september 19, 2013

Küberturvalisus ja rõuged

Ebaturvalisus digivallas on probleem, mille suudame lahendada.

Kuue aasta eest, pärast Eestit 2007. aastal tabanud küberrünnakuid,  otsustas meie valitsus asuda maailmale tutvustama küberohtusid. 2008. aastal vastu võetud Eesti küberjulgeoleku strateegia seadis eesmärgiks „tõsta rahvusvahelist küberjulgeolekualast teadlikkust“.
Tänaseks on see eesmärk täidetud enam kui mitmekordselt. Küberjulgeolek ei ole enam nišiteema, mille poliitilised otsuselangetajad on mõistnud virelema nohikute tagakambrisse. Alates 2007. aastast on terves maailmas kirjutatud ja vastu võetud kümneid ning kümneid küberjulgeolekut käsitlevaid riiklikke strateegiaid. Valitsused on palganud tuhandete kaupa kübereksperte ja praeguseks on peamine mure juba see, et on raske leida värbamiseks sobilikke häid spetsialiste.
Selle suure nõudluse rahuldamiseks on õide puhkenud terve mastaapne majandusharu. Ja see majandusharu on globaalsete mõõtmetega. Ainuüksi Suurbritannia eksportis eelmisel aastal küberjulgeolekuga seotud tooteid ning teenuseid 800 miljoni naelsterlingi (ligi 955 miljonit eurot) eest. Ning hinnangute kohaselt küündib küberrünnakute maailmamajandusele tekitatud kahju aastas 100 miljardist USA dollarist (konservatiivne hinnang) rohkem kui ühe triljoni dollarini, mis omakorda võrdub ligikaudu 1,5 protsendiga globaalsest SKTst.1
Vanad „uued ohud“
Kogu sellele pulbitsemisele vaatamata annab küberohte ja -konflikte puudutavates avalikes debattides enamasti tooni pessimism ja vääramatusetunne. Üldlevinud suhtumise võttis ehk kõige paremini kokku ühe California firma IT-turvaspetsialist: „Ma tean, et keegi valmistub rünnakuks. Ja mingil hetkel see keegi ka ründab mind. See on vältimatu.“2 Küberohtude tavapärane sildistamine „uute ohtudena“ kõlab seejuures üha enam õõnsamalt. Internet ise ja häkkerlus on praeguseks juba aastakümneid vanad, isegi Eesti vastu toimunud verstaposti-mõõtu rünnetest on möödunud juba pool kümnendit.
Keset kogu kõnealust valdkonda ümbritsevat kära-müra oleks meil kasulik rahulikult vaadelda, kuidas on õnnestunud küberohte talitseda ning -ründeid ennetada. Tulemuseks on nimekiri, mis on küll ebaõnnestumistest kirju, kuid kust võib leida ka väga konkreetse loetelu edulugudest. Allpool mõned visandlikud näited.

1. Pahatahtlike mitteriiklike kübertegutsejate elu Euroopas ja Ameerikas on muutunud üsna raskeks. Häktiviste (ingl k: hacktivists) ja küberkurjategijaid vahistatakse järjepidevalt ning antakse kohtu alla. Nii ootavad praegu kohut näiteks mitmed selliste liikumiste nagu Anonymous ja Lulzsec organisaatorid. 2011. aastal toimunud Eesti politsei ja FBI ühisoperatsioon tõi enesega kaasa ajaloo seni ühe suurima küberkurjategijate vahistamislaine, mille käigus arreteeriti pahavara tootnud ettevõtte Rove Digital taga seisnud niiditõmbajad.
2. Botnettide (ingl k botnet ehk e.k robotvõrgustik tuleneb väljendist robot network) tõkestamine ja pahavaravastased kampaaniad toimivad. Praeguseks on toimunud juba mitmeid suuri operatsioone, mille käigus on likvideeritud botnette – viirusega nakatatud ja kurjategijate kontrollile allutatud arvutiparke, mida organiseeritud kuritegevus ja teised pahalased kasutavad erinevate rünnete toimepanemiseks (viimaste hulka kuuluvad ka Eestit 2007. aastal tabanud teenustõkestus ründed – ingl k:  DDoS, Distributed Denial-of-Service ).
Hiljuti korraldasid Microsoft ja FBI eduka operatsiooni, mille käigus suleti rohkem kui 500 miljoni dollarilise kogumahuga pangapettuste korraldamiseks kasutatud botnettide võrgustik.3
Lisaks tasub märkimist, et mitmed riigid on oma küberruumi puhtana hoidmises olnud algusest peale üsna edukad. Hiljutise uuringu kohaselt on Soomes, Euroopa Liidu (EL) vähimsaastunud küberruumiga riigis, pahavaraga nakatunud ainult 0,8 arvutit tuhandest, mida on kordades vähem võrreldes ELi enimsaastunud liikme Rumeeniaga (12,4 nakatunud arvutit 1000 masina kohta).4
3. Rünnakuid aitavad ennetada ka lihtsad IT-turvameetmed. Paljud kõige tõhusamad kaitsevahendid viiruste ja rünnete – nii lihtsakoeliste kui keerukate – tõrjumiseks on nii lihtsad kui ka odavad. Ka keerukaid arvutivõrke on võimalik kaitsta lihtsa ning selge turvameetmete süsteemi abil.5 Kõige elementaarsemate turvaabinõude kasutamine – viirusetõrje- ja tarkvarauuenduste reeglipärane allalaadimine – maandab rohkem kui 80 protsenti võimalikest ohtudest.6

