/nginx/o/2018/02/20/7603279t1h3658.jpg)
Demokraatiast ja seadustest lugu pidava maailma väljakannatamise piir on ületatud ning otsustatud on tegutseda – Venemaalt, Põhja-Koreast ja mitmelt poolt mujalt lähtuva reaalse küberagressiooni vastu on moodustumas koalitsioon, kuhu ei kuulu vaid riigid vaid ka vaid ka NATO-sarnased globaalsed organisatsioonid ning muidugi tehnoloogiaettevõtted.
Aasta 2017 selgitas märgatavalt vett seni tegelikult vaid uduselt tajutud üleilmse küberohu ümber - selgemalt kui kunagi varem jõudis kõigi teadvusesse, et rünnata võib igaüks, igaüht, üleilmselt ja kust iganes maailma otsast. Enneolematut edu saavutasid kriminaalsete rühmituste majanduslikest huvidest lähtuvad ründed, kuid veelgi teravamalt kõlas äratuskell andmaks teada riiklikul tasandil organiseeritud rünnakutest.
Põhja-Korea võimude juhitud rühmituse loodud lunarahavara Wannacry abil maikuus korraldatu oli esimene – kannatata 155 maailma riigi inimesed, ettevõtted, riiklikud infrastruktuurid, haiglad, koolid. Kohe juunis järgnes Venemaa organiseeritud NotPetya rünnak Ukraina vastu - maailm oli šokis. Tänaseks on selgunud, et Venemaa internetitrollide armee mõjutas läbi veebipõhise ajupesu otseselt USA presidendivalimisi. Ning see on vaid jäämäe tipp püsiva ründetegevuse foonil.
Just sellest ajendatuna kogunes möödunud nädalal Brüsselis väike, ent väga mõjukas ja vähemalt sama kõrgetasemeline seltskond, et kujunenud olukorrale ausalt otsa vaadata ja välja öelda, kuidas demokraatlik maailm praegusest punktist edasi saaks minna.
Teiste seas olid kohal olid NATO asepeasekretär Rose Gotemoeller, Microsofti juht Brad Smith, USAs tegutseva German Marshalli Fondi juhid ja eksperdid, Prantsusmaa IT-juht, teadlased Saksamaalt ja mujalt. Aruteludel oli kohal ka Postimees ning väikese Eesti rolli olulisus olukorra paranemisel kõlas mitmel korral nende inimeste huulilt.
«Ma tõesti soovin, et aastast 2018 saaks aasta, mil avalik- ja erasektor saavad kokku, et astuda uusi samme kaitsmaks demokraatiat ja demokraatlikke protsesse kogu maailma riiklikul tasandil organiseeritud küberrünnakute eest. Peame tegema palju rohkem ja uutmoodi,» kõlas Brad Smithi peamine sõnum kohaletulnuile.
Peamiseks häirekellaks ongi tema sõnul just see, mida nägime NotPetya puhul: märkimist ei vääri ründevara kui selline vaid asjaolu, et sihtmärgiks on võetud kogu riigi infrastruktuur tervikuna. Ukrainas nakatus kuni 30 protsenti kõigist riigi arvutitest. Kusjuures, nagu nägime, ei piirdu sellised ründed mitte sugugi vaid ühes riigis asuvate võrkudega vaid ohvreid on kõikjal üle maailma
NATO: piiri sõja ja rahu vahelt on haihtunud
Kas maailm on pärast möödunud aasta rünnakuid sõjas - kübersõjas? Kuna rünnatud on sisuliselt kõikides maailma riikides asuvaid süsteeme ja ründajaks on olnud riiklikult toetatud grupeeringud, siis võiks ju nii arvata küll. Kuid uus ajastu on kaasa toonud vajaduse ümber sõnastada mitmed sõjalised terminid, vaatama üle oma töövahendid ja kogu tegevus ning sellega seisab muidugi rinnakuti ka maailma võimsaim sõjaline allianss NATO.
«Me ei saa enam võidelda uute ohtude vastu vanade töövahendite abil. NATO on vastakuti tõsiasjaga, et oleme hübriidruumis, kus puuduvad piirid rahu ja sõja, sõja ja konflikti ning konflikti ja kriisi vahel,» - sellise tõdemusega tuli Brüsseli arutelul välja NATO asepeasekretär Rose Gotemoeller.
