Küberjulgeolekust

Globaalset lahendust silmapiiril ei paista.

LAURI LINDSTRÖM

2010. aastal toimunud küberrünnet Iraani tuumaprogrammi aeglustamiseks peetakse küberrelva esmakordseks kasutamiseks. Tarkvara, millele uurijad andsid hiljem nimetuse Stuxnet, oli kavandatud ainult sihtmärgiks olnud tuumakütust rikastavate tsentrifuugide füüsiliseks kahjustamiseks. Kuigi hinnangud Stuxneti tekitatud purustuste ulatuse kohta lahknevad, täitis rünne oma eesmärgi vähemalt osaliselt. Stuxnet on pälvinud palju tähelepanu, tarkvara ülesehituse printsiibid ja toimemehhanismid on üldsusele enam-vähem teada. Ometigi diskussioon, kas pidada Stuxneti relvastatud jõu kasutamiseks või mitte ehk kas Iraanil olnuks õigus sõjaliseks vastuseks rahvusvahelise õiguse vaatepunktist, jätkub ka pea viis aastat pärast ründe toimumist.

Mõju saavutamiseks küberruumis ei ole vaja tingimata relvi. Möödunud aasta lõpul toimunud rünnak filmitootja Sony Pictures vastu oli olemuselt hoopis teistsugune – kasutati spioneerimist, vargust, ähvardamist jms vahendeid. Ründe lõpptulemusena pidi Sony muutma oma plaane ning lükkas ähvarduste tõttu edasi filmi esilinastuse. Esimest korda vastas USA küberründele majanduslikult ja diplomaatiliselt. Põhja-Korea vastu kehtestatud sanktsioone karmistati veelgi.

Väiksema mõjuga ründed on muutunud nii igapäevaseks, et hakkavad kaotama oma uudisväärtust. Sel aastal on vähemalt kahel korral tehtud ründeid Eesti veebilehtedele ja teostajatel paistab olevat seos islamiriigiga. Need ründed kinnitavad, et Eesti on ülemaailmse küberruumi osa ja samamoodi ohustatud – tahame seda või mitte. Ainuke, mida me rünnete puhul teha saame, on turvanõuete tõhusam järgimine või uute kehtestamine, kuid see ei hoia ära tulevasi rünnakuid ja nende tagajärgi. Samamoodi toimib enamik riike: avastatud küberründe puhul teatatakse tavaliselt vajadusest täiustada seadusi, suurendada koostööd ja kehtestada täiendavaid nõudeid.

Kaks suundumust

Optimistlikult võiks ju arvata, et kui seni on kuidagi hakkama saadud, siis küllap saab ka edaspidi. Pealegi, Stuxnetiga võrreldavaid juhtumeid, st küberrelvade kasutamist, ei ole avalikkusele teadaolevalt enam toimunud ja muu pahatahtlik tegevus küberruumis või selle kaudu ei ole ju otseselt purustav ega tappev. On siiski kaks põhjust, arvestades eriti nende võimalikku koosmõju, mis panevad arvama, et praegune olukord võib kiiresti muutuda. Esimene on seotud interneti ja küberruumi enda arenguga, mis on saanud kokkuvõtliku nimetuse – asjade internet (Internet of Things, IoT).

Teine põhjus peitub riikide ettevalmistustes küberruumi kasutamiseks sõjaliselt.

Asjade internet

Kujunev IoT iseenesest ei ole loomulikult oht. Tänapäevase 15 miljardi asemel aastaks 2020 ennustatava 40–50 miljardi võrgustatud seadmega küberruum loob kindlasti uusi kasulikke, efektiivseid ja säästlikke võimalusi. Mida see tähendab, et asjad meie ümber alates külmkapist saavad internetti ühendatud, ei oska veel keegi ennustada ega kirjeldada. IoT eestkõnelejad on väitnud, et eesootav areng muudab internetti ja selle kasutajate elu ning seega ka inimühiskonda tervikuna rohkem kui interneti areng viimase 20 aasta jooksul kokku. Planeeritavate rakenduste kõrvale tekivad täiesti uued võimalused ja lahendused koos oma julgeolekuriskidega, mida uue tehnoloogia arendajad ei suuda ette näha – nii nagu see on olnud interneti puhul ka varem.

