Jäta menüü vahele
Nr 85 • September 2010

Valmistumine kübersõjaks

Küberkaitsjad ei kohta üht ja sama rünnakut kunagi kaks korda ning küberruumi hoomamatu iseloom muudab isegi võidu, kaotuse ja lahinguohvrite väljaselgitamise äärmiselt subjektiivseks.

Kenneth Geers
Kenneth Geers

sõltumatu küberekspert (NATO CCD COE, Atlandi Nõukogu)

Paljud riikliku julgeolekuga tegelevad inimesed usuvad, et küberterrorismi ja kübersõja ajajärk on peagi käes. Võimalike sihtmärkide nimekiri tundub pikenevat iga päevaga: elektrivõrk,1 veevõrk, lennukontroll, börsid,2 riiklik valimiskomisjon3 ja nii edasi. Kuid see, mil määral küberrünnakud võivad kujutada endast tegelikku ohtu riiklikule julgeolekule, on endiselt lahtine. Asjatundjate arvamused ulatuvad äärmiselt leebetest4 apokalüptilisteni5.

Me teame, et infotehnoloogias (IT) leidub muret tekitavaid suundumusi. Elulise tähtsusega riiklik infrastruktuur on üha enam seotud internetiga. Samal ajal asendatakse nende kohandatud IT-süsteemid, mis osaliselt on loodud juba 1950.-1960. aastatel, odavama, kohe kättesaadava ja internetiga ühendumise võimalustega Windowsi ja UNIXi süsteemidega, mis on ühtaegu lihtsamad kasutada kui ka lihtsamini sissemurtavad. Vanemad süsteemid on suhteliselt turvalisemad, sest süsteemivälised isikud ei mõista neid kuigi hästi ning neil on äärmiselt vähe ühendusteid muude arvutisüsteemidega.

Riikliku julgeoleku planeerijatele on hädavajalik tunda küberrünnakute ohte. Leidub mõningaid tegelikkusest võetud näidisjuhtumeid,6 kuid suur osa teabest ei ole avalikkusele kättesaadav, internetivõimekusega sõjavägede vahel ei ole puhkenud sõda ning paljude organisatsioonide soovimatus tegelda oma küberturvalisusega tekitab tõsist muret. Heites pilgu tulevikku, võib näha, et sõjalised planeerijad peavad simuleerima küberrünnakuid ning testima küberkaitset turvalises laborikeskkonnas, mis ei ähvarda tegutsevate võrkude tööd.

Seepärast on selge, et vaja läheb küberkaitseõppusi (cyber defense exercise, CDX). IT ja küberhäkkimise keerulise ning pidevalt muutuva iseloomu tõttu on realistliku CDXi korraldamine üüratu ettevõtmine ning võib anda loodetud tulemusi ainult lühikese aja jooksul. Maailm elab kiires arvutiseadmete, töötlemisvõimsuse, kasutajasõbralike häkkeri tööriistade, praktilise krüptimise ning veebivõimekusega luurelahenduste saabumise ajastus. Samas nõuab CDX mitte ainult vastase ja liitlaste jõudude, vaid ka lahinguvälja enese simuleerimist.

Sõjalised planeerijad peavad simuleerima küberrünnakuid ning testima küberkaitset turvalises laborikeskkonnas, mis ei ähvarda tegutsevate võrkude tööd.

2010. aasta mais korraldasid Tallinnas tegutsev Kooperatiivne Kübekaitse Kompetentsikeskus (CCD CoE), Rootsi riiklik kaitsekolledž (Swedish National Defence College, SNDC), Rootsi Kaitseuuringute Amet (Totalforsvarets forskningsinstitut, FOI) ja Eesti Küberkaitseliit rahvusvahelise “reaalajas” küberkaitseõppuse nimetusega “Balti küberkilp” (“Baltic Cyber Shield”, BCS). Projekti juhiks oli CCD CoE arvutiteadlane Kaur Kasak.

Kahe päeva vältel kaitsesid kuus Põhja-Euroopa valitsuste, sõjavägede ja teadusasutuste “sinist” meeskonda kujuteldavat energiatootmisettevõtet vaenulike arvutihäkkerite kahekümne “punase” meeskonna eest. Stsenaarium nägi ette muutlikku geopoliitilist keskkonda, milles palgatud kiirreageerimismeeskond, mis koosnes võrguturvalisusega tegelevatest inimestest, kaitses kriitilise teabe infrastruktuuri (critical information infrastructure, CII) küberrünnakute eest, mille oli algatanud mitteriiklik terrorirühmitus.7

BCS 2010 oli hiiglaslik üritus, mis nõudis veavaba, meeskonnatööd eeldatavat lähenemist. Selle raames loodi sõbralikud jõud (“sinised”), vaenulikud jõud (“punased”), tehniline infrastruktuur (“rohelised”) ja juhtkond (“valged”). “Siniste” sekka kuulusid ka tegelikkuses süsteemiadministraatoritena ja arvutiturbega tegelevad isikud. Nende eesmärk oli kaitsta oma arvutivõrkude usaldusväärsust, terviklikkust ja kättesaadavust vaenulike “punaste” rünnakute ajal. “Punased” etendasid   küberründajate ehk BCS 2010 puhul “küberterroristide” osa. “Punaste” siht oli nõrgestada “siniste” võrke mitmesuguste häkkimistööriistade ja -taktika abil.

