10 June 2023

Nõuete tasemed (RFC 2119)

 Key words for use in RFCs to Indicate Requirement Levels

Status of this Memo

This document specifies an Internet Best Current Practices for the Internet Community, and requests discussion and suggestions for improvements.  Distribution of this memo is unlimited.

Abstract

In many standards track documents several words are used to signify the requirements in the specification.  These words are often capitalized.  This document defines these words as they should be interpreted in IETF documents.  Authors who follow these guidelinesshould incorporate this phrase near the beginning of their document:

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED",  "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119.

Note that the force of these words is modified by the requirement level of the document in which they are used.


1. MUST  This word, or the terms "REQUIRED" or "SHALL", mean that the definition is an absolute requirement of the specification.

2. MUST NOT  This phrase, or the phrase "SHALL NOT", mean that the definition is an absolute prohibition of the specification.

3. SHOULD  This word, or the adjective "RECOMMENDED", mean that there may exist valid reasons in particular circumstances to ignore a particular item, but the full implications must be understood and carefully weighed before choosing a different course. 

4. SHOULD NOT  This phrase, or the phrase "NOT RECOMMENDED" mean that there may exist valid reasons in particular circumstances when the particular behavior is acceptable or even useful, but the full implications should be understood and the case carefully weighed before implementing any behavior described with this label.

5. MAY  This word, or the adjective "OPTIONAL", mean that an item is truly optional.  One vendor may choose to include the item because a particular marketplace requires it or because the vendor feels that it enhances the product while another vendor may omit the same item. An implementation which does not include a particular option MUST be prepared to interoperate with another implementation which does include the option, though perhaps with reduced functionality. In the same vein an implementation which does include a particular option MUST be prepared to interoperate with another implementation which does not include the option (except, of course, for the feature the option provides.)

6. Guidance in the use of these Imperatives Imperatives of the type defined in this memo must be used with care and sparingly.  In particular, they MUST only be used where it is actually required for interoperation or to limit behavior which has potential for causing harm (e.g., limiting retransmisssions)  For example, they must not be used to try to impose a particular method on implementors where the method is not required for interoperability.

7. Security Considerations 

These terms are frequently used to specify behavior with security implications.  The effects on security of not implementing a MUST or SHOULD, or doing something the specification says MUST NOT or SHOULD NOT be done may be very subtle. Document authors should take the time to elaborate the security implications of not following recommendations or requirements as most implementors will not have had the benefit of the experience and discussion that produced the specification.

8. Acknowledgments

The definitions of these terms are an amalgam of definitions taken from a number of RFCs.  In addition, suggestions have been incorporated from a number of people including Robert Ullmann, Thomas Narten, Neal McBurnett, and Robert Elz.

9. Author's Address

      Scott Bradner

      Harvard University

      1350 Mass. Ave.

      Cambridge, MA 02138

      phone - +1 617 495 3864

      email - sob@harvard.edu

This is copy from RFC 2119. Link to original


05 November 2022

Talveilma ennustused

Refereeritud 03NOV2022 Maalehest

Räägitakse mitme erineva ilmatargaga ja üldine konsensus paistab olevat, et tuleb külm ja lumerohke talv. Arvatakse, et külmaks läheb NOV lõpp või DEC algus ning Jõulud tulevad lumised. Päris külmaks läheb JAN lõpp ja VEB algus. Pakutakse, et kuni -30. Usutakse, et MAR on veel talvekuu.

https://maaleht.delfi.ee/artikkel/120091332/talveilma-ennustus-kas-tuleb-karta-1940-aasta-rekordkulma-talve-kordumist

Ametlik ilmaennustus on selline

https://maaleht.delfi.ee/artikkel/120093604/sunoptik-teatab-eesolev-talv-kujuneb-teaduspohiselt-just-selliseks 

kopipasta

"Detsember keskmise jõulukuu mõõtu välja ei anna, vaid kujuneb pehmemaks. Kuu algus võib talvist nägu näidata ja seejärel tuua mõneks päevaks sooja perioodi, kui ööpäevaringselt on õhutemperatuur üle 0°. Kuu edenedes peaks aga ülekaalus olema pehme talvise näoga ilm, mil temperatuurikõver vaid vahetevahel 0° ümbrusse tõuseb ja seejärel taas miinuspoolele langeb.

Jaanuar jätkub keskmisest pehmemana, kuid mitte vesisena. Nullilähedased sulailmad vahelduvad lühiajaliste külmalainetega ja siis langeb öine miinimum ka alla –10°. Sadusid tuleb alla nii lume kui lörtsina, aga mõnikord ka vihmana.

Veebruar tervikuna ei tarvitse paljuaastasele keskmisele palju alla jääda ning võib talviseks osutuda. Tõenäoliselt kujuneb keskmisele lähedane näit välja soojalainete ja krõbedamate talvekülmade vaheldumise tulemusel.

Nõnda peaks eesootav talv tervikuna tulema keskmisest pehmem, aga muutliku meelega ja sulailmade sekka ikka külma ka pakkuma ning suusalund tooma."

 

Ja lisaks veel üks

Bloomberg: tänavune talv Euroopas tuleb tavatult soe

Bloomberg kirjutab viidates Euroopa Copernicuse kliimamuutuste keskuse andmetele, et eurooplastel on sel talvel suurem tõenäosus kogeda tavapärasest oluliselt kõrgemaid temperatuure, mis potentsiaalselt leevendab olukorda defitsiitsete küttekütuste turul. Märgitakse, et Läänemere, Vahemere ja Põhjamere rannikualadel ületab õhutemperatuur peaaegu kindlasti ajaloolisi näitajaid. Teadlaste sõnul, kes kasutavad oma analüüsis miljardeid andurite näite üle maailma, aga ka satelliidiandmeid, on talv 50-60% tõenäosusega oluliselt soojem suuremas osas UK-s, aga ka Kesk- ja Lõuna-Euroopa. 

https://www.bloomberg.com/news/articles/2022-11-13/europe-poised-for-a-warmer-than-normal-winter-copernicus-says?leadSource=uverify%20wall 

https://climate.copernicus.eu/copernicus-europe-experiences-warmest-october-record 

 

Minu isiklik arvamus: tuhat aastat vana rahvatarkus üttleb, et peale sooja ja kuiva suve tuleb külm ja lumerohke talv. Senine kogemus näitab, et aastad käivad umbes 12 aastase tsüklina ning et käesoleva aasta referentsiks sobiks hiljutistest aegadest aasta 2010 (1x12) või varasematest aegadest 1939 (~7x12).

