Rain Ottis: liiklusohutusest internetikiirteel. Küberturvalisus

Rain Ottis

Internet ja infotehnoloogia laiemalt on muutunud normaalseks ja samas oluliseks osaks meie elust. Eriti selgelt joonistub see välja Eestis, kus infotehnoloogia võimalusi on viimase paarikümne aastaga üpris julgelt kasutusele võetud nii avalikus kui ka erasektoris.

Nii võibki tihti täheldada, et Eesti laps saab oma esimese kogemuse nutiseadmega ammu enne seda kui ta õpib selgeks tähed ja numbrid. Mõned aastad hiljem jookseb tema hinnete ja kodutööde nimekiri peaaegu reaalajas lapsevanema nutitelefoni. Sealt edasi tulevad juba suhtlemine sõpradega, võrgumängud, internetimaksed, tulude deklareerimine ja sajad muud tegevused, millega (metafoorina sobival) internetikiirteel liiklemisel igapäevaselt tegeletakse. Kuid nii nagu tavalistel teedel liigeldes, on ka internetikiirteel omad ohud ning liiklemisel omad reeglid ja parimad praktikad. Liiklusest inspireeritud analoogide näitel on võimalik seletada ka küberturvalisuse olemust ja selle rolli ühiskonnas.

Elementaarsed ohutusvõtted

Tundub elementaarne, et enne lapse liiklusesse lubamist õpetame talle selgeks mõned jalakäija põhireeglid: valgusfoori ja ülekäiguraja kasutamine, pimedal ajal helkuri kandmine, jne. Me teeme seda, et vähendada liiklusõnnetuse toimumise tõenäosust ja seekaudu vähendada riski. Õnnetuste täielik vältimine ei ole kahjuks realistlik, sest ka kõiki reegleid järgides on alati võimalus, et keegi teine midagi ohtlikku ette võtab. Analoogina tuleks enne järjekordse nutiseadme, äpi või teenuse kasutuselevõttu natuke uurida, mis on sellega kaasnevad riskid ja kas on võimalik midagi ette võtta nende vähendamiseks.

On olemas mitmeid kasutajale suhteliselt lihtsaid viise oma turvalisuse ja ohutuse taseme märkimisväärseks tõstmiseks, sh multiautentimine (nt. ID-kaardi, Mobiil-ID või Smart-ID kaudu oma identiteedi tõendamine), paroolihaldurite kasutamine (et ei peaks ise palju keerulisi paroole meeles pidama) ja seadme turvasätete ülevaatamine. Selliste elementaarsete ohutusvõtetega tegelevat küberturbe alam-valdkonda nimetatakse ka küberhügieeniks ning selle adressaadiks on üldistatult kõik infotehnoloogia kasutajad. Ehkki Eestis on juba tehtud mõningaid edusamme küberhügieeni taseme tõstmisel, oleme veel üpris kaugel iga elanikuni jõudmisest. Turul on küll erinevaid täienduskoolitusi ja haridussüsteem liigub vaikselt õiges suunas, kuid hetkel jääb puudu teema teadvustamisest ja sobiva ettevalmistusega õppejõududest.

Teadlikkus

Sarnaselt liiklusele on ka infotehnoloogias erinevat tüüpi liiklejaid. Lisaks jalakäijale-tavakasutajale on olemas suurel hulgal inimesi, kes loovad, opereerivad ja hooldavad masinaid (meie näites siis mootorsõidukeid või IT-süsteeme).

Siin meie analoogia osaliselt mureneb, kuna infotehnoloogia maailm kipub järgima teistsugust loogikat. Enne iseseisvalt autoga liiklusesse sukeldumist on ette nähtud vastava koolituse läbimine, sõidupraktika ning oma teadmiste ja oskuste näitamine eksamitel. Ka auto disainimisel pannakse ohutusele reeglina palju rõhku ning enne teedele laskmist tuleb uuel mudelil läbida terve rida teste. IT-süsteemide arendaja või käitaja puhul nii tugevaid nõudeid tavaliselt ei ole. Ehkki enamik süsteemi loojatest on mingil moel IT-d õppinud, ei ole konkreetsete oskuste demonstreerimine (nt. mingi sertifitseerimiseksami läbimise näol) tavaliselt nõutud. Kui funktsionaalsust (kas teeb seda, mida klient tellis) veel reeglina testitakse, siis turvatestimine (kas teeb midagi, mida ei tohiks teha) on tihti n-ö valikulise „lisavarustuse“ nimekirjas.

