Kaimar Karu: küberturbeteatri kordusetendus

Meil puudub positsioon dikteerimaks rahvusvaheliste suurettevõtete küberturbe poliitikat – potentsiaalne siseriiklik sõnumivahetusrakenduste tagaukse nõue põrkub muuhulgas rahvusvahelistele ärihuvidele ning kaotajaks jääme meie, kirjutab Kaimar Karu.
Aastate jooksul on küberturbe valdkonnas juurdunud mitmeid teoreetilisi meetodeid ning praktikaid, mis näivad otsustajatele ja rahastajatele nii plaanides kui ka lõpparuannetes mõistlikuna, kuid reaalsuses tulemusi ei too.
Tihti on nende lähenemiste taga inimlik soov leida olulistele keerukatele küsimustele lihtsaid vastuseid, mida omakorda toidab lõputu võrgutavalt lihtsate näiliste lahenduste turg.
Alusetud, kuid öise une kvaliteeti oluliselt parandavad uskumused polekski probleemiks – kes meist ei eelistaks väljapuhanud ning rahulolevat juhtkonda lühikese sütikuga ja toriseva asemel –, kui nende põhjal otsuste tegemine oodatule vastupidiselt ei mõjuks, negatiivseid kõrvalmõjusid ei tooks ning tehnoloogilist võlga ei kasvataks.
Kiirteena näivaid ebalahendusi tuleb aga juurde igapäevaselt ning nende püünisesse langemise vältimiseks tuleb ohtusid teadvustada ja lähenemisi kohendada.
Krüptograafia ja küberkaitsevõime
Oma igapäevatoimingutes toetume üha enam digitaalsetele lahendustele. Nii eraisiku heaolu, ettevõtete jätkusuutlikkuse kui ka riigi toimimise seisukohalt on nende lahenduste turvalisus kriitilise tähtsusega.
Digitaalset vara – andmeid – peab kaitsma sarnaselt füüsilisele varale, sest nende valedesse kätesse sattumine võib tuua kaasa olulist kahju ja seada ohtu inimelud.
Üheks laialt levinud lahenduseks digitaalset vara võõrastesse kätesse sattumise eest kaitsta, on andmete krüpteerimine, mis muudab need huvitatud, kuid mittelubatud kolmandatele osapooltele loetamatuks. Muuhulgas on rakendusliku krüptograafia asjatundlik ärakasutamine ka meie ID-kaardi taristu ning digiallkirja turvalise toimimise vundamendiks.
Ka kuritegevus muutub üha digitaalsemaks – kasvab küberkuritegude hulk ja digitaalse tehnoloogia kasutamine "tavapäraste" kuritegude planeerimisel ja koordineerimisel. Kuritegevusega võitlemise strateegiline komponent on nii riigisektori kui ka eraettevõtete küberturbe võimekuse järjepidev arendamine selleks, et kurjategijatest üks samm eespool püsida. Tegemist on mitte kunagi lõppeva ülesandega, sest, nagu öeldakse, vaenlane ei maga.
Küberkaitsevõime tugevdamiseks on oluline tagada enda käsutuses olevate andmete turvalisus ja suurendada analüüsiks kättesaadavate kasutuskõlblike andmete hulka, töötades samal ajal välja meetodid mürast info eraldamiseks ning nõrkade signaalide avastamiseks. Infoallikate laiendamine ning erinevatest allikatest pärit infokildudes mustrite ja trendide märkamine on kriitilise tähtsusega.
Riigiturbe uued väljakutsed
Digiriigi masinavärk eeldab usaldusväärseks, töökindlaks ning kasutaja jaoks mugavaks toimimiseks andmete turvalise vahetamise võimalust. Digitaalsete andmete käitlemisega kaasnevad riigiturbe seisukohalt aga keerulised väljakutsed, sest andmed – nagu ka relvad või kemikaalid – võivad olla ohtlikud ning hooletult või kuritegelikel eesmärkidel kasutades või valedesse kätesse sattudes muutuda julgeolekuriskiks.
Infosüsteemide vahelist andmete liikumist on (siiani) edukalt olnud võimalik turvata eelpoolmainitud andmete krüpteerimise teel, mis muudab need kolmandatele osapooltele loetamatuks.
Ka inimestevaheline kommunikatsioon, mis võib teatud juhtudel olla loomult pahatahtlik või eesmärgilt kuritegelik, muutub digitaalsetes kanalites kõrvaltvaataja jaoks arusaamatuks andmevooks.
Kui isiku- ja varavastaste kuritegude ning mastaapsete terrorirünnakute planeerimine on kolinud pubinurga sosinatest, telefonikõnedest ning lühisõnumitest digitaalsetesse (krüpteeritud) sõnumitesse, siis kuidas saavad julgeoleku- ja korrakaitseorganid olukorral silma peal hoida ning tulemuslikult ennetustööga tegeleda?
Ebalahendused
Erinevates riikides üheks aeg-ajalt taas päevakorda kerkivaks väljapakutud lahenduseks riikliku küberturbe võimekuse parandamisel on n-ö tagauste lisamine infosüsteemidesse või sõnumivahetusrakendustesse, mis annaks õiguspärastele kolmandatele osapooltele võimaluse jälgida ka krüpteeritud andmevahetuse sisu.