Tegelik olukord

17NOV läks temp alla nulli ning tuli esimene lumi 

19NOV tugev lumesadu Tartu ja Pärnu kandis, minu ümbruses on lund paar sentimeetrit

21NOV esimene tund - termomeeter akna taga näitab -9 (ametlikult -8), mõni sentimeeter lund

23NOV lund on mõni sentimeeter, viimased paar päeva on temperatuur kergelt alla nulli olnud. Hetkel paistab, et läheb sulaks.

26NOV vahepeal oli päeval küll 0...+1 aga päris sulaks ei läinud. Täna oli pehme talveilm, õhtupoolikul tuli kergelt lund.

02DEC vahepeal oli paari külmakraadi juures. Lund umbes 5cm

04DEC nädalavahel on öösel isegi kuni 10 kraadi külma. Päeval on 5C juures.

06DEC läks soojemaks tagasi - paar kraadi külma ja lund hakkas sadama.

07DEC hetkel on lund sadanud üle 10cm. Päeval on -1...-3, öösel -3...-6

12DEC Birgit... ilusa naisenimega lumetorm. Lubati juba eilseks aga eks tal võttis tulemine aega. Igatahes on sadanud kõva 15cm ja hanged on vööni. Ahjaa... saared ja Pärnumaa said esimese laksu kätte juba reedel (09DEC).

https://epl.delfi.ee/artikkel/120113070/paeva-teema-saaremaa-abivallavanem-saarlaste-kannatustel-on-piirid-elektriuhenduse-taastamine-on-elektrilevi-kates 

https://maaleht.delfi.ee/artikkel/120112806/vaikelastega-hiiumaal-tormis-jesper-parve-pidi-jatma-kodutalu-ja-perega-kardlast-varju-otsima

https://arileht.delfi.ee/artikkel/120112580/saarlane-istub-6-paeva-ilma-elektrita-olukord-on-kohutav-elektrilevi-annab-vaid-lubadusi

15DEC Birgit kestis teisipäevani, siis oli vahepeal ühe päeva rahulik ja täna hakkas jälle sadama. Temp on mõni kraad alla nulli.

18DEC öösel oli selge ja külma 15 kraadi ja õhtul läks nüüd sulaks. Sajab lörtsi, temp on paar kraadi üle nulli.

21DEC vahepeal on päeval olnud nulli juures ning öösel mõni kraad külma. Täna hommikul oli päris soe +3...+5. Teed on nii pagana libedad.

23DEC vahepeal oli üle nulli. Poole meetri paksune lumekiht kahanes viie sentimeetri peale. Õhtul läks alla nulli ja hakkas kerget lund sadama.

26DEC kergelt miinuses

29DEC paar päeva on sula olnud ja paistab, et see sula jätkub aastavahetuseni

01JAN vahepeal on pideval plussis olnud ja lumi on peaaegu kadunud

03JAN eile hommikul hakkas vaikselt märga lund sadama ja täna hommikuks oli seda tulnud kõva 20 sentimeetrit. Tulemusena kadus elekter. Temp on ikka nulli kandis.

07JAN vahepeal läks külmemaks ja korra sadas ka kerget lund. Hetkel (20:47) on taevas selge ja temp -15C.

10JAN vahepealsed paar päeva on sadanud kerget lund. Temp on olnud -10 või veidi soojem. Täna hakkab tõusma kuhugi nulli kanti.

15JAN vahepeal on temp olnud pluss-poolel. Lumi on peaaegu sulanud. Tuul on tugev.

19FEB kuu aega järjest on olnud selline +/-0 ümber. Lumest oli järgi üksikud jäänused. Kui öösel oli miinus-poolel siis hommikul oli teel must jää. 

Eile õhtul hakkas lund sadama. Temperatuur on ikka veel +/-0 ümber aga uueks nädalaks ennustatakse kohati -20.


12 February 2021

Veepuhastusjaama häkkimine

 Floridas (küber)rünnati vee-ettevõtet. Ründaja püüdis vee puhastamisel kasutatava naatriumhüdroksiidi (seebikivi) hulka suurendada. Kui see oleks õnnestunud, siis oleks tagajärjed olnud kurvad. 

Eestis, täpsemalt Tallinnas, seebikivi küll ei kasutata - selle asemel kasutatakse polualumiiniumkloriidi - kuid sellegipoolest on risk olemas.

Ründe kirjeldus ja soovitused https://us-cert.cisa.gov/ncas/alerts/aa21-042a 

17 June 2020

Kas Eestis on seaduslikult saadaval liiga võimsad relvad?

Artiklis "Eestis on seaduslikult saadaval liiga võimsad relvad" väidab Vahur Koorits üsna palju erinevaid asju. Muuhulgas ka, et:
1) Paljud Eestis enesekaitseks müüdavad relvad sobivad rohkem tapatalgu jaoks.
2) Eestis ei ole ühelgi seaduskuulekal inimesel vaja pidada pikkasid tulevahetusi.
3) Eestis pole vaja omada enesekaitseks relva.
4) Eestis on lubatud osta enesekaitseks liiga palju ja liiga võimsaid relvi.

Hüva. Alljärgnevalt võtame artiklis esitatud argumendid pulkadeks ja vaatame, milline on nende tõeväärtus.

Taustaks
Mina isiklikult elan Tallinnast väljas. Juhul, kui mul oleks vaja politseid, siis jõuaks see parimal juhul (Maardust) 20 minutiga. Sandimal juhul tulevad nad Lasnamäelt või lausa kesklinnast. Pole parata - 2008-2009 käis väga kõva reha üle.

Pauku ma ei karda. Erinevate relvadega olen tuttav üsna lähedalt ja päris pikka aega. Oman relvaluba. Tulenevalt olen kohustatud kursis olema ka erinevate õigusaktidega. Olen kasutanud tulirelva inimese tapmiseks, kuid õnneks jäävad kõik need juhtumid 30+ aasta taha.

Metoodika
Võtame artikli lõikude kaupa ette. Vaatame, mis väiteid seal esitatakse ning vaatame nende tõeväärtust.