Jah, NATO ei tegutse kaugeltki enam vaid ühiskondade füüsilise kaitsega õhus, maal ja merel. NATO on selgelt asunud kaitse-, luure- ja vajadusel ründetegevusse küberruumis. Tallinnaski on avatud NATO küberkaitsekeskus. Gotemoeller ütles selle taaskord ka väga selgelt välja: «Meie eesmärk on tagada ja arendada turvalist ja rahumeelset kübermaailma.»
Aidatakse tagada rahvusvahelist õiguse kehtivust küberruumis, toetatakse tsiviilkaitseasutusi ja korraldatakse koostöös partneritega ennetavaid õppusi – need on kolm peamist NATO töövahendit selles valdkonnas. Lühidalt: NATO tahab tuua oma tegevuse igas mõttes uuele tasandile ning olla demokraatlike riikide ja tehnoloogiaettevõtetega samas paadis.
Asepeasekretär rõhutas just Tallinnas asuva NATO küberkaitsekeskuse olulist rolli küberkaitsealaste treeningute ja hariduse valdkonnas ning meenutas, et Eesti oli esimene riik kogu maailmas, mis juba aastal 2007 massiivse küberrünnaku alla sattus.
Kurikaval uus külm sõda
Prantsusmaa välisministeeriumi kübervaldkonna juhi David Martinoni sõnul on maailm justkui olukorras, mida võiks võrrelda külma sõja uue vormiga. Ainult et tänapäeval võib tõesti iga riik olla küberruumis ründajaks ning vastasseis on läinud otseseks ja selgeks.
«Peamine küsimus on täna selles, kuidas tagada, et riikidele rahvusvaheliste normidega pandud kohustused küberuumis ka tegelikult kehtiksid,» ütles Martinon.
Nagu näitas Venemaa tegevus USA presidendivalimiste eel, on küberruum loonud võimaluse ka millekski palju intellektuaalsemaks kui labane küberrünnak – soovitus tulemuse saavutamiseks valeinfo levitamise teel. Ehk siis: näiteks välisriigi valijate ajupesu eesmärgiga kallutada neid tegema soovitavaid valikuid. See on midagi eriti kurikavalat, kuna valimised ise jäävad oma protsessi poolest täiesti demokraatlikuks ning keegi ei ürita tehniliselt süsteeme mõjutada.
FBI on tänaseks tõestanud, et Venemaa riiklik internetiagentuur (RIA) korraldas miljonidollarilise USA presidendivalimiste eel miljonidollarilise eelarvega salakampaania. Kasutatud trollid lõid USA kodanike sotsmeediaprofiile, mille teel hakati looma justkui aktivistide kampaaniaid Facebookis, mürgitama kannete teel teiste kampaaniaid, külvama viha ühe kandidaadi vastu ning kiitma taevani teist.
Üks tuntumaid selliseid libakontosid oli entusiastlik vabatahtlik «Matt Skiber», kelle abil mindi lausa nii kaugele, et asuti organiseerima pärisproteste ja demonstratsioone.
German Marshalli fondi vanemnõuniku Laura Rosenbergeri sõnul on ta kõige enam mures just selle üle, mida kõike on võimalik teha desinformatsiooni ja kõrgtehnoloogia koostöös.
«Kõrgtehnoloogiat on võimalik kasutada järjest uutel viisidel ja me näeme trendi, kus virtuaalreaalsete süsteemide abil on võimalik luua täiesti uut võltssisu – heli, videopilti -, mis näeb välja täiesti reaalsena. See on tõsiselt hirmutav,» ütles Rosenberger.
Mida teha?
Mida demokraatlik maailm koostöös või üksikuna õigupoolest teha saab? Esiteks on selge, et peamine vastutaja on tehnoloogiasektor, tehnilises mõttes rünnatakse ju tarkvarasid ja kui neis poleks auke, siis poleks ka ründeid.
Brad Smithi jutust selgus, et eesmärgiks ongi aidata ühelt poolt internetis reisijatel turvavööd peale tõmmata, teisalt täiustada pidevalt oma tarkvara ning tagada, et ainult õiged inimesed pääseksid võrgu õigetesse osadesse. «Kuid me vajame, et ka valitsused teeksid rohkem, eelkõige karmistaksid rahvusvahelisi seadusi,» ütles Smith, kes on juba ligi aasta tõdenud vajadust sõlmida Genfi konventsiooni uus – digitaalmaailma puudutav – versioon.
