Lauri Aasmann: õppetundide najal tugevamaks digiriigiks
Hiljutised küberründed Eesti ministeeriumide ja nende allasutuste vastu on tekitanud inimestes küsimusi, kas Eesti digiriik on ikka turvaline. Lühike vastus on "jah", aga see ei tähenda, et riik ei peaks küberturvalisusse rohkem panustama, kirjutab Lauri Aasmann.
Tehnoloogiad ja võimalused neid kuritarvitada arenevad käsikäes, kuid baastasemel küberturvalisus peab sammu võrra ees olema. Mida vastata küsimusele, kas Eesti suudab oma olulisi süsteeme ründajate eest kaitsta, kas saame muretult e-teenuseid edasi kasutada ja vältida naasmist paberbürokraatiasse?
Võin täie kindlusega öelda, et Eesti digiriik on jätkuvalt tugev. Sellised rünnakud pakuvad meile järjest uusi teadmisi, kuidas end küberkurjategijate eest kaitsta ning oma süsteeme turvalisemaks muuta. Niisugused valusad kogemused aitavad mõista küberturvalisuse vajalikkust inimestele, kes pole valdkonna eksperdid.
RIA monitoorib ööpäev läbi ning teeb järelevalvet, et küberrünnakuid ära hoida. Kuid kõiki turvanõrkusi pole võimalik meil reaalajas avastada. Seepärast peab iga asutus või ettevõtte ise suutma jälgida, mis nende süsteemides toimub, ning oskama kahtlast tegevust nähes edasisi samme astuda.
Iga õppetund kurjategijatele edukast intsidendist muudab meid veelgi tugevamaks digiriigiks. Ründed riigiasutuste vastu pole ebatavalised ka mujal riikides, kuid tihti neist avalikult ei räägita. RIA monitooritavates võrkudes registreeritakse aastas mitukümmend tuhat küberintsidenti ja katset e-riigi uksi ja aknaid avada. Asjaolu, et nendest õnnestub vaid murdosa, kinnitab meie digiriigi tugevust.
Kurb on see, et inimeste elu lihtsamaks ja loogilisemaks muutvatele e-teenustele on rahastust leida lihtsam kui teenuste sees küberturvalisuse kihi ehitamisele ning teenuse hilisemale ülalpidamisele.
Ometi ei saa digiriik toimida küberturvalisuseta. Sinu kodu pole ju su kindlus, kui võõras saab selle ukse avada ja tuppa sisse astuda. Niisiis on kurjategijate eest kaitseva küberturvalisuse väljamõtlemine sama oluline kui e-teenuse loomine ise ja ideaalis ei tohiks ühte olla teiseta.
Küberturvalisus on kolme koostisosa sulam: kompetentsed ja andekad inimesed, uuendatud ja turvaline tehnoloogia ning infoturbereegleid järgiv ja tõhustatud töökorraldus. Headest spetsialistest ja korralikest seadmetest on vähe kasu, kui töökorraldus ei rakenda nende võimeid õigesti.
Nii nagu maja, mis vajab kogu aeg nokitsemist või kapitaalremonti, ei saa ka küberturvalisus kunagi valmis. Me ei saa osta uusi tehnoloogiaid ja loota, et nüüd on sellega kõik. Kurjategijad otsivad alati uusi turvanõrkusi, seetõttu tulebki alati süsteemid uuendatuna hoida ja inimesi koolitada.
See, et 2019. aastal oli süsteem turvaline, ei tähenda, et see on nii ka 2020. aastal. Samamoodi ei saa me pidama jääda harjumuspärasele töökorraldusele, kui küberkurjategijad järjest uusi nõkse kasutavad. Seega tuleb kõigisse kolme komponenti järjekindlalt ja kestlikult panustada, et meie süsteeme ka edaspidi turvalisena hoida ning suuta vastu panna üha leidlikumatele rünnakutele.
Riigi infosüsteemi ameti intsidentide käsitlemise osakond CERT-EE jälgib Eesti küberruumis toimuvat ööpäev läbi ja pakub tuge rünnaku alla sattunud asutustele. Pidevalt olukorral silma peal hoides teavitab CERT ka avalikkust erinevatest petuskeemidest ja rünnakutest, rõhutades pidevalt inimeste isikliku küberhügieeni olulisust.
Väga tihti ongi üksiku inimese käitumine ahela nõrgim lüli ja sellest haaravad küberkelmid kinni. RIA on korraldanud mitmeid "Ole IT-vaatlik" teadlikkusekampaaniaid, et inimeste ja ettevõtete küberteadlikkust ja -harjumusi parandada, ning näeme, et peame selliseid teavitusi regulaarselt korraldama.
Samamoodi tuleb korraldada küberõppusi, mida RIA kriitilise informatsiooni infrastruktuuri kaitse osakond ka teeb. Meie suur soov on, et asutused ja ettevõtted ei peaks kõiki õppetunde enda nahal tunda saama.
RIA ei saa teiste asutuste eest neid turvalisemaks muuta, kuid me pakume igakülgset abi, anname nõu ning koolitame, et neil see võimalik oleks. Lisaks kontrollime turvameetmete rakendamist avalikes asutustes ja olulise ning elutähtsa teenuse, side- ja usaldusteenuse ning digitaalse teenuse osutajate infosüsteemides. Parim kaitse küberrünnakute vastu on ennetus ehk tänapäevane IT-taristu ning läbimõeldud IT-korraldus.
Üldises plaanis saan välja tuua neli tegevust, mida riigi küberturvalisuse parandamiseks kohe ette võtta tuleks:
- Riigi infosüsteemi ameti küberturbeteenistuse võimekus tuleb kasvatada teiste EL-i riikide sarnaste asutustega samaväärsele tasemele. Muuhulgas tuleks uuele tasemele viia pahavara analüüsimise ja seire võimekus, peaksime suurendama järelevalve ning standardi arenduse ja riskihalduse ressursse;
- suurenenud võimekus toob kaasa suutlikkuse proaktiivsemalt tegutseda ning selle valguses tuleks muuta küberturvalisuse seadust. Märgates kriitilist haavatavust või turvanõrkust, mida juba ära kasutatakse, peaks CERT-EE teavitusel olema sarnane mõju nagu MUPO korraldusel puhastada tänav lumest ja tagada inimeste turvalisus;
- digiriigi arendamisel peab olema kindel aluspõhimõte, et rahastamisotsused sisaldavad ka arenduste küberturvalisuse tagamisele kuluvaid vahendeid, seda kogu nende planeeritava kasutusperioodi jooksul. Seda põhimõtet peaks järgima info- ja kommunikatsioonitehnoloogiale nii riigieelarvelisi kui ka EL-i struktruurifondide vahendeid eraldades;
- riigi IT-lahenduste konsolideerimisplaan tuleks uuesti läbi mõelda. Nõustun, et jätkuv konsolideerimine sektorites, kus see on seni toimumata, on vajalik. Samal ajal ei saa kõiki mune ühte korvi panna, sest siis oleks ühel intsidendil liiga suur mõju. Kaaluda tasub väiksemate sammudega liikumist ja koondada esmalt täna veel konsolideerimata asutused kas mõne olemasoleva IT-maja alla või luua selleks uus eraldi asutus.
Digiriigi maine ja usaldus sõltuvad läbipaistvusest. Rünnakutest ja ohtudest rääkides aitame neid ära hoida nii Eestis kui ka mujal riikides. Praegused õppetunnid on abiks, et digiriiki veel tugevamaks muuta. Seega teeme seda kõik üheskoos ning oleme edaspidi veelgi IT-vaatlikumad.
Toimetaja: Kaupo Meiel