Kuidas jagada küberturvalisuse ülesannet üksikisiku, kogukonna ja ühiskonna vahel

Kõikide riikide sõnastatud eesmärk on kaitsta oma kodanikke.

LAURI TANKLER, THORWALD-EIRIK KALJO

11. septembril sattus Düsseldorfi ülikooli haigla erakorralise meditsiini osakonda eluohtlikus seisukorras 78aastane naine. Ta vajas viibimatut abi, kuid arstid ei saanud seda pakkuda. Haiglat oli tabanud küberrünnak, mille käigus lunavara lukustas serverites olnud failid ja tegi paljud süsteemid kasutuskõlbmatuks. Patsient saadeti kiirabiautoga umbes 30 kilomeetri kaugusel asuvasse Wuppertali haiglasse. Seetõttu viibis abi umbes tund aega. Naine suri.

Ehkki lunavara on ka varem haiglate tööd tugevalt häirinud (näiteks 2017. aastal põhjustas WannaCry-nimeline lunavaralaine suurt rahalist kahju üle maailma), peetakse tänavu septembris Düsseldorfi haiglas juhtunut esmakordseks (mittesõjaliseks) küberrünnakuks, mille tagajärjel inimene suri. Seda põhjuse ja tagajärje seost tuleb nüüd kohalikul prokuratuuril, kes juhtumit tapmise paragrahvi põhjal uurib, tõestada. Selliste lugude kaudu mõtestame ühiskonnana oma keskkonda.1

Küberruum ja liiklusruum

Küberturvalisuse eksperdid võrdlevad küberruumis toimuvat liiklusega. Ühiskond on liikluse turvalisuse heaks reguleerinud väga palju elemente (kiirus, taristu, liikluseeskiri, juhiloa olemasolu, auto turvalisusenõuded, autojuhile lubatud alkoholi piirmäär jne), samal ajal jätnud tohutu vastutuse liiklejale, kelle käitumisest, oskustest ja otsustest sõltub tema enda ning kaasliiklejate elu ja tervis. Samasuguses ulatuses regulatsiooni küberruumis ei ole, kuid ekspertide hulgas on kuulda üleskutseid, et riikliku sunniga oleks küberruumist võimalik eemaldada vanu ja ebaturvalisi „liiklejaid“. Argument kõlab nii: vanuse tõttu uuenduste programmist eemaldatud Windows XP operatsioonisüsteemi abil internetis surfamine on vastutustundetu, sest see seab ohtu nii „liikleja“ kui ka „kaasliiklejad“, kes on ohtliku tegutsejaga samas võrgus.

Seni ei ole küberintsidentidel olnud liiklusõnnetustega võrreldavaid fataalseid tagajärgi, mis paneksid ühiskonna sama tugevalt reageerima ning nõudma küberruumi senisest rangemat reguleerimist. Kuna teedel sõidavad sajakilomeetrise tunnikiirusega mitu tonni kaaluvad metallihunnikud, pole ime, et muretseme nende võimaliku mõju pärast. Tänu tehnoloogilisele arengule ehk internetiseerimisele sõltub üha rohkem eluvaldkondi küberturvalisusest, see toob kaasa tagajärgi, mida oskasime ette näha, aga ka neid, mida ei osanud ette näha.

Ühiskonnana peame nüüd hakkama tegelema selle tehnoloogilise determinismi tagajärgedega. Osaliselt tähendab see tõdemust, et mida digiteeritum on riik ja mida komplekssem selle digiteeritud ühiskonna ülalpidamine, seda keerulisem on nõuda indiviidilt vastutust iseenda turvalisuse eest. Tagajärgedega tegelemiseks ehitavad riigid (või riikide liidud, nt Euroopa Liit, või ühendused, nt ÜRO) üha enam poliitilisi, juriidilisi ja tehnilisi süsteeme, selleks et kaitsta oma eluviisi ja elanikke. Teisisõnu: üksikisiku osa küberturvalisuse tagamisel kahaneb ka edaspidi ja ühiskond peab otsustama, kui palju õigust jätame inimestele näiteks ebaturvaliseks liiklemiseks ning kuidas selle õigusega käib kaasas vastutus.

Üksikisiku osa küberturvalisuse tagamisel kahaneb ka edaspidi ja ühiskond peab otsustama, kui palju õigust jätame inimestele näiteks ebaturvaliseks liiklemiseks ning kuidas selle õigusega käib kaasas vastutus.