Kandidaatide isiklikud andmed on ju saanud avalikuks, e-maili aadressid on lekkinud, pidevalt testitakse valimissüsteemide turvalisust, ostetud on reklaame ja loodud libauudiseid valmistulemuste mõjutamiseks välisriikides, haavatakse suuri infrastruktuure. «Siit edasi saab minna vaid riikide ja tehnoloogiaettevõtete väga sihipärases koostöös,» tõdes Smith.
Interneti riigipiirid?
Kui vahepõikena Tallinnasse tulla, siis siinse NATO küberkaitsekeskuse tehnoloogiaosakonna teadur Tarmo Randel tõdes hiljem samuti Postimehele, et eelkõige pakuvad NotPetya sarnased juhtumid mõtteainet tänapäevase digitaalse kriminalistika ja omistamise teemadel. «Riikidele ongi järgneval kümnendil suurimaks väljakutseks riigikaitse ja kriitiilise taristu nõrgimate lülide kaardistamine ja tugevdamine,» tõdes Raud.
Muuhulgas tulevad tema hinnangul kindlasti esile ettepanekud kehtestada meile paremini hoomatavaid riigipiiride laadseid perimeetreid avalikus internetis, rakendada piiranguid tavakodanikele krüptograafia kasutamisel, loodud ja jagatava sisu (content) automaatset klassifitseerimist ning blokeerimist.
On isegi arvatud, et me ei näe enam kümne aasta pärast sellist vaba üleilmset internetti nagu praegu – on eraldiseisvad võrgud eri maailma otstes, lähtudes arusaamisest inimeste põhiõigustest, usaldusest, seadustest.
Vahend: võtta rünnakutelt mõte
Brüsseli aruteludest selgus, et eemärgiks ei ole võetud sugugi häkkerründajate karistamine. Tegelikuks eesmärgiks on ju neid rünnakuid ära hoida ning selleks on palju tõhusamaid vahendeid. Tänasel päeval räägitakse David Martinoni sõnul näiteks enim sellest, nende rünnakute korraldamine tuleks muuta võimalikult kalliks – seda nii rünnakuobjektide kaitstuste taseme kui ründetarkvara kättesaamatuse teel.
Küberlahenduste kõrval on loomulikult laual ka sellised teada-tuntud vahendid nagu rahvusvaheline diplomaatia ja läbirääkimised. Kui riikide suhtes on head, siis kaob ära ajend riiklikult tasandil rünnakuks, nagu me seda oleme näinud suunal Venemaa-Ukraina (NotPetya) või Venemaa-USA (valijate ajupesu läbi sotsiaalmeedia libakontode ja propagandareklaamide).
Laiemalt jõudsid küberohud avalikkuse ette aga juba kümmekond aastat tagasi, kui kogu maailm avastas ahhetades, et keegi teismeline suutis oma magamistoast rünnata Pentagoni. Veelgi varem sai seda riiklikul tasandil tunda Eesti pronksiööde aegu. Nüüd tunneb sama kogu demokraatlik maailm.
INTERVJUU:
RIA-l pole õigust korraldusi anda
Riigi infosüsteemi ameti kriisireguleerimise osakonna juht Lauri Luht räägib, et eelkõige peavad turvalisuse eest vastutama ettevõtted ise.
Kas Eesti riigi infosüsteeme rünnatakse, pannakse proovile, proovitakse sellest infot kätte saada, et mõjutada näiteks valimisi? Te jälgite seda, mis seis on? Kui midagi katsetatakse, siis kust need ründed pärit on?
RIA teeb ööpäev ringi seiret, infot hangitakse väga erinevaid kanaleid pidi. Ründeid süsteemidele tehakse iga päeva igalt poolt. Valdavalt jäävad need katse staadiumisse.
CERT-EE ei omista ründeid kindlale riigile või kuritegelikule grupile, see ei ole meie pädevuses.
Valdavalt üritatakse rünnakute abil levitada pahavara, testida veebilehe koormust, mis enamjaolt kuulub juba sinna maine kahjustamise kui andmete kättesaamise valda, kuid mitte ainult.
Mis puudutab e-valimisi, siis sel puhul langevad rünnakute ohvriks pigem kandidaatide isiklikud meiliaadressid või sotsiaalkontod kui valmiste IT-süsteem. Ka siin taga on rohkem mainekahju projekt.
