TARK TARTU ⟩ Mart Noorma: kui keegi meid rünnata tahab, siis ükskord murrab ta läbi niikuinii (5)

Mart Noorma on Tartu ülikoolis osalise koormusega professor edasi, kuna hariduse toetamine kübervaldkonnas on üle maailma väga oluline. NATO poolt akrediteeritud rahvusvaheline küberkaitsekeskus Tallinnas on ühtlasi mõttekoda ja väljaõppeasutus, kus tudengid käivad praktikal ja kus treenitakse NATO riikide personali.

NATO 29 tippkeskust asuvad maailmas laiali. Üks neist, küberkaitsekoostöö keskus, paikneb Tallinnas. Miks on see hea NATO-le ja mis kasu tõuseb sellest Eestile?

Eestil on olnud päris pikka aega veendumus, et ta võiks küberturvalisuse vallas olulist rolli mängida. Muu maailm oli varem äraootaval seisukohal. Aga kui 2007. aastal pärast pronkssõduri eemaldamist sattus Eesti Venemaa spondeeritud küberrünnaku alla, siis pärast seda õnnestus NATO küberkaitse tippkeskus lõpuks luua Tallinna.

Eestisse rajatud tippkeskus asetseb küberturvalisuse eesliinil ja sel on nii sisuline kui ka kuvandiline roll. Keskuse eesmärk on, et meie 38 liikmesriiki saaksid küberrünnakute ja -ohtude vastu seista ühiselt. Sest Eestile, mis on piiririik tsiviliseeritud maailma ja pahalaste vahel, on tähtis, et kui meil on abi vaja, siis on oluline, et teised riigid mitte ainult ei taha meile appi tulla, vaid nad oleksid ka võimelised meid toetama. Võimelisus kübermaailmas ei tule iseenesest, selleks on vaja teha palju sisulist tööd.

Teine pool on kuvandiline pool, mis ütleb, et kui riigis on küberkaitsekeskus, siis see riik on selles valdkonnas eestvedajate hulgas. See tähendab omakorda kasu ka Eesti ettevõtetele ja teadusasutustele, kuna sellise kuvandi najal saab riigi eksporti kasvatada ning teadlased saavad muu maailma teadlastega head koostööd teha.

Mart Noorma, palun võrrelge nüüd küberrünnakut tuumarünnakuga.

Tuumarünnaku tagajärjel inimesed surevad ja loodus saastub. Majandusliku kahju suurust on sel puhul äärmiselt raske hinnata, nagu kõiki suuri kahjusid, mida põhjustab sõda.

Küberkuritegevuse kahjudega on teistmoodi. Küberkuritegevuse kahju globaalsele majandusele ületab paari aasta pärast hinnanguliselt kümme triljonit eurot. See tähendab, et rahalises mõttes on küberkuritegevus juba praegu hullem kui narkokaubandus.

Samas me pigem oleme nõus, et arvutivõrgud on maas ning masinad rivist väljas ning me kõplame taas põldu, kui et meist on üle käinud tuumasõda ja me kõik oleme surnud.

Aga räägime nüüd tankist. Kui üks riik ostab ettevõttelt oma maajõududesse tanki, siis edaspidi kontrollib riik selle tanki kasutamist. Aga kübervaldkonna «tank» ehk tarkvara, mida asub kasutama sõjavägi, jääb sisuliselt ikkagi tarkvaraettevõtte kontrolli alla? Kas see on probleem?

Jah, see kübervaldkonna «tank» ei ole enam demokraatlikult valitud riigi kontrolli all, see tank on erakontrolli all. Seda me oleme kogenud nüüd ka Ukraina sõjaga, mis on varasemaga võrreldes toonud välja ühe kõige suurema muutuse, ja just kübervaldkonnas.

Me kõik oleme sõdurid küberlahinguväljal! Inimene võib panna suvalise mälupulga oma ettevõtte arvutivõrku, avada kirjaga kaasas olnud manuse, klikata lingile kirjas...

Suured ettevõtted on tormanud Ukrainale appi, mis näitab ettevõtete suurt võimu selle konflikti kallutamises kas ühele või teisele poole. Aga me oleme näinud ka seda, kuidas mõnede ettevõtete toetus satub küsimärgi alla lähtuvalt ettevõtte omaniku ainuisikulisest meeleolust.

Mis siin tähele panna tuleb?

See on probleemide pundar, millega seisab kogu maailm vastamisi ja ka meie keskus tegeleb nende lahendamisega. Ettevõtete puhul on esimene asi alati majandushuvi ja seejärel väärtused.