Loomulikult on ka vastupidiseid näiteid turvateadlikest arendajatest ja tellijatest, kuid liiga tihti jääb küberturvalisus arendamisfaasis vaeslapse rolli. Antud probleemi teadvustades on Eesti ülikoolides juba mitmed aastad küberturvet tutvustatud ka teiste IT-õppekavade raames. Pikemas perspektiivis võiks küberturve olla kõikide IT-ainete loogiline osa, mitte üks korraks sähvatav kursus mitmeaastases õppekavas, kuid ka siin on hetkel piiravaks teguriks õppejõudude ettevalmistus.

Liikluskorraldus

Linnatänavatel liikluse korraldamiseks kasutatakse nii inimeste otsest sekkumist (nt liikluspolitsei, liikluskorraldajad) kui tehnoloogilisi vahendeid (nt valgusfoorid, teetõkked, liikluskaamerad), hoolimata sellest, et liikluses osalevatele inimestele ja sõiduvahenditele kehtivad reeglid (liikluseeskiri, autode tehniline kontroll, jne), mis peaks probleemid justkui välistama. Selle näite analoogiks sobib organisatsiooni tasandil toimuv (rutiinses ja kriisiolukorras) küberturve. See muutub üha olulisemaks, kuna tänapäeval on raske leida ettevõtet või asutust, mis ei kasuta oma tegevuste optimeerimiseks ja juhtimiseks infotehnoloogiat, sh suhtlemine klientide ja tarnijatega, raamatupidamine, laomajandus ja füüsiliste protsesside kontrollimine üle arvutivõrgu. Kui kasvõi üks protsess eelnenud nimekirjast langeb rivist välja küberintsidendi tõttu (nt lunavara krüpteerib andmebaasi), võib kogu organisatsiooni tegevus olla oluliselt häiritud kuni intsidendi tagajärgede likvideerimiseni.

Küberturvalisuse taseme tõstmiseks saab organisatsioonis rakendada turvapoliitikat, monitoorida kasutuselolevaid süsteeme, hallata avastatud intsidente, jne. Seejuures on oluline varakult teadvustada, mis on organisatsiooni jaoks kriitilise tähtsusega varad ja protsessid ning kuidas organisatsiooni infovarad ja infosüsteemid nendega seostuvad. Lisaks organisatsioonisisesele vaatele tuleb kaardistada ka võimalikud liitlased, kellelt tõsisema küberintsidendi puhul võiks abi oodata, nt CERT-EE (koordineerib tegevusi riigi sees ja rahvusvaheliselt) ja küberturbele spetsialiseerunud ettevõtted.

Riigitasand: küberjulgeolek

Riigi ja rahvusvahelisel tasandil toimuv küberturvalisuse debatt katab lisaks eelmiste valdkondade reguleerimisele ja koordineerimisele ka küberjulgeoleku teema. See on valdkond, kus omavahel põimuvad ja ristuvad riikide poliitilised, sõjalised, majanduslikud ja sotsiaalsed huvid. Kui maismaa, mere, õhu ja kosmose puhul on „rahvusvahelised liiklusreeglid“ õnnetuste hirmus enam-vähem kokkulepitud, siis küberruumi kasutamise kohta on veel palju küsimusi. Ründava iseloomuga küberoperatsioonide reguleerimine, IT-turu jaotumise (kelle tooteid või teenuseid on lubatud kasutada; kes sätestab globaalse standardi) ja isiku, ettevõtte ning riigi vaheliste suhete teemad on osutunud väga keeruliseks. Seetõttu on praegu ja ka nähtavas tulevikus käimas mitmeid paralleelseid initsiatiive, et olemasolevate reeglite rakendamist koordineerida või uute reeglite üle arutada.

Küberjulgeolek on valdkond, kus Eesti hääl on meie suurust arvestades ootamatult valjult kõlanud.