Analüüs
Esimene lõik: "Vähem tähelepanu pälvis see, miks olid seaduslikult tema käsutuses nii võimsad relvad."
Kontroll: Hetkel on erinevatest allikatest teada, et relvi oli 2...4, neist vähemalt üks püstol ja vähemalt üks vintpüss. Samas pole teada nende "võimsus".
Otsus: sellise väite esitamine pole korrektne.

Teine lõik: "tulirelv on siiski palju ohtlikum kui nuga või kirves. Noaga polnuks Tarrastel autoga sõitnud perekonnale midagi teha."
Kontroll: nuga on ohtlik kuni kümme meetrit, kes ei usu, võib vaadata MythBusters katsetusi. Päriselus olen näinud inimesi, kes on suutelised nuga väga täpselt heitma 12-15 meetrit. Kui rääkida autos olevatest kaitsetutest inimestest, siis auto rehvid ei ole noa vastu kaitstud ning edasi on lihtsalt rappimise vaev. Point: ühe tapetu asemel oleks olnud neid neli.
Otsus: see väide on VALE

Kolmas lõik: "Oleks Hansalul olnud üksnes kirves, oleks ta võinud ust lõhkuda, aga vend oleks jõudnud politsei kutsuda, põgeneda või end kaitsta. Just tulirelv võimaldas Heiki Hansalul külmavereliselt läbi välisukse oma venna tappa."
Kontroll: nagu eelnevalt mainitud, jõuab politsei minu juurde heal juhul 20 minutiga. Kuhugi kaugustes asuva talumajani jõudmiseks kulub tal tunde. Selle aja jooksul jõuab kirvega maha lõhkuda rohkem, kui ühe ukse.
Otsus: see väide on VALE

Neljas lõik: "Meis kõigis on võime teha nii head kui ka kurja. See, mis tegelikult juhtub, oleneb paljuski oludest. On vaja rääkida relvadest endist."
Kontroll: jah, inimeste kultuurikiht on õhuke; jah väga palju oleneb inimesest; jah me võime rääkida relvadest - näiteks maas vedelevast kivist.
Otsus: sellise väite esitamine pole korrektne.

Viies lõik: "Politsei ei suuda viimastest aastatest meenutada ühtegi juhtumit, kus seaduslikku relva oleks enesekaitseks kasutatud, nii et see jääks seaduse piiridesse. Varasemast on mõned juhtumid, mis on seotud agressiivsete koertega. Viimane õigustatud enesekaitse juhtum jääb 2014. aastasse, kui komisjonipoe müüja tulistas teda röövima tulnud mehi."
Kontroll: jah, konflikti situatsioon tõstab adrenaliini taseme väga kõrgele ning selles seisundis teevad inimesed tõesti valesid valikuid. Mitte ainult tavainimesed vaid ka need, keda on aastaid treenitud meid kaitsma. Tulenevalt võidakse tõepoolest ületada hädakaitse piire. See aga ei tähenda, et hädakaitse ise õigustatud ei olnud.
Otsus: sellise väite esitamine pole korrektne.

Kuues lõik: "Kui isegi laskeinstruktor ei suuda end tulirelvaga kaitsta, vaid saab ise pihta, siis milline on tavalise inimese lootus end relvaga kurjategija eest kaitsta?"
Kontroll: pole teada, kas instruktoril oli relv või mitte. Hetkel tasuks pigem eeldada, et mitte. Muide, kõige rohkem vägivaldseid surmasid saabub kodutüli käigus ja mai lõpu seisuga oli selliseid juhtumeid juba 19. Valdavalt oli taparelvaks nuga ja vaid kolmel korral tulirelv.
Otsus: see väide on VALE

Seitsmes lõik: "Eestis on lubatud osta enesekaitseks liiga palju ja liiga võimsaid relvi."
Kontroll: väide on põhjendamata
Otsus: sellise väite esitamine pole korrektne.

Kaheksas lõik: Pole täpselt teada, mis relvi Tarraste kasutas, aga teame, et tal oli kaks püstolit ja kaks pikemat, tugevama tulejõuga relva.
Kontroll: pole teada, millele tuginedes selline väide esitatakse. Nagu eelnevalt öeldud - erinevad allikad annavad erinevaid numbreid. Samuti - kui pole teada, mis relvi kasutati, siis kuidas on teada, et pikemad relvad olid tugevama tulejõuga.
Otsus: sellise väite esitamine pole korrektne.

Üheksas lõik: "Seega on sama relva tsiviilversioon omaniku käsutuses sisuliselt sama võimas kui kaitseväes kasutatavad relvad."
Kontroll: jah, üldiselt nii on
Otsus: see väide on KORREKTNE

Kümnes lõik: "Veel enam, samale relvale tohib peale osta ka optilise sihiku ja helisummuti [...] Lääne prefekt Kaido Kõplase sõnul tulistati selle relvaga 100–150 meetri pealt politseinikku, kelle kiivrit kuul riivas. Kaitseväe tavalistel automaatidel optilisi sihikuid pole."
Kontroll: Relvaseadus optilist sihikut ei käsitle. Jah, kaitseväes tõepoolest automaatidel optilisi sihikuid ei ole, samas on 100-150 meetrit tavaline laskekaugus ilma optilise sihikuta. Muide, Kuperjanovis korraldatakse igal aastal võistlus, kus sihtmärgiks on pataljoniülema kell.
Summuti on lubatud relvale kinnitada ainult tiirus või jahil. Eesmärk on see, et lasta saaks ilma kuulmiskaitset kasutamata ja kuulmist kahjustamata. Relva laskeomadusi see oluliselt ei muuda.
Otsus: selliste väidete esitamine pole korrektne.

