Küberilm lubab turbulentsi, tuletame instruktsioone meelde

Täna meenus mulle jutt piloodist, kes hiljuti õnnetuse toimumipaigaks olnud rajale lennukit ruleerides teavitas oma reisijaid: “Kogenumad teie hulgast meie turvainstruktsioone tavaliselt ei vaata, aga äkki täna…?”

Küberturbevaldkonna inimestel on tihti mure, avades suu rääkimaks järjekordselt riskide maandamisest lülitab suur osa publikust end teisele lainele – kõike seda on ju kuuldud!

Kuid vaadates Euroopas toimuvat on internetikasutajatel kindlasti asjakohane küsida endalt… aga äkki täna?  Eksisteerib käegakatsutav oht, et hoolimatusest tingitud viga või laiskusest ripakil ressurss muutub tahtmatult kuritöövahendiks või osaks võõrvõimu digitaalsest sõjamasinast.

Seepärast kordan taaskord meie “lennueelset” ohutussõnumit, toetudes Zone enda kasutatavatele reeglitele ja teistele kolleegidest “lennusaatjatele”.

Kahe faktoriga autentimine

Kus vähegi võimalik, lülita sisse kaheastmeline autentimine. See tähendab, et teenus hakkab sinult lisaks salasõnale (mida sa tead) küsima mõnd täiendavat faktorit, näiteks midagi mis sul on.

Zone võimaldab kahetasemelist autentimist kasutada nii ZoneID juures kui ka veebipõhise e-posti kliendi juures. Mõlema puhul on toetatud Google Authenticatori ja teiste sarnaste rakenduste poolt kasutatav TOTP standard.

ZoneID toetab lisaks oma olemuselt kahe faktoriga autentimisvahendeid nagu ID-kaart, Mobiil-ID ja Smart-ID. Zone veebipõhine e-post toetab ka U2F riistvaravõtmega sisselogimist, kui kasutada vähegi uuemat brauserit.

Kui ZoneID kasutajakonto on seotud ID-kaardi, Mobiil-ID või Smart-ID autentimisvahendiga, tasub salasõnaga autentimine üldse välja lülitada.

Turvalise autentimise kasutamise kohta leiab lisamaterjale meie kasutajatoe lehtedelt:

ZoneID: https://help.zone.eu/kb/turvaline-autentimine/

E-post: https://help.zone.eu/kb/e-posti-2fa/

Salasõnad (-fraasid)

Veendu, et sinu poolt kasutatavad salasõnad oleksid turvalised. Meie soovitame, et salasõnad oleksid vähemalt 10 tähemärki pikad, maksimaalset pikkust ei ole. Mõtle salasõnast pigem kui salafraasist.

Fraas ei sobi salasõnaks, kui:

  • see on sõna või kohanimi sõnaraamatust (näited: “Kalamaja”, “Ameerika”, “Secret”)
  • see sisaldab kasutaja kasutajanime või teenuse nime (näited: “ZoneID123”, “DataZone666”)
  • see koosneb korduvatest või järjestikustest märkidest (näited: “aaaaaaaaaaaa” , “abcdefghi”, “12345678”)
  • see esineb varem lekkinud paroolide nimekirjas (näiteks “Have I been pwned” poolt avaldatud nimekirjas).

Salasõnade säilitamiseks tuleb kasutada selleks ette nähtud spetsiaalset tarkvara. Meie soovitame kasutada Bitwarden (https://bitwarden.com/) nimelist avatud lähtekoodiga tarkvara, mille kasutusõigus on tasuta.

Salasõnade teemal on varem siin blogis kirjutanud minu kogenumad kolleegid:

Veel kord paroolidest

 

Ära seda soovitust jälgi: täna on rahvusvaheline paroolivahetamispäev

E-Post

Võta vastu ja edasta oma e-kirju ainult turvatud transpordikihiga (TLS ehk Transport Layer Security) ühenduse kaudu. Kui saad serveriga ühendumisel TLS sertifikaadi valideerimisvea, ära proovi sellest mööda minna.