Kübersõda erineb tunduvalt tavapärasest sõjast. Taktikaline võit selles tähendab elektroonilisteandmeühikute ehk ühtede ja nullide ümberpaigutamist arvuti sees. Selle järel peab ründaja ootama ja jälgima, kas see toob kaasa midagi ka tegelikus elus. Küberrünnakut ei tuleks võtta niivõrd omaette eesmärgina, kuivõrd erakorralise meetmena mitmesuguste eesmärkide saavutamiseks: spionaaž,8 teenuste tõkestamine,9 identiteedivargus,10 propaganda11 või ka kriitilise tähtsusega infrastruktuuri hävitamine.12

CDXi peamine eesmärk oli usaldusväärselt matkida arvutivõrgu ründamist ja kaitsmist. Taktikalisel tasandil olid “punastel” samasugused eesmärgid nagu igal tegelikul häkkeril ehk teisisõnu volitamata ligipääsu hankimine sihtvõrgus.13 Kui häkker suudab süsteemis saada endale administraatori õigused, võib ta paigaldada sinna kuritahtliku tarkvara ning kõrvaldada samal ajal kõik jäljed oma tegevuse kohta. Hilisemad sammud, mis võivad toetada teatavaid poliitilisi või sõjalisi eesmärke, ulatuvad pisihäiretest riikliku julgeoleku kriisiolukorrani.

Küberrünnakut ei tuleks võtta niivõrd omaette eesmärgina, kuivõrd erakorralise meetmena mitmesuguste eesmärkide saavutamiseks.

CDXi stsenaariumist on kasu õppuse üldise strateegilise tähtsuse väljaselgitamisel. Korralikult välja töötatud stsenaarium peab korrektselt hindama teoreetiliseks rünnakuks vajalikke ressursse ja umbkaudset maksumust. See omakorda aitab riikliku julgeoleku planeerijatel aru saada, milline üksikisik, rühm või riik on selleks võimeline. Nii on seniajani raske ette kujutada, et üksik häkker suudaks tõsiselt ohustada mõne riigi valitsust.14 Tulevased küberrünnakud võivad muidugi selles osas korrektiive teha.

BCS 2010 ette seati kolm tähtsamat eesmärki, mis CCD CoE, SNDC ja FOI arvates ka täideti.

Esiteks pidid “sinised” CDXi käigus saama reaalajas kogemuse, kuidas kaitsta arvutivõrke, mis hoiavad üleval kriitilise teabe infrastruktuuri ning juht- ja andmehõivesüsteeme (SCADA), reaalajas rünnakute ajal. “Balti küberkilbi” võrguinfrastruktuur ei olnud just veatu, kuid siiski piisavalt töökindel kõigile osalevatele meeskondadele, et nad saaksid kahe päeva kestel viimistleda oma oskusi. Maasoleku aeg jäi väga väikeseks. Nii “sinised” kui ka “punased” võisid teatada edusammudest ning BCS 2010 ründamis- ja kaitsestrateegia analüüs käib seniajani.

Teiseks püüdis BCSi stsenaarium heita valgust küberruumi rahvusvahelisele iseloomule ning tuua esile poliitilised, institutsionaalsed ja juriidilised tõkked, mis takistavad küberkaitsekoostöö süvendamist. Küberrünnakuid võidakse alustada kust tahes ning enne sihtmärgini jõudmist läbivad need tõenäoliselt üsna mitmeid riike. Lühidalt öeldes peidavad häkkerid ennast interneti labürinditaolise ülesehituse taha. Seepärast on äärmiselt oluline, et võrguturvalisusega tegelevad isikud saaksid juba enne rahvusvahelise kriisi puhkemist luua piiriüleseid sidemeid. BCS 2010 osavõtjate seas oli üle saja inimese seitsmest riigist ning selle vältel loodi või tugevdati paljusid rahvusvahelisi koostöösidemeid.

Vanemad infosüsteemid on suhteliselt turvalisemad, sest süsteemivälised isikud ei mõista neid kuigi hästi ning neil on äärmiselt vähe ühendusteid muude arvutisüsteemidega.

BCS 2010 kolmas eesmärk oli tagada maailma teistele küberkaitseuurijatele valmismaterjal, mis aitaks edaspidiseid CDXe veel paremaks muuta. “Valged” korraldasid seepärast õppusejärgselt osalejate seas küsitluse, mis andis väga palju mõtlemisainest meeskondade koosseisu, õigusabi, tehniliste lahenduste, juhtkonna abistava tegevuse ja veel palju muu osas.