Üheteistkümnes lõik 1: "Seaduse piirides enesekaitse tulirelvaga tähendab vahetu ja eluohtliku rünnaku tõrjumist. Pikad, suure tulejõuga vintpüssid on selleks väga ebasobivad, palju sobivamad oleks väiksemad käsitulirelvad."
Kontroll: Relvaseadus annab võimaluse soetada relv enese ja vara kaitseks. See tähendab, et relva tohib kasutada nii hädakaitse (KaRS §28) kui ka hädaseisundi (KaRS §29) olukorras. Mõlemaid olukordi on lugematu hulk ning väide "tähendab vahetu ja eluohtliku rünnaku tõrjumist" ei ole päris korrektne. Näiteks minul on majast aia tagumisse nurka üle 90 meetri ning seda vahemaad käsirelvaga ei kata.
Otsus: see väide on VALE

Üheteistkümnes lõik 2: "Ent sõjaväerelvade tsiviilversioonidega saab väga edukalt korraldada massimõrvu. Sellele aitavad kaasa nende relvade täpsus ka pikematel distantsidel, mahukad salved ja laskemoon, millega saab tulistada läbi seinte ja puutüvede seal, kus püstolikuul jääb pidama."
Kontroll: Relvaseadus ütleb, et tsiviilkäibes oleva püssi salv ei tohi mahutada üle 10ne padruni. Püstolil on lubatud kuni 20. Püsse ja moona mis tulistab läbi seinte ja puutüvede, eestis kehtivate õigusaktide kohaselt tsiviilkäibes kasutada ei tohi.
Otsus: need väited on VALED

Kaheteistkümnes lõik: "Enesekaitseks pole vaja teha üle kümne lasu, realistlikes ohuolukordades on vajalik laskude arv pigem üks-kaks. Suure salve mahutavusega püstoleid on vaja pigem sedalaadi tulevahetusteks, mille jaoks seaduskuulekal kodanikul ei tohiks kunagi vajadust tekkida. Enesekaitseks on palju sobivam relv revolver, mille pöörlevasse trumlisse mahub üldiselt kuus kuni kaheksa padrunit."
Kontroll: Olukorras, kus adrenaliini tase on ülimalt kõrge, on sihtimistäpsus äärmiselt madal. Eriti veel siis, kui tulistamise ajal liigutakse. Keskmine tänavalahingu jooksul välja tulistatud kuulide arv jääb kuhugi 20ne kanti.
Mis puudutab revolvri laadimiskiirust... Tänapäeval on olemas kiirlaadijad ning trumli laadimine võtab aega umbes sama kaua, kui salvevahetus.
Otsus: need väited on VALED

Kolmeteistkümnes lõik: "Ta lasi auto esiklaasi sõelapõhjaks, selles oli kokku 14 kuuliauku. Kui tal oleks olnud revolver, oleks ta saanud teha auto pihta palju vähem laske ja võib-olla oleks mõni autosolija jäänud terveks."
Kontroll: Nelja inimese tapmiseks on vaja maksimaalselt nelja kuuli. Mis puudutab võimalust revolrist vähem pauke teha, siis see sai ümber lükatud juba eelmises lõigus.
Otsus: need väited on VALED

Neljateistkümnes lõik: "Eestis ei ole ühelgi seaduskuulekal inimesel vaja pidada pikkasid tulevahetusi või võidelda vaenlasega, kes võib olla kümnete või lausa sadade meetrite kaugusel. Sellist tegevust lubavad relvad ja relvade lisad võivad olla vajalikud jahipidamisel, sportlaskmisel või riigikaitses, aga mitte enesekaitseks. Seadus peaks seda täpselt ütlema.
Kontroll: relvaluba antakse välja relva(de) kohta. Juhul, kui on üks luba sportrelvade kohta ja teine enesekaitse relvade kohta, siis see tähendab, et lõppkokkuvõttes pean ma kõiki oma relvi kaasa tassima, sest kuidagi on ju vaja neid sportrelvi kaitsta. Hetkel kehtiv relvaseadus võimaldab sama relva kasutada nii spordiks kui ka selle sama relva kaitseks.
Otsus: need väited on VALED

Viieteistkümnes lõik: "On veel üks müüt, mis vajab kummutamist: enesekaitseks ostetud relvadel on riigikaitseline tähtsus."
Kontroll: Nagu kirjatüki autor eelnevalt märkis, on mõnede tsiviilrelvade ja sõjarelvade vahed tühised. Muide, taoliste tsiviilrelvade hankimiseks läheb vaja eriluba ning neid antakse välja ainult (ja ainult) spordiks ning jahipidamiseks. See, kas taolise relva omanik sealjuures mõne riigikaitselise organisatsiooni liige on, on tema vaba valik. Muide enamasti on.
Otsus: need väited on VALED

Kuueteistkümnes lõik: "Viimastel aastatel pole olnud enam ühegi tõsisemat relvadega toime pandud kuritegu, mille toimepanija oleks kaitseliitlane. See näitab, et sotsiaalne kontroll on tõhusam kui formaalne psühhiaatriline kontroll."
Kontroll: Tõepoolest pole kaitseliitlastega toimunud ühtegi tõsisemat relvaintsidenti, mis on positiivne. Samuti pole ka mittekaitseliitlastega. Nagu eelnevalt näidatud - põhiline taparelv on kööginuga. Sotsiaalne kontroll on kahtlemata hea aga antud juhul ei mängi see mingit rolli.
Otsus: selliste väidete esitamine pole korrektne.

Kokkuvõtteks
Artiklis on kuusteist lõiku. Neist korrektne on ainult üks, kahtlase väärtusega on 6 ja täiesti valed 9 (loe: üheksa).

Jagasin FB-s seda artiklit kommentaariga: "Järjekordselt üks täiesti asjatundmatu artikkel, mis kubiseb valedest (ma väga loodan, et need pole tahtlikud)" ning peale põhjalikumat analüüsi olen jätkuvalt arvamusel, et taolisi artikleid ei peaks kirjutama inimesed, kes pole suutelised oma väite tõeväärtust hindama.

10 January 2020

Kliimamuutuse eitamisest ja jaatamisest

Kunagi, mitte just väga ammu, oli käibel anekdoot: "Kui inimene väidab, et 2. maailmasõja ajal tapeti üle kuue miljoni juudi, siis ta on Holokausti jaataja, kui väidab, et alla kuue miljoni, siis eitaja ning kui ütleb, et täpselt kuus miljonit, siis on ta neutraalne."

Anekdoodi taust on see, et täpne number pole tegelikult teada. Erinevatel hinnangutel kõigub see kusagil 5,1 ja 6,2 vahel. Number "kuus miljonit" läks lendu Jalta Konverentsil nõukogude propagandistide toel.

Hetkel peaks selle anekdoodi ringi tegema: "Kui inimene teeb FB-s pidevalt postitusi, kuidas kliima muutub halvemaks, siis on ta kiimamuutuste jaataja. Kui lihtsalt laigib taolisi postitusi, siis on ta neutraalne. Ning kui ta küsib, et kuulge, rääkige natuke lähemalt, siis on ta eitaja"

06 January 2020

Kübersõduritest

Täna küsiti mu käest, kes või mis on kübersõdur? Sellele vastamist peaks alustama natuke kaugemalt.