Enne e-kirjadele lisatud failide avamist või e-kirjades olevatele URL-aadressidele klõpsamist ole äärmiselt ettevaatlik ja veendu, et see on ohutu. Võimalusel eelista selleks isoleeritud keskkonda, mis ei jaga teavet kolmandate osapooltega. Kui tegemist ei ole konfidentsiaalsete andmetega, võid  faili kontrolliks kasutada https://www.virustotal.com/ keskkonda.

Kui saad kirja, mis puudutab rahalisi transakstioone või mis nõuab salasõna lähtestamist, seadistamist või avalikustamist, tuleb sellise kirja autentsus kindlasti üle kontrollida, kasutades alternatiivseid kanaleid. Väiksemagi kahtluse puhul tuleb konsulteerida oma infoturbespetsialistiga või teadlikuma kolleegiga.

Näiliselt Zone poolt saadetud kirjade autentsuses on võimalik alati veenduda meiega ühendust võttes.

Tööjaamade ja seadmete turvalisus

Varustage kõik oma Windows, MacOS või Android seadmed pahavara tuvastamise ja ennetamiseks vajaliku tarkvaraga.

Microsoft Windows sisaldab vaikimisi küllaltki suurepärast Windows Defender tarkvara, tasub veenduda, et see on sisse lülitatud või sellele on alternatiiv. Mitmetel spetsiaalse tarkvara pakkujatel on olemas tasuta versioonid, nende võrdluse leiate näiteks aadressilt https://www.pcmag.com/picks/the-best-free-antivirus-protection

Veebirakenduste turvalisus

Uuendage kindlasti oma veebirakendusi.

Kui olete endale paigaldanud veebirakenduse Zone+ abil, veenduge, et see on jäänud väikesätetesse - ehk Zone uuendab rakendust teie eest automaatselt. Muutke seda ainult äärmisel vajadusel.

Kui olete veebirakenduse paigaldanud iseseisvalt, kontrollige, kas see uueneb automaatselt või vajab käsitsi uuendamist. Kui rakendus vajab uuendamist, tehke seda ja kontrollige edaspidi uuendusi regulaarselt.

Koristage oma veebiserveritest vana träni! Suurel osal juhtudest kui mõne meie kliendi veebileht kompromiteeritakse, on põhjuseks asjaolu, et seal vedeleb reaalselt kasutuses oleva veebirakenduse kõrval üks või mitu koopiat, mida keegi ei uuenda. Tavaliselt on need veebilehe varasemad versioonid ja arenduseks või testimiseks kasutatavad versioonid. Ka seda teemat on siinsamas blogis kajastatud:

“Teeme ära” koristustalgud sinu (tehtud) veebis – kõik /uus, /vana, /arhiiv ja /newsletter välja!

Turvamata WiFi võrgud

Ära kasuta oma e-posti lugemiseks või veebirakenduse haldamiseks avalikke või turvamata traadita võrke. Soovitame pigem kasutada oma telefoni "hot-spot" funktsionaalsust, veendudes ka selle salasõna turvalisuses.

Kokkuvõtteks

Suur tänu, kui vaevusid need nõuanded lõpuni lugema.

Lisalugemiseks soovitame viia end kurssi ka nippidega, mida jagab Riigi Infosüsteemi Amet aadressil https://www.itvaatlik.ee/.

Jääge turvaliseks ja terveks!

5 kasulikku WordPressi pluginat, mille lisamisele võiks iga kodulehe looja mõelda

Kodulehe loomisel on teadupoolest oluline roll pistikprogrammidel ehk pluginatel, mis aitavad suurendada sinu veebi funktsionaalsust. Näiteks maailma kõige populaarsem sisuhaldussüsteem WordPress pakub kasutajatele tuhandeid erinevaid pluginaid, kuid tihtipeale tavainimene ei oskagi nende seast endale sobivaid välja valida.

Järgnevalt oleme välja toonud viis tasuta WordPressi pluginat, mis võivad kodulehe omanikule kasu tuua.