Kes tagab valmisoleku laiaulatuslike küberrünnakute puhul Eesti asutuste, ettevõtete, isikute suhtes? CERT-EE või jagate seda vastutust näiteks Kaitseliidu küberkaitseüksusega, CCDCOEga, kaitseväega vms? Kes koordineerib riigi tasandil tegevusi siis, kui pronksiööde sarnane rünne peaks täna kell 18.15 toimuma?
2016. aasta mais kinnitas valitsus ulatusliku küberrünnaku hädaolukorra lahendamise plaani, mille järgi juhib ulatuslikku küberintsidendi olukorra lahendamist riigi infosüsteemi amet, kaasates seotud asutusi ja osapooli.
Iga päev peavad asutused ning ettevõtted ise vastutama oma infosüsteemide turvalisuse eest, rakendades selleks seadusest tulenevaid meetmeid, sh ISKE nõudeid (infosüsteemide turvameetmete süsteemi), mille täitmist RIA kontrollib ning rakendamise osas ka tuge pakub.
Kas käsuliin on paigas? Kas näiteks RIA-l on õigus anda Teliale või RIKSile (Riigi Infokommunikatsiooni Sihtasutus) korraldus DOS-rünnakute vältimiseks välisühendus täielikult kinni keerata, ja Telia ja RIKS peavad seda ka sellisel juhul tegema?
Kuigi küberintsidentide lahendamine on riigi vaates ära kirjeldatud ning käsuahel paigas, ei ole kehtiva seaduse alusel RIA-l õigust anda korraldusi eraõiguslikele asutustele, sh välisühenduste piiramiseks ega sulgemiseks, välja arvatud eriolukorras, mille kuulutab hädaolukorra seaduse järgi välja vabariigi valitsus.
Kuna küberintsidendid eskaleeruvad väga kiiresti ja nende tõrjumisel tuleb operatiivselt tegutseda, on kirjeldatud õigused kavas anda erandolukordades RIA-le menetluses oleva küberseadusega, mis on hetkel ministeeriumitevahelises kooskõlastusringis. Üha kasvavad ründed näitavad, et taolise pädevuse andmine on vältimatu.
Kuidas muutuks see koordineerimine siis, kui tegemist oleks osaga hübriidrünnakust?
Hübriidrünnaku puhul on väga raske varajases faasis hinnata, kas tegemist on tsiviil- või sõjalise konfliktiga, ent kehtiva riigikaitse käsitluse kohaselt vastutab iga asutus ise oma pädevuse piires konkreetsete kaasuste lahendamise eest. Sama põhimõte kehtib ka hädaolukorra seaduse alusel.
Kes kaitseb näiteks Eesti Energia elektrijaamu rünnakute tõrjel siis, kui nende enda IT-üksus sellega enam hakkama ei saa?
Kuigi seadus näeb ette, et elutähtsa teenuse osutaja peab tagama enda süsteemide turvalisuse, saab ettevõte vajadusel pöörduda oma siseste protsesside toetamiseks ja abi saamiseks RIA poole. Meil on omakorda võimalus kaasata elutähtsa teenuse toetamiseks Kaitseliidu küberkaitseüksust.
-Kas Eestis korraldatakse aeg-ajalt suuremahulisi küberkaitseharjutusi?
Eestis korraldatakse erinevaid riigisiseseid ja rahvusvahelisi küberõppusi igal aastal. RIA eestvedamisel ning osalusel toimus näiteks mullu kümmekond sellist õppust, sel aastal on plaanis korraldada ja osaleda vähemalt samal hulgal õppustel. Märkimist väärivad kindlasti üleeuroopaline küberõppus Cyber Europe ja NATO küberõppus Cyber Coalition. Teiste hulgas on ka erinevad asutustevahelised ja elutähtsate teenuste osutajaid kaasavad küberõppused, samuti on küberkomponent saanud lahutamatuks osaks muudes laiemaid stsenaariume läbi harjutavates õppustes.
Maarja Naagel
NATO Küberkaitsekoostöö Keskuse teadur
Viimaste aastate suuremate küberintsidentide nagu WannaCry ja NotPetya lunavara juhtumid või katsed mõjutada kübervahendite abil USA ja Prantsusmaa valimistulemusi on olnud paljudele riikidele äratuskellaks, et asuda tõsisemalt tegutsema ulatusliku mõjuga küberintsidentide ennetamise ja lahendamise valmisoleku parandamisega.
