Maailm üleilmse kübersõja ohus – aga kes juhib Eesti vägesid?

Aasta 2017 selgitas märgatavalt vett seni tegelikult vaid uduselt tajutud üleilmse küberohu ümber -  selgemalt kui kunagi varem jõudis kõigi teadvusesse, et rünnata võib igaüks, igaüht, üleilmselt ja kust iganes maailma otsast. Enneolematut edu saavutasid kriminaalsete rühmituste majanduslikest huvidest lähtuvad ründed, kuid veelgi teravamalt kõlas äratuskell andmaks teada riiklikul tasandil organiseeritud rünnakutest.

Põhja-Korea võimude juhitud rühmituse loodud lunarahavara Wannacry abil maikuus korraldatu oli esimene – kannatata 155 maailma riigi inimesed, ettevõtted, riiklikud infrastruktuurid, haiglad, koolid. Kohe juunis järgnes Venemaa organiseeritud NotPetya rünnak Ukraina vastu - maailm oli šokis. Tänaseks on selgunud, et Venemaa internetitrollide armee mõjutas läbi veebipõhise ajupesu otseselt USA presidendivalimisi. Ning see on vaid jäämäe tipp püsiva ründetegevuse foonil.

Just sellest ajendatuna kogunes möödunud nädalal Brüsselis väike, ent väga mõjukas ja vähemalt sama kõrgetasemeline seltskond, et kujunenud olukorrale ausalt otsa vaadata ja välja öelda, kuidas demokraatlik maailm praegusest punktist edasi saaks minna.

Teiste seas olid kohal olid NATO asepeasekretär Rose Gotemoeller, Microsofti juht Brad Smith, USAs tegutseva German Marshalli Fondi juhid ja eksperdid, Prantsusmaa IT-juht, teadlased Saksamaalt ja mujalt. Aruteludel oli kohal ka Postimees ning väikese Eesti rolli olulisus olukorra paranemisel kõlas  mitmel korral nende inimeste huulilt.

«Ma tõesti soovin, et aastast 2018 saaks aasta, mil avalik- ja erasektor saavad kokku, et astuda uusi samme kaitsmaks demokraatiat ja demokraatlikke protsesse kogu maailma riiklikul tasandil organiseeritud küberrünnakute eest. Peame tegema palju rohkem ja uutmoodi,» kõlas Brad Smithi peamine sõnum kohaletulnuile.

Peamiseks häirekellaks ongi tema sõnul just see, mida nägime  NotPetya puhul: märkimist ei vääri ründevara kui selline vaid asjaolu, et sihtmärgiks on võetud kogu riigi infrastruktuur tervikuna. Ukrainas nakatus  kuni 30 protsenti kõigist riigi arvutitest. Kusjuures, nagu nägime, ei piirdu sellised ründed mitte sugugi vaid ühes riigis asuvate võrkudega vaid ohvreid on kõikjal üle maailma

NATO: piiri sõja ja rahu vahelt on haihtunud

Kas maailm on pärast möödunud aasta rünnakuid sõjas - kübersõjas? Kuna rünnatud on sisuliselt kõikides maailma riikides asuvaid süsteeme ja ründajaks on olnud riiklikult toetatud grupeeringud, siis võiks ju nii arvata küll. Kuid uus ajastu on kaasa toonud vajaduse ümber sõnastada mitmed sõjalised terminid, vaatama üle oma töövahendid ja kogu tegevus ning sellega seisab muidugi rinnakuti ka maailma võimsaim sõjaline allianss NATO.

«Me ei saa enam võidelda uute ohtude vastu vanade töövahendite abil. NATO on vastakuti tõsiasjaga, et oleme hübriidruumis, kus puuduvad piirid rahu ja sõja, sõja ja konflikti ning konflikti ja kriisi vahel,» - sellise tõdemusega tuli Brüsseli arutelul välja NATO asepeasekretär Rose Gotemoeller.

Jah, NATO ei tegutse kaugeltki enam vaid ühiskondade füüsilise kaitsega õhus, maal ja merel. NATO on selgelt asunud kaitse-, luure-  ja vajadusel ründetegevusse küberruumis. Tallinnaski on avatud NATO küberkaitsekeskus. Gotemoeller ütles selle taaskord ka väga selgelt välja: «Meie eesmärk on tagada ja arendada turvalist ja rahumeelset kübermaailma.»