Ülaltoodud  näited osutavad, kuidas pragmaatiline koostöö ja mõistlik töökorraldus suudavad ebaturvalisust vähendada.
Küberjulgeoleku teemadel peetavad debatid jätavad aga mulje, et meie kaasaegne ühiskond on olemuslikult haavatav. Meid veendakse, et säärased probleemid on tehnoloogia orgaaniline koostisosa, et küberruumiga kaasnev haavatavus on vältimatu lõiv, mida meil tuleb maksta infotehnoloogia viljade nautimise eest, et me peaksime otsima sellega kohanemis- ja toimetulekuviise.
Selline fatalism eirab tõsiasja, et meie võimuses on muuta küberruum senisest kaitstavamaks, kasutades paremini juba olemasolevaid võtteid ja tehnoloogilisi vahendeid.
Krüpteerimine
Õige kasutamisviisi korral on tugev krüpteering endiselt üks parimaid viise oma digiandmete kaitsmiseks. Krüpteerimine on seejuures pea iga IT-süsteemi üks põhilistest alustaladest. Ilma jõulise krüptimiseta oleksid mitmed küberrünnakute kõige äärmuslikumad tagajärjed – allakukkunud reisilennukid, õhkulennanud elektrijaamad, võltsitud pangaandmed – mitte hüpoteetilised võimalused, vaid igapäevased nähtused.
Vabalt kättesaadavad, standardite-põhised krüpteerimisalgoritmid on piisavalt tõhusad selleks, et muuta nende „lahtimurdmine“ tänapäevaste arvutitega teostamatuks. Senini on krüpteerimisalgoritmid ja -tehnoloogia suutnud püsida üks samm eespool katsetest neid lahti murda, kasutades matemaatilise arvutusvõimsuse toorest jõudu.
Haavatavuste ilmnemisel on krüpteerimist tavaliselt kas kehvasti kasutatud või pole seda üldse kasutatud. Üsna kõnekas on seejuures seik, et NSA näis eelistavat krüpteeritud andmetele ligipääsemiseks pigem arvutiprogrammidesse „tagauste“ ehitamist, tarkvara nakatamist või krüptovõtmete hankimist – ning mitte krüpteerimisalgoritmide jõuga „lahtimurdmist“.7
Krüpteerimine ja teised turvalise IT-taristu elemendid8 on alakasutatud vaatamata asjaolule, et tegemist on tehnoloogiliselt pädevate ja enamasti tasuta kättesaadavate vahenditega. Paljud eluliselt olulised IT-süsteemid on projekteeritud ilma turvalisusele tähelepanu pööramata, neist tähtsaim on seejuures internet ise. Interneti turvaprobleemide tehnoloogilised lahendused on 15–20 aastat vanad ning olid algselt disainitud, pidades silmas IP- ja DNS-protokollides esinevaid üsna lihtsaid puudusi.9 Krüpteerimist hõlmavate muudatuste sisseviimine muudaks paljud DDoS-rünnakud ja veebipettused pisimureks ja kaitseks samas elutähtsat taristut sissetungide eest – kuid sellele vaatamata on nende abinõude kasutamine endiselt osatine jalünklik.
Turvaline digiidentiteet
Kaasaegne rahvatarkus teab rääkida, et „internetis ei tea keegi, et sa oled tegelikult koer“. Identiteedivargused ja -pettused on online-elus ühed kõige levinumad nuhtlused. Aga neile on ka lihtne lõppu teha.
Kiipkaartide (ingl k­: smart card) kasutamiseks vajalikud normid, tehnoloogia ja avalik alustaristu töötati välja juba 1970ndatel ja 1980ndatel. Nende üheskoos kasutamine teeb võimalikuks krüpteeritud isikutuvastamise. Kiipkaarte kasutatakse laialdaselt seadmetes (näit mobiiltelefonide SIM-kaardid) ja pangaülekannete puhul ning neid on võimalik rakendada isikutuvastamiseks ka inimeste puhul. Aga kõigele vaatamata on selle tehnoloogia juurutamine olnud piinarikkalt aeglane.
Esimest korda kasutati kiipkaarte digitaalseks isikutuvastamiseks aastal 198710, kuid alles aastal 2002 sai Eesti esimeseks riigiks maailmas, kes võttis edukalt kasutusele üleriigilise digi-ID. Tänu Eesti riiklikule digi-ID-le on 1,2 miljonit eestlast praeguseks andnud üle 130 miljoni digiallkirja ja säästnud miljoneid tunde, mis oleks muidu veedetud notarikontoreis japostkontorites, digitaalsed identiteedivargused on Eestis peaaegu lakanud ning Eesti ID-kaart võimaldab kodanikel kindlamalt kasutada ülalmainitud krüpteerimislahendusi. Kuid alles praegu on sarnased ID-kaardid muutumas üldlevinuks suurtes organisatsioonides ja kasvavas hulgas riikides.
