Raul Rikk: kuidas vältida küberrünnakuid

Kübermuukimine on igapäevane nähtus. Võime ette kujutada olukorda, kus korterite lukke käiakse iga minut lõgistamas, kas saab lahti või mitte. Ja päev-päevalt lähevad muuk­võtmed paremaks ning kotid vara äravedamiseks suuremaks. Selleks et sissetungimist vältida ja oma vara kaitsta, on vaja tõhusaid lukke ning nende pidevat uuendamist. Vahel ei aita ka parim võimalik lukk, sest ründaja tuleb kuvaldaga ja peksab ukse maha.

Küberturvalisus on oma olemuselt infotehnoloogiliste riskide haldamise küsimus. See tähendab, et tuleb mõelda, mis kõik võib meie süsteeme ja seadmeid kahjustada, ning seejärel võtta kasutusele meetmed nende riskide maandamiseks. Küberturbe ohtude palett on väga lai. Sellele mahuvad nii laiatarbeviirused, mis ohustavad kõiki süsteeme, kuritegelikud häkkimised, spetsiaalselt planeeritud rünnakud kui ka loodusmõjud.

Infosüsteemide kaitsmine kõikide võimalike ohtude eest pole aga praktikas võimalik. See on lihtsalt liiga kallis. Küberturvalisusele tehtavad kulud ei saa ületada infosüsteemi pakutava väärtuse maksumust. Tegelikkuses on vaja hoida küberturbe kulud võimalikud väikesena, et süsteemi kasulikkus oleks maksimaalselt suur. Aga kuskil on loomulikult küberturbe kulutuste miinimum, millest alla ei saa minna. Seetõttu on infosüsteemide turbe planeerimise üks suuremaid väljakutseid leida optimaalne kulutuste tase. Laias laastus peetakse maailmapraktikas mõistlikuks kuluks 10–15 protsenti infosüsteemi maksumusest.

Infosüsteemide kaitsmine kõikide võimalike ohtude eest pole aga praktikas võimalik. See on lihtsalt liiga kallis.

Olulisemaid süsteeme kaitstakse kõrgemal tasemel kui tavalisi süsteeme. On ilmselge, et riigisaladuste kaitse peab olema tagatud kõrgemal tasemel kui igapäevase väheväärtusliku info kaitse. Samuti peab olema nt e-valimiste infosüsteem kaitstud kõrgemal tasemel kui mõni tavaline veebileht. See tähendab, et selliste kõrgetasemeliste süsteemide küberturvalisus on tublisti kallim. Kallim küberturvalisus on antud juhul põhjendatud, kuid paljude teiste süsteemide puhul ei ole. On valiku küsimus, millisel tasemel infosüsteemi kaitse on optimaalne.

Peame harjuma mõttega, et digiühiskonnas on küberintsidendid vältimatud. Olukorda võiks võrrelda liiklussüsteemi ja -õnnetustega.­ Meil on olemas kõik tehnoloogilised võimalused, et liiklusõnnetusi ära hoida, kuid me ei tee seda. Kulutus oleks ebaproportsionaalselt suur. Selle asemel oleme välja arendanud võime kiirelt reageerida ning arstiabi osutada.

Meil on politsei, kiirabi, valvearstid, haiglad, kindlustussüsteem jne. Digiühiskonna intsidentide lahendamiseks vajame samuti analoogseid reageerivaid võimeid. Turbemeetmete edukust ei tuleks mõõta ainult intsidendi mittejuhtumise kaudu, vaid ka reageerimise kiiruse kaudu.

Digiorganismi viiruste ennetamine on parem kui tagajärgedega tegelemine. Covid-19 puhul oleme kogenud, et elementaarne hügieen on lõppkokkuvõttes haiguse ravimisest odavam. Elementaarsed meetmed, nagu käte pesemine, vahe hoidmine ja teatud juhtudel maski kasutamine, aitavad suuremaid mõjusid ära hoida. Digiorganismi puhul on sama lugu. Ennetavate meetmete rakendamine kõrgel tasemel on kindlasti mõjusam kui intsidentide ja kriiside lahendamine. See aga tähendab, et küberohte mõistetakse ning ollakse valmis tegema elementaarseid kulutusi. Kokkuhoid, kiirustamine ja meetmete rakendamise edasilükkamine maksab varem või hiljem valusalt kätte.

Kuidas paremini tagada riigi küberturvalisust? Toon välja kolm olulisemat meedet. Esiteks tuleb olukorrateadlikkust suurendada. Selleks et mõista Eesti küberturvalisust mõjutavaid tegureid, tuleb senisest suuremat tähelepanu pöörata digitaalsete trendide analüüsile ja küberriskide seirele. Uued tehnoloogiad toovad kaasa uusi ohte pilveandmetöötluses, tehisintellekti lahendustes, robootikas ja paljudes muudes valdkondades. Samuti on ründevõimekus pidevas arengus. Adekvaatse kaitse­ saab tagada ainult siis, kui mõistame oma süsteeme ja nendega seotud riske.

Teiseks tuleb mõista, et areng ja turvalisus käivad käsikäes. Ühiskondlik ootus ja heas mõttes surve digitaalse arengu jätkumisele on väga suur. See aga tähendab, et küberturbe võimekus peab arenguga kaasas käima.

Arvestades Eesti ühiskonna kõrget digitaliseerituse määra ning e-teenuste omavahelisi ristsõltuvusi, on tähtis ennetavate meetmete kasutamine kõrgel tasemel ja eri asutuste poolt ühiselt. Ennetavad meetmed on näiteks standardiseerimine, sertifitseerimine, auditeerimine, testimine, koolitamine jne. Kiiresti saab sõita ainult sellise autoga, mille pidurid on head ja turvavarustus korralik.

Ennetavate meetmete rakendamine kõrgel tasemel on ka digiorganismi puhul kindlasti mõjusam kui intsidentide ja kriiside lahendamine.

Kolmandaks tuleks rohkem konsolideerida. Riigisektoris on küberturvalisuse tagamine detsentraliseeritud funktsioon. Iga infosüsteemi omanik vastutab turvalisuse eest ise.

See ei ole halb, kuid teeb kulutused küberturbele väga suureks. Valdkond on liikunud juba pikemat aega spetsialiseerumise poole ning kõiki vajalikke eksperte pole võimalik igal asutusel palgale võtta. Eriti veel olukorras, kus küberturbe eksperdid on globaalselt taga nõutud.

Ainuke võimalus, kuidas sellises olukorras hakkama saada, on infosüsteemide halduse ja küberturvalisuse tagamise praegusest suurem konsolideerimine. Parem on omada korralikku Mercedest, millel on sensorid, turvapadjad ja eelhoiatussüsteemid, kui kümmet Ladat.

Kokkuvõtlikult võib öelda, et kuna digitaalsed süsteemid on pidevas arengus, tuleb ka küberturbe meetmeid pidevalt kaasajastada. See, mis oli otstarbekas eile, ei ole seda enam täna, ning mis on adekvaatne täna, pole seda enam homme.

Kõiki neid aspekte ja veel palju muud võtame arvesse uue digiühiskonna arengukava koostamisel, mille osaks on küberturvalisuse strateegia. Arengukava valmib 2021. aasta alguses.