Küberluurest kainestavalt

Marek Strandberg

Intervjuu siseministeeriumi infotehnoloogia- ja arenduskeskuse küberturbeosakonna juhi Agu Kivimäega.

Peaasjalikult Ameerika Ühendriikide eriteenistustega seotud juhtumite avalik kajastamine kipub jätma mulje, nagu muude riikide, näiteks Venemaa või Hiina, ei toimetagi kübermaailmas. Loomulikult see nii ei ole. Infosõja kombestik kujunes külma sõja aastatel ja tänapäeval on samalaadne olukord kübermaailmas, kus ei ole häid ja halbu, vaid hulgaliselt pulbitsevaid huvisid.
Sirbi küsimustele vastas siseministeeriumi infotehnoloogia- ja arenduskeskuse küberturbeosakonna juht Agu Kivimägi.

Luurajad ja luuresüsteemid, ka turva­aukude kokkuostmine jms ei ole pelgalt Ameerika Ühendriikidele omane. Koos luureskandaalidega on huvi keskmesse tõusnud aga just USA luureteenistused. Kas Aasia, Aafrika, Ladina-Ameerika ja araabia maad ning Venemaa, Ukraina ja Valgevene siis sellega ei tegelegi?
Agu Kivimägi: Millega ja kuidas luurevaldkonnas tegutsetakse, ei ole avalikult teada. Riiklik julgeolek ja luure on teemad, mis on kaitstud riigisaladusega. Seega me võime teha põhjendatud oletusi või arutleda teemadel, mis on juhuse tahtel avalikkuse ette lekkinud. Ilmselt on momendil USA-l kõige suurem küberluure ja kübersõja võimekus, kuid arvan, et ka riigid, mille üldine majanduslik ja tehnoloogiline võimekus jääb oluliselt alla USA omale, siiski panustavad luuresse ja seda isegi, võrreldes oma eelarvega, proportsionaalselt rohkem. Mäletame, et kuigi endise Nõukogude Liidu majandus seisis vaevu jalul, oli riik väga osav luurama kuni oma eksistentsi lõpuni välja.

Millised on levinumad tegevused, millega eriteenistused koos infotehnika loojate ja kasutajatega rahuldavad riikide erivajadusi?
Luure kogub ja töötleb informatsiooni. Infotehnoloogia on vahend, mis võimaldab luure tööd efektiivsemaks muuta. Iga tegevus jätab endast jälgi, sh palju kaudseid jälgi. Kui on piisavalt võimet andmeid töödelda, võib kaudsete jälgede abil tuletada teavet, mille olemasolu andmetes pole ilmne. Seega on luurajaid järjest enam hakanud huvitama toorinformatsiooni totaalne kogumine ning aina võimsamad arvutid ja algoritmid kogutu läbitöötamiseks. Info kogumine eeldab ligipääsu infole, st võimet läbida turvatõkkeid või n-ö kokkuleppeid info valdajatega. Microsoft Windows kasutab krüptograafiat, et tuvastada, kas lisatavad komponendid pärinevad autentsest allikast, selleks et keegi ei saaks süsteemile lisada võltskomponente. 2000. aastal avastati, et ühe krüptograafilise võtme nimetus hakkab sarnanema USA luureagentuuri NSA nimelühendiga. Microsoft eitas, et mainitud võtmeid on jagatud luureagentuuriga ja meil pole põhjust nende siiruses kahelda, kuid kahtluseuss jääb. 2006. aastal tunnistas Skype avalikult: selleks et Hiina turul tegutseda, pidid nad lubama oma tarkvara modifitseerida nii, et see võimaldaks võimudel jälgida suhtlust, mis toimus Hiinas sees ning Hiina elaniku ja välismaa vahel. Ilmselt on palju rohkem eriteenistuste info hankimise võimalusi, millest me ei tea. 