Polina Levkovych

Kümmekond aastat tagasi esimese füüsilist hävingut korraldanud küberrelva Stuxnet avastanud Saksa küberturbe ekspert Ralph Langner soovitas, et ühiskond peab otsustama, milliste teenuste puhul on katkestused lubamatud ja kaitsma neid süsteeme eriti kõrgel tasemel ning passiivselt – eemaldama internetist, mis ei anna ründajatele võimalustki neid internetivõrgust rünnata. Ta tõi näiteks kütte-, elektrisüsteemid ja e-hääletamise.2

Tehnoloogia areng on aga viinud selleni, et peaaegu kõikidesse süsteemidesse (või nende haldamiseks kasutatavatesse seadmetesse) luuakse millalgi kas või korraks võrguühendus. See on teatud tehnoloogiline determinism, mida ei Langner ega teised pole suutnud takistada.

Kaitsmaks usaldust kahtle kõiges

Riigi vaatekoht küberruumist erineb mõnevõrra indiviidi omast, kuna peale võimaluste, mida see keskkond digitaalse elustiili puhul pakub, on see täis ohte, ebakindlust ja ebastabiilsust.3 Küberasutuste (Eestis Riigi Infosüsteemi Amet RIA, Prantsusmaal ANSSI, Saksamaal BSI) vaatepunktist algab digitaalse elustiili kaitsmine ohu minimeerimisest inimelule ja -tervisele.

Sektoreid, mille töö või teenuste katkestamisega võib ohustada inimelusid, on tosinkond. Selleks et näiteks vee-ettevõtete veepuhastusseadmed ei oleks igaühele interneti kaudu ligipääsetavad – mõni eksitus või pahatahtlik katsetus võib tipneda kloorimürgistusega (rünnak, mida on korduvalt NATO „Locked Shields’i“ õppustel simuleeritud) – on elutähtsate teenuste osutajatele kehtestatud reeglid, mille eesmärk on riskide vähendamine.

Ent kriisiolukorras hägustub piir mugavus- ja elutähtsate teenuste vahel. Kui tavaolukorras on toidukaupluse veebipood alternatiiviks füüsilisele poeskäigule, siis maapiirkonnas üksi karantiinis istudes võib sellest saada ainus kõhutäitmise viis. Kui kümmekond aastat tagasi lansseeritud digiretsept oli hea alternatiiv, et ei peaks paberil kritseldusi apteeki kaasa võtma, siis nüüd ei kasutata Eestis paberretsepte peaaegu üldse. Digiretsepti haldav haigekassa on aga „elutähtsa teenuse osutaja“, eSelver ei ole. Samuti ei ole elutähtsaks ehk rangemaid nõudeid järgima pidavaks teenuseks muud pandeemia kõrghetkel meie elu käigus hoidnud rakendused Wolt-Bolt Foods, Bolt, Opiq, e-Kool, rääkimata maailmatähtsusega Zoomist, Skype’ist ja Microsoft Teams’ist. E-post, suhtlus- ja failijagamiste rakendused enam justkui ei registreerugi meie teadvuses möödapääsmatute ja haavatavate teenustena. Nende olemasolu peame enesestmõistetavaks.

Nende platvormide kasutamise puhul rõhume küberturvalisuse osas enamasti isiklikule vastutustundele, ettevaatlikkusele ja soovitame usaldamise asemel kontrollida. RIA küberturvalisuse ennetussõnumeid „vaata ikka, kas on õige meiliaadress“, „kui äripartner palub ülekande jaoks pangakonto numbrit muuta, siis ära usalda, vaid kontrolli“, „ära usalda kahtlast manust, saatjat, veebilehte“ või „kui toimub kampaania, kus võitmiseks peaksid sisestama oma telefoninumbri, siis ära tee seda“ peaks olema kuulnud enamik veebikasutajaid. Need nõuanded justkui töötavad digiriigi, digiteenustega harjunud ühiskonna vastu.

RIA ei väljasta neid sõnumeid digiriigi õõnestamiseks, vaid kaitsmiseks. Kuigi on palju tehnilisi rünnakuid, kus inimene on ründajaks rakendanud masina (kasutatakse ära turvanõrkusi või veebilehtede vigaseid koode), suureneb üha enam sotsiaalse manipuleerimise toel teostatavate rünnakute osakaal. Kõige lihtsam viis saada teada kellegi teise parool või PIN-kood, on seda talt küsida. Enamasti tehakse seda kas telefoni, õngitsuskirjade või -lehtede kaudu.

Suuremate rünnakute tehniline komplekssus on paranenud ning küberkurjategijate rühmitused valivad sihtmärke nende maksevõime järgi. Niiviisi vähenes rahvatervise kevadises kriisiolukorras rünnakute arv turismi- ja lennundussektori vastu üle poole võrra. Seevastu jäi küberkurjategijate hambusse järjest rohkem tehnoloogia- ja finantsteenuste ning töötleva tööstuse ettevõtteid ja veebipoode.4

Rünnata on lihtsam ja selleks vajalikud vahendid kättesaadavad ka nappide ressurssidega kurjategijatele. Näiteks on väga lihtne muuta oma meiliaadressi ja küsida kelleltki e-kirja teel tema paroole või raha. Samuti on võimalik osta pahavara või teenusetõkestusrünnakut teenusepakkujalt, kellel on lihtne graafiline veebiportaal, mille kaudu saab ründaja valida sihtmärke ja jälgida tulemust.