Alustame mõistest "küber-". See tähendab eelkõige "juhtimine", selle kõige laiemas mõistes. Pikema selgituse leiab ühest minu eelnevalt kirjutatud artiklist "Kübermõistete selgitusi".

Juhtimise kõige olulisemaks komponendiks on informatsioon. Lihtsustatult võttes, on informatsioonil kolm kvaliteedikriteeriumi - käideldavus, terviklus ja konfidentsiaalsus. Selleks, et juhtimisotsus oleks kvaliteetne, peab kvaliteetne olema ka otsuse aluseks olev informatsioon.

Tulenevalt on kübersõduri ülesanne teha nii, et sõjaliseks otstarbeks kasutatava info puhul oleks infosüsteemis tagatud käideldavus, terviklus ja konfidentsiaalsus. Teisalt - ründe puhul peab tegema nii, et vaenlase informatsiooni käideldavus, terviklus või konfidentsiaalsus (vastavalt eesmärgile) oleks rikutud.

Esitan ka mõned näited ühe hiljutise kindrali surma varal.

Iraan on Vene ja Hiina toel arendanud oma kübervõimekust viimased kümme aastat. Kui see oleks tänaseks nüüd tõesti olnud väga heal tasemel, siis mida oleks saanud küberis teha, et näiteks kindrali surma ära hoida?

Stsenaarium 1: Nagu teada, esitati Trumpile mitu tegevusvarianti ja tema valis neist kõige ebatõenäolisema. Küberründe abil oleks olnud võimalik modifitseerida (rikkuda terviklust) tegevusvariantide dokumenti nii, et kindrali tapmise valikut poleks üldse olnudki.

Stsenaarium 2: Nagu teada, tapeti kindral droonirünnakuga. Küberründe abil oleks saanud modifitseerida droonide juhtimissüsteeme nii, et need poleks leidnud õiget asukohta või oleks tulistanud raketid vales suunas.

04 September 2019

Relvad ja mõrvad

Hiljutine diskussioon FB-s pani mind uuendama ühte kunagi tehtud graafikut relvade ja mõrvade seosest.

Seekord sai võrdlusesse valitud ka TOP-5 mõrvade hulgaga riigid - Salvador, Jamaica, Venezuela, Virgin Islands ja Honduras, samuti sai kohe graafikusse pandud US.

Lisainfoks niipalju, et ehkki Venezuelas on ametlikke relvi suhteliselt vähe, arvatakse seal illegaalseid relvi olevat 9 kuni 15 miljonit. Arvatavasti kehtib sama ka teiste TOP-5 riikide kohta.

Kui mõrvade arvu järgi seatud pingerida edasi vaadata, siis esimese Euroopa riigi - Venemaa, leiame kohalt 51 (relvi 12,3 per 100), Ukraina kohalt 80 (9,9), Leedu kohalt 97 (13,6), Läti kohalt 106 (10,5) ning Valgevene kohalt 110 (6,1). Ühendriigid, oma suure relvade arvuga (120,5), on kohal 89.

Järeldused
Seos ametlike relvade hulga ja mõrvade hulga vahel puudub




Tabelid - Euroopa (mõrvu 100 000 elaniku kohta; relvi 100 elaniku kohta)
country murders per capita guns per capita Koht üldises tabelis
Russia 9,20 12,30 51
Ukraine 6,20 9,90 80
Lithuania 4,50 13,60 97
Latvia 4,20 10,50 106
Belarus 3,58 6,10 110
Moldova 3,19 3,00
Gibraltar 3,10 4,10
Hungary 2,50 10,50
Montenegro 2,40 39,10
Albania 2,30 12,00
Estonia 2,20 5,00
Belgium 1,70 12,70
Kosovo 1,60 23,80
North Macedonia 1,50 29,80
Bulgaria 1,50 8,40
Slovakia 1,50 6,50
Romania 1,50 2,60
France 1,30 19,60
Northern Ireland 1,30 11,00
Finland 1,20 32,40
Bosnia and Herzegovina 1,20 31,20
Denmark 1,20 9,90
United Kingdom 1,20 5,03
Englandand Wales 1,20 4,60
Serbia 1,10 39,10
Sweden 1,10 23,10
Croatia 1,10 13,70
Scotland 1,10 5,60
Germany 1,00 19,60
Malta 0,94 28,30
Iceland 0,90 31,70
Slovenia 0,90 15,60
Ireland 0,90 7,20
Netherlands 0,80 2,60
Poland 0,80 2,50
Portugal 0,70 21,30
Greece 0,70 17,60
Spain 0,70 7,50
Italy 0,67 14,40
Austria 0,66 30,00
Czech Republic 0,60 12,50
Norway 0,50 28,80
Switzerland 0,50 27,60
Luxembourg 0,30 18,90
Liechtenstein 0,00 28,80
Monaco 0,00 19,60
San Marino 0,00 14,40
Andorra 0,00 14,10
Channel Islands 0,00 14,00
Vatican City 0,00 0,00

Tabelid - TOP 5 + US (mõrvu 100 000 elaniku kohta; relvi 100 elaniku kohta)
country murders per capita guns per capita Koht üldises tabelis
El Salvador 61,80 12 1
Jamaica 57,00 8,8 2
Venezuela 56,33 18,5 3
Virgin Islands 49,26 16,6 4
Honduras 41,70 14,1 5
United States 5,30 120,5 89

Allikad:
Guns per capita
Murders per capita

17 December 2018

Riskianalüüsil põhinev turvalisus

Hetkel on RIA poolt tugev plaan muuta kogu info- ja küberturve riskihinnangutel põhinevaks. Seega jätkame sealt, kus pooleli jäime: a) Küberturvalisuse seadus ja b) ISKE.