Tihti just väärtustest kinnipidamine konverteerub ka majanduslikuks huviks ehk kui kogu vaba maailma ühiskond tunnetab, et üks või teine ettevõte ei jaga nendega samu väärtusi, läheb selle ettevõtte majandustegevus kindlasti keerulisemaks. Ukraina sõda ongi näidanud, et kui kiiresti ja kui suur osa vaba maailma ettevõtlusest tõmbas ennast agressorriigist välja.

Aga küberturvalisuse kõige nõrgem lüli on...

...on inimene. Me kõik oleme sõdurid küberlahinguväljal! Inimene võib panna suvalise mälupulga oma ettevõtte arvutivõrku. Inimene võib avada kirjaga kaasas olnud manuse, mis on tulnud tundmatust kohast.

Inimene võib minna veebilehel valesse kohta, ja ka kõige suurem professionaal võib klikata lingile kirjas, mis on tulnud näiliselt tema enda IT-osakonnast või otse ülemuse käest.

Selle kohta öeldakse, et kui keegi meid rünnata tahab, siis lõpuks ta murrab läbi ja ründab meid niikuinii.

Mida siis teha?

See kõik on ebamugav. Palju mugavam on olla suhteliselt madala turvalisusetasemega arvutivõrgus. Sest niipea, kui hakkame küberturvalisust peale keerama, siis tavakasutajana ei saa me enam oma arvutisse sisse otse, vaid tuleb logida kaks või kolm korda, enne kui oma töökeskkondadesse jõuad. Ja kui ei ole varasemat küberintsidendi kogemust, siis tundub see kõigile mõttetu ajaraisk – et kes meie väikest ettevõtet ikka ründab?! Ka tähendab IT-kaitsesüsteemide korrashoid ja andmete turvaline säilitamine ettevõttele aastas sadu tuhandeid eurosid kulu ning nõuab pidevalt uusi investeeringuid.

Ja kui nüüd mõni poliitik ütleb, et see kõik tuleb riigis teha kohustuslikuks, siis seda poliitikut ilmselt tagasi ei valita. See on tõesti väga suur väljakutse, kuidas peaks riik töötama oma inimeste ja ettevõtetega, et nende teadlikkust tõsta. Sest kui me vaatame, mis maailmas toimub, siis nagu ma juba ütlesin: paari aasta pärast ületab küberkuritegevuse mõju majandusele 10 triljoni piiri.

Kirjeldage palun mõnd mastaapset rünnakut!

Võime rääkida lunavararünnakuist, mis tähendab, et häkkerid krüpteerivad kogu ettevõtte andmed ja nõuavad raha nende andmete vabastamise eest või siis selle eest, et neid andmeid teistele üle ei antaks.

Soomel oli üks kogemus, mis puudutas ühe psühhoteraapiaettevõtte 30 000 klienti. Huvitav oli see rünnak seetõttu, et häkkerid hakkasid ise pöörduma klientide poole ja nendega vestlema, et jah, kõik andmed teie psüühilise tervise kohta on meie käes ja me ei taha neid sugugi avalikuks teha, aga kui too ettevõte ei maksa meile küsitud summat, siis makske ise või teie andmed lähevad avalikuks. Häkkerid on läinud juba nii kaugele, et nad loovad oma ohvritele justkui abiliini, et nendega suhelda. Kõik selleks, et survestada ettevõtet lunavara ära maksma.

Kuidas see lugu lõppes?

Ettevõte sai küberhooletuse eest kaela trahvi, mis ületas märgatavalt nõutud lunaraha. Vaimset kahju patsientidele on võimatu hinnata. Jah, kui ettevõte õigel ajal ei investeeri küberturvalisusse, võivad kahjud olla hävituslikud.

Mis tüüpi organisatsioone ja eesmärke küberrünnakute tagant veel leida võib?

Kõigepealt riikide poolt spondeeritud ehk mitteametlikult toetatud häkkerigrupid. Kusjuures riik ei võta nende tegevuse eest kunagi vastutust ja on väga raske tõestada, et nende taga on üldse mõni riik.

Siis kuritegelikud organisatsioonid või isikud, kes on väljas puhtalt majandusliku kasu peal.

Siis terroristid, kelle eesmärk on külvata segadust ja kahjustada ühiskonda mingi poliitlise idee nimel.

Lõpuks lihtsalt häkkerid, kes võivad nautida mängu ilu, et proovida oma võimu, või siis on ka neil mingi poliitiline agenda.

Rünnakuks võib osutuda seesama DdoS – distributed denial of service. Ehk ummistusrünnak, mida Eestis mäletatakse väga suuremahulisena just pronksiöö ajast 15 aastat tagasi. Või lunavararünnak või siis andmete hävitamine või nende kopeerimine.

