Mõned päevad tagasi seadsid häkkerid Ukraina valitsuse veebilehtedele teate "Oodake kõige hullemat!" ja kui vaadata peale juba sellele küberrünnakute jadale, mis on Ukrainat tabanud pea kümme aastat järjest, siis mis on see kõige hullem, mis juhtuda saab, kui palju liiga saab küberrünnakuga teha?

Küberrünnakuga on tänapäeval võimalik häirida kõiki teenuseid, kuna kõigis teenustes, mida kasutatakse, on olemas küberkomponent. Paljudel juhtudel on need teenuste komponendid seotud ka otse internetiga ja tihtipeale kahjuks ka nõrgalt kaitstud.

Nii avalik sektor kui ka ettevõtted ei pruugi alati selles näha suurt riski, ega osata karta. Aga see on miski, millele tuleb üha rohkem tähelepanu pöörata ja neid süsteeme juba eos kaitsta, seda siis erinevate meetmete rakendamise läbi.

Küberrünnakuga jäetakse inimesed kraaniveeta, pannakse põlema elektrijaamu, tehakse nii, et pangaautomaadid ei anna enam raha välja - kõik elutähtsad teenused, on see kõik võimalik?

Tänapäeval on näiteid viimasest viisaastakust globaalselt palju võtta. Te ise viitasite elektri piiramisele üle veebi. See näide on Ukrainast 2015. aastast olemas, kui elektritarbimine sisuliselt 230 000 elanikule keset talve küberrünnakuga peatati. See oli loomulikult ka väga hästi ajastatud rünnak, jõulupühade ajal, kus need elektrijaamad olid ka veidi hõredamalt mehitatud ja süsteemid loomulikult ka vanad. Aga see rünnak läbi läks ja taastamine nõudis tükk aega.

Lisaks on sarnaseid ründeid olnud näiteks Ameerika Ühendriikides Floridas veetöötlusjaama suunal ja eelmise aasta mais Colonial Pipeline'i kütusetaristu, mida tabasid lunavararünnak, kus küll ettevõte ise sulges kogu taristu rohkem ettevaatusabinõuna, kuna ei olnud on täpselt teada, mis andmetelt kätte saadi ja milliseid milliste süsteemide kohta häkkeritele info läks.

Ja veelgi markantsem näide - Iirimaa meditsiinitaristu rünnak, kus kogu süsteem riigi poolt eelmisel aastal uuesti üles ehitati. Ja see kulu oli vägagi märkimisväärne.

Nii et jah, tõusutrend selles osas on, kindlasti sellega arvestama peab, kindlasti selle osas peab olema tähelepanelik, ettevaatlik ja ise võimalikult palju kodutööd enne ära tegema.

Kas lõpuni süsteeme on võimalik täielikult kaitsta või on nii, et kui kuskilt leitakse turvaauk, siis võib see rünnaks ikkagi läbi minna?

Sajaprotsendilist turvalisust kübermaailmas kindlasti olemas ei ole. Siin on erinevaid meetmeid, mida saab kasutusele võtta. Seda siis lähtuvalt nendest infoturbestandarditest, mis kirjeldavad ära hügieeni baasnõuded, kuidas oma andmeid kaitsta, milliseid tulemüüri viirusetõrjeid peab olema. Oma infoturbejuht peab sellega tegelema. Kui kõik need on kasutusele võetud, siis rünnak on vähem tõenäoline.

Aga kas see torge siiski läbi läheb - jah, kindlasti see võimalus on. Siin on küsimus pigem selles, et mis toimub peale seda. Kui intsidendi haldusplaan on paigas, inimesed teavad, mida nad tegema peavad, seda on varasemalt ka läbi harjutatud, siis taastumine sellest on märksa kiirem ja valutum, kui see, kui sellele ei ole tähelepanu pööratud. Aga kindlalt saab nentida, et need meetmed, mida rakendatakse täna, ei ole turvalised enam homme. Selles valdkonnas on areng peatumatu ja pidev ja sellega peab tegelema igapäevaselt, kogu aeg.

Konventsionaalse sõja puhul on rusikareegel, et ründaval poolel peab edu saavutamiseks olema umbes kolmekordne ülekaal. Ja samas on väga ulatuslikke küberrünnakuid maailmas korraldatud üsna väikese ressursikuluga. Kas kübersõjas ongi niimoodi, et ründajal on kogu aeg eelis, tema on sammu ees ja tal on vaja lihtsalt õigesse kohta vajutada, kaitsja peab kulutama tohutult ressurssi, et kõik augud kinni lappida?

Kübermaailmas on tõenäoliselt kaitse ressursimahukam kui rünne, kuivõrd ründaja saab valida konkreetne vektori, nõrkuse ja sihtmärgi ning sellele keskenduda ja ka selleks spetsiifikat eelnevalt treenida. Kaitse omakorda peab suutma tagada kaitset enam-vähem ühtlase tugevusega kõikidest suundadest ja valdama kõiki kasutusel olevaid tehnoloogiaid, seirama kõiki suundi ja tegelema lisaks IT-komponendile ka inimfaktori, füüsilise objekti kaitsega ja nii edasi. Lihtne see kindlasti ei ole.

Kui maailmas ringi vaadata, siis üldjuhul rünnatakse ikkagi tsiviilobjekte. Kuivõrd küberhaavatavad on tänapäeval sõjaväed. Kas küberrünnakuga saab ka pärssida või edendada reaalset lahingutegevust?

