Tommy Tomsoni sõnul võiks kiirsuhtlusrakenduste valiku ja küberturvalisuse hindamise puhul vaadelda vähemalt kaheksat erinevat tegurit – nende olemasolu ja puudumist:

1. „End-to-end encryption“ ehk otspunktkrüpteerimine

End-to-end krüpteeringu puhul on tegemist lahendusega, kus andmed krüpteeritakse lähtepunktis (saatja juures sõnumit saates) ja dekrüpteeritakse sihtpunktis (saaja juures sõnumi kätte saades).

Kiirsuhtlusrakenduse teenuse pakkujad hoiavad oma serverites saadetud sõnumeid kas ajutiselt kätte toimetamise protsessi käigus või alaliselt ning samuti eksisteerib risk, et keegi kuulab pealt võrgu liiklust ja näeb saadetud sõnumeid. End-to-end krüpteeringu puhul on dekrüpteerimise võti ainult sõnumi saajal ning mitte keegi teine ei saa sõnumi sisu lugeda.

Kõik (või vähemalt kõik enam levinud) kiirsuhtlusrakenduste teenuse pakkujad lubavad krüpteeritud sõnumivahetust, kuid alati ei ole tegemist end-to-end krüpteeringuga ja sellisel juhul on teenuse pakkujal võimalus soovi/vajaduse korral sõnumid dekrüpteerida – nad küll lubavad, et nad ei tee seda, kuid sellisel juhul on küsimus, et kui palju sa mingit konkreetset kiirsuhtlusrakenduse teenuse pakkujat usaldad (et nad seda tõesti ei tee).

Siinkohal saab analoogiana tuua tavalise postiteenuse ja tavalise paberkirja. Oletame, et sa kirjutad kirja paberile, paned ümbrikusse ja annad kätte toimetamiseks postkontorile. Lihtsalt krüpteeritud sõnumivahetuse puhul postkontor võtab sinu kirja ümbrikust välja, paneb uute ümbrikusse ja toimetab saajale kohale (ning lubab, et nad seda kirja vahepeal ei loe). End-to-end krüpteeringu puhul paned sa ümbriku väiksesse seifi ning annad ümbriku asemel hoopis seifi postkontorisse – neil pole võimalik seda avada ning nad toimetavad saajale sinu seifi ilma avamata.

Vaieldamatult lisab end-to-end krüpteering turvalisust ja väga suurel määral, kuid kas see tagab 100% et mitte keegi teine ei saa sõnumeid lugeda? Ei.

Enamus praeguseid krüpteerimise meetodeid on turvalised ja ei ole nii kergesti „lahti muugitavad“, kuid tehnika areneb ja kvantarvutid koos sellega. See tähendab, et mingil hetkel jõutakse staadiumisse, kus kvantarvutid suudavad hetkel kasutusel olevad krüpteeringud „lahti muukida“. Kvantarvutite arenguga arenevad loomulikult ka krüpteerimise meetodid. Kui ma näiteks kuulaksin hetkel pealt krüpteeritud sõnumivahetust ning salvestaksin selle koopia enda serverisse, siis hetkel teadmata aastate pärast saaksin ma selle sõnumivahetuse dekrüpteerida ning näha sõnumite sisu.

Kiirsuhtlusrakenduste pakkujad sellest tavaliselt avalikult ei räägi, kuid mitmed kiirsuhtlusrakenduste pakkujad on jätnud krüpteerimise lahendusse ka enda jaoks tagaukse. Küberturvalisuse maailmas on tagauks midagi, mis lubab süsteemi tavapärastest turvameetmetest mööda minna ja antud juhul sõnumeid dekrüpteerida ka nendel, kellele need sõnumid ei olnud mõeldud (kas siis teenuse pakkujal või kellelgi, kes selle tagaukse üles leiab). Seda põhjendatakse tihti vajadusega, et õiguskaitse organid saaksid vajadusel sõnumeid vaadata ning vajadusega saaks sõnumeid automaatselt skaneerida, et tuvastada igasugune illegaalne tegevus.