Kui palju on siin näha teiste riikide kadedust? Üleilmselt pruugitava infotehnoloogia, nii riist- kui ka tarkvara, lähtekohaks on Ameerika Ühendriigid. Kuivõrd on jutt USA luuramisest seotud tõsiasjaga, et sealses õigusruumis toimijatel on kohustus olla lojaalne oma valitsusele?
Iga ettevõte täidab oma asukohamaa seadusi. Näiteks Eesti sideoperaatorid peavad politseile väljastama kõneeristusi, kui politsei tegeleb mõne kriminaalasja uurimisega. Politsei õigus tuleneb seadusest. Sideettevõtja kohustus on luua politseile võimalus andmeid pärida, sideettevõtja ei hinda politsei päringu põhjendatust, seda teeb kohus või hinnatakse tegevuse õiguspärasust järelevalve käigus. Seega – sideettevõtja peab jõustruktuuridele looma võimaluse. Samasugune olukord on igas riigis, st selle riigi residendid peavad oma riigi jõustruktuuridele infot edastama. Luure puhul muutub info andmine veidi keerukamaks, kuna info andmise fakti ennast tuleb täiendavalt varjata, et mitte reeta oma tegevussuunda ja jätta potentsiaalsele vastasele kaudseid jälgi. Üks võimalus ongi koguda infot totaalselt, mida ilmselt paljude riikide eriteenistused teevadki, muidugi vastavalt oma võimetele, kuna andmemahud on tohutud. USA ehitab järjekordset andmekeskust, mille elektritarve on juba 65 MW. Ma ei imestaks, kui mõne suure riigi julgeolekualaste seaduste tõlgendus võimaldab nõuda kohalikul tootjal oma toodet riigi julgeoleku huvides täiendada.

Riist- ja tarkvaratootmise esirinda on teiste riikide kõrvale tõusnud Hiina. Kas on aimatav, kuidas võim seal kasutab oma võimalust olla osaline toodete ja teenuste „uudishimulikus” kaasapanus?
Hiina on tõesti suur riistvara tootja ja ma ei näe põhjust, miks Hiina ei võiks seda positsiooni oma julgeoleku huvides ära kasutada. Mõne aasta tagusest ettekandest meenub, et USA oli oma piiril tuvastanud aastaga 300 000 seadet, kuhu tootmise käigus oli peale soovitud funktsionaalsuse kiipidesse lisatud funktsioone, mida oli võimalik kuritegelikul või luure eesmärgil ära kasutada. Selle põhjal ei saa tõestada otsest seost valitsuse tegevusega, kuid üldjuhul on riigid julgeoleku küsimustes pragmaatilised ja koostöövõimelised kõikvõimlike huvigruppidega, sh kuritegelikega.

Kas n-ö uudishimuliku infotehnoloogia valguses on meil sellest midagi õppida? Kas me vajame oma infosüsteemide turvamiseks mingit eraldi protseduuride kogumit? Mingit eraldi asutust?
Arvan, et kunagi jõuab ka Eesti olukorrani, mil oluliste süsteemide turvakindluse analüüs ja sertifitseerimine muutub kohustuslikuks, st tuleb mõnele asutusele see ülesanne panna ja koondada vastav kompetents. Samasuguses rollis on näiteks Saksamaal infoturbeamet (Bundesamt für Sicherheit in der Informationstechnik, BSI), mille etalonturbe meetodit on kohandatuna Eesti riigi avalikule sektorile kohustuslik järgida. Ent keeruka luuretegevuse eest etalonturve kaitset ei taga. Võimalusega, et meie andmed on vaenlase käes, tuleb tänapäeval lihtsalt arvestada, seda enam et mugavate teenuste kasutamise nimel ollakse valmis turvalisuse arvelt järeleandmisi tegema.

Kas meie infosüsteemide puhul, pean silmas riigile strateegiliselt olulisi, võib kindel olla, et need on sajaprotsendiliselt tagausteta ja lekkevabad?
Seda ei saa kindlasti väita, et tagauksi ja nõrkusi ei ole. Pigem tuleks vaadata, kui suurt huvi meie käes olev info pakub ja kui suure jõupingutuse on valmis infost huvitatud osapool tegema. Olulist infot võib saada ka suhteliselt odavalt – 1000 eurot kuus. Samal ajal on koos ründemeetodite levikuga ka küberluure muutunud järjes kättesaadavamaks.
Turbemeetodite väljatöötamise ja nende tugevuse analüüs käivad käsikäes. Seega institutsioonid, mis mõtlevad välja uusi meetodeid mõtlevad samal ajal ka sellele, kuidas neid rünnata. Seega on põhjendatud paranoiline mõtlemine, et miks USA valitsus pakub avalikult tasuta kasutuseks krüptoalgo­ritme, mille analooge erafirmad tasu eest müüvad. Võib-olla on tegu tehnoloogiaga, mille murdmine on NSA-le jõukohane.