Aidatakse tagada rahvusvahelist õiguse kehtivust küberruumis, toetatakse tsiviilkaitseasutusi ja korraldatakse koostöös partneritega ennetavaid õppusi – need on kolm peamist NATO töövahendit selles valdkonnas. Lühidalt: NATO tahab tuua oma tegevuse igas mõttes uuele tasandile ning olla demokraatlike riikide ja tehnoloogiaettevõtetega samas paadis.

Asepeasekretär rõhutas just Tallinnas asuva NATO küberkaitsekeskuse olulist rolli küberkaitsealaste treeningute ja hariduse valdkonnas ning meenutas, et Eesti oli esimene riik kogu maailmas, mis juba aastal 2007 massiivse küberrünnaku alla sattus.

Kurikaval uus külm sõda

Prantsusmaa välisministeeriumi kübervaldkonna juhi David Martinoni sõnul on maailm justkui olukorras, mida võiks võrrelda külma sõja uue vormiga. Ainult et tänapäeval võib tõesti iga riik olla  küberruumis ründajaks ning vastasseis on läinud otseseks ja selgeks.

«Peamine küsimus on  täna selles, kuidas tagada, et riikidele rahvusvaheliste normidega pandud kohustused küberuumis ka tegelikult kehtiksid,» ütles Martinon.

Nagu näitas Venemaa tegevus USA presidendivalimiste eel, on küberruum loonud võimaluse ka millekski palju intellektuaalsemaks kui labane küberrünnak – soovitus tulemuse saavutamiseks valeinfo levitamise teel. Ehk siis: näiteks  välisriigi valijate ajupesu eesmärgiga kallutada neid tegema soovitavaid valikuid. See on midagi eriti kurikavalat, kuna valimised ise jäävad oma protsessi poolest täiesti demokraatlikuks ning keegi ei ürita tehniliselt süsteeme mõjutada.

FBI on tänaseks tõestanud, et Venemaa riiklik internetiagentuur (RIA) korraldas miljonidollarilise USA presidendivalimiste eel miljonidollarilise eelarvega salakampaania. Kasutatud trollid lõid USA kodanike sotsmeediaprofiile, mille teel hakati looma justkui aktivistide kampaaniaid Facebookis, mürgitama kannete teel teiste kampaaniaid, külvama viha ühe kandidaadi vastu ning kiitma taevani teist.

Üks tuntumaid selliseid libakontosid oli entusiastlik vabatahtlik «Matt Skiber», kelle abil mindi lausa nii kaugele, et asuti organiseerima pärisproteste ja demonstratsioone.

German Marshalli fondi vanemnõuniku Laura Rosenbergeri sõnul on ta kõige enam mures just selle üle, mida kõike on võimalik teha desinformatsiooni ja kõrgtehnoloogia koostöös.

«Kõrgtehnoloogiat on võimalik kasutada järjest uutel viisidel ja me näeme trendi, kus virtuaalreaalsete süsteemide abil on võimalik luua täiesti uut võltssisu – heli, videopilti -, mis näeb välja täiesti reaalsena. See on tõsiselt hirmutav,» ütles Rosenberger.

Mida teha?

Mida demokraatlik maailm koostöös või üksikuna õigupoolest teha saab? Esiteks on selge, et peamine  vastutaja on tehnoloogiasektor, tehnilises mõttes rünnatakse ju tarkvarasid ja kui neis poleks auke, siis poleks ka ründeid.

Brad Smithi jutust selgus, et eesmärgiks ongi aidata ühelt poolt internetis reisijatel turvavööd peale tõmmata, teisalt täiustada pidevalt oma tarkvara ning tagada, et ainult õiged inimesed pääseksid võrgu õigetesse osadesse. «Kuid me vajame, et ka valitsused teeksid rohkem, eelkõige karmistaksid rahvusvahelisi seadusi,» ütles Smith, kes on juba ligi aasta tõdenud vajadust sõlmida Genfi konventsiooni uus – digitaalmaailma puudutav – versioon.