Esimene põhjus on raha teenimine. Vene riik saab näiteks igal aastal väga suurt rahalist kasu tänu sellele, et tema häkkerid varastavad kas krüptovaluutat otse või siis teenivad raha lunavararünnakute abil – see on riiklikult spondeeritud majandusharu. Ka Põhja-Korea täidab oma riigikassat samamoodi, rünnates Lõuna-Koread ja teisi riike.

Teine eesmärk on poliitiline agenda, et kahjustada valitsuse reputatsiooni. Et kui kogu vaba maailm toetab Ukrainat ja siis vaba maailma ühes riigis tekib riiklikes infosüsteemides suur segadus ummistusründe tõttu, peab valitsus keskenduma selle probleemi lahendamisele ning tal ei jää enam aega välispoliitika ega teiste suurte asjadega tegelemiseks.

Maine kahjustamise võib olla tellinud ka konkurent. Üks konkurent ostab häkkerirünnaku teise konkurendi pihta, et mingil kriitilisel hetkel nende turuväärtust vähendada.

Eesti luureseriaalis «Reetur» käib peategelane alatihti serveriruumis ja nokitseb seal midagi sülearvuti ja mälupulgaga. Mis ta teeb?

Paljudes kohtades on küberkaitse üles ehitatud müürina ümber organisatsiooni, et väljastpoolt keegi sisse ei pääseks. Aga kui keegi tuleb füüsilisest maailmast otse ja käivitab seal müüris mingi pahavara, siis see on seesama, nagu reetur teeks vaenlasele tagaukse lahti. Sellest uksest hakkab sisse voolama luuretarkavara, mis varastab infot ja rikub süsteeme.

Kas häkkereil on võimalik välja jõuda tuumanupuni?

Ei ole. Üks suhteliselt lihtne meetod küberturvalisuse tagamiseks on inglise keeles air gap ehk õhuvahe. Termin osutab sellele, et mingi ülioluline arvutisüsteem ei ole füüsiliselt ühendatud interneti või väliste arvutivõrkudega. See tähendab, et kübermeetoditega väljast talle ligi ei pääse. See meetod on sada protsenti turvaline võrgu kaudu tulevate rünnete vastu.

Kui tahta selles üliolulises arvutisüsteemis opereerida, on inimese osalus sada protsenti vajalik. Ma olen täiesti kindel, et riikide tuumavõimekust kontrollivad võrgud on just seda tüüpi võrgud.

Kas Venemaa häkkerid pääseksid tühjaks laskma Narva veehoidlat?

Ma ei saa seda kuidagi kommenteerida.

Aga fakt on, et kriitilist infrastruktuuri on maailmas korduvalt rünnatud. Tuletan meelde, et aastail 2015–2017 ründas Venemaa Ukraina elektrivõrke ning tal õnnestus olulist osa Ukraina elektrivõrkudest saboteerida.

Ka teame küberrünnakust, mille tagajärjel suur osa Saksamaa tuulegeneraatoritest vajas remonti.

Ameerika kõige tuntum küberrünnak leidis aset Colonial Pipeline'ile, mis pumpab Texasest kogu vajaliku nafta idarannikule. Nende torude töövõime võeti maha pikaks ajaks. Neid näiteid on palju, mida küberrünnaku kaudu on kahjustatud.

Kas ka meie ehk NATO riikide luuretegevus põhineb samasugustel küberrünnakutel vaenlase vastu?

Teoreetiliselt jagatakse küberkaitseoperatsioone ründeoperatsioonideks, luureoperatsioonideks, kaitseoperatsioonideks ning infrastruktuuride kaitse operatsioonideks. Selles pildis mängib rolli poliitiline otsus, et mida üks või teine riik peab õigeks kasutada.

Üldiselt ei nähta probleeme, kui kaitstakse oma võrkude turvalisust. Ei nähta probleeme ka luuretegevuse korraldamises ega küberruumi kaitsmises.

Küberrünnakute korraldamise probleem on see, et nende puhul on raske hinnata, kas see rünnak rikub rahvusvahelist humanitaarõigust ja teisi rahvusvahelisi reegleid. Sest küberrünnak võib kergesti kontrolli alt väljuda, see võib kahjustada üliolulist tsiviilinfrastruktuuri nii, et süütud inimesed võivad surra...

Näiteks suurlinnade valgusfooride hulluksajamine või rongiliiklust reguleeriva automaatika halvamine?

Jah, ja telefonid, elekter, isesõitvad autod, meditsiiniteenused. Meie digimugavuste laienedes need ohud muudkui suurenevad. Pahalased ei hooli mingitest reeglitest.

Kas sellist küberkuritegevust tuleb võrrelda sõjakuritegevusega?