2. Millist infot sinu kohta kogutakse

Kui sõnumivahetus on krüpteeritud ja sinu isiklik asi, millega kiirsuhtlusrakenduse teenuse pakkuja tavaliselt midagi ei tee (või vähemalt väidavad, et ei tee), siis kõik kiirsuhtlusrakenduse teenuse pakkujad koguvad sinu kohta täiendavat infot – näiteks üldine info sinu kohta, sinu seadmete info, sinu IP aadressid, sinu asukohad.

Oluline on teada, mis infot sinu kohta täiendavalt kogutakse, milleks seda kasutatakse, kui kaua seda alles hoitakse, kellega seda jagatakse ja kas sa oled nõus vastavat infot neile loovutama.

3. „Multi-factor authentication“ ehk mitmefaktoriline autentimine

Tegemist ei ole ainult kiirsuhtlusrakenduste olulise komponendiga, vaid kõikide IT lahenduste olulise komponendiga. Lisades autentimisele täiendava faktori on tõenäosus, et keegi võõras sinu kontoga mingisse lahendusse (näiteks sinu kiirsuhtlusrakendusse) sisse saab märksa väiksem. Krüpteeritud sõnumivahetusest ei ole kasu, kui konto sinu ei ole turvaline.

4. Kas sõnumeid hoiustatakse teenuse pakkuja serveris, kui kaua ja kus

Peab olema kursis, kas ja kui kaua sinu sõnumid on kiirsuhtlusrakenduse teenuse pakkuja serveris ning kas ja kuidas nad kustutatakse. Samuti oluline ka see, millises riigis kiirsuhtlusrakenduse teenuse osutaja serverid paiknevad, sest nad alluvad ka vastava riigi seadusandlusele. Näiteks kui kiirsuhtlusrakenduse teenuse pakkuja serverid asuvad Hiinas, siis ükskõik, millist krüpteerimist kasutatakse on Hiina valitsusel juurdepääs sinu sõnumivahetusele.

Järjest rohkem pakutakse niinimetatud „ise hävinevate“ sõnumite võimalust. See tähendab, et saab ise määrata, kui kaua sinu sõnumid alles on ja kui kiiresti nad hakkavad automaatselt kustuma.

5. Avatud lähtekood

Avatud lähtekood tähendab, et rakenduse lähtekood (algne kood) on avatud ja kõik soovijad saavad sellega tutvuda. Kiirsuhtlusrakenduste puhul tavaliselt kogu lähtekoodi avalikult kättesaadavaks ei tehta – tihti jäetakse just krüpteerimise ja dekrüpteerimise osad kinniseks ning neid ei avaldata.

Avatud lähtekood on ühest küljest hea, kuid teisest küljest toob endaga kaasa täiendavaid infoturbe ohte. Juhul, kui rakenduse kood on avalikult kättesaadav, siis saavad kõik otsida ja teavitada võimalikest turvavigadest (mis on väga positiivne), kuid see loob ka võimaluse, et keegi leiab turvavea ning ei teavita sellest, vaid hakkab seda ise ära kasutama (või müüb selle kellelegi maha). Kinnise lähtekoodi puhul seda ohtu ei ole, kuid kinnine lähtekood tähendab ka seda, et kogukond ei saa panustad rakenduse turvalisemaks muutmiseks.

6. Infoturbe sertifikaadid

Juhul, kui kiirsuhtlusrakendusel on mõni rahvusvaheliselt tunnustatud sertifikaat (N: ISO/IEC 27001), siis see näitab, et keegi väline osapool on lahendust ja kiirsuhtlusrakendust pakkuvat ettevõtted auditeerinud ning nad on ka vastava auditi läbinud. Tihti tähendab see ka seda, et välised eksperdid peavad antud rakendust turvaliseks.

7. Õigusaktide järgimine

Eeskirjad, seadused ja määrused (N: GDPR) nõuavad, et andmeid käsitletakse kindlal viisil. Kiirsuhtlusrakenduse teenuse pakkuja lahendus peaks olemas kooskõlas meile kehtivate eeskirjade, seaduste ja määrustega.

