliks ära sooritada (sest tööd on palju, mh tuleb pidevalt menetleda perearstide taotlusi delikaatsete isikuandmete töötlemise registreerimiseks) ja kohase karistuse välja mõelda. Kaitseministeerium ootavat huviga menetluse tulemusi (loe: kes meist ei tahaks teada, kuidas allhankijat grillitakse?).

Tõsi, kui ma pealelõunal helistasin ei teadnud kmin julgeoleku osakonna teabeturbe büroo juhataja Margus Kukkur suurt muffigi ei sellest andmelekkest ega laupäevasest Reporteri-uudisest. Kuid helistas peagi lahkelt tagasi ja teatas, et asjaga tegeleb Mikko, Madis Mikko. Tõsi küll, Madise alla kuuluvad Laidoneri muuseumi nõukogu töö koordineerimine ja muud avalikkusega suhtlemise viisid samas kui nimelt teabeturbe büroo peaks põhimääruse kohaselt tegelema asjadega nagu:

3) osaleb ministeeriumi esindajana riigisaladuse automatiseeritud infotöötlussüsteemide akrediteerimises ja kujundab osakonna arvamuse Kaitseministeeriumile kooskõlastamiseks esitatud turbedokumentide kohta;

6) esindab osakonda elektroonilise teabeturbe valdkonda puudutavates küsimustes;

7) valmistab ette elektroonilist teabeturvet puudutavaid normdokumente;

8) korraldab ministeeriumi teenistujatele koolitusi elektroonilise teabeturbe valdkonnas;

Siiski-siiski, siin jooksevad kõrvuti teabeturve ja riigisaladus ning tuleb välja, et ainus asi mida osakond turvab on riigisaladus — kõik muu on lihtsalt IT või suhtekorralduse teema ja seega suht pooh…

Vahest oleks mõistlik soovitada, et Madis ja Margus koos ITga kunagi ühe laua taga maha istuksid ja arutaksid võimalusi kujundada osakonna arvamus turbedokumentide osas selliseks, et mingite mõttetute kaitseväekohuslaste andmete kaotsiminek ei põhjustaks emmale-kummale ületunde ning meedia ei saaks kahtluse alla seada Kaitseministeeriumi haldussuutlikkust. Sest kui ministeeriumis on olemas nii hea kompetents riigisaladuse kaitsmise vallas annaks neid kogemusi kindlasti kasutada veel riigisaladuseks kuulutamata info turbeks.

Miskipärast tundub mulle, et kui inimesi koolitada ainult üht sorti info turvamise teemal siis tekkib üüratu digitaalne lõhe (ehk prigu) riigisaladuse ja kõige muu vahele… ning hädavajalik valvsus satub peagu sinna prikku.

Aga nii, aitab tänaseks. Homme tasuks uurida IT käest näiteks seda, kas on olemas logid mis kirjeldavad andmete liikumist allhankijate juures. Ehk ega noorte meeskodanike nimekiri juhuslikult ka peenisepikendajaid müüvate klannide või mõne muu huvigrupi kätte ole sattunud?

Selveri kassa juurest korjas poja kaasa voldiku “Nii saad hoiduda lindude gripist. Toiduohutuse Viis Võtit.” (PDF linnugripp.ee veebist). Olukord on ikka päris hull, sest Põllumajandusministeerium soovitab kõik toidutegemiseks kasutatavad pinnad ja köögiriistad desinfitseerida ning juhib tähelepanu võimalusele, et H5N1 võib lisaks partidele ja luikedele nakatada ka külmkapis seisvat ühepajatoitu. Ja ärge siis unustage köö- ja puugivilju enne tarvitamist pesta, sest porgandid puutuvad sageli kokku nakatunud rändlindudega (rääkimata muidugi merikapsast). Puudu on vaid soovitus “sina ei pea mitte kollast lund sööma”.

Loomulikult on see väga õige voldik toiduohutuse teemal. Aga lindude gripi puhuks?

Igastahes kinnitasin voldiku külmkapiuksele, kasutades kvaliteetseid (ent desinfitseerimata) neodüüm-magneteid. Homme helistan 1676 ja küsin järgi, mida Põllumajandusministeerium köögi desinfitseerimiseks kasutada soovitab. Cillit Bang anybody?