Contact Form 7

Igal kodulehel võiks kindlasti olemas olla kontaktivorm, mille kaudu saab saiti külastav isik sinuga ühendust.

Contact Form 7 plugin võimaldabki veebilehele lisada kontaktivormi, mis teeb klientidega suhtlemise oluliselt lihtsamaks ja mugavamaks. Pluginaga saab luua nii lihtsamaid kui ka keerulisemaid vorme.

Tugevusena võib veel välja tuua võimaluse lisada Google recaptcha süsteemi, mis takistab robotitel sinu kodulehel tegutsemast.

Yoast SEO

Et sinu koduleht oleks otsingumootoris pidevalt nähtaval kohal, tuleb kahtlemata tähelepanu pöörata SEO-le (search engine optimization ingl k). WordPressile mõeldud Yoast SEO plugin täpselt seda aitabki sul saavutada.

Tegu on vaieldamatult parima SEO pluginaga WordPressi jaoks, mille eesmärk on mõistagi tõsta veebileht otsingutulemustes kõrgemale positsioonile. Yoast SEO võimaldab sul lisada tiitli, metakirjelduse ja peamise märksõna – kõik tähtsad elemendid optimeerimiseks.

iThemes Security

Internetiavarustes tegutsevate küberkurjategijate arv kasvab iga aastaga ning tänapäeval võivad ohvriks langeda isegi väiksemad ja pealtnäha süütud veebid. Kodulehe turvalisuse suurendamiseks sobib hästi iThemes Security plugin.

iThemes Security plugina üheks funktsiooniks on ajutise administreerimis- või toimetamisõiguse andmine kellegi teisele. Kasulik on see siis, kui tahad näiteks enda veebilehele ligi lasta mõne arendaja, aga ei soovi oma administraatori õigust talle üle anda.

Lisaks aitab veel iThemes sinu kodulehte kaitsta nii-öelda toore jõu vastu. See tähendab, et plugin blokeerib automaatselt häkkereid, kes on juba mõnele teisele veebilehele proovinud sisse saada. Samuti võimaldab plugin sul teha ka varukoopiaid andmebaasist.

W3 Total Cache

Turvalisuse kõrval on sama kriitiline ka veebilehe kiirus. W3 Total Cache plugina peamine eesmärk ongi just nimelt suurendada kodulehe kiirust.

Veebilehe kiiremaks laadimiseks kasutatakse erinevaid meetodeid ning üheks selliseks on puhverdamine. Selle protsessi käigus salvestatakse ajutiselt vahemällu veebilehe andmed. Niisiis loob see tööriist kodulehest staatilise versiooni ning kuvab seda külastajale dünaamilise asemel.

Lisaks pakub W3 Total Cache mitmeid lisavõimalusi ka edasijõudnud kasutajale, millega veel enam enda veebilehe kiirust tõsta.

BackWPup

BackWPupi plugina näol on tegemist tööriistaga, mis võimaldab teha automaatselt varukoopiaid lehe failidest ja andmebaasist. Oluline sealjuures ongi see, et BackWPup ei tee varukoopiaid üksnes andmebaasist, vaid ka kõikidest failidest.

Pluginal on saadaval ka tasuline versioon, mis pakub kasutajale rohkem võimalusi. Küll aga piisab lihtsamate toimetuste tegemiseks ka tasuta versioonist.

Käesolev blogipostitus on sündinud koostöös DigiGeeniusega.

Mis on WordPress, Drupal, Joomla ja Voog ning mille ma peaksin valima oma kodulehe tegemiseks?

Kodulehe loomine on tänapäeval tehtud üpriski lihtsaks, millega saab hakkama igaüks, kes on vähegi valmis pisut rohkem aega sinna panustama. Üldjuhul on veebilehe loomisel esimene samm sobiva sisuhaldussüsteemi valimine. Sisuhaldussüsteem ehk content management system (CMS) on tarkvara, millega saab veebilehtede sisu ja struktuuri muuta ning hallata.

