Eetika ja IT

Sel nädalal keskendusime eetikale IT vallas, või siis kokkuvõtvalt kübereetika probleemidega. Endagi puhul olen täheldanud, et tegemist on teemaga, mille peale ma igapäevaselt ei mõtle, kuid tõsisemalt süvenedes erinevatele probleemidele ja muredele IT vallas, leiab mitmeid muresid, mis on seotud eetikaga antud valdkonnas. Tihtipeale lahenduvad eetilised küsimused puhtalt sisetunde ja enda kogemuse baasil, kuid mitmed firmad ja organisatsioonid on näinud vaeva ning pannud kokku eetikakoodeksid üldsuse tarbeks või siis oma töötajatele, et edendada eetilist käitumist IT keskkonnas.

Erinevate firmade ja organisatsioonide eetikakoodekseid sirvides jäi mulle silma SANS instituudi IT eetikakoodeks. SANS instituut tegeleb küberturvalisuse koolituste andmisega ja erinevate sertifikaatide väljaandmisega. Küberturvalisus ja võrgukaitsemeetmed on kindlasti valdkond, kus eetiline käitumine on eriti oluline.SANS'i eetikakoodeks on leitav siit ning tegemist on küllalt pika nimekirjaga, nii et ma proovin leida sealt koodeksid, mis kõnetavad mind kõige rohkem ning mille puhul on mul endal kogemust.

Esiteks, mulle meeldib esimene üldistav lause mis kõlab umbes nii:" Ma püüdlen enda tundmisele ja olen aus enda võimetes". IT vallas töötades olen märganud, et mõned arendajad ei julge tihti tunnistada, et nad ei ole võimelised ülesandega hakkama saada, ning abi küsimise asemel üritavad ise kuidagi lahendusele jõuda. See on aga tihtipeale halb idee, sest suure tõenäosusega tuleb lahendus ümber teha pärast ning kokkuvõtvalt kaotavad kõik aega. Nagu koodeks kirjeldab, ei tohi kahelda teistelt abi küsimist ning tuleb hinnata kogenumate töötajate kogemust ning dialoogi käigus ka ise areneda. Siin juhul võib ka olla negatiivne efekt, sest liigne abi küsimine võib viia olukorrani, kus kogenud töötajal polegi aega oma tööga tegeleda. Iga inimene peaks leidma ise kuldse kesktee siin juhul.

Antud eetikakoodeksis on mitmeid punkte seoses valdkonna standardite järgimisega. Arenduses on see tihtipeale keerulisem ning standardite järgimine võib tihtipeale tähendada suuremat kulu, mis pole võimalik tihtipeale kas aja- või ressursipuuduse tõttu. Omast kogemusest võin väita, et testimine saab kiirelt ohvriks, kui eesmärgiks on kulude kokkuhoid. Lisaks olen märganud ka, et dokumenteerimine võib olla kohati lohakas või puudulik, mille tagajärjel on hiljemalt süsteemi või programmi käitumisest aru saada ülimalt keeruline ja kallis. Kindlasti on rohkelt IT firmasid, kes kannatavad kehvasti dokumenteeritud "legacy" programmidega.

Lõpetuseks on SANS`i eetikakoodeksis mitmed punktid konfidentsiaalsuse ning teiste töötajata austamise suhtes. Konfidentsiaalsus on kindlasti oluline punkt, sest peale firmasaladuste on ka kindlasti kolleegidel palju infot jagada sinuga, mille puhul nad eeldavad, et see jääb vaid sinu teada. Austusest oma kaasvõitlejate vastu tuleks teisi kohelda samamoodi, nagu sa sooviks, et sind koheldaks. Peale selle, tehes ise tööd väga rahvusvahelises firmas, on meil ka teemaks olnud diskrimineerimine, mille puhul tulebki jälle loota kõigilt mõistusega võtmist ning ei tohiks diskrimineerida kultuurilisi erinevusi, mis võivad sinu kultuuriruumis tunduda veidrad. Kokkuvõtvalt, eetika seisnebki palju selles, mis tundub õige ja mõistlik. Kindlasti on inimesi, kes mingitest eetilistest väärtustest ei hooli, kuid kui siiski valdav enamus on õigel sihil, siis on ka kindlasti IT valdkond paremas ja eetilisemas seisus.

Andmeturveː tehnoloogia, koolitus ja reeglid

Viimasel ajal on minu jaoks väga aktuaalne teema olnud teenusetõkestusründed (DDoS). Töötan ise valdkonnas, kus kiire infovahetus erinevate äriklientidega on meeletult oluline ning DDoS rünnak on küllaltki kiire ja efektiivne viis halvata seda protsessi ning tekitada sadades tuhandetes eurodes kahju. Lisaks sellele, et ka minu tööandja sai sellise rünnaku osaliseks hiljuti, leidub pea iga nädal mõni klient, kes teatab teenustõkestusründe osaliseks saamist. Kuidas küll on võimalik, et see pealtnäha lihtne ja hästi tuntud ründemeetod võib olla tänapäeval veel nii efektiivne.