Riskianalüüsi metoodika väga lühidalt kirja panduna oleks selline:

  1. Kirjelda riskianalüüsi aluseks olev objekt (IT-seadmed, varad, protsessid vms);
  2. Pane kirja sellele objektile võimalikult mõjuvad ohud;
  3. Pane kirja selle objekti ohtudele vastavad nõrkused;
  4. Hinda iga ohu realiseerumise tõenäosust;
  5. Hinda iga ohu realiseerumise mõju;
  6. Funktsioon tõenäosusest ja mõjust annab võimaliku riski suuruse (funktsioon võib olla korrutis või summa või midagi muud, näiteks vastavustabel).
Sealt edasi tuleks juba hakata nende riskidega tegelema. Võimalikke tegutsemismeetodeid on neli:
  1. Riski ei võeta (vastavaid seadmeid ei soetata, protsesse ei juurutata jne);
  2. Risk jagatakse (kindlustus, leppetrahvid vms);
  3. Võetakse kasutusele turvameetmed;
  4. Risk aktsepteeritakse.
Küberturvalisuse seadus näeb ette, et iga teenuse pakkuja või KOV või arstiteenuse pakkuja peaks tegema riskianalüüsi. Vastava metoodika on Ettevõtlus- ja tehnoloogiaminister kehtestanud oma määrusega

Iseenesest on lahendus olemas aga mis selle juures on nõrgad kohad? Eestis ei ole just väga palju inimesi, kes igapäevaselt riskihaldusega tegelevad. Kehvemal juhul juhtub nii, et mõni direktor või vallavanem viskab selle oma töökeskkonna voliniku lauale ja laseb tollel riskianalüüsi valmis teha. Loogika on siin lihtne - töökeskkonna volinik teeb töökeskkonna riskianalüüse, asi siis veel üks riskianalüüs valmis teha.

Kui nüüd loota, et riskianalüüsi võetakse tõsiselt, siis satume järgmiste probleemide otsa:
  1. Kuskohast võtta võimalike ohtude loend? Kui hakata ise välja mõtlema, siis võib mõni oht lihtsalt teadmatusest või mis iganes muul põhjusel ununeda.
  2. Kuskohast võtta nõrkuste loend? Hetkel on ISKE mitterakendamise põhjenduseks toodud selle keerukus. Isiklikult minu arvates on tegelikult eksisteerivate nõrkuste hindamine veelgi keerulisem.
  3. Kuskohast võtta realiseerumise tõenäosus? USA-s, Brittidel, Kanadas ja veel mõnes kohas on olemas vastavad tabelid aga Eestis on nendega natuke keeruline hakkama saada - seal pole kõiki ohte (n. ID-kaardiga seonduvad) ja samuti kipuvad riski tasemed olema riigiti üsna spetsiifilised. 
Kõige lihtsam lahendus oleks, kui RIA hakkab avaldama vastavaid loendeid ning riski realiseerumis statistikat. Samas ei muudaks see lõppkokkuvõttes kogu süsteemi haldust või rakendamist lihtsamaks. Lisaks pole küberintsidentide registrist lubatud statistikat välja anda, vähemalt ei ole küberturvalisuse seaduses selle kohta midagi öeldud ning registri põhimäärus on jätkuvalt kehtestamata...

Üldiselt arvaks ma hetkel nii, et kui hetkel peaks hakkama riskipõhiselt lähenema (küberturvalisuse seadus seda võimaldab), siis ülima tõenäosusega hinnatakse riskid nii alla kui võimalik, peaasi et mingeid lisategevusi ei peaks tegema. 

Vaatame, kuidas edasi hakkab minema :) 

15 October 2018

ISKE valud ja võlud



Tänase seisuga on Eesti etalonturve (vahel nimetatakse ka tüüpturve või baasturve) umbes 20 aastat vana. Esimene Infosüsteemide Kolmeastmelise Etalonturbe (ISKE) käskkiri anti välja 16 aastat tagasi. Turvameetmete auditeerimine tehti kohustuslikuks 12 aastat tagasi... aga tänaseni veel kuuleme, kuidas ISKE on paha ja ka sellest, kuidas elementaarsetest asjadest mööda vaatamise tõttu jälle mõni suurem või väiksem turvaintsident juhtub. Aga... Vaatame siis, mis on taolise etalonturbe valud ja võlud...

Etalonturve (baasturve) pole midagi uut ega haruldast. Eesti enda süsteem on koopia sakslaste BSI-st. Sarnased süsteemid on olemas pea kõikides arenenud infoturbega riikides, näitena: Katakri Soomes; NIST 800-53 Ühendriikides; InformationSecurity Manual (ISM) Austraalias.

Põhjus, miks etalonturbe teed minnakse on ilmne – ta on hästi lihtne. Pole vaja tegeleda riskianalüüsidega, samuti pole vaja hakata ise välja mõtlema turvatasemele sobivaid turvameetmeid – nimekiri on ees, vaatad üle, rakendad ära ja valmis. Samuti on hästi lihtne selle auditeerimine – vaatad nimekirja üle, kontrollid, kas kõik vajalikud meetmed on rakendatud ning ongi korras. Tulemus – omavahel ühendatud süsteemidel on sarnastel alustel turvatase ning selle kohta on olemas kolmanda osapoole kinnitus.

Miks siis ikkagi asju tehtud ei saa või miks rahul ei olda või mida muuta, et asi parem oleks? Üldiselt võib selle kokku võtta kolme sõnaga – teadlikkus, teadlikkus, teadlikkus.

Üldine teadlikkus – etalonturbe meetmete kataloogid on väga mahukad ja kui turvateadlikkuse baas on nõrk, siis ollakse koheselt segaduses. ISKE tüüpiline rakendamine nägi välja nii, et asutuse juht avastas, et ta peab rakendama ISKE-t, vaatas sellele korra otsa, sattus masendusse, printis kõik 3500 lehekülge välja, tõstis selle paki IT-kuli lauale ja ütles: „rakendatagu”. IT-kuli lappas seda pakki, avastas et kõvasti üle poole on selline, mis üldse ei seostu IT-ga ja muutus õnnetuks.
Sarnane muster joonistub kahetsusväärselt sageli välja ka ISKE rakendamise teenuse sisseostmisel. Hangitakse sertide ja teadmistega tüüpe ning öeldakse neile: „rakendatagu”. See, et tegelikult on tegemist organisatsiooni arendamisega, jääb tellijatele mõistmatuks.

Teadlikkus konkreetsete meetmete osas. Meetmete hulgaga seondub servast ka nende ajakohasus ning kirjelduse kvaliteet. Nimelt on meetmete loendi aluseks, nagu varasemalt juba märgitud, sakslaste BSI. Sakslastel endil on uuendamise tsükkel 18 kuud. Kui raha maksta ei taheta, siis tasuta on võimalik kasutada eelmist versiooni. Teisisõnu – lisandub veel 18 kuud. Siseriiklikult lisandub aeg tõlkimisele ja kehtestamise bürokraatiale – veel aasta. Tulemus on see, et turvameetmete loendis on vähemalt neli aastat vanad asjad ning puuduvad hetkel aktuaalsed turvameetmed.

