ID-kaardi kriisi lessons learned

Slides:



Advertisements
Seotud esitlused
MSE Soojusmajandus ENERGIA TARBIMINE 2 osa.
Advertisements

Eesti maaelu arengukava vahehindamine
Rahvatervise süsteemi kaasajastamine
Tere tulemast kogemuskohtumisele!
Hariduse väljakutsed, üldhariduskoolide võrk ja koolivõrgu programm
Korvpalluri füüsiline ettevalmistus
Täiskasvanu kui enesearengu subjekt
Esitluse väljavõte:

ID-kaardi kriisi lessons learned Margus Arm Elektroonilise identiteedi osakonna juhataja 24.05.2018

Siseriiklikult Eesti ID-kaardi ökosüsteemi rollijaotus on ebaselge Kindla omanikuta kriis (pole konkreetsest sündmust, pole varasemat lahendamise kogemust) Puudub pikaajaline identiteedihalduse strateegia ning eID tulevikuvisioon Liiga suur sõltuvus ID-kaardist, teenustes puuduvad sageli alternatiivid Piiratud arusaam krüptograafiast ning valdkondlikust ekspertiisist, kompetents baseerub üksikutel spetsialistidel

09. 05. 18 konverents https://lessonslearned. publicon „Kuhu oli koer maetud?“ Random 2048b key: 6 442 450 944 000 000 vCPU years Infineon 2048b key: 140 vCPU years Tehniliste lahenduste avatus tagab turvalisuse Kiipkaardi tööstus on olnud väga suletud äri Suletud ja avatud süsteemid, head ja vead Sertifitseerimine ei taga turvalisust! Kriisi lahendamisel toimis hästi erinevate asutuste/ettevõtete vaheline koostöö Alternatiivsete lahenduste olemasolu tähtsus (topelt krüpto, erinevad kiibid jne) Teavitamine. Mis läks valesti ja mida peaks muutma? Eesti avalik riskihaldus! Kiidusõnad väljast poolt riiki, et me sellest räägime! ENISA-sse sõnum EL tasemel teema tõstatamine Üks film on parem kui 100 presentatsiooni  „Õlu päästis ID-kaardi“ ehk suhtlemine ja inimeste teadmine on määrava tähtsusega igal elualal! Suletud ja avatud süsteemil ja arendusel on head ja vead – informatsioon võib valedes kätes olla kahjulik, aga õigetes tuua hoopis palju kasu Sertifitseerimine ei ole imevahend, mis kõikide asjade eest kaitseb. Sertifitseerimine ei võrdu automaatselt turvalisusega. Kui sertifitseeritakse „jama“ kaitseprofiili vastu, siis saadki templi alla, et sinu toode oma ametlikult „jama“. Hea, et kriisi lahendamisel toimis hästi erinevate asutuste vaheline koostöö, kuid tellija ja sisutellija roll/õigused/vastutus peaks olema selgemini defineeritud Ükski süsteem ei tohi sõltuda ainult ühest spetsiifilisest asjast/seadmest/algoritmist/inimesest, alati on vaja alternatiive. Juhtumist (mis ei ole juhtum) teavitamine ehk mis kasu on EL regulatsioonidest jms kui tegelikkuses liigub info ikkagi mitte läbimõeldud teed pidi vaid tänu isiklikele kontaktidele + => Aug 30th, cert@cert.ee

Küsimusi ? margus.arm@ria.ee Aitäh! Küsimusi ? margus.arm@ria.ee