Kes vastutab küberruumis turvalisuse eest?

Küberturvalisuse eestkõnelejad nõuavad kahtlemist kõiges, mitte ainult inimeste isiklikes otsustes. Näiteks ironiseeritakse asjade interneti (Internet of Things ehk IoT) seadmete üle,5 mille levik paistab olevat pöördvõrdelises seoses nende turvalisusega.6 Tootjatele on pandud südamele tarbijaid mitte ohtu seada, kuid see ei takista neid müümast kaameraid kodu turvamiseks või imiku jälgimiseks, mille videopildile on kõrvalistel isikutel võimalik ligi saada. On see nüüd isikliku vastutuse koht (lapsevanem vastutab oma lapse turvalisuse eest), tootja vastutus (turg peaks ju iseregulatsiooni käigus ebasobivad tooted välja praakima) või ühiskonna (loe: riigi) vastutus, kus riik kaitseb ühiskonda üldiselt?

Nii arutataksegi Euroopa Liidus selliste seadmete sertifitseerimise nõuet. See on ajakulukas, võib takistada innovatsiooni ega pruugi lahendada kõiki küberturvalisuse probleeme, sest pärast sertifikaadi väljastamist võib avalduda turvanõrkus, millest varem ei teatud. Euroopa Liidu Võrgu- ja Infoturbeamet (ENISA) aga töötab välja lahendust, mis oleks vähemalt sama mõjuvõimsate tingimustega, nagu on reguleeritud praegu paljude elektroonika- või tehnikaseadmete sertifitseerimine.7 Sertifitseerimise kõrval on veel hulk võimalusi, kuidas kohustada turul tegutsejaid parandama oma toodete turvalisust ja tarbijaid kaitsma – kas või siltide nõudmise kaudu, kus on kirjas, kui kaua seadme tarkvara uuendatakse ja kuidas käib paroolide vahetamine.

Me ei argumenteeri siin riigi suurema sekkumise või regulatsiooni poolt, see protsess juba käib, sekkumine suureneb niikuinii, mida enam küberturvalisus hõlmab kogu ühiskonna toimimist. Viimase kümmekonna aasta jooksul on rahvusvaheliselt tehtud kõvasti tööd ühtsete reeglite väljatöötamiseks, et tõmmata piirid, keda konfliktiolukorras riiklikult rünnata tohib ja keda ei tohi. Kuid lääneriikide, Hiina ja Venemaa ideoloogiliste ja geopoliitiliste vastasseisude tõttu liiguvad riigid eri suunas (lääs seisab vaba interneti ja olemasoleva rahvusvahelise reeglistiku kasutamise eest; Vene-Hiina telg pooldab riigi täielikku kontrolli interneti ja selle sisu üle ning soovib uue rahvusvahelise reeglistiku loomist). Riikidel ja režiimidel on internetivabaduse ja küberturvalisuse osas erinevad tõlgendused ning see ei ole enam tehnoloogia, vaid ühiskonna, poliitika ja võimustruktuuride säilitamise küsimus.

Näiteks kui Venemaa on loonud oma suveräänse interneti, mis toimib ka siis, kui neid maailmast ära lõigataks, siis Hiina arendab uut internetiprotokolli, mis soovitakse ÜRO toel maailmas kasutusele võtta. Hiina kiidab oma lahendust, mis hiinlaste kinnitusel tagab internetis turvalisuse ning aitab küberkurjategijaid tuvastada, ent võib osutuda jälgimispoliitika ja eufemismidele toetuva diplomaatia osaks.8 Kuna ÜROs on rohkem hübriidse ja autoritaarse režiimiga riike kui demokraatiaid, siis võetakse Hiina algatust tõsiselt.9 Nii Hiina kui ka Venemaa soovivad, et interneti reguleerimisel oleks riigivõimul (loe: nende valitsustel) suurem roll, kui seda on praeguses mitmepoolses küberruumi valitsemises, kus eraettevõtted on riikidega samavõrdsed teerajajad. Paradoksaalsel kombel näitas USA oma survega TikToki platvormile teistele ette, kuidas üks riik võib globaalsetelt ettevõtetelt ja platvormidelt nõuda kohalikke kombeid (väärtusi, seadusi ja poliitikat) arvestavat lahendust. Kui Hiina nüüd nõuab samasugust lahendust mõnelt USA ettevõttelt, võivad nad viidata USA enda loodud pretsedendile hoolimata ajendist: USA lähtus ju oma nõudmises oma kodanike vabaduste kaitsest.