8. Isikliku serveri võimalus

Mõned kiirsuhtlusrakendused pakuvad võimalust ise paigaldada server, mis tegeleb sõnumite vahetamisega. Sellisel juhul on sul täielik kontroll vastava serveri üle ning saab paremini tagada, et võõrad inimesed ei saa sinu sõnumivahetust näha.

Isiklik server aga tähendab ka seda, et turvalisus on sinu enda kätes ja sa pead olema suuteline vastava serveri muutma turvaliseks ning olema suuteline seda ka turvalisena hoidma, monitoorima ja uuendama. Kui sul on olemas IT eksperdid, siis isiklik server on väga hea lahendus, kuid see tuleb tavaliselt siiski kõne alla ainult ettevõtete ja asutuste puhul.

Mis on veel oluline

• Kasutustingimused

Kindlasti tuleks põhjalikult lugeda kiirsuhtlusrakenduse kasutustingimusi ja privaatsuspoliitikat – mida kiirsuhtlusrakenduse pakkuja teeb, kuidas ta teeb ja mida tal on õigus teha. Tavaliselt kasutustingimusi ei loeta, kuid see on täpselt see koht, kus tuuakse välja, et mis andmeid sinu kohta kogutakse, kuidas neid kasutatakse ja kas neid edastatakse ka kolmandatele osapooltele ning kas ja millistel tingimustel võidakse sinu sõnumite sisu näidata kolmandatele osapooltele.

• Inimfaktor

Väga suurt rõhku pööratakse kiirsuhtlusrakenduse turvalisusele, kuid kiputakse unustama, et tavaliselt on kõige nõrgemaks lüliks inimene, kes mingit kiirsuhtlusrakendust kasutab.

Näiteks ei pea vaeva nägema kiirsuhtlusrakenduse sõnumite lahtimuukimise ja sõnumivahetuse pealtkuulamisega, vaid piisab, kui vaadata üle inimese õla, et näha, mis ta kirjutab või piisab, kui saada juurdepääs tema arvutile / telefonile (kasvõi läbi varguse). Või näiteks piisab, kui paigaldada kellegi arvutisse / telefoni pahavara.

Kiirsuhtlusrakenduste turvamisest ei ole kasu, kui jäetakse korralikult turvamata need vahendid, kus seda kasutatakse.

• Kontrolli, valideeri

Ükskõik, mis kiirsuhtlusrakendust sa kasutad, siis mitte kunagi ei tohiks kiirsuhtlusrakenduses jagada infot, mis ei tohiks näiteks 3-4 aasta pärast olla avalik.

Ära kunagi jaga kiirsuhtlusrakenduses kasutajanimesid, paroole ning inkrimineerivaid dokumente/pilte. Kui kiirsuhtlusrakendus kasutab näiteks end-to-end krüpteeringut, siis see tähendab, et krüpteeritakse küll sõnumid, kuid ei pruugi alati tähendada, et krüpteeritakse sõnumi manused, nagu dokumendid ja pildid.

Oluliste teemade puhul alati kontrolli, et sa ikka räägid inimesega, kellega sa arvad, et sa räägid. Alati arvesta võimalusega, et sinu suhtluspartneri telefon/arvuti on sattunud kellegi teise kätte või on saadud juurdepääs tema kontole. Näiteks maksekorralduste puhul alati kontrolli mingi teise kanali kaudu üle, kas info, mis sa kiirsuhtlusrakenduses said on õige ja kas sa peaksid vastava maksekorralduse ikka tegema.

Nimekiri: Eestis enamlevinud kiirsuhtlusrakenduste turvalisus

Tavaliselt kiputakse valima just kiirsuhtlusrakendus, mida kasutavad sõbrad ja kolleegid, sest eesmärk on nendega suhelda ja küberturvalisusele ei pöörata väga suurt tähelepanu.

Soovitust anda, millist kiirsuhtlusrakendust kasutada ja mida mitte, on päris raske, kuna erinevaid kiirsuhtlusrakendusi on väga palju ja kindlasti ei tahaks teha reklaami ühelegi kiirsuhtlusrakendusele. Samuti kasutatakse kiirsuhtlusrakendusi erinevateks eesmärkideks ning tegelikult eesmärk defineerib selle, millistele tingimustele kiirsuhtlusrakendus peaks vastama.

