Kaido Kikkas: 10 elulist soovitust e-teenuse arendajale

Eelmisel nädalal valiti Eesti parimad e-teenused 2013. Konkursi žürii liige ja IT Kolledži ning Tallinna Ülikooli dotsent Kaido Kikkas annab kümme soovitust, mida enne uue teenuse loomist kaaluda.

1. Mõtle enne alustamist kas ja kellele teenust vaja on.

2. Pane paika ärimudel ehk mõtle läbi, mismoodi teenust jätkusuutlikult majandatakse. Kui rahastamine toimub riigieelarvest, siis mõtle ette rohkem kui käimasolev valimisperiood. Kui teenust hoiavad üleval kasutajad, siis pane selgelt paika, mismoodi teenus rahaliselt toimib.

3. Arvesta kasutajate privaatsusega. Kui esimese asjana küsitakse teenuse kasutajalt hulka isikuandmeid, siis ei pruugi see paljudele meeldida. Seda, et kasutajate spämmimine on Paha Asi, ei pea loodetavasti üldse meenutama.

4. Võta arvesse, et mitte kõik veebikasutajad pole seaduskuulekad. 100% turvalisust ei ole võimalik saavutada, ent kui esimene teismeline kräkker suudab paroolid ja/või kogu andmebaasi kätte saada, jätab see tegijatest kehva mulje.

5. Mõtle läbi kasutatavad (veebi)tehnoloogiad. Kui mõned ajad tagasi olid popid nähtused Flash ja Silverlight, siis nüüd räägitakse peamiselt HTML 5-st ja CSS 3-st. Iga hinna eest "latest and greatest" tagaajamine ei ole vajalik, ent teatava piirini tuleks ajaga kaasas käia. Kui külastajal tekib tahtmine veebilehele tulles "Jaba-daba-duu!" hõigata, siis on asi natukene liiga ajast maas.

6. Mõtle läbi tehniline teostus. Mismoodi on teenus jagatud erinevateks komponentideks, kuidas seonduvad eri tehnoloogiates realiseeritud osad, kuidas toimib süsteem mingi komponendi puudumise/vea korral.

7. Pane paika juriidilised sätted (eeskätt autorsus ja litsentsid).
Igasugune võrku pandud materjal, mille juures ei ole märgitud teisiti, allub esialgu veel kõige rangemale autoriõiguse käsitlusele (inglise k. all rights reserved). See aga ei pruugi e-teenuse juures olla alati parim lahendus, mistõttu peaks selle valdkonna tegijad tundma tarkvara- ja sisulitsentside kogu spektrit.

8. Veebireegleid järgiv (valideeruv) e-teenus on Hea Asi. Veelgi parem kui teenus on testitud erinevatel platvormidel ning ka puuetega kasutajatele ligipääsetav.

9. E-teenus peaks olema tehnoloogiliselt neutraalne. Lahendused, mis eeldavad kasutajalt mingi platvormispetsiifilise komponendi arvutisse installimist ning ütlevad teiste platvormide kasutajatele "Vabandust, sina meid ei huvita!", on nii üheksakümnendad. Mobiilteenused on natuke iseasi, ent ka siis tuleks rakenduse versioon luua kõigile peamistele platvormidele.

10. Kõige selle juures tuleks jääda väljenduslaadilt tagasihoidlikuks.
"Oleme kõige vingem asi peale laulvat revolutsiooni!" võib küll olla lahe hüüdlause, kuid mõõdutundetu eneseupitamine lõpeb enamasti ninapidi porilompi maandumisega. Meenutame muinasjuttu: kui vanamees ja tema eit oma soovidega puhta ära keerasid, saatis Vägev Vähk mõlemad sealauta...


Artikli autor: Kaido Kikkas

Arvamuslugu ilmus 25. aprillil 2013 ajalehe Äripäeva IT-uudistes.

Originaalartikli juurde 

Read more

Eesti parimaks e-teenuseks valiti TransferWise

Täna kuulutati infoühiskonna konverentsil “Eesti parim e-teenus 2013” konkursi üldvõitjaks rahvusvahelist maksete ja valuutavahetuse teenust pakkuv TransferWise.

“Eesti parim e-teenus 2013” konkursi žürii esinaise Katri Ristali sõnul võitis TransferWise nii e-äri kategoorias kui pärjati ka üldvõiduga. “Taavet Hinrikuse ja Kristo Käärmanni loodud idufirma TransferWise võimaldab teha rahvusvahelisi valuutaülekandeid iga kord teenustasu või konverteerimise eest pangale suurt lõivu maksmata,” ütles Ristal ja lisas, et teenusel on maailmas suur turg.