Tõlkija ja toimetaja teadlikkus, ehk teisisõnu – meetmete kirjelduse sisu. Hetkel on kirjelduste sisu väga ebaühtlane. Kohati on see väga detailne aga ei sobi väga Eesti konteksti, kohati on mitu lehekülge väga udust teksti, millest võib välja lugeda mida iganes.

Siia juurde tuleks muidugi nimetada ka veel neljas probleem – Saksa Infoturbeamet tahab oma baasturbemeetmetele teha täieliku restardi. Hetkel pole veel väga kindel, mis toimuma hakkab, kuid selge on see, et midagi muutub. Ühe märgina muudatustest on see, et nad on vana BSI suures osas integreerinud oma IS Security Manuali sisse.

Hüva, siin me nüüd oleme aga kuidas edasi? Kui mitte hakata laiemalt lahkama infoturvet käsitlevat õigusruumi, siis põhimõtteliselt on kolm teed:
    1. Oodata, kuni sakslased oma mõtete ja tegudega on kuhugi jõudnud ja siis koos nendega edasi minna;
    2. Hakata ise ISKE-t püsti hoidma;
    3. Valida mingi teine standard uueks põhjaks ja sellega edasi minna.
Igal neist valikutest on oma head ja vead ning pikemalt neid võibolla ei lahkaks aga... kui tsiteerida klassikuid: „ I have dream...”
Isiklikult minu arvates võiks edasi minna mingi teise standardiga. Aluseks võib võtta ühe kolmest loo alguses nimetatust, kusjuures hetkel oleks arvatavasti kõige lihtsam, kui valida soomlaste KATAKRI ning selle kasutamise eest panustada selle arendamisse. Lisaks tuleks meil ümber kirjutada hetkel kehtivad ISKE rakendusjuhend ja auditi juhend. Kogu töö võiks olla enam-vähem aastaga tehtud.

Sedasi saaks rahuldatud küberturvalisuse seaduse riskianalüüsi nõue ning ühtlasi ka oleks olemas elementaarne meetmete loend, mida on lihtne rakendada ja auditeerida. Pikemas perspektiivis oleks kasulik siia juurde tekitada ka mingi tööriist, kuid see on juba järgmise jutu teema.

Disclaimer: käesoleva loo autor ei kavatse kandideerida RIA osakonnajuhataja ametikohale. Lugu on kirjutatud ISKE rakendaja ja audiitori seisukohalt, puhtalt isikliku arvamuse avaldamiseks ning loodetavasti üldiseks hüvanguks.

18 May 2018

Küberturvalisuse seadus


Oma kursusel „Sissejuhatus infoturbesse“ pean ühe loengu ka infoturvet reguleerivate õigusaktide teemal. Kuna konkreetne loeng on ülevaatlik ja käsitletavaid õigusakte päris mitu, siis vaatleme ainult väga põhilisi asju – mida reguleerib, kuidas reguleerib, keda puudutab ja keda mitte ning seosed või vastuolud teiste õigusaktidega. Kuna ma ise olen eelkõige praktik, siis analüüsime õigusakte justnimelt praktiku seisukohast. Juhul, kui on vaja põhjalikumalt süveneda siis on minu soovitus alati olnud, et abi tuleks otsida juriidilise haridusega isiku käest.

Küberturvalisuse seadus võeti vastu 14.05.2018 ning praeguse plaani järgi peaks see alustama kehtimist 23.05.2018. RIA, kui selle õigusakti põhiline eestvedaja, esitles seda, kui suurt töövõitu. Kahjuks on see õigusakt üks suur pettumus. Olen kunagi detsembris riigikogusse läinud versiooni kohta kasutanud väljendit: „paras rulli keerata ja sisse istuda“ ja… no ei ole vahepeal oluliselt paremaks läinud… Aga võtame järjest.

Mida reguleerib

Paragrahv 1 lõige 1 ütleb: „Käesolev seadus sätestab ühiskonna toimimise seisukohast oluliste ning riigi ja kohaliku omavalitsuse üksuse võrgu- ja infosüsteemide pidamise nõuded, vastutuse ja järelevalve ning küberintsidentide ennetamise ja lahendamise alused.“

Teisisõnu – reguleeritakse ainult võrguturvet ja infosüsteeme. Seadusega kehtestatav termin „võrgu- ja infosüsteem“ (§2 lg 1) määratleb väga täpselt ära millest jutt käib ja küberist on asi ikka väga kaugel. Antud juhul on probleem selles, et juhul, kui keegi nüüd soovib hakata ka päriselt küberiga tegelema, siis on tal teed kinni. Ainuke võimalus on selle sama seaduse muutmine.

Kuidas reguleerib

Võrgu- ja infosüsteemide puhul on paika pandud põhimõtted ja turvameetmete rakendamise nõue ning järelevalve nende nõuete täitmise üle.

Küberturvalisuse põhimõtted on: isiklikkuse põhimõte; tervikliku kaitse põhimõte; kahjuliku mõju vähendamise põhimõte; ja koostööpõhimõte.
Kommentaariks: kõik need põhimõtted on väga head aga tõlgendamise ruumi on päris palju. Ma ütleks isegi, et liiga palju. Tõlgendamise ruumi vähendavad natukene turvameetmete rakendamise punktid, kuid vaatame lähemalt…

Turvameetmed tuleb rakendada intsidendi ennetamiseks, lahendamiseks ja mõju leevendamiseks. Meetmete rakendamisel tuleb koostada riskianalüüs, koostada turvaeeskirjad, rakendada turvameetmed ning kõik see ära dokumenteerida (§7 lg2 pp1-2).
Kommentaariks: riskianalüüsi nõue on hea ja vajalik, kuid sellises sõnastuses laseb see veega alla ISKE ja selle rakendamise. Kusjuures on see põhimõtteline teema – tüüpturve ei eelda riskianalüüsi ning riskianalüüsile põhinevale turbe rakendamisele järgnevalt veel tüüpturvet rakendama hakata on täiesti mõttetu.