Rahvusvahelise õiguse seisukohast on oluline, et mitmed riigid on oma tehniliste ja luureallikate põhjal avalikult välja öelnud, et nende intsidentide taga olid konkreetsed riigid. USA omistas WannaCry pahavara Põhja-Koreale. NotPetya pahavara on nii USA kui UK omistanud Venemaale. Mainitud valimistesse sekkumised on samuti omistatud Venemaale. Sellised avalikud väljaütlemised saadavad selge sõnumi, et arusaamine, et internetis võib anonüümsena ja jälgi jätmata teisi riike kahjustavaid teguseid toime panna, on sügavalt ekslik.
Valimistesse sekkumise katsed näitavad ilmekalt, et kübervahendite kasutamine ei ole Venemaa jaoks eesmärk omaette, vaid need on osa mõjutusvahendite arsenalist. Tegu on järjekordse näitega paljuräägitud hübriidkonfliktist, kus kombineerituna kasutatakse küber-, infosõja ja diplomaatilisi vahendeid ning taamal toimuvad jõudemonstratsioonid konventsionaalsete sõjaliste võimetega (suured sõjalised õppused, sõjalised konfliktid Ida-Ukrainas ja Süürias).
Venemaa tunneb end mugavalt tegutsedes hallis alas ja teeb ise segadust luues palju selleks, et hall ala oleks võimalikult lai. NATO ja selle liikmeriikide ülesanne on selgust luua, näiteks selgitades, mida rahvusvaheline õigus selliste ja võimalike suuremate sekkumiste kohta ütleb. See on ka põhjus, miks NATO on riigi- ja valitsusjuhtide tippkohtumise tasemel väga selgelt välja öelnud, et küberrünne võib kaasa tuua artikkel 5 rakendamise ja samuti, et NATO kaitseb end ka küberruumis samaväärselt nagu maal, õhus ja merel. Sellele lisaks on NATOs ja liikmesriikides käimas praktilised tegevused küberkaitse võimekuse arendamiseks ja tagamiseks. Muuhulgas otsustati eelmisel NATO kaitseministrite kohtumisel asutada NATO küberoperatsioonide keskus. Eespool kirjeldatud intsidentide avalik omistamine on samuti hea näide selguse loomisest.
Venemaa-taolise vastase juures on oluline lasta end mitte eksitada mõttega, et kübervõimed ja hübriidkonflikt vastanduvad konventsionaalsele konfliktile. Uute ohtude teadvustamise ja nende vastu valmisoleku edendamise juures ei tohi konventsionaalset kaitsevõimet unarusse jätta. Vastane, kes soovib oma mõjuvõimu teiste üle kehtestada ja laiendada, teeb seda kõigi talle kättesaadavate viisidega. Hübriidkonflikti olemus seisnebki kõigi vahendite, nii sõjaliste kui mittesõjaliste kasutamises kombineerituna.
Küberruumi puudutava rahvusvahelise õiguse osas on riikidele heaks abivahendiks Tallinna käsiraamat (Tallinn Manual 2.0), mille on koostanud grupp rahvusvahelise õiguse eksperte. See ei esinda NATO ega ühegi riigi seisukohti, vaid on grupi rahvusvahelise õiguse praktikute ja akadeemikute sõltumatu vaade sellele, kuidas olemasolevad rahvusvahelise õiguse normid küberruumis kohalduvad. Selle analüüsi abil saavad riikide õigusnõunikud, kes oma poliitilisi juhte seisukohtade kujundamisel nõustavad, anda paremini informeeritud nõu. Samuti tuuakse käsiraamatus välja kitsaskohad, kus riigid oma praktikaga õigust edasi arendada saavad. Nagu intsidentide rohkus näitab, siis praktikast puudust ei ole.
Microsofti algatus nn Genfi digikonventsiooniks ja põhjendused näidetega elust enesest on igati mõistetavad. Tänast rahvusvaheliste suhete reaalsust vaadates on siiski ebarealistlik, et riikidel oleks lähiajal poliitilist valmisolekut uutes õiguslikult siduvates normides kokku leppida. Seda näitab juba ainuüksi asjaolu, et jutt käib väga erinevatest kontseptsioonidest – küberkaitse lääneriikide poolt ja infojulgeolek Venemaa ja Hiina poolt. Küll aga tuleb nn pehmemates formaatides tegevust jätkata, et leida ühisosa vähem vastuolulistes teemades.