Lõpuks võib veidi filosoofilisemal lainel märkida, et BCS 2010 näitas lisaks kõigele, et paljud korraliku CDXi käigus tekkivad probleemid sarnanevad äravahetamiseni probleemidega, mis tekivad tegelikus maailmas nii IT kui ka küberjulgeolekuga tegelemisel. Küberruum on keeruline, paljutahkne, dünaamiline ja kiiresti arenev. Õieti ei kohta küberkaitsjad üht ja sama rünnakut kunagi kaks korda ning küberruumi hoomamatu iseloom muudab isegi võidu, kaotuse ja lahinguohvrite väljaselgitamise äärmiselt subjektiivseks. Uskuge või mitte, omaette kunst on juba teada saada, kas keegi on üldse sattunud küberrünnaku alla.

Inglise keelest eesti keelde ümber pannud Marek Laane

Viited
  1. Elektrioht tähendab kõike elektriga seonduvat, sealhulgas arvutisüsteeme. 2009. aasta mais märkis president Obama, et “küberrünnakud on surunud terved linnad pimedusse”, viidates väidetavalt ulatuslikele anonüümsetele rünnakutele Brasiilias (CBS 2009).
  2. Pärast seda, kui Dow Jonesi indeks langes 2010. aasta mais üllatuslikult peaaegu 1000 punkti, sõnas Valge Maja nõunik John Brennan, et ametnikud pidasid seda tahtlikuks küberrünnakuks, kuid ei leidnud piisavalt tõendeid (Wagner 2010).
  3. 2007. aastal peeti Californias kohtuistung, kus kohtupingi ees seisid valimisametnikud, kes pidid vastama küsimusele, kas häkkerid on suutnud kuidagi rikkuda puuteekraaniga hääletamisaparaatide süsteemi. Süsteemi tootja vaidlustas testide korrektsuse, kuid süsteemi testründajate meeskonna juht kinnitas, et hääletamissüsteemi võivad häirida mitmed väga kiiresti ette võetavad rünnakud (Orr 2007).
  4. Kõikehõlmavas kübersõjas kahtlejate hulka kuuluvad teiste seas Cambridge’i ülikooli professor Ross Anderson, Wiredi “Threat Leveli” toimetaja Kevin Poulsen ja Foreign Policy toimetaja Evgeny Morozov.
  5. 2010. aasta algul kinnitas USA endine luurejuht Michael McDonnell vande all, et USA “kaotaks” tänasel päeval kübersõja ja et arvatavasti oleks vaja “katastroofilist sündmust”, enne kui interneti turvamiseks võetakse kasutusele vajalikud meetmed (Bliss 2010).
  6. Käesoleva artikli autor on pööranud erilist tähelepanu Tšetšeeniale, Kosovole, Iisraelile, Hiinale ja Eestile (Geers 2008).
  7. James Lewis CSISst märkis hiljuti: “See, et [terroristid] ei ole alustanud küberrünnakut, on huvipakkuv ja intrigeeriv. See võib tähendada võimekuse puudumist, arusaama, et küberrelvad ei taga terroristidele soovitud vägivaldset tulemust, või ka tegelemist muude asjadega. Lõppude lõpuks võtavad terroristid küberrünnakud kasutusele, kui nende algatamine muutub hõlpsamaks.” (Lewis 2010).
  8. Seni kuulsaim näide on GhostNet, mida uuris põhjalikult Information Warfare Monitor ja milles küberluurevõrk, mis koosnes enam kui 1000st üle võetud arvutist 103 riigis, jälgis diplomaatilist, poliitilist, majanduslikku ja sõjalist informatsiooni (Tracking GhostNet 2009).
  9. Sisemaise poliitilise kriisi ajal suutsid häkkerid kogu Kõrgõzstani interneti rivist välja lüüa (Keizer 2009).
  10. Ameeriklaste identiteeti ja tarkvara kasutati väidetavalt Gruusia valitsuse veebisaitide ründamisel Venemaa sõjas Gruusia vastu 2008. aastal (Gorman 2009).
  11. Veebi algusaegadest saadik on tšetšeeni sissid näidanud, et mõistavad suurepäraselt internetis tehtava propaganda tähtsust (Goble 1999). Mõneti kergekaalulisema näitena lisas üks häkker mitu libaartiklit väljaande USA Today veebileheküljele. Ühes neist väideti: “Täna tegi George W. Bush ettepaneku luua… propaganda ja rahvahariduse ministri ametikoht… Kui see heaks kiidetakse, kavatseb Bush sellesse ametisse määrata dr Joseph Goebbelsi.” (USA Today Website Hacked 2002).
  12. Sisejulgeoleku ministeeriumi (DHS) ametnikud kinnitasid CNNile, et Idaho riikliku labori (INL) teadlased murdsid sisse elektrijaama juhtimissüsteemi mudelisse ning muutsid generaatori töötsüklit, mis põhjustas selle enesehävitamise (Meserve 2007).
  13. On ka erandeid, näiteks teenuse tõkestamise rünnakud, mille peamine eesmärk on tekitada süsteemile ülekoormus liigsete andmetega.
  14. Siiski on ka mõningate häkkerite saavutused lausa hämmastavad. 2001. aastal suutis mafiaboy, 15-aastane Montreali poiss, tõkestada mõningate maailma suurimate internetiettevõtete teenuste kasutamise, mis põhjustas umbkaudu 1,7 miljardit dollarit kahju (Verton 2002).

Seotud artiklid