Sisuhaldussüsteeme on internetis saadaval ilmatuma hulk, kuid Zone kasutajatele tahaks esile tuua kolm globaalse tuntusega ning lisaks ühe kodumaise sisuhaldusrakenduse, millel igalühel neist on omad võimalused ja funktsioonid. Need on WordPress, Drupal, Joomla ja Voog. Milline neist valida?

WordPress

WordPress on vaieldamatult maailma kõige populaarsem avatud lähtekoodiga sisuhaldussüsteem, mis loodi 2003. aastal ja mille abil on ehitatud tänaseks 43% kõikidest olemasolevatest veebilehtedest.

WordPressi kasuks räägib kahtlemata selle lihtsus: see ei nõua inimeselt kuigi peeneid eelteadmisi, mistõttu ongi WordPress tõenäoliselt niivõrd populaarne kasutajate seas.

Lisaks sellele, et WordPress ei ole algajale kuigi keerukas kasutada, pakub see ka väga suurel hulgal pistikprogramme (pluginad), mis aitavad sul luua just sellise kodulehe, mis parasjagu mõttes on.

Plusspunkte lisab veel näiteks otsingumootori tulemuste optimeerimise sõbralikkus. Seda peavad ka mitmed eksperdid WordPressi suureks eeliseks, kuna SEO võimekus on tõepoolest sellel sisuhaldussüsteemil hea.

Miinusena võib välja tuua turvalisuse aspekti. Kuna tegu on ikkagi kõige populaarseima platvormiga, siis tänu sellele leidub ka palju kurjategijaid, kes otsivad pidevalt uusi võimalusi, et WordPressile ehitatud veebilehti rünnata.

Kokkuvõtteks võib öelda, et WordPressi näol on tegemist lihtsa ja palju erinevaid võimalusi pakkuva sisuhaldussüsteemiga, millele võiks mõelda inimene, kellel puuduvad veel põhjalikumad teadmised ja kogemused kodulehe ehitamise alal.

Joomla

Populaarsuselt teisel kohal olev sisuhaldussüsteem on Joomla, mis on samuti avatud lähtekoodiga ja mis jõudis turule mõnevõrra hiljem – 2005. aastal.

Joomla on tegelikult üpriski sarnane WordPressiga, ent siiski kübeke keerulisem ning vajab kasutamiseks inimeselt juba paremaid IT-alaseid oskusi kui eelmainitud platvormi puhul.

Üks Joomla peamisi eeliseid on selle paindlikkus. Kui kasutajal on olemas HTML-i põhiteadmised, siis saab ta hõlpsasti proovida ja katsetada erinevate disainidega ning seeläbi leida endale just kõige sobivam ja meelepärasem veebilehe kujundus.

Samuti on sellel suur aktiivne kogukond, kust saab kasulikku nõu ja näpunäited, mis aitavad sul veebilehte luua. Võrreldes WordPressiga on Joomla SEO valdkonnas võibolla pisut nõrgem tegija, mistõttu peab arendusele kohati rohkem rõhku panema, et jääda otsingumootoris nähtavamale positsioonile.

Kuna Joomla kasutajaskond on märgatavalt tagasihoidlikum, siis peetakse seda reeglina ka turvalisemaks platvormiks.

Drupal

Tuntumate sisuhaldussüsteemide seas kõige pikema staažiga tegelane on Drupal, mis toodi turule 2001. aastal. Sarnaselt kahele eelnevale platvormile, on ka Drupal avatud lähtekoodiga süsteem.

Drupal on kahtlemata kolmest kõige keerukam sisuhaldussüsteem, mistõttu on see peamiselt levinud koodimisoskustega arendajate seas. Näiteks kui sul on plaanis luua suurem ja mahukam veeb, siis sobib Drupal selleks suurepäraselt.

Kindlasti ei ole Drupal kõige õigem valik algajale, sest selle tundmaõppimine on kordades ajamahukam ja keerulisem kui näiteks WordPressi või Joomla puhul.