Kandidaatide isiklikud andmed on ju saanud avalikuks, e-maili aadressid on lekkinud, pidevalt testitakse valimissüsteemide turvalisust, ostetud on reklaame ja loodud libauudiseid valmistulemuste mõjutamiseks välisriikides, haavatakse suuri infrastruktuure. «Siit edasi saab minna vaid riikide ja tehnoloogiaettevõtete väga sihipärases koostöös,» tõdes Smith.

Interneti riigipiirid?

Kui vahepõikena Tallinnasse tulla, siis siinse NATO küberkaitsekeskuse tehnoloogiaosakonna teadur Tarmo Randel tõdes hiljem samuti Postimehele, et eelkõige pakuvad  NotPetya sarnased juhtumid  mõtteainet tänapäevase digitaalse kriminalistika ja omistamise teemadel. «Riikidele ongi järgneval kümnendil suurimaks väljakutseks riigikaitse ja kriitiilise taristu nõrgimate lülide kaardistamine ja tugevdamine,» tõdes Raud.

Muuhulgas tulevad tema hinnangul kindlasti esile ettepanekud kehtestada meile paremini hoomatavaid riigipiiride laadseid perimeetreid avalikus internetis, rakendada piiranguid tavakodanikele krüptograafia kasutamisel, loodud ja jagatava sisu (content) automaatset klassifitseerimist ning blokeerimist.

On isegi arvatud, et me ei näe enam kümne aasta pärast sellist vaba üleilmset internetti nagu praegu – on eraldiseisvad võrgud eri maailma otstes, lähtudes arusaamisest inimeste põhiõigustest, usaldusest, seadustest.

Vahend: võtta rünnakutelt mõte

Brüsseli aruteludest selgus, et eemärgiks ei ole võetud sugugi häkkerründajate karistamine. Tegelikuks eesmärgiks on ju neid rünnakuid ära hoida ning selleks on palju tõhusamaid vahendeid. Tänasel päeval räägitakse David Martinoni sõnul näiteks enim sellest, nende rünnakute korraldamine tuleks muuta võimalikult kalliks – seda nii rünnakuobjektide kaitstuste taseme kui ründetarkvara kättesaamatuse teel.

Küberlahenduste kõrval on loomulikult laual ka sellised teada-tuntud vahendid nagu rahvusvaheline diplomaatia ja läbirääkimised. Kui riikide suhtes on head, siis kaob ära ajend riiklikult tasandil rünnakuks, nagu me seda oleme näinud suunal Venemaa-Ukraina (NotPetya) või Venemaa-USA (valijate ajupesu läbi sotsiaalmeedia libakontode ja propagandareklaamide).

Laiemalt jõudsid küberohud avalikkuse ette aga juba kümmekond aastat tagasi, kui kogu maailm avastas ahhetades, et keegi teismeline suutis oma magamistoast rünnata Pentagoni. Veelgi varem sai seda riiklikul tasandil tunda Eesti pronksiööde aegu. Nüüd tunneb sama kogu demokraatlik maailm.

INTERVJUU:

RIA-l pole õigust korraldusi anda

Riigi infosüsteemi ameti kriisireguleerimise osakonna juht Lauri Luht räägib, et eelkõige peavad turvalisuse eest vastutama ettevõtted ise.

Kas Eesti riigi infosüsteeme rünnatakse, pannakse proovile, proovitakse sellest infot kätte saada, et mõjutada näiteks valimisi? Te jälgite seda, mis seis on? Kui midagi katsetatakse, siis kust need ründed pärit on?

RIA teeb ööpäev ringi seiret, infot hangitakse väga erinevaid kanaleid pidi. Ründeid süsteemidele tehakse iga päeva igalt poolt. Valdavalt jäävad need katse staadiumisse.

CERT-EE ei omista ründeid kindlale riigile või kuritegelikule grupile, see ei ole meie pädevuses.

Valdavalt üritatakse rünnakute abil levitada pahavara, testida veebilehe koormust, mis enamjaolt kuulub juba sinna maine kahjustamise kui andmete kättesaamise valda, kuid mitte ainult.

