Küberturvalisuse küberneetiline karussell ehk Tarkvarast, turvalisusest ja vastutusest andmelühiskonnas
Andmelühiskond
Kui küberturvalisust puudutav juhtum ületab korduvalt kohalike tavauudiste künnise,1 on paslik teema andmelühiskonnas üles võtta. Välismaise tarkvara- ja küberturvalisuse ettevõtte CrowdStrike – sellise väljendi kasutusest hiljem mõnevõrra pikemalt – tarkvarauuendus läks sedavõrd nässu, et arvukatel Windowsi operatsioonisüsteemi masinatel tekkis üleilmne digikooma.
Küberturvalisuse lipulaevaks peetud ettevõttel CrowdStrike õnnestus pealtnäha rutiinse tarkvarauuenduse käigus kogu maailma lennundus-, tervishoiu-, pangandus- ja meediasektori toimimine korralikult pea peale pöörata. Hetkega tõmmati kriips peale miljonite reisiplaanidele, paljudes riikides ei toimunud selleks päevaks planeeritud korralisi operatsioone, osas USA osariikides ei toiminud ka erakorraline abi, sest 911 telefoniliinid ei töötanud. Meediamajad ei saanud edastada uudiseid, pangaülekandeid ei tehtud jne, jne – elu pandi ootamatult pausile ja operatsioonisüsteemi asemel kuvasid kuvarid vaid „sinist surmaekraani“.2 Teenuste ja süsteemide kokku kukkumisest tekkinud ülemaailmne kaos illustreerib ilmekalt, kui palju sõltub tehnoloogilistest süsteemidest ja on seetõttu haavatav meie elu ja kõigi eluvaldkondade toimimine. Seepärast võib 19. juulil CrowdStrike’i tekitatud ülemaailmset tehnoloogilist kollapsit pidada mastaapseimaks3 süsteemse riski realiseerumise intsidendiks.
Mis võis ometi sellise kaoseni viia? Kui Washington Posti ajakirjanikud4 palusid toimunu kohta arvutiekspertidelt selgitust, said nad vastuseks, et tõenäoliselt oli CrowdStrike’i tarkvara ebapiisavalt testitud, selles esines põhjendamatuid andmeid ning tarkvaral puudus digitaalne „koodiallkiri“ (meetod, mille abil tõendatakse koodijupi autorit ja antakse kindlus, et koodi pole muudetud). Ühesõnaga – see oli käkk.
Miks on juhtum andmelühiskonnale märkimisväärne? Või kui küsida teisiti: miks ei või sellist juhtumit pidada lihtsalt õnnetuseks, CrowdStrike’ile „ata-ata teha“ ja edasi liikuda? Aga sellepärast, et kõigi nende väljumata lendude ja haiglates tühistatud operatsioonide taustal keerleb midagi ohtlikku, mida võib nimetada küberturvalisuse küberneetiliseks karusselliks. Selgitame karusselli tööpõhimõtet pisut lähemalt.
Nagu lõbustusparkidest tuntud karussellid, nii keerleb ka küberturvalisuse küberneetiline karussell ikka ringiratast. Kuid erinevalt lõbustuspargist, kus tuleb sõidule saamiseks lunastada pilet, käivitub küberturvalisuse küberneetiline karussell hetkest, mil teatud sotsiaalset, administratiivset või muud laadi teenust või süsteemset funktsiooni soovitakse lahendada digitaalselt ehk tarkvara abil. See tähendab, et tuleb luua digitaalne lahendus, mis nõutud funktsiooni täidaks ja kataks – selline lahendus annab tööd ja toimimist nii digipäkapikkudele kui -hiidudele. Digitaalset innovatsiooni, digilahendusi loovad teadupärast inimesed, kes, nagu inimesed ikka, on kõike muud kui täiuslikud. Enamgi veel, kõik nad ei pruugi oma töös väga osavad olla, rääkimata sellest, et digilahendusi peaks enne turule paiskamist testima eksperdid. CrowdStrike’i juhtumi näitel näeme, et ka maailmatasemel ettevõtetes võib see faas kergesti ununeda ja nii (inimlikud) eksimused on juba eos kerged tekkima. See kõik tingib aga paradoksaalse olukorra – maailma kiiremaks ja mugavamaks toimimiseks loodud digilahendustes on algusest peale sees vead, mida peab aeg-ajalt lappima. Sedalaadi tegevust peetakse tehnoloogia sektoris tavapäraseks, „normaalseks“, olgugi et muudes valdkondades sajaks ilmselgete puudustega toote müügi puhul kaebusi ja nõudeid nagu sügisel vihma. (Jätame siinkohal õhku, kas Euroopa Liidu püüdlus puudustega toodete eest vastutust ka tarkvarale laiendada, praktikas õnneks läheb).
Olukord läheb aga veelgi ennustamatumaks, kuna peale teadaolevate vigade on tarkvaralahendustes tõenäoliselt üksjagu ka peidetud puudusi, mis pakuvad sobivat kasvulava harjutavatele häkkeritele. Mõni kriitilisem hääl torkaks siinkohal vahele, et mõnd kena disainiga koodiüllitist tarkvaralahenduseks nimetada on üleüldse kummaline, pigem oleks sobilikum öelda: „Võtsime kasutusele uue tarkvaraprobleemi.“ Kuna probleeme on tarkvaraga palju ja raske on leida eluvaldkonda, mis ühel või teisel viisil tarkvarast ei sõltu, tuleb loomulikult välja mõelda riskide maandamise mehhanism. Siinkohal tulevadki mängu CrowdStrike’i taolised tarkvara toimimist turvavad ettevõtted. Kuna ka turvatarkvara nõuab loomist ja sedagi loovad kõike muud kui täiuslikud inimesed, on tulemuseks täpselt samasugune tarkvara, mille vigade eest turvatarkvara pidi kaitsma. Ehk küberneetiline karussell on teinud ära ühe tiiru – oleme jõudnud sotsiaalse probleemi teatud osa katmisest tarkvaralahenduse loomiseni, mis vajab omakorda vigade turvamiseks tarkvara, mis viib taas uue sotsiaalse probleemi tekkimiseni. Võite pakkuda, mille abil viimati mainitud uut probleemi lahendama hakatakse!