Lühidalt õeldes, DDoS rünnak sihtmärgi (veebiteenuse, serveri, süsteemi jne) ülekoormamine suure hulga päringutega. Üldiselt on selleks vajalik ka suur hulk erinevaid värgus olevaid seadmeid (tänapäeva IoT ühiskonnas on keeruline välja tuua kõik võimalikud seadmed), mis on siis võimelised tegema päringuid ühe kindla addressi pihta. Pealtnäha tundub lihtne ja loogiline, kuid kahjuks leidub veel mitmeid ja mitmeid erinevaid tüüpe rünnakuid, mis kvalifitseeruvad DDoS rünnakuks. Lihtsamalt õeldes võib rünnakud jagada nelja liiki:

• TCP ühenduse rünnakud
• Mahurünnakud
• Fragmentide rünnakud
• Rakenduste rünnakud

Kirjeldada veel omakorda kõiki erinaveid viise venitaks selle blogi meeletult pikaks, nii et ma piirduksin siin ühe oma lemmiku kirjeldamisega, milleks on "Slow Loris" rünnak. Tegemist on geniaalse viisiga rünnata veebilehti, mis on haavatavad HTTP päringutega ülekoormamise osas (Apache serverid näiteks). Antud video (link) annab hea ja lõbusa ülevaate sellest. Kuidas siis ennast kaitsta DDoS rünnakute eest tänapäeval?


Kevin Mitnick on kirjeldanud kolme komponenti (tehnoloogia, koolitus, reeglid), mis on tarvilikud riskide maandamiseks. DDoS rünnakute puhul on kindlasti suur kaal õige tehnoloogia valimisel. Siinkohal võiks ka tuua välja, miks DDoS rünnakute eest kaitsmine on ikka veel probleemne - see nõuab väga palju ressurssi ning täieliku kindluse saavutamiseks peab investeerima väga väga palju. Oma frma töökogemuse põhjal leiti parim lahendus teenuste ja infrastruktuuri osalisel liigutamisel pilvesüsteemi (AWS), mis pakub ise rünnaku vastaseid teenust nagu Amazon Shield. Amazon Shield pakub täielikku teenust, mille puhul DDoS rünnaku puhul nende eksperdid ise tegelevad sellega, et taastada normaalne ühendus ning suunata rünnak eemale teenusest endast. Koolituse olulisus väheneb sellega, sest teenuse kaitsmine on küllatki suure raha eest üle antud teenuse pakkujale, kuid siiski on oluline seadistada pilves infra ja teenused kujul, et see oleks vähem haavatav. Lisaks on oluline olla kursis kõikide võimalike rünnaku liikidega, sest see aitab teenuse disaini puhul vältida ohukohti. Antud rünnuku puhul on reeglid vähemtähtsad, sest antud rünnak ei ohusta andmete terviklust ja salastatust, kuid siiski peavad olema arendajatele seatud kindlad reeglid, kuidas tuleb uusi teenuseid arendada.

TEISTMOODI IT

Sel nädalal saime targemaks IT lahendustest, mis aitavad puuetega inimestel kasutata seadmeid/teenuseid. Puue kui selline on väga lai mõiste ning sinna alla kuuluvad kõik erinevad meelte- ja liikumishäired. Puudega toime tulemiseks tänapäeva ühiskonnas on tarvis erinevaid IT-lahendusi, mis annaksid inimesele parima variandi sotsialiseerumiseks, ümbritseva keskonna tunnetamiseks või siis arvuti kasutamiseks.


Sissejuhatuseks teemasse jagatud materjalis kirjeldati peamiselt erinevaid tarkavara ja riistvara lahendusi, mis aitavad suhelda arvutiga. Internetist uurides sattusin ma aga väga huvitava IT lahenduse peale, mis seob erinevate sensoritega varustatud 'kiivri' ning sealt saadud info analüüsiga tegeleva AI toega pilveserveri. Tegemist on hiinlaste organisatsiooniga CloudMinds, kes tegeleb erinevate robotite süsteemide tegemisel, mis kõik kasutavad sama AI cloud süsteemi. Oma lehel kirjeldavad nad oma pilvelahendust kui "pilveaju", mis oskab analüüsida nähtavat, kuuldavat ja liikumist ning pidevalt ennast arendades teha intelligentseid otsuseid. Võib arvata, et peamiselt nägemispuuetega inimeste abistamine ei olnud selle firma esmane prioriteet, sest kindlasti on robootikas suuremat rahalist kasumit oodata. Samas võiks väita, et robotitel ja puudega inimestel on ühine probleem, mis on puudulikkus mingi kindlat sorti info saamiseks välisest keskkonnast. Inimese puhul aga otsustab edasise käitumise inimene ise, robotite puhul on lisaks vajadus teha ka otsuseid käitumise osas.

Hetkel tundub andud seade siin artiklis näidatud pildil meeletult kohmakas ja kindlasti ka kallis. Kuid tehnoloogia arenguga ("Smart" prillid näiteks) on loodetavasti tulevikus olemas seade, mis on mugav kasutada nägemis- või kuulmispuudega inimesel. Alternatiivina on hetkel olemas teenus Aira, mis kasutab "Smart" prillide tehnoloogiat, et edastada pilt Aria agentidele, kes siis on vaegnägijale silmade eest ja kirjeldab nähtavat. Selline lahendus on aga kallis, sest vajab füüsiliselt teise inimese olemasolu, et abistada vaegnägijat. Cloudmindsi AI tehnoloogia või sarnane lahendus võiks tulevikus asendada inimese ning sedasi tehes teenus/lahendus soodsamaks ja kättesaadavamaks suuremale hulgale abivajajatele.