Siin on palju keerulisem hinnata, kas collateral damage ehk ootamatu kahju võib rünnakuga kaasneda või mitte. Sellepärast ongi vaba maailma riigid väga ettevaatlikud küberrünnete legitimeerimise osas. Aga selge on ka, me peame olema valmis enda võrkude kaitseks, ja tihti nagu tavasõdades, ei saa kaitsta ainult kaevikus istudes, vaid vastast on vaja ka tagasi tõrjuda.

Kui magus pala meie kübervaenlasele on sotsiaalvõrgustikud?

Ülimagus, ja mitmel põhjusel.

Üks variant, kuidas küberrünne aset leida saab, on, et mingi tehisintellektipõhine ründetarkvara koputab kõikidele ustele üle terve interneti ja vaatab, kust ta juhuslikult sisse pääseb.

Teine variant on, et grupp häkkereid või luureohvitsere istub kusagil Kremli lähedal metsas ja koputab väga konkreetsele uksele, püüdes kätte saada kellegi kindla inimese arvutit. Nemad kasutavad hoopis teistsuguseid lähenemisviise, mis sisaldavad mitte ainult küberelementi, vaid ka kõige tavalisemat värbamiskunsti. Et saada näiteks sõbraks kellegi meeldiva inimesega, kellega koos tehtud asjad võivad teda kompromiteerida. Seda võib teha sotsiaalmeedia kaudu.

Küberrünnak võib ka kontrolli alt väljuda, süütud inimesed võivad surra. Haavatavad on valgusfoorid, rongiliiklus, elektrivõrgud, isesõitvad autod, meditsiiniteenused.

Teine oht on, et sotsiaalmeedias avaldavad inimesed paha aimata materjali, mida saab neid rünnates ära kasutada. Näiteks rünnata inimest petukirjaga, mis näeb välja selline, et inimene ei kahtlusta pahalase kätt.

Kõik, mille me sotsiaalmeediasse paneme, ja isegi siis, kui me oleme selle seadistanud nii, et keegi teine seda ei näe, siis nagu ikka, süsteemidesse sisse häkkides on võimalik seegi ära varastada ning mustal turul pahalastele edasi müüa või ise kasutada.

Hea näide on NATO strateegilise kommunikatsiooni tippkeskusest, mis asub Riias. Ühel konverentsil rääkisid selle töötajad eksperimendist, millega püüdsid uurida, mitu protsenti nende riigi küberluurespetsialiste on sotsiaalmeedias saadaolevate avalike ja poolavalike andmete põhjal võimalik tuvastada. Vastus oli, et umbes pooli. Ka nende peresid, elukohti ja hobisid. Ilma igasuguse häkkimiseta.

Kuidas teie ise sotsiaalmeedias käitute?

Minult on varem, mil ma aktiivselt kosmosetehnoloogia arendamisega tegelesin, küsitud, milline see maailm tulevikus välja näeb. Et kus on kosmosetehnoloogia põhilised arengusuunad siis, kui me ei räägi Marsi peale minekust, vaid sellest, kuidas kosmos maapealset ühiskonda toetab.

Kosmosetehnoloogia põhiteenused on esiteks side, mis võimaldab meil üksteisega suhelda, teiseks positsioneerimine, mis annab teada, kus me oleme ning kus teised on, ning kolmandaks kaugseire, mis võimaldab meil näha, kus keegi mida teeb.

Kui kõik need tegevused laienevad ja maailm suundub sinna, et varsti teavad kõik, kus kõik teised on, ning kõik näevad, mida kõik teevad, ning me saame olla kõigiga ühenduses, siis filosoofilises plaanis ootab meid ees saladusteta maailm. Täiesti saladusteta maailm! Ükski asi, mis meil on või mida me teeme, ei saa jääda saladuseks.

See tundub kohutav. Aga see on kohutav ainult sellepärast, et me oleme elanud maailmas, kus meil võisid olla saladused. Me võisime poest näpata asju ja loota, et see ei tule kunagi välja. Kui me oleksime aga algusest peale kasvanud maailmas, kus me teame, et ükski tegu ei jää varju, siis võibolla just saladusteta maailmas käituvad inimesed palju paremini kui praegu!

Nüüd võiks küsida, mis saab olla veel hullem turvatud maailmast, kus meil on saladused, või siis avatud maailmast, kus meil saladusi olla ei saa. Vastus on, et see on maailm, kus me arvame, et meil on saladused, aga tegelikult neid saladusi ei ole, ja meie käitumine võib meid kogu aeg löögi alla tõmmata.

Lõpuks on mu vastus see, et sotsiaalmeedias on ülimõistlik käituda teadmisega, et iga sõna, mis me sinna kirjutame, on alati kellelegi nähtav. Ning on ülimalt tark mitte kunagi panna sinna asju, mille eest me ei ole valmis vastutama.