Drupali eelisteks on tema paindlikkus: süsteem on vägagi arendajasõbralik ja lisaks on sellel hea SEO võimekus. Kitsaskohtadena võib välja tuua vähese tasuta pluginate arvu ja tagasihoidliku kujundusteemade valiku.

Voog

Kui kolm eelnevat sisuhaldussüsteemi on tuntud üle terve maailma, siis lõpetuseks tahame keskenduda ka ühele kodumaisele, kuid oma omadustelt ja kasutajasõbralikkuselt kaugeltki eelnevatele sugugi mitte alla jäävale rakendusele nimega Voog. Erinevalt eelnevatest on tegemist kuupõhiselt tasulise rakendusega, kuid just tänu sellele on tegemist vast kõige kasutajasõbralikuma ning võimalusterohkema rakendusega kõigi siin postituses kirjeldatud rakenduste seas.

Voogi abil on veebi disainimine, arendamine ning sisuhaldus tehtud uskumatult sujuvaks ning selle tundmaõppimine ei võta kaua aega. Saad valida kümnete ja kümnete kvaliteetsete käsitööna valminud kujundusmallide vahel, mida oma maitse järgi kohandada.

Rakendusel om inimsõbralik kasutajaliides, mille abil saad muuta sujuvalt nii veebi struktuuri kui ka sisu, selle kasutamine ei eelda IT-alaseid süvateadmisi. Sisuhaldussüsteemi seadistatakse, värskendatakse ja varundatakse sinu eest ilma, et peaksid sellele ise aega kulutama.

Ja mis vast kõige olulisem: kui peaksid oma veebilehe ehitamisel hätta jääma, siis saad alati professionaalset tuge Voogi meeskonnalt, kes räägivad sinuga sinu emakeeles.

Käesolev blogipostitus on sündinud koostöös DigiGeeniusega.

2022 on Eesti interneti juubeliaasta

Zone kuulutab 2022. aasta Eesti interneti juubeliaastaks, alustame sellega seotud blogipostituste ja muude sündmuste sarja, mis vältab järgmised 12 kuud.

On teenuseid, mis defineerivad ajastut ja millel on ülekaalukas mõju kogu ühiskonna toimimisele. Kui Tondile sõitvas trammis paluda mõnel reisijal selliseid teenuseid loetleda, osataks tõenäoliselt nimetada elektrivarustust, kuid väga vähetõenäoliselt mainiks keegi Eesti tippdomeeni või sellega seotud DNS (Domain Name System) teenust.

Ometi võib sellest samast DNS teenusest teatud juhtudel sõltuda nii elektrivarustuse kui ka mitmete teiste elutähtsate teenuste kättesaadavus.

On sümboolne aeg ühiskonna teadlikkust täiendada, sest just värskelt kätte jõudnud 2022. aastal täitub 30 aastat nii sellest, et Eesti Vabariiki hakkas globaalses võrgustikus tähistama .EE tippdomeen kui ka üldse püsivate internetiühenduste loomisest.

Robo-Pirgit ootab .EE tippdomeeni sünnipäeva

Püsiühendused lõid 1992. aastal esimestena kaks akadeemilist organisatsiooni: Küberneetika Instituut ning Keemilise ja Bioloogilise Füüsika Instituut (KBFI). Just KBFI oli ühtlasi see, kelle esindajatena isa-poja tandemil Endel ja Jaak Lippmaa õnnestus Internet Assigned Numbers Authority (IANA) juhilt Jon Postelilt saada endale õigus hallata Eesti Vabariigi nimel .EE tippdomeeni.

Kolme aastakümne jooksul on tippdomeen ressursina kasvanud akadeemikute, inseneride ja entusiastide kitsast ringist välja ning muutunud Eesti infoühiskonna tunnuseks ning võimaldajaks.

Zone tähistab 30 aasta möödumist .EE tippdomeeni sünnist läbi terve käesoleva aasta. Ees ootavad blogipostid, mis loodetavasti huvi pakuvad ja harivad, kampaaniad ning muud põnevat. Jääge meiega.

