Eesti digiühiskond on toonud riigile ja rahvale tohutut kasu. Samas on internetipõhisel elukorraldusel lisaks eelistele ka ohte. Kuna riigi toimimine sõltub pea täielikult paljudest erinevatest tehnoloogilistest lahendustest, on nende turvalisuse ja vastupidavuse tagamine valitsuse jaoks kriitilise tähtsusega ülesanne. Selle olulisus tuleb esile ka majandus- ja kommunikatsiooniministeeriumi küberturvalisuse strateegias aastateks 2019–2022.

Strateegia kinnitab, et küberturvalisus on nüüdseks universaalselt aktsepteeritud nii riigi ja majanduse toimimise kui ka sise- ja välisjulgeoleku lahutamatu osana. Dokumendis on kirjas valitsuse strateegilised eesmärgid, millest esimene on tagada Eesti jätkusuutlik digitaalne ühiskond, millel on tugev tehnoloogiline vastupanuvõime ja valmisolek kriisidega toime tulla. Strateegiliste eesmärkide elluviimisel viidatakse 2018. aastal vastu võetud küberturvalisuse seadusele, kus sätestatakse teenuseosutajad, kes hoiavad käigus ühiskonna toimimiseks hädavajalikke teenuseid. Esimesena tuuakse välja organisatsioonid, mis pakuvad hädaolukorra seaduse kohaselt elutähtsaid teenuseid, kuid järgmises kolmes punktis viidatakse otseselt transpordisektorile, loetledes üles raudteid, lennuväljasid ja sadamaid. See rõhutab transpordisektori olulisust, mille info- ja kommunikatsioonitehnoloogiast sõltuvuse peale me esimese hooga ehk ei mõtle.

Transpordisektori automatiseerumine

Transpordisektor muutub üha automatiseeritumaks, kus paljud aspektid sõltuvad tänapäeval täielikult arvutus- ja võrgutehnoloogiatest. Nende süsteemide turvalisuse tagamine on keerukas ja hõlmab endas ainulaadseid väljakutseid, nagu näiteks eraldiseisvate transpordiliike käitavate ja tugiteenuseid pakkuvate süsteemide mõistmine. Kuigi kõik need süsteemid on üsna tihedalt seotud, mistõttu ühte neist sisse murdmine võib täielikult peatada inimeste ja kaupade liikumise, on neil siiski erinevad turvanõuded. Näiteks võib tuua lennunduse, mis hõlmab endas ühelt poolt õhusõidukite avioonikat, mis võimaldab neil lennata, lennujuhtimist lennuliikluse koordineerimiseks, aga ka broneerimissüsteeme reisijate ja müügi haldamiseks. Raudteedel ja merenduses on sarnased süsteemid ja nõuded, kuid nad töötavad paljudel erinevatel tarkvaradel, millest igaüks on kohandatud sektori ainuvajaduste järgi.

Transporditööstus on väga varmas uusi tehnoloogilisi lahendusi kasutusele võtma, et parandada kuluefektiivsust ja ohutust. Neid tehnoloogiaid saab kasutada teenuste osutamise kiiruse ja tõhususe suurendamiseks, teenuste osutamiseks vajaliku personali arvu vähendamiseks ja teenuste osutamiseks tingimustes, kus muidu poleks see võimalik. Automaatika on mõnel juhul jõudnud sellisele tasemele, kus käsitsi juhtimine pole enam võimalik. Näiteks Qingdao sadam Hiinas on esimene täielikult automatiseeritud sadam. See on võimeline laevu laadima ja lossima kiiremini kui mistahes muu sarnane rajatis ning töötama ööpäevaringselt. 5G-sidega ühendatud arvutiseerituse taseme tõttu pole käsitsi juhtimine võimalik, kusjuures kogu sadama toimimine sõltub arvutite poolt juhitavatest süsteemidest.

Raudteed muutuvad samuti üha automatiseeritumaks, esitades vähem nõudmisi vedurijuhtidele ja seadmete käsitsi juhtimisele. Hiina on selleski vallas juhtival positsioonil oma uue juhita rongiteenustega, mis käivitati Pekingis toimuvate 2022. aasta taliolümpiamängude tarbeks. Tippkiirusega kuni 350 km/h on see ka maailma kiireim autonoomne rong. Aeglasemad juhita rongid on töös olnud juba alates 1980ndatest aastatest, näiteks Londoni Docklandi kergraudtee töötab 1987. aastast. Tegu on kõige ulatuslikuma omalaadse süsteemiga Ühendkuningriigis, mille Londoni idaosa läbiv marsruut ja autonoomsus on teinud sellest populaarse teenuse.

Ehkki autonoomsed transpordilahendused on kaotanud vajaduse juhi järele, on paljudel rongidel endiselt personal pardal. See võib hõlmata turvatöötajaid ja klienditeenindajaid, Londoni metroo puhul ka täieliku väljaõppe saanud rongijuhte, kelle ainus ülesanne on uste avamine ja sulgemine. Juhtita rongide kasutuselevõtu ühe põhjusena on pakutud halbadele töösuhetele lahenduste otsimist – kui pole juhte, pole ka streikivaid juhte. Tegelikkus on siiski keerulisem, kuna “järelevalveta rongide” käitamiseks vajalikud investeeringud on suured ega pruugi olla majanduslikult teostatavad. Eeldada võib ka ametiühingute vastumeelsust muutuste suhtes ning reisijad võivad hädaolukorras tunda end metroos ebamugavalt, kui seal puuduvad väljaõppe saanud töötajad.

