logi sisse meist KKK

Soome võtab kasutusele X-tee. Vt Finland takes the X-road to better e-services ja Soome võtab kasutusele meie X-tee süsteemi. Meie president promob seda igal võimalusel.

EPL artiklis räägitakse samas, et Soome e-teenused tuleb X-tee'ga liita jõuga, sest vabatahtlikult ei taheta seda teha. Kommentaaridest (kuigi anonüümsetest) võib lugeda, et X-tee platvormi valik oli ebaõnnestunud algusest peale. Teisest küljest öeldakse, et tehniline lahendus pole oluline niikuaua kui süsteem talutavalt hästi ja sobivate kuludega töötab.

Niisiis, X-tee kogemustega arendajad, milliste probleemidega tuleb Soome arendajatel nüüd X-tee teenuste arendamisel kokku puutuda? Tasakaaluks võib muidugi tuua ka positiivseid asju ;-)

küsitud Dec 04 '13 at 12:29

Rudolf%20Osman's gravatar image

Rudolf Osman
1111

Ma ei näe mingit probleemi, miks peaks järeleproovitud ja tasuta tarkvara halb olema. Aga ega ma siseringist kah ei ole. Paljud asjad on nii, et asjassepühendatud inimesed näevad palju probleeme, aga kokkuvõttes asi siiski töötab.

(Dec 11 '13 at 11:52) Teet65

Mul on ainult kaks kommentaari:

Esiteks ei maksa segamini ajada X-teed ja eesti.ee portaali. Need on kaks täiesti erinevat asja. X-tee on vahend riigiasutuste andmete omavaheliseks ristkasutuseks (nime "X-tee" võib lugeda ka kui "risttee"). Portaal eesti.ee on sinna hiljem ja poolvägisi juurde poogitud, et kodanikud saaksid vaadata oma andmeid nendes samades riigiasutustes.

X-tee on SOAPil baseeruv protokoll päringute tegemiseks koos turvaserverite jm juurdekuuluvaga. Iseenesest kompaktne ja selgelt piiritletud ülesannetega tarkvara, mida tõenäoliselt on võimalik ka mujal juurutada. eesti.ee on lipp-lipi peal kokku lapitud portaal, mis kasutab osaliselt neid X-tee teenuseid, osaliselt mingeid muid teenuseid, osaliselt peab ise andmebaasi, osaliselt on lihtne CMS. Seda susserdust ei ostaks isegi soomlased, kuigi väljanägemisel pole ju viga.

Teiseks X-tee kui protokolli juures häirib mind ainult üks asi - turvalisus pole isiku granulaarsusega. Kui Maksuamet annab Politseiametile ligipääsu oma andmebaasile, siis saab iga politseinik teha kõiki Maksuameti poolt Politseiametile avatud päringuid. Isiku tasemel õiguste kontroll on jäetud Politseiameti rakenduse ülesandeks, turvaserver seda kuidagi ei kontrolli. Päringu teostaja isikukood küll sõnumis on, aga miski ei tõesta selle autentsust.

See tähendab, et Politseiameti serverite admin võib teha suvalisi päringuid suvalise isiku nimel ja seda on üsna võimatu tuvastada. Veel hullem on asi eesti.ee kodanikuportaalis - see on defineeritud X-tee mõistes eraldi asutusena, millele on paljud riigiasutused avanud mitmed tundlikud teenused. eesti.ee süsadmin võib lihtsa vaevaga teha suvalise Eesti inimese nimel suvalise kodanikuportaali päringu ja päringu tegelikku tegijat on üsna raske tuvastada.

See kõik tuleneb sellest, et X-tee oli mõeldud asutuste vaheliseks andmevahetuseks, mitte kodanikuportaali jaoks. Kodanikuportaal on erijuht, mis vajaks juba turvaserveri tasemel tugevamat autentimist. Samas ma pole märganud, et keegi peale minu selles suurt probleemi näeks.

link

vastatud Dec 17 '13 at 23:55

Tambet%20Matiisen's gravatar image

Tambet Matiisen ♦♦
77781125

edited Dec 18 '13 at 10:19

Jah, küsimus käib X-tee, mitte eesti.ee kohta.

Tänud toomast välja seda turvalisuse aspekti, ka turvaserveri kasutusjuhend kinnitab seda, vt lk 22 turvaserveri kasutusjuhendis: http://x-road.ee/docs/est/turvaserveri_kasutusjuhend.pdf

Juhendis on öeldud: "Asutuse töötajatele pääsuõiguste jagamine toimub asutuse infosüsteemis. NB! Korrektne pääsuõiguste kontroll asutuse infosüsteemis on eelduseks asutuse liitumisel X-teega." Kas on kogemusi, mida see praktikas tähendab? Eriti huvitaks ka sinu eesti.ee kogemus.

(Dec 18 '13 at 09:19) Rudolf Osman

Praktikas peaks see tähendama seda, et iga asutuse infosüsteemi muudatus peaks läbima turvaauditi, et selle muudatuse käigus pole tekkinud täiendavaid ligipääse. Praktikas seda loomulikult ei tehta.

Oletame, et eesti.ee-s on turvaauk, mille abil on võimalik X-teele saata suvalisi päringuid. See tähendab, et sissemurdjal on automaatselt ligipääs kogu eesti rahva isikuandmetele, alates makstud maksudest kuni perearsti poolt välja kirjutatud retseptideni!

Tekib illusioon võltsturvalisusest - meil on ju turvaserver! Tegelikult on suur osa turvalisusest lükatud asutuse infosüsteemi kaela.

(Dec 18 '13 at 10:25) Tambet Matiisen ♦♦

Tekib ka küsimus, millised turvariskid kaasnevad, kui X-tee turvaserveri teenust pakub 3. osapool, nagu Elioni puhul https://www.elion.ee/ariklient/it-teenused/serverid/x-tee-turvaserver

(Dec 19 '13 at 14:13) Rudolf Osman
Sinu vastus
lülita eelvaade

Jälgi seda küsimust

By Email:

Pärast sisselogimist saad tellida muudatuse teavitusi siit

By RSS:

Answers

Answers and Comments

Markdown Basics

  • *kaldkiri* või __kaldkiri__
  • **paks kiri** või __paks kiri__
  • link:[tekst](http://url.com/ "pealkiri")
  • pilt?![alt tekst](/path/img.jpg "pealkiri")
  • nummerdatud nimekiri: 1. Foo 2. Bar
  • to add a line break simply add two spaces to where you would like the new line to be.
  • põhilised HTML märgendid on samuti toetatud

Pinu tööpakkumised

kõik pakkumised »

Küsimuse sildid:

×3
×2
×1
×1

küsitud: Dec 04 '13 at 12:29

nähtud: 7,953 korda

viimati uuendatud: Dec 19 '13 at 14:13

Litsents: Creative Commons Attribution License | Kontakt: info@pinu.ee