 

Domeenikratt sirutab e-riigi kaudu käe ettevõtja taskusse

Viimasel kuul oleme näinud kordumas kahjulikku mustrit, mis põhjustab uute firmade asutajaile tarbetuid kulusid ja stressi. Nimelt lõpeb ilmselt paljudele neist ettevõtte registreerimine e-äriregistris oma võimaliku interneti-identiteedi kaotamisega. Kutsume üles ettevaatlikkusele ja anname nõu, kuidas lihtsa võttega oma firmale kohalduv oht neutraliseerida.

Olen varem kirjutanud ja rääkinud sellest, et minu hinnangul ei käitu riik ettevõtjate andmetega ümber käies alati parimal võimalikul viisil. Siis on juttu olnud sellest, et majandusliku efektiivsuse (loe: tagasihoidliku sissetuleku) huvides on riik valmis ettevõtete ja nende juhatuse liikmete kontaktandmeid hulgi müüma ja rahaks tehtud andmed võivad lõpuks jõuda ka rämpsposti saatjateni või kurjategijateni.

Ka tänane teema puudutab natukene riiklikke registreid.

Nimelt põhjustab paljudele alustavatele ettevõtjatele peavalu asjaolu, et nutikad sahkermannid on leidnud endale tee Eestis värskelt asutatud äriühingute andmete juurde ja asunud nende ärinimedega .EE domeeninimesid hõivama, et neid siis ettevõtjatele endile suure vaheltkasuga hiljem edasi müüa.

Suller saagimas ettevõtja tooli jalga
Ettevõtja ei saa kahjuks tunda end firmat registreerides kindlalt.

Loetud arvu nädalatega on tõenäoliselt sadade ahjusoojade firmade juhid oma ärinime domeenina registreerima asudes avastanud, et keegi on seda juba teinud ja hoolega valitud ärinime interneti-versiooni tuleb mõnelt rehepapilt tavapärasest kümneid kordi kõrgema hinnaga välja osta.

Me ei tea veel, kas domeenide registreerimiseks kasutatavad andmed jagatakse riigi poolt välja avaandmetena, kas need müüakse maha raha eest või on keegi nutikas kodanik leidnud nõrkuse, mille kaudu nendele andmetele ligipääs saadakse. Kuid praktikas on näha, et ettevõtte e-äriregistris registreerimisest, kuni selle ärinime hõivamiseni domeenina võib kuluda vaid mõni tund.

Seepärast on mul kõikidele Eesti ettevõtjatele erakordne, kuid konkreetne nõuanne, mis aitab vältida seda, et sahkerdaja sul naha üle kõrvade ja taguotsa lohku tõmbab:

REGISTREERI SOOVITUD ÄRI-IDEELE VÕI ÄRINIMELE VASTAV DOMEEN ENNE, KUI KANNAD OMA ETTEVÕTTE ANDMED ÄRIREGISTRISSE!

Nii maandad oma värskele firmale kohalduvaid riske, väldid asjatuid kulusid ja nõmedaid emotsioone.

Lisanduvaks ebamugavuseks on asjaolu, et domeen tuleb esialgu registreerida enda nimele, kuid hiljem saab selle ettevõttele üle anda. Kindlustunne on seda väikest vaeva väärt.

Sellist meedet tuleks meie soovitusel ettevõtjatel rakendada vähemalt niikaua, kuni pole päris täpselt selge, kust andmeid ammutatakse, millisel määral on võimalik sellist domeenidega kauplemist vajadusel Domeenivaidluste Komisjonis vaidlustada ning milline on selle protsessiga seotud aja- ja rahakulu.

Tehke nii ja te ei pea uuele aastale minema vastu tundega, et saite just haneks tõmmatud.

Kinnitamaks, et meie soovituse taga pole omakasupüüdlikku motiivi, maksab nüüdsest Zone eraisikult ettevõttele .EE domeeni üleandmise administratiivsed kulud ise kinni.