Tagauste põhimõtteliste, sisuliste, juriidiliste ning tehniliste probleemide ja Eesti konteksti sobimatuse tõttu ei saa see lähenemine isegi parima tahtmise korral olla riiklikuks strateegiliseks suunaks.
Lisaks asjatult kulutatud ajale ning energiale etendaksime me sedasorti ebalahendusi juurutades vaid turvateatrit, püüdes ovatsioonide saatel kinni hooletud algajad kurjategijad ning sundides organiseeritud kuritegevuse uutesse, meie jaoks tundmatutesse ja raskesti kättesaadavatesse kanalitesse.
Pole väheoluline, et sel moel loome me soodsa pinnase uuteks ründevektoriteks meie enda poolt turvatavate infosüsteemide, andmete ja kommunikatsiooni pihta ning tulistame eeldatavasti head tahtes endale sellega jalga.
Eesti peab arvestama enda rahvusvahelise rolli, võimaluste ning võimekustega. Meil puudub positsioon dikteerimaks rahvusvaheliste suurettevõtete küberturbe poliitikat – potentsiaalne siseriiklik sõnumivahetusrakenduste tagaukse nõue põrkub rahvusvahelistele ärihuvidele ning kaotajaks jääme meie.
Meil puudub põhimõtteline valmisolek, ühiskondlik soov ning seadusandlik tugi dikteerimaks eraisikute või organisatsioonide vahelise digitaalse suhtluse platvorme, protokolle või krüptoalgoritme.
Meil puudub alus lootmaks silmapaistvat erandlikkust, mis vastupidiselt kõigi teiste riikide senisele kogemusele võimaldaks just meil luua kuritarvitamist mittevõimaldavad tagauksed.
Strateegiline küberturve
See kõik aga ei tähenda, et lahendusi küberturbealasteks väljakutseteks ei tuleks otsida. Kuna isegi soodsaimas olukorras saab küberturbetööd, mida ei kadestaks ei Sisyphos ega Herakles, piltlikult võrrelda üha laieneva pindalaga sõelal aukude ükshaaval kinni toppimisega, peame alati väheks jäävat aega ning teisi enda käsutuses olevaid ressursse kasutama mõistlikult.
Eesmärkide saavutamiseks vahendeid valides tuleb arvestada reaalsusega. Paberil hästi kõlavate ideede kokkupuude reaalsusega sunnib meid tihti valitud lähenemist üle vaatama. Mittetöötavate või põhimõtteliselt mitte töötada saavate taktikaliste lahenduste ja neist tulenevate probleemide kuhjumisel tasub järgmiste illusioonide lisamise asemel üle vaadata alusstrateegia.
Selleks, et saada hakkama küberturbeohtude kasvava hulga ja keerukusega, peame vahetutelt reaktiivsetelt vastutegevustelt ka edaspidi üha rohkem liikuma asümmeetriliste strateegiate poole.
See ei päästa meid küll küberkurjategijatega Vestmanni ja Piibelehe kombel mõõtu võtmast, kuid pakub vähemasti šansi pikemalt peale jäämiseks, võhma kogumiseks ning ehk mõneks ajaks ka edumaa saavutamiseks.
Eesti eelised
Eesti on küberturbe valdkonnas aastate jooksul väga hästi hakkama saanud ning paljuski ka teistele riikidele eeskujuks olnud. Sellegipoolest ei saa me siiski ka loorberitele puhkama jääda – sõda, nii otseses kui ülekantud tähenduses, jääb veel pikaks ajaks kestma.
Me ei tohi kaotada enda oludest tulenevat eelist, mis ei ole meil väga piiratud ressursside tingimustes lubanud tegeleda mitte kuhugi viivate strateegiate juurutamisega. Me ei tohi kaotada ka koostöövalmiduse ja –võimekuse eelist ei siseriiklikul ega rahvusvahelisel tasandil, sest just see on väikeriik Eesti muutnud rahvusvaheliselt arvestatavaks partneriks ka suurriikidele ja globaalsetele ettevõtetele.
Usun, et küberturbe väljakutsetele edukaks vastu astumiseks peame järgmistel aastatel veelgi rohkem panustama riigi ja erasektori koostööle küberturvalisuse võimekuse arendamisel ja realiseerimisel, sest me oleme liiga väikesed "meie ja nemad" isoleeritud mõtteviisi ja dubleerivate lahenduste jaoks.
Usun, et peame veelgi rohkem panustama kodanike küberturbealaste teadmiste kasvatamisele, sest lisaks abstraktsele riigile oleme ohustatud me kõik ka indiviididena ja ettevaatlikkus pole mõeldud vaid "neile seal". Usun, et peame veelgi rohkem innustama ja toetama rahvusvahelist rakenduslikku ja teaduskoostööd küberturbe valdkonnas, sest ainult nii saame ohtudele läheneda ennetavalt, mitte kannatavalt.
Need kolm suunda annavad meile, kes me igapäevaselt tegutseme globaalsete mängijate huvide keeristes ning võitleme ellujäämise nimel, asümmeetrilises kübersõjas unikaalse eduseisu.
Toimetaja: Kaupo Meiel