Arutelu, kuidas küberruumi reguleerida, käib ka järgmiste põlvkondade tehnoloogiliste lahenduste üle. Näiteks kujundab Euroopa Liit oma käsitust tehisintellekti eetilisest kasutamisest – üks esimesi põhimõtteid on mitte eksportida jälgimisseadmeid autoritaarse riigivõimuga riikidele.10 Kuigi diplomaatia vaatepunktist on biomeetria kasutamine seotud inimõigustega, saab iga liikmesriik siiski ise otsustada, mil määral ta näiteks näotuvastuse tehnoloogiat oma kodanike peal rakendab.

Tehisintellekti puhul võib rääkida tulevikustsenaariumist, kus AI või algo­ritm teeks mingite alusandmete pealt ettepanekuid näiteks arstidele, ametnikele, õpetajatele, kes peavad mingeid otsuseid tegema. Alusandmete „mürgitamine“ võib otsuseid kallutada nii palju, et need mõjutavad inimeste heaolu. Ometi annavad biomeetrilised lahendused hea võimaluse alusandmeid koguda ja eriti problemaatiline on see autoritaarsete võimusuhete puhul.

Kuid kõigi riikide, nii demokraatlike kui ebademokraatlike, sõnastatud eesmärk on kaitsta oma kodanikke. Sõnastamata eesmärk on aga võimukam: kaitsmise sildi all levitada oma väärtusi ja selle kaudu taastoota oma võimu­struktuure.

Eestis põhinevad küberturvalisuse ennetussõnumid rõhutatult üksikisiku vastutusel: ole ettevaatlik! ära usalda! kahtle! kontrolli! Kuid kodanike võimestamise kõrval anname endale RIAs selgelt aru, et seadusega11 meile antud ülesanne kaitsta rahvast küberohtude eest ei piirdu teadlikkuse ja vastutuse delegeerimisega üksikisikule, et ta „mõtleks, enne kui klikib“. Praegu nõuab see veel kogukondlikku mitmel tasandil vastutust: RIA peab tegema järelevalvet nende e-teenuste üle, millest sõltub ühiskonna toimimine ja ettevõtted peavad mõistma, et küberturvalisuse tagamine on nende töö osa. Kuid küberruumi ees ootav paradigma muutus tõotab tulla nii laiaulatuslik, et peale ekspertide tehtava (analüütiline, ennetav ja turvatöö) on eesmärkide määramisel vajadus ühiskondliku arutelu järele, mille toel saaks poliitilisel tasandil kujundada reeglistiku muutuva interneti alussambad.

Meie väärtuste hulka kuulub aga veel üks, mida tahame levitada ja taastoota: hoolivus. Igaüks, kes mõikab midagi küberturvalisusest, võiks aidata oma lähedasi, et nad praeguses küberkorralageduses endale ega oma kaaskodanikele haiget ei teeks.

Lauri Tankler ja Thorwald-Eirik Kaljo on RIA küberturvalisuse teenistuse analüütikud.

1 Melissa Eddy, Nicole Perlroth, Cyber Attack Suspected in German Woman’s Death. – New York Times 18. IX 2020.

2 Lauri Tankler, Küberkaitseekspert: mina ei saa aru, miks riigid tahavad internetis hääletada. – Delfi 1. VI 2017.

3 Dennis Broeders and Bibi van den Berg, Governing Cyberspace: Behavior, Power and Diplomacy. Rowman & Littlefield, 2020.

4 2020 Threat Hunting Report: Insights From The Crowdstrike Overwatch Team. Falcon OverWatch Team 15. IX 2020.

5 https://twitter.com/internetofshit

6 Press Release, Gartner Says 5.8 Billion Enterprise and Automotive IoT Endpoints Will Be in Use in 2020. – Gartner 29. VIII 2019.

7 https://ec.europa.eu/growth/single-market/ce-marking/manufacturers_en

8 Shannon Tiezzi, China’s Bid to Write the Global Rules on Data Security. – The Diplomat 10. IX 2020.

9 Economist, Democracy Index 2019.

10 Samuel Stolton, EU nears conclusion on cyber surveillance export controls. – EURACTIV.com 21. IX 2020.

11 Küberturvalisuse seadus; https://www.riigiteataja.ee/akt/K%C3%BCTS

Kui sulle meeldis see postitus jaga seda oma sõpradega

[LoginRadius_Share]

Leia veel huvitavat lugemist

Värske Rõhk
Hea laps
LR
Keel ja kirjandus
Akadeemia
Kunstel
Muusika
Õpetajate leht
Täheke
TeaterMuusikaKino
Vikerkaar
Looming
Müürileht