Julgeolekuriski suurendab ainuüksi juba võrku ühendatud „asjade“ arvu kasv – võimalike sihtmärke ja kaitsmist vajavaid objekte on lihtsalt palju rohkem. Veel olulisem võib olla asjaolu, et suur osa ühendatavatest seadmetest ei ole meile tuttavad telefonid ja arvutid, vaid on mõeldud tegevuse ja protsesside vahetuks kontrollimiseks ja mõõtmiseks nii igapäevaelus kui ka tootmises. Suur osa lisanduvaid seadmeid vahetab informatsiooni automatiseeritult omavahel (machine to machine) ilma inimese sekkumiseta. Muutuda võib, ja ilmselt muutubki, käibemõiste „elutähtsad teenused“ sisu ja ulatus. Selle suures ulatuses muutuva küberruumi julgeoleku ja turvalisuse kindlustamine on tõsine ülesanne juba ainuüksi tehnilistel põhjustel.

Küberruumi kasutamine sõjaliselt

Akadeemiline diskussioon küberruumis sõjaliste eesmärkide saavutamise kohta veel kestab. Eriti küsimuses, mida täpselt ja kuidas on võimalik küberruumis või selle kaudu saavutada. Esialgne eufooria, et tulevikusõjad toimuvad eelkõige küberruumis, on küll lahtunud, kuid on tõsiasi, et paljud riigid arendavad usinalt sõjalisi kübervõimeid. Osa riike on alustanud vastavate programmidega alles hiljuti, teised aga juba kümme või rohkemgi aastat tagasi. Arendatavad sõjalised võimed ja nende tehniline tase on ilmselt väga erinevad sõltuvalt eesmärgipüstitusest ja riigi potentsiaalist. Need võimed võivad sisaldada küberrelvade arendamist, küberruumi kaitsmist, selle kasutamist info- ja mõjuoperatsioonideks ning kõike muud, mis jääb sinna vahele või kõrvale. Kõigil sõjalistel programmidel on ühine tunnusjoon – tegemist on salastatud projektidega, mille kohta ei vahetata infot isegi lähedaste liitlastega.

Nii nagu IoT saab tegelikkuseks kavakindla tegevuse kaudu, teostatakse ka sõjalisi projekte eesmärgiga uurida küberruumi haavatavust ja selle kasutamist riigi poliitiliste, sõjaliste ja majanduslike huvide edendamiseks küberruumis. Kümnete, kuid ilmselt sadade tuhandete inimeste järjepidev koordineeritud töö, riigi rahastatud ning korraldatud õppe-, teadus- ja treeningtegevus toob varem või hiljem kaasa uue kvaliteedi nii küberrünnete kui ka küberkaitse vahendite ja meetodite osas. Paraku võivad omandatud teadmised levida kontrollimatult. Probleem poleks võib-olla nii terav, kui küberrelvad ja nende kasutamine oleksid sama kontrollitavad nagu tavalised relvad (MH17 on siin kurvaks erandiks). Toimib must turg avastatud, kuid veel mitte üldiselt teadaolevate küberhaavatavuste vahendamiseks kellele iganes, sama võib peagi juhtuda ka küberrelvadega. Küberrelvastatud äärmuslikud liikumised tähendaksid aga juba palju tõsisemaid tagajärgi kui praegused veebilehtede häkkimised.