Kuigi meile meeldib mõelda „minu arvuti“ ja „minu nutitelefon“, siis tegelikkuses on nende digividinate sisu ja toimimine eristuvalt särava lõppviimistluse taustal üsna üksluine. Aja jooksul on liiga palju võimu ja kontrolli kogunenud võrdlemisi väikese arvu riist- ja tarkvaratootjate kätte. Võetakse jupid – kusjuures siinkohal on tihtilugu paslikum küsida „kummalt“, mitte „milliselt“ tootjalt – ja pannakse kokku. Seejärel tuleb otsustada, millist (või jällegi, „kumba“) operatsioonisüsteemi sinu sotsiaalne ringkond sobilikumaks peab. Nii käesoleva kaose keskmes olnud CrowdStrike kui ka Microsoft, kelle operatsioonisüsteeme krahh puudutas, on oma valdkonnas peamised turuliidrid. Enamgi veel, käesolev kriis on tingitud nimetatud tehnoloogiafirmade monopoolsest seisundist ehk ilmestab seda, mis võib juhtuda, kui võim koondub liiga väheste väljavalitute kätte.5
Karussell keerleb. Küberturvalisusest võib lõputult (kuigi midagi see ei muuda) kirjutada – alati on mõni uus sotsiaalne aspekt, mida üritatakse lahendada digivahenditega, mis toob kaasa tarkvarakäkid, mis põhjustavad tuska ja materiaalset kahju. Ja inimesed jäävad sealjuures alati inimesteks, sest nad ei toimi alati nõuetekohaselt ning neil on tugev mugavuse-eelistus.
Kas olete märganud, et keegi rõhutaks tarkvara puhul korrektsust? Või vastutust? Kuna rõhk on ikkagi mugavusel, viib mugavuskarussell meid ühest tarkvarast teise, ühest turvanõrkusest järgmisse. Igale sotsiaalsele probleemile on kuskil olemas digilahendus, mille käima lükkamiseks on kasutada enam-vähem sama kogus juppe. Tehnoentusiastid on alati rõõmsalt valmis väitma, et nende kasutuses olevast viiest Lego klotsist, millest kaks on roosad ja kolm oranžid, saab täiesti adekvaatselt kokku panna Kölni katedraali. Kuna keegi väga ei kontrolli, väga ei nõua, sest tehnoloogiasektorit puudutava õigusruumi korrastamisega on maailmas jäädud lootusetult hiljaks, ei näe paljud tehnoloogiasektori ettevõtted ka vajadust korrektsust puudutavaid muudatusi teha. Seega pole mitte ainult tehnoloogiasektori vastutus võimalike digikäkkide eest minimaalne, vaid ajaloost nähtub, et ka tõsised tagajärjed sektorile enamasti puuduvad. Näiteks pole aktsiaväärtuste kõikumised suurde jamasse sattunud ettevõtetele enamasti saatuslikuks saanud.6 CrowdStrike’i aktsia kukkus küll päevaga 15%, kuid eeldatakse, et aktsionärid ei hakka siiski kohe varasemale Wall Streeti lemmiklapsele7 selga keerama.
Kui mõni lugeja mõtleb, et küllap CrowdStrike peab siiski kahjusid kandnud klientidele (keda neil peaks olema 29 000 ringis)8 korralikult hüvitist maksma, siis ollakse eksiteel. Nimelt on CrowdStrike’i tüüpilised lepingutingimused sellised, et firma peab kahjude korral klientidele hüvitama vaid lepingutasuga samaväärse summa.9
Küberneetiline karussell tiirleb niisiis hoogsalt edasi – eesmärgiks mugavus, tööriistaks „vana hea digivärk“ ning katseklaasiks ühiskonna turvalisus ja toimevõime.
Kristjan Kikerpill on Tartu ülikooli ühiskonnateaduste instituudi infoõiguse ja digisotsioloogia lektor, Andra Siibak meediauuringute professor.
1 Elle Isabel Lindpere, Ulatuslik IT-katkestus: miks see täpsemalt juhtus? – Delfi 19. VII 2024.
2 Charlotte Graham-Mclay et al., A faulty software update causes havoc worldwide for airlines, hospitals and governments. – AP 20. VII 2024.
3 Ruxandra Iordache, et al., Microsoft-CrowdStrike issue causes „largest IT outage in history“. – CNBC 20. VII 2024.
4 Joseph Menn, Shira Ovide, A fatal program update: How CrowdStrike crashed global computer systems. – Washington Post 19. VII 2024.
5 Edward Ongweso Jr, The Microsoft/CrowdStrike outage shows the danger of monopolization. – Guardian 20. VII 2024.
6 Kelly Sheridan, How Much Do Cyberattacks Affect Stock Price? Depends on The Breach. – Darkreading 28. IV 2021.
7 David Walsh, What is CrowdStrike, the cybersecurity firm behind the global IT outage? – Euro News 19. VII 2024.
8 Reuters, What is CrowdStrike, the cybersecurity firm behind a global tech outage? – Reuters 19. VII 2024.
9 Jacob Shamsian, CrowdStrike’s terms and conditions say most customers would just get a refund due to the massive outage, cybersecurity lawyer says. – Business Insider India 20. VII 2024.