TransferWise’ile andis peaauhinna Tallinnas üle ülemaailmse e-teenuste konkursi World Summit Award juht Peter A. Bruck, kes kutsus võitja ka rahvusvahelisele konkursile.

“Eesti parim e-teenus 2013” konkursi e-meelelahutuse kategooria võitis TipTheAuthors internetikeskkond, kust saab legaalselt alla laadida Eesti ja välismaa filme ning muusikat. E-kultuuri valdkonna parimaks tunnistati veebimäng Ennemuistne, e-valitsemise sektoris e-piirijärjekorra süsteem ning e-kaasamises loovate projektide ühisrahastusplatvorm Hooandja.

Katri Ristali sõnul laekus konkursile kokku 77 tööd ning tänavune võitjate tase oli väga tugev, kuid mõnes valdkonnas jäi auhind ka välja andmata – näiteks e-hariduse ja e-tervise valdkonnas.

“Eesti parim e-teenus” konkursi eesmärk on tutvustada innovatiivseid e-teenuseid ja e-lahendusi, aga ka nende tellijaid ja tootjaid nii avalikus, era- kui ka mittetulundussektoris. Konkursile said teenuseid ja lahendusi esitada nii teenusepakkujad ise kui ka teenuste tootmisesse kaasatud tarkvaraarendusettevõtted.

Read more

E-turvalisust tuleb defineerida ja mõõta

Enamikku Eesti e-rakendustesse saab ID-kaardi või muu autentimisviisiga sisse logida samahästi kui igaüks. See tähendab, et teenus on internetis 24 tundi kättesaadav nii kasutajatele kui ka potentsiaalsetele ründajatele. Loomulikult oleks parim, kui arendajad toodaksid ainult turvalist koodi, aga paraku on eksimine inimlik ja turvalisuse nõuded tuleb eelnevalt selgelt defineerida.

E-rakenduste turvalisus algab tellija turvateadlikkusest ja soovist turvalisusesse investeerida. Tihti jäetakse Eestis  hangete kriteeriumites turvanõuded üldse või piisava detailsusega mainimata. Kui kolm peamist tarkvaraarenduse kriteeriumit on toimimine, tähtajast kinnipidamine ning hind, siis turvalisus ei satu paraku isegi mõõdikute nimekirja, sest praktilisi turvalisuse rakendamise ja mõõtmise nõudeid ei osata defineerida.

Veebirakenduste mõõdetavad turvanõuded defineerib kõige paremini ASVS (Application Security Verification Standard) standard, mis hõlmab 14 kontrollikategooriat. Parim küberturvalisuse mõõdik on testimine ja veebirakenduste puhul annab kindlaima tulemuse käsitsi testimine kogenud meeskonna poolt. Automaatsed vahendid on piiratud.

ASVSi madalaim, esimene tase ongi automaatsete vahenditega testimine, mida võiks tellija või arendaja ise regulaarselt kasutada. Meie soovitatav minimaalne turvakontroll algab ASVSi teisest tasemest kehk käsitsi turvatestimisest ja soovitavalt ka koodi käsitsi ülekontrollimisest. Panganduses ja muudes kõrgema riskiga valdkondades kasutatakse aga kolmandat taset, mis hõlmab ka arhitektuuri kontrollimist.

Turvatest ei anna igavest indulgentsi, vaid on pelgalt pilguheit hetkeseisu. Turvalisusega tuleb järjepidevalt tegeleda. Erinevalt ründajast, kelle edukuseks piisab tihti vaid ühe turvavea leidmisest, siis peab kaitsja pidevalt kontrollima, leidma ja parandama kõik võimalikud vead. Iga järgneva arenduse apsakas või süsteemihaldajate näpuviga seadistuses või uuendustega viivitamine võib tekitada uusi tõsiseid haavatavusi. Turvalisus ei saa kunagi valmis ja selle tagamine on järjepidev protsess. Peame küsima, kas ehk on käes aeg hakata  turvalisuse mõõdikuid määratlema ja mõõtma.

Artikli autor: Mehis Hakkaja, Clarified Security OÜ juht

Arvamuslugu ilmus 19. aprillil 2013 ajalehe Äripäev arvamusküljel. 

Originaalartikli juurde

Read more