Ülemaailmne probleem, millele lahendust ei paista

Kui hinnata leebelt, siis võib nentida, et rahvusvaheline koostöö küberjulgeoleku tagamiseks on toonud vähe tulemusi. Hoolimata sellest et küberjulgeolek on olnud kuum teema paljudele organisatsioonidele, seda on arutatud lugematutel nõupidamistel ja kohtumistel. OSCE saab saavutusena küll ette näidata Budapesti konventsiooni, kuid selles käsitletakse vaid küberkuritegevust. Interneti toimimise tagamine ja tehniliste arenguvõimaluste loomine on teine ühisosa, milles kokkulepped on olnud võimalikud. Laiemas küberjulgeolekus ei ole suudetud kokku leppida – justkui ei olekski tegemist globaalprobleemiga. Eelnev ei ole mõeldud kriitikana, vaid pigem tõdemusena. Riikide strateegilised huvid ja eesmärgid on sedavõrd erinevad, et küberjulgeoleku küsimuste lahendamine tundub olevat kauge teema. Teisisõnu tähendab see status quo jätkumist ehk määramatust.

Eesti edulugu

Eesti on IT-lahenduste kasutuselevõtus olnud kahtlemata uuenduslik, omanäoline ja julge. Nii mõneski riigis on julgeoleku ja turvalisuse küsimuste valulävi olnud kõrgemal ja see on takistanud õppimast meie edusammudest.

Panused kasvavad, ilmselt ei ole tulevikku silmas pidades mõistlik enam seada eesmärgiks lihtsalt kohta esimeste seas uute rakenduste kasutuselevõtu arvus. Pigem tuleb uusi lahendusi juurutada targalt ja selle üks oluline osa on julgeolek ja turvalisus.

Eesti küberjulgeolekustrateegias märgitakse: „Elutähtsate teenuste puhul on tekkinud infotehnoloogilised ristsõltuvused selliste teenuste vahel, mille tagamine ei sõltu vaid Eestis paiknevates osapooltest, vaid mille tagamine ületab ka riigipiire. Teenuste või selle osade üle, mida osutatakse väljaspool Eesti Vabariiki, puudub Eesti riigil efektiivne järelevalvevõimalus.“ („Küberjulgeoleku strateegia 2014–2017“, lk 5–6.). Eesti ei saa küberrünnakuid ära hoida, kuid mõistlik ja läbikaalutud tegutsemine aitab olukorda osaliselt kontrollida, kujundada tegevuskeskkonda.

2012. aastal USA kaitseministeeriumi tellimusel koostatud põhjalikus uuringus sedastatakse, et küberruumiga seotud lahenduste turvalisust ei ole võimalik sajaprotsendiliselt tagada. Seetõttu tehakse ettepanek osa riigi strateegiliste võimete (nt tuumarelvastus) eraldamiseks küberruumist nii palju, kui on võimalik, isegi siis, kui see vähendab funktsionaalsust. Sõnum on selge: kuskil on IT-lahendustest sõltuvuse talumisel kriitiline piir, mida üldist julgeolekut silmas pidades ületada ei tohi.

Piiri leidmine ja tajumine ei ole uute avanevate võimaluste maailmas üldsegi lihtne, otsima seda aga peab. Kuid erinevalt küberhügieenist ja -turvalisusest jääb siin peaosa riigile. Kui küberjulgeolek on osa riigi julgeolekust, siis on oluline ka riigi vastutus ja juhtroll. Riik kehtestab mängureeglid. Asjaolu, et taristu ja teenuseosutajad ei ole riigi omanduses, ei ole pädev argument. Samasugune on ju olukord ka õhu-ja mereliikluse korraldamisel. Tõsi, küberruumil on oma spetsiifika, kuid kas see ruum on vähem tähtis?

Kui sulle meeldis see postitus jaga seda oma sõpradega

[LoginRadius_Share]

Leia veel huvitavat lugemist

Värske Rõhk
Hea laps
LR
Keel ja kirjandus
Akadeemia
Kunstel
Muusika
Õpetajate leht
Täheke
TeaterMuusikaKino
Vikerkaar
Looming