Huvitav on punkt, mis käsib üles seada seiresüsteemi ning tulemusi edastama RIA-le (§7 lg2 p3).
Kommentaariks: Punktist ei selgu küll täpselt, mida mõeldakse, kuid sõnastuse põhjal oletaksin, et mõeldud on IDS-i (Intrusion Detection System). Iseenesest ei ole seiresüsteemi ülesseadmine midagi keerulist, küll aga hakkab see hilisemas ekspluatatsioonis nõudma üsna suurt ressurssi nii tehnilises kui ka inimeste mõttes. Väiksemale ettevõttele või asutusele ei ole selline asi üldsegi jõukohane. Omaette huvitav küsimus saab olema informatsiooni edastamine RIA-le – kuidas see peaks välja nägema, kas tuleb see seiresüsteem teha väljast juurdepääsetavaks ja anda RIA tüüpidele ligipääsuõigused, või tuleb korra nädalas/päevas esitada mingi raport.

Paragrahv 7 punkt 4 käsib kasutusele võtta intsidendi mõju ja leviku vähendamise abinõud – intsidendihalduse protseduurid.
Kommentaariks: Iseenesest pole midagi üle mõistuse – kehvemal juhul tuleb lihtsalt juhe seinast välja sikutada ja ongi kogu lugu. Samas, keerulisemal juhul eeldab see eriettevalmistusega seltskonda (CSIRT) ning sellise võimekuse hankimine ei pruugi väiksemates kohtades olla üldse mõttekas.

Seaduse paragrahv 8 ütleb, et turvaintsidendist tuleb teavitada ning paneb üsna täpselt paika, millistel tingimusetel ning kuidas see käib.
Kommentaariks: Nõue, kui selline on positiivne, kuid koosmõjus teiste õigusaktidega (eelkõige GDPR aga ka valdkondlikud regulatsioonid) tekib olukord, kus teavitada tuleb heal juhul kolme, kehvemal juhul kuni viite osapoolt. Näiteks peab pank oma infosüsteemi rikke puhul teavitama Finantsinspektsiooni, RIA-t ja AKI-t ning lisaks välja saatma ka veel pressiteate.

Keda puudutab

Alustame sellest, keda ei puuduta. Regulatsioon ei kohaldu digitaalteenuse osutajale, kellel on alla 50 töötaja ja kelle aastakäive on alla 10 miljoni EUR-i. Sisuliselt välistab see enamiku Eesti internetiteenuse pakkujatest, sealhulgas Eesti suurima domeenide registripidaja.

Minu lemmiknäide oleks siin „osta.ee“. Neil on ~300tuhat registreeritud kasutajat ja ~200tuhat unikaalset külastust päevas ning kui mõni neist laseb seal keskkonnas kogemata mõne pahavara lahti, siis on kõik hästi – antud regulatsioon osta.ee-d ei puuduta.

Puudutab see õigusakt kindlasti kolme suuremat telkot, kõiki elutähtsa teenuse osutajaid, kõiki riigiasutusi ja kohalikke omavalitsusi. Kurioosumina tuleks märkida, et see õigusakt puudutab kõiki perearste (§28 lg1) ning samuti ka suuremaid muuseume. Muuseumitega on see huvitav lugu, et vastavalt §4 lg1 p1 on digitaalse teenuse osutaja see, kes pakub internetipõhist kauplemiskohta ning paljudel muuseumitel on olemas oma veebipood. Näiteks https://pood.ekm.ee/

Järelevalve

Kõige rohkem furoori on kahtlemata tekitanud RIA-le antud õigus infosüsteemil juhe seinast välja tõmmata. Kuna konkreetsete punktide sõnastus on pehmelt öeldes sant, siis on ka täiesti arusaadav, miks selline õiguste andmine poleemikat tekitab.

Samas on tähelepanuta jäänud, et RIA on saanud õigused küsitlemiseks ja dokumentide nõudmiseks; Kutsumiseks ja sundtoomiseks; Isikusamasuse tuvastamiseks; Vallasasja läbivaatuseks ja selle hoiule võtmiseks; ning Valdusesse sisenemiseks ja selle läbivaatuseks.

Õnneks (või kahjuks) pole sanktsioonid just väga suured – turvameetmete rakendamata jätmise eest saab eraisikut karistada kuni 200 trahviühikuga ning juriidilist isikut kuni 20tuhande euroga.

Seosed teiste õigusaktidega

Küberturvalisuse seadus tekitab teatava vaakumi (või siis ülekatte) eelkõige just riigiasutustes ja KOV-des, kuna need peavad rakendama nii AvTS-ist tulenevaid nõudeid – ISKE, kui ka käesolevast seadusest tulenevaid nõudeid – tegema riskianalüüsi. Nagu eelnevalt sai mainitud, muudab see ISKE mõttetuks või siis tekitab tohutu ülekulu.

Teine asi, mis isiklikult minu jaoks tekitas suure hämmingu, oli seaduse koostajate väide, et seos Isikuandmete kaitse üldmäärusega puudub. Tuletame meelde varasemas loengus käsitletud infoturbe definitsiooni: Infoturve on riskihalduslik tegevus teabe turvalisuse säilitamiseks vastavalt organisatsiooni tegevuse eesmärkidele, sealhulgas ka andmekaitse realiseerimise vahendina. [https://akit.cyber.ee/term/513-infoturve ]

Siia juurde peaks lisama, et EU-s tulid nad välja ühise paketina ning kui neid nüüd omavahel võrrelda, siis on seal väga palju ühiseid tegevusi: riskianalüüs, turvameetmete rakendamine, turvameetmete rakendatuse kontroll, intsidendist teavitamine jne.

Kui me nüüd vaatame Küberturvalisuse seaduse aluseks olevat EU võrguturbe direktiivi, siis seal on mitmes kohas vähendatud halduskoormust sellega, et kui turvameetmed või teavitamine on sätestatud mõne teise õigusaktiga, siis mingeid täiendavaid tegevusi enam teha pole vaja.

Viited

Siia juurde lihtsalt informatiivsetel eesmärkidel üks pildike standardist EVS-ISO/IEC 27032:2018 – Infotehnoloogia Turbe meetodid Küberturbe juhised

Jutt isikuandmete kaitse üldmääruse kohta http://www.aki.ee/et/andmekaitse-reform/isikuandmete-kaitse-uldmaarus
RIA poolne reklaamjutt seaduse kohta https://www.ria.ee/ee/kuberturvalisuse-seadus.html