Mis puudutab e-valimisi, siis sel puhul langevad rünnakute ohvriks pigem kandidaatide isiklikud meiliaadressid või sotsiaalkontod kui valmiste IT-süsteem. Ka siin taga on rohkem mainekahju projekt.

Kes tagab valmisoleku laiaulatuslike küberrünnakute puhul Eesti asutuste, ettevõtete, isikute suhtes? CERT-EE või jagate seda vastutust näiteks Kaitseliidu küberkaitseüksusega, CCDCOEga, kaitseväega vms? Kes koordineerib riigi tasandil tegevusi siis, kui pronksiööde sarnane rünne peaks täna kell 18.15 toimuma?

2016. aasta mais kinnitas valitsus ulatusliku küberrünnaku hädaolukorra lahendamise plaani, mille järgi juhib ulatuslikku küberintsidendi olukorra lahendamist riigi infosüsteemi amet, kaasates seotud asutusi ja osapooli.

Iga päev peavad asutused ning ettevõtted ise vastutama oma infosüsteemide turvalisuse eest, rakendades selleks seadusest tulenevaid meetmeid, sh ISKE nõudeid (infosüsteemide turvameetmete süsteemi), mille täitmist RIA kontrollib ning rakendamise osas ka tuge pakub.

Kas käsuliin on paigas? Kas näiteks RIA-l on õigus anda Teliale või RIKSile (Riigi Infokommunikatsiooni Sihtasutus) korraldus DOS-rünnakute vältimiseks välisühendus täielikult kinni keerata, ja Telia ja RIKS peavad seda ka sellisel juhul tegema?

Kuigi küberintsidentide lahendamine on riigi vaates ära kirjeldatud ning käsuahel paigas, ei ole kehtiva seaduse alusel RIA-l õigust anda korraldusi eraõiguslikele asutustele, sh välisühenduste piiramiseks ega sulgemiseks, välja arvatud eriolukorras, mille kuulutab hädaolukorra seaduse järgi välja vabariigi valitsus.

Kuna küberintsidendid eskaleeruvad väga kiiresti ja nende tõrjumisel tuleb operatiivselt tegutseda, on kirjeldatud õigused kavas anda erandolukordades RIA-le menetluses oleva küberseadusega, mis on hetkel ministeeriumitevahelises kooskõlastusringis. Üha kasvavad ründed näitavad, et taolise pädevuse andmine on vältimatu.

Kuidas muutuks see koordineerimine siis, kui tegemist oleks osaga hübriidrünnakust?

Hübriidrünnaku puhul on väga raske varajases faasis hinnata, kas tegemist on tsiviil- või sõjalise konfliktiga, ent kehtiva riigikaitse käsitluse kohaselt vastutab iga asutus ise oma pädevuse piires konkreetsete kaasuste lahendamise eest. Sama põhimõte kehtib ka hädaolukorra seaduse alusel.

Kes kaitseb näiteks Eesti Energia elektrijaamu rünnakute tõrjel siis, kui nende enda IT-üksus sellega enam hakkama ei saa?

Kuigi seadus näeb ette, et elutähtsa teenuse osutaja peab tagama enda süsteemide turvalisuse, saab ettevõte vajadusel pöörduda oma siseste protsesside toetamiseks ja abi saamiseks RIA poole. Meil on omakorda võimalus kaasata elutähtsa teenuse toetamiseks Kaitseliidu küberkaitseüksust.

-Kas Eestis korraldatakse aeg-ajalt suuremahulisi küberkaitseharjutusi? 

Eestis korraldatakse erinevaid riigisiseseid ja rahvusvahelisi küberõppusi igal aastal. RIA eestvedamisel ning osalusel toimus näiteks mullu kümmekond sellist õppust, sel aastal on plaanis korraldada ja osaleda vähemalt samal hulgal õppustel. Märkimist väärivad kindlasti üleeuroopaline küberõppus Cyber Europe ja NATO küberõppus Cyber Coalition. Teiste hulgas on ka erinevad asutustevahelised ja elutähtsate teenuste osutajaid kaasavad küberõppused, samuti on küberkomponent saanud lahutamatuks osaks muudes laiemaid stsenaariume läbi harjutavates õppustes.