Küberohud ei ole mingi lahendamatu probleem. Meil on juba praegu olemas tehnoloogilised lahendused saamaks lahti paljudest üldlevinud turvamuredest küberruumis. Meil on olemas edulood, mis kinnitavad, et need meetmed on  rakendatavad nii organisatsioonilisest kui majanduslikust vaatepunktist. Kuid poliitikud ja bürokraadid, ettevõtted ja kodanikud-tarbijad ei ole lihtsalt langetanud valikuid, mis teeksid lõpu paljudele küberohtudele.
Olukord meenutab natuke Maailma Tervishoiuorganisatsiooni võitlust rõugete likvideerimise nimel. Vajalik tehnoloogia – vaktsiin – on olemas ja kasutatav. Kuid selle tegelik käikulaskmine põrkub tervele müriaadile takistustele.
Kust siis olukorra lahendamisega algust teha? Kui hakata sellele küsimusele vastama nüüd ja siinsamas, siis saaks kergesti täita terve Diplomaatia numbri leheküljed. Sestap piirdun vaid paari tagasihoidliku soovitusega.
Esiteks tuleks turvalise IT-taristu loomine muuta küberjulgeoleku tagamise keskseks meetmeks. Enamiku riikide küberstrateegiad on oma loomult reageerivad ning tegelevad peamiselt küberrünnetele vastamiseks ja sissetungide tuvastamiseks vajalike organisatsioonide ning tehniliste võimete loomisega. Kuid iga edukas küberstrateegia peab esmalt ja ennekõike pakkuma välja tee, kuidas muuta olemuslikult turvalisemaks ja paremini kaitstuks arvutivõrgud, neis toimuvad protsessid ja leiduv informatsioon.
Teiseks tuleb püüelda suuremate eesmärkide poole. Me peaksime rihtima oma sihikuid kõrgemale, mitte madalamale. Meil on juba praegu olemas tehnoloogia ja oskusteave lahendamaks paljud meid hetkel kummitavatest keerukatest kübermuredest. Meil on küllaldaselt edulugusid ja õnnestumisi, millest eeskuju võtta ja edaspidises toetuda. Selmet leppida mingi ebaturvalisuse määra olemasoluga kui antuga, võiksid poliitikakujundajad olla julged ning võtta eesmärgiks oluliselt kärpida küberhaavatavuse tiibu oma kodumaal.
Selles üleilmses protsessis on Eestil mängida oluline roll. Eesti valitud tee e-valitsuse ning küberturvalisuse osas on aidanud meil luua ka praktikas töötavad turvalised IT-taristud nagu e-ID ja X-tee. Eesti eraettevõtted on seejuures turvalise IT-taristu tekkimisse oluliselt panustanud.
Ja praegu töötab Eesti parajasti välja juba uut küberstrateegiat ning infoühiskonna arengukava. Jagades meie kogemusi ning tehnoloogiaid e-riigi vallas ning hoides omaenese küberruumi maailma kaitstumate hulgas suudab Eesti ühtlasi olla tugev panustaja maailma küberjulgeolekusse.
______
1 Turvatarkvarafirma McAFFEE uuring.
2 http://fuelfix.com/blog/2013/08/06/utility-executives-major-cyberattack-on-power-grid-is-inevitable/ 3 www.informationweek.com/security/attacks/microsoft… 4 http://blogs.technet.com/b/security/archive/2013/06/05/european-union-check-up-locations-with-lowest-infection-rates-in-the-eu-and-what-we-can-learn-from-them-2.aspx
Eesti vastavaks näitajaks on 2,3 nakatunud arvutit 1000 masina kohta, mis on lugupidamist vääriv kolmandik ülemaailmsest keskmisest – kuid arenguruumi on samas meilgi.
5 Näiteks Eestis kasutatakse ISKE nime kandvat infosüsteemide kolmeastmelist etalonturbe süsteemi. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI infoturbe standard.
6 http://www.secunia.com/vulnerability-review/time_to_patch.html 7 Krüpteeritud andmetele ligipääsemiseks näis NSA kasutavat ka pigem tarkvaramüüjatega kokkulepete sõlmimist www.nytimes.com/2013/09/06/us/nsa-foils-much-inter… .
8 See nimekiri hõlmab tavaliselt autentimist, infoterviklikkust, konfidentsiaalsust, krüpteerimist ning algu- ja tõepärasust.
9 Vastavalt IPSec and DNSSEC.
10 Türgis kasutatakse kiipkaarti juhilubade osana.