„Küberteemaga“ kursis olijad arutavad tihti selle üle, kas ja kui suur osa Eesti „küberasjast“ on tegelikult mull. 2007.a. kevade järel olid eestlased igasugustel küberteemade konverentsidel rääkimas oma hiljutisest kogemusest ja sellest õpitust. See avatus aitas oluliselt kaasa kogu valdkonna päevavalgele toomisel, kuna varasemalt räägiti neid jutte pigem suletud uste taga ja ainult väga lähedaste liitlastega. Koos e-Eesti narratiiviga kasvas ka Eesti küberturvalisuse maine oluliselt suuremaks, kui antud hetkel tegelik võimekus oleks toetanud.

Õnneks ei jäänud Eesti selle ühe sündmuse külge kinni, vaid on möödunud aastatega korda saatnud palju meie jaoks vajalikke ja kasulikke asju, mis järk-järgult on meie võimekust kasvatanud ning kujuteldavat mulli päris sisuga täitnud. Juba 2008 võeti vastu maailma üks esimesi riiklikke küberjulgeoleku strateegiaid, mis on tänaseks juba kolmandal ringil. Loodi Kaitseliidu küberkaitseüksus, Riigi Infosüsteemi Amet ja tugevdati oluliselt CERT-EE’d. Pärast nelja-aastast ettevalmistamist käivitati Tallinnas 2008 aastal NATO küberkaitsekoostöö keskus. Aastast 2009 saab TalTechi ja Tartu Ülikooli rahvusvahelisel ühisel magistrikaval täiendada oma teadmisi küberjulgeoleku ja küberturbe teemadel. Viimastel aastatel on hoogustunud küberturbe alane teadustöö TalTechis ning Tartu Ülikoolis. Eestis on jalad alla saanud mitmed uued küberturbe valdkonna ettevõtted ning mitmed vanemad ettevõtted on oma tegevust sellesse valdkonda laiendanud. See (mittetäielik) nimekiri pikeneb iga aastaga.

Kuidas hinnata Eesti küberturbe olukorda?

Eesti küberturbe sektori hindamiseks on kolm võimalust: võrrelda mingi standardi vastu, võrrelda eelnevate aastatega või võrrelda teiste riikide antud sektoriga. Üheselt aktsepteeritud globaalset standardit nii laia valdkonna mõõtmiseks ei ole mina veel leidnud. Mis puudutab ajateljel olukorra muutumist, siis julgen arvata, et Eestil on jätkuvalt käsil positiivse arengu trend.

Kõige parema tunnetuse saab, kui võrrelda Eestit teiste riikidega. Erinevaid küberturvalisuse aspekte mõõtvates pingeridades on Eesti reeglina tipus või selle lähedal, kuid seal võib alati vaielda metoodika ja algandmete üle. Seetõttu on minu jaoks kõige tugevam indikaator vestlused teiste riikide teadlaste ja ekspertidega, mis tihti lõppevad tõdemusega, et Eestis on asjad ikka väga hästi võrreldes muu maailmaga. See optimistlik tõdemus ei tähenda, et saame loorberitele puhkama jääda. Vastupidi, see kinnitab, et nähtud vaev on olnud asja eest ning meil tasub Eesti küberturvalisuse nimel ka edaspidi pingutada.

Tulles tagasi liikluse analoogi juurde ja sidudes selle küberturbega – pingutame autode ohutumaks, turvalisemaks ja targemaks tegemise nimel, sest alternatiivideks on sõita ringi lihtsalt häkitavate inimestele ohtlike künadega või üritada transpordisüsteemi tagasi hobustele viia.

Küberturvalisuse rubriigi eesmärk on tõsta lugejate teadlikkust antud valdkonna probleemidest ja edusammudest nii Eestis kui mujal. Artikliseeria avab teemat muuhulgas tehnoloogia, juhtimise, majanduse, teaduse, riigihalduse ja rahvusvaheliste suhete vaatenurgast.

Rain Ottis

Rain Ottis

Rain Ottis on TalTechi professor, kes juhib küberkriminalistika ja küberjulgeoleku keskust ja TalTech/TÜ küberkaitse magistrikava. Ta on varem teeninud teadurina NATO küberkaitsekoostöö keskuses ja sideohvitserina Eesti Kaitseväes. Tal on doktori- ja magistrikraad TalTechist ning bakalaureusekraad West Pointi sõjaväeakadeemiast. Tema peamisteks uurimisvaldkondadeks on küberturbeõppused ning küberoperatsioonid. Loe artikleid (2)