Nonii, nüüd siis on meil kah oma mahukas andmekadu ning selle implementeerimiseks polnd vaja isegi häxxoreid vms, lihtsalt tubli allhankija kandis pükse mille taskus auk ning mälupulk 300tuh kutsealuse andmetega otsustas Tammsaare parki omapäi hängima jääda. Meeldiv muidugi, et kodanik kes selle leidis KAPOsse läks… Aga ikkagi, Kaitsemin imeb meeletul vilinal (või vähemalt üleaedne Mikko):

Mikko sõnul ei olnud andmete kaotajaks kaitseministeeriumi ametnik ning kaitseministeerium mälupulga kadumise eest seega ei vastuta.

Ei vastuta te jee, mai äss — rääkige palun NATOle seda kuidas te oma kutsealuste andmeid hoiate ja siis vaatame, kes vastutab ja kes ei vastuta…

Eelseisev kolmap muideks Tallinnas (ja mujal) konverents TechNet Baltic, “Läänemere ümbruskonna koostöö riikliku turvalisuse eest ja ohutuste vastu” (tundub, et antud valdkonna kompetents meie riigis on märkimisväärselt olematu, mistõttu andestame meid olulisse ettevõtmisse kaasanud soomlastele väikesed kobad, eksju, ning registreerume kiiresti sest istumisplatsid saalis on piiratud :-).

Muideks, sarnasel teemal Chicago Tribune’is Internet blows CIA cover: It’s easy to track America’s covert operatives. All you need to know is how to navigate the Internet. (vajalik registreerimine, aitab bugmenot.com)

Lisaks: asja tõi avalikkuse ette laupne Reporter, näha saab siit (algus 1:15). Veebilehega versioon (kuna Teller ei saand eelmist linki lahti), tegin ka allalaaditava .wmv ainult asjassepuutuva klipiga.

Bruce Schneier kirjutab oma kolumnis Data Mining for Terrorists sellest mis vahet on andmete kaevandamisel krediitkaardipettuste avastamiseks ja terrorirünnakute ennetamiseks. Pettuseid on palju, rünnakuid vähe. Ja kuidas toimivad ühes/teises olukorras false positive ja false negative signaalid.

Sobib sellesse nädalasse tänu Eduard Smirnovi juhtumile. Tõsi, meil polnud false positive alarmiks isegi andmekaevandust vaja, lihtsalt pisikesed ametnikud otsustasid mängida töötegemist ning kulutasid riigi ja rahva kaitsmiseks mõeldud aja kod. Smirnoviga vestlemiseks ja mingi paki uurimiseks. Tõenäoliselt oli probleemiks Field Demonstration of Permeable Reactive Barriers to Remove Dissolved Uranium from Groundwater, Fry Canyon, Utah [EPA 402-C-00-001] (September 1997 through September 1998, Interim Report) mille leiab kenasti EPA.gov radiatsiooni likvideerimise veebilehelt. Omaette küssa muidugi miks seda üldse peaks CDl postiga tellima, aga see on oluliselt väiksem veidrus võrreldes tellimise pärast vestlusele kutsumisega :-)

Mõistagi pole tegu lokaalse probleemi ehk vaid Eesti ametnikega, sama jama sünnib oluliselt rohkem USAs, vt nt Case against Steve Kurtz/Critical Art Ensemble continues.

Andmekaevandamise teemal Wired’s veel: Chris Anderson kirjutab Jeff Jonas’e uusaastapidudest ja Jeffist endast kah natuke. Ehk siis andmekaevandusest kasiinobisneses ja riikliku julgeoleku tagamisel. Mis mind viitama pani oli lõik:

His work on turning sensitive data sets, such as watch lists, into anonymized hash files is a core piece of IBM’s growing “identity analytics” strategy.

That’s cool, eriti kui mõelda omapäi jalutamas käiva info peale (sama siin). Tõsi küsimus ikkagi selles, et mida annab mõistlikul moel kaevandada. Äkki peaks Jeffi (ja Schneieri) kutsuma KAPOle loengut pidama?

ps. hope you had a safe flight, with trapdoor and all :-)

Wiredis lugu sellisest nähtusest nagu toothing mis mõni aasta tagasi maailma uudiseagentuure mööda ringi rändas (mäletamist mööda sai seda ka kratis mainitud) ja mis aasta hiljem selle algataja poolt väljamõeldiseks nimetati. Aga feik-uudis on jalad alla võtnud ja ennast realiseerinud. Tõsi, mäletamist mööda on bluetooth-sõnumineerimine paras pain-in-ass, sest saata saab ainult telefoniraamatu-kirjeid…