Küberintsidendid transpordisektoris

Töösuhete poliitikast hoolimata rakendab transporditööstus üha laialdasemalt ja tõhusamalt võrku ühendatud tehnoloogiaid. Transpordisüsteemides esinevatel häiretel võivad aga olla laiaulatuslikud ja potentsiaalselt eluohtlikud tagajärjed. Kuigi sellised häired võivad olla tingitud süsteemi riketest või operaatori hooletusest, siis selleks, et käsitleda häiret küberturbe intsidendina, peab see olema pahatahtliku tegevuse tagajärg. Õnneks ei ole tahtliku vahelesegamise tõttu toimunud intsidentidel katastroofilisi tagajärgi olnud, kuid on esinenud mitmeid juhtumeid, mis viitavad selgelt haavatavusele.

2013. aastal murti sisse Antwerpeni sadama IT-süsteemi, mis kontrollis konteinerite liikumist ja asukohta. Narkootikumid olid peidetud seadusliku veose sisse ja kurjategijad suutsid tuvastada kauba asukoha veose omaniku teadmata enne selle saabumist sihtkohta. Ka lennutööstus on langenud rahaliselt motiveeritud kuritegevuse ohvriks, kui Briti lennukompanii British Airways vastu pandi toime kliendiandmete vargus. Selle tulemuseks oli EL-i isikuandmete kaitse üldmääruse (GDPR) alusel määratud rekordiline trahv – 183 miljonit naela.

Tõenäoliselt kõige tuntum küberrünnak transporditööstuse haldussüsteemide vastu puudutab Maerski laevandusfirmat 2018. aastal. Ehkki rünnak ei olnud sihilikult suunatud ettevõtte vastu, nakatus see pahavaraga NotPetya, mis mõjutas laialdaselt organisatsioone, kes kasutasid Ukraina maksuarvestuse tarkvara MEDoc. Hiljem seostati tegevust Venemaa kampaaniaga õõnestada Ukraina majandust, rünnates selle finants-, energeetika- ja valitsusasutusi. Ehkki rünnak laevaliiklust otseselt ei mõjutanud, hinnati laevandusettevõttele tekitatud kahju maksumuseks umbes 300 miljonit dollarit.

Kuigi edukatest küberrünnakutest üksikute õhusõidukite või laevade vastu teateid ei ole, on sihikule võetud raudteid.

Juba 2008. aastal murdis Poola Lodzi linna trammisüsteemi sisse teismeline noormees, kes suutis teleripuldiga sarnase seadmega muuta signaale ja asukohaseadeid. Sellest ajast peale on valdkonnas teadvustatud raudteede laialdast levimust, juurdepääsetavust ja selle hajutatud olemust ning operaatorfirmad tunnistavad vajadust suurema kübervastupanu järele. 2020. aastal avaldas Euroopa Liidu Küberturvalisuse Amet (European Union Agency for Cybersecurity – ENISA) aruande, milles keskendutakse küberjulgeoleku väljakutsetele Euroopa raudteedel.

Samuti on teadvustatud ohtu laevadele ja lennukitele ning mitmed küberturbe-ettevõtted on demonstreerinud nõrkusi nii nende süsteemides kui ka opereerimises. Turvatestijad on lennukite potentsiaalseid haavatavusi tuvastanud, kasutades kriitilistele süsteemidele juurdepääsuks reisijate meelelahutussüsteeme ja satelliidiühendusi. Ka laevad on turvatestijate käe alt läbi käinud, üks neist on toonud esile mitmeid haavatavusi. Sealhulgas õnnestus tal saada ligipääs laevale tema satelliitsidesüsteemi kaudu ning tal oleks olnud potentsiaalselt võimalik sekkuda selle elektroonilistesse navigatsiooni- ja insenerisüsteemidesse.

Artiklis käsitletud transpordivahendid on olnud kasutusel juba palju aastaid. Nagu kogu ülejäänud ühiskonnas ja erinevates valdkondades, kus on kasutusele võetud uued tehnoloogiad, jääb ka siin suur osa selle olemusest kasutajatele ja reisijatele varjatuks. Transport on osa riigi kriitilisest infrastruktuurist ning selle vastupidavus on majanduse jaoks ülioluline, kuid sellel on ka kriitiline inimelude ohutuse tagamise komponent. On oluline teadvustada, et transpordisektori küberturvalisuse küsimuste lahendamata jätmine on ohtlik. Ning pidev väljakutse märgata ja maandada selles sektoris esinevaid potentsiaalseid riske on midagi, millega tuleb silmitsi seista ja tegeleda.

Artikli autor dr Adrian Venables on TalTechi küberkriminalistika ja küberjulgeoleku keskuse vanemteadur.

Küberturvalisuse rubriigi eesmärk on tõsta lugejate teadlikkust selle valdkonna probleemidest ja edusammudest nii Eestis kui ka mujal. Artikliseeria avab teemat muu hulgas tehnoloogia, juhtimise, majanduse, teaduse, riigihalduse ja rahvusvaheliste suhete vaatenurgast.