Paar Eestis enim kasutusel olevad kiirsuhtlust on:

• WhatsApp

Mõeldud eelkõige just eraisikutele ja väga laialt kasutusel olev kiirsuhtlusrakendus. Kasutusel on end-to-end krüpteering ning see ka varukoopiate puhul. WhatsApp oli ka üks esimestest rakendustest, kes end-to-end krüpteeringu kasutusele võttis. Ohu kohana võiks välja tuua, et rakendus kuulub Meta perekonda ning sinu andmeid (mitte sõnumeid) võidakse jagada ja müüa ärilistel eesmärkidel.

• Signal

Avatud lähtekoodiga kiirsuhtlusrakendus, mida peetakse väga turvaliseks ning mille omanikuks ei ole üksi suur ettevõte, vaid mida arendatakse annetuste ja toetuste abil. Kasutusel on end-to-end krüpteering (juba vaikimisi sisse lülitatud) ning see ka kõikide edastatavate failide jne. puhul. Pakutakse ka ise hävinevate sõnumite funktsionaalsus. Üritatakse koguda oma kasutajate kohta nii vähe infot, kui veel võimalik ning enamus infost hoitakse kasutaja lokaalsel seadmetel. Mitmed teised kiirsuhtlusrakendused on kasutusele võtnud Signali poolt välja töötatud sõnumiprotokollid, kuid neid peetakse väga turvaliseks.

• Telegram

Väga laialt levinud kiirsuhtlusrakendus, mida peetakse üldiselt ka turvaliseks, kui sa oskad seda õigesti kasutada. End-to-end krüpteering on küll olemas, kuid see pole vaikimisi sisse lülitatud ning on võimalik ainult „secret chat“ režiimis. Ühe ohuna peab ära märkima, et kõik sõnumid on salvestatud kiirsuhtlusrakenduse teenuse pakkuja pilveserverites ja seega on potentsiaalselt haavatavad, kui keegi saab juurdepääsu vastavatele serveritele.

• Viber

Väga võimaluste rikas kiirsuhtlusrakendus, mis pakub end-to-end krüpteeringut juba vaikimisi ja ise hävinevate sõnumite funktsionaalsust. Antud rakenduse miinuseks võib pidada selle vähest kasutajaskonda.

• Facebook Messenger

Meta perekonda kuuluv kiirsuhtlusrakendus, mis pakub ka end-to-end krüpteeringu võimalust, kuid see ei ole vaikimisi sisse lülitatud. Ohu kohana peab välja tooma, et rakendus kuulub Meta perekonda ning sinu andmeid jagatakse ja müüakse ärilistel eesmärkidel. Enne kasutamist soovitan kindlasti tutvuda rakenduse privaatsuspoliitikaga.

• Discord

Pööratakse väga suurt rõhku privaatsusele ja sinu andmeid ei jagata ega müüda kolmandatele osapooltele ärilistel eesmärkidel. Discord võimaldab küll personaalset suhtlust kasutajate vahel, kuid tavaliselt leiab rohkem kasutust grupivestluste puhul. Järjest rohkem küberkurjategijaid leiab oma tee Discordi ning Discordi kaudu levitatakse järjest rohkem linke, mis installeerivad sinu arvutisse pahavara.

Tavaliselt just ettevõtetele ja asutusele mõeldud lahendus, kus on võimalik paigaldada isiklik server. Vaikimisi pakutakse end-to-end krüpteeringut. Avatud lähtekoodiga, ISO/IEC 27001 sertifitseeritud. Väga levinud infoturbe valdkonnas tööalaseks kasutamiseks.

• Zulip

Tavaliselt just ettevõtetele ja asutusele mõeldud lahendus, kus on võimalik paigaldada isiklik server. Võimaluste rohke ja hästi konfigureeritav, kuid ei kasuta end-to-end krüpteeringut, mis tähendab, et näiteks süsteemi administraator, kes pääseb juurde serveris asuvale andmebaasile, saab vaadata kõiki sõnumeid.