Sõja pidamiseks kasutatakse tänapäeval samuti arvuteid, erinevaid seadmeid, mis küll mitte kõik, aga osaliselt, on ka veebi ühendatud. Ja teisalt toetub oluliselt see ka tsiviilstruktuuridele. Sellest tulenevalt on kindlasti küberrelvaga võimalik häirida sõjapidamist, kui mõelda puhtalt juba taristule - kütus, vesi, haiglad jne - kõik see on miski, millega peab arvestama. Erinevatel õppekogunemistel ja harjutustel on seda ka Eestis läbi mängitud. Õppus Siil mõned aastad tagasi oli selline, kus küberelement sees oli ja selle teemaga tuleb jätkuvalt tegeleda ka tänapäeval. Need ei ole ainult puhtalt militaar- või puhtalt tsiviilharjutused, vaid nende kahe ühildamine, et mõista, kuidas nad teineteisega seotud on, kuidas mõjutavad, milliseid samme saab võtta militaar pool, milliseid tsiviil, et tagada parim võimalik kaitse.

Kas viimase aja sõjalistest konfliktidest on ka näiteid tuua, kus ongi lahingutegevust toetava elemendina seda küberrünnakut kasutatud?

Jah, siin on erinevaid elemente. Üks asi on kindlasti see, mis on kogu see hübriid sõjanduse kontseptsioon, mis viimase aastakümnega on aktiivselt pilti tulnud, kus kas juba enne, kui konventsionaalne sõjapidamine algab või siis selle ajal toimuvad inforünnakud - kogu sotsiaalmeedia selleks ärakasutamine, lisaks signaalluure ülevõtmine, vastase võrgus sees olemine -  see on lahutamatu osa tänapäevasest elust, seda nii tsiviili kui militaar vaates.

Kui küsimus on nüüd see, et kas on otseselt tehtud rünnakuid, kus selle rünnaku tagajärjel midagi õhku lastakse, siis on erinevaid näiteid, kus selliseid katsetusi on tehtud eesmärgil, et tuvastada, kas see on võimalik. Konkreetseid näiteid lahingtegevuses, kus seda on tehtud, ma täna siin ei hakkaks tooma.

Kas nende katsetuste puhul oli siis võimalik?

Jah, see oli juba 2000-ndate aastate alguses, kui ameeriklased katsetasid, kas on võimalik eemalt lasta veebiründega õhku diiselgeneraatorit ja see rünnak oli neil edukas.

2016. aastal leiti Viru Keemia Grupi serverist mingid pahalased, kes otsekui hoidsid lahti tagauksi, lubasid serverile ligipääsu mujalt. Ja milleks neid tagauksi kasutati päris selgeks ei saanudki. Seal oli spionaaživõimalus, oli võimalik teha veel midagi, aga kas tehti, ei tea. Kas selliseid magavaid programme, magavaid viirusi või selliseid ründekohti on tõenäoliselt juba praegu terves hulgas Ukraina süsteemide sees?

Ma nüüd spetsiifiliselt ei hakka seda vastust andma Ukraina kohta. Kõik taolised infosüsteemid vajavad regulaarselt ülevaatust, sealhulgas ka iseenda süsteemide testimist. Kõik uued programmid, rakendused, arendused, mis sinna peale pannakse, peaksid enne, kui nad nii-öelda laivi lähevad, läbima turvatestimise, et olla kindel, et seal ei ole nõrkusi sees.

Tänapäeval pakub ka eraettevõtlus lahendusi, kuidas seda teenusena sisse osta, ehk rünnak iseenda süsteemide vastu, kontrollimaks, kas seal on kuskil mõni selline tagauks, mida te viitasite, või mõni haavatavus, mida ära kasutada.

Mida ise saab veel teha? Riigi infosüsteemi amet (RAI) Eestis annab igapäevaselt teavitusi, ülevaateid erinevate globaalsete ja regionaalsete haavatavuste kohta koos viidetega nendele veebisaitidele, kus on võimalik siis need turvapaigad peale laadida.

See on miski, millega peab tegelema kogu aeg tagamaks, et sinu süsteemid on kaitstud, et sinu teenused toimiks ja neid hoiatusi neid üleskutseid tuleb võtta tõsiselt. Kahjuks me endiselt näeme tihtipeale, et veel mitmed kuud peale seda, kui taoline üleskutse või teavitus on tehtud RIA poolt, on need haavatavused paikamata ja seeläbi on ka nii-öelda uks või aken valla vastavaid oskusi omavale soovijale.

Paar päeva tagasi Microsoft teatas, et nad on leidnud paljudest Ukraina võrkudest häkkerite eelpaigutatud programmijupid või sellised küberpahalased, mis ootasid oma aega, et õigel ajal siis saaks käivitatud ja algaks mahukam küberrünnak. Kas põhimõtteliselt neid küberrünnakuid valmistatakse niimoodi pikalt ette, et kõigepealt sätitakse kõik valmis ja siis kui on tarvis, näiteks Ukraina puhul hakkab päris lahingutegevus, siis vajutatakse nuppu kuskil maailma otsas ja siis läheb põrgu lahti ka kübermaailmas?

On nii ja naa. On rünnakuid, mis kasutavad ära hetke, kus on just välja tulnud uus, kas globaalne või väiksema mahuga haavatavus ja tehakse see ära kiiresti, nii-öelda lihtsalt lõgistades neid ukselukke, et näha, kus on lahti miskit ja proovida. Aga kindlasti on ka teiselaadseid pikalt planeeritud operatsioone, kus see tõesti sooritatakse etapiviisiliselt.

Me RIA poolt oleme seda hetkel koos CERT.ee-ga analüüsimas ja suhtleme sel teemal oma partneritega, suhtleme ka ukrainlastega otse, et aru saada, mis täpselt toimus, kuidas toimus, kuidas see sai võimalik olla, milliseid meetmeid oleks saanud rakendada, et seda ei oleks saanud toimuda. Aga vaadates siin Microsofti avaldatud infot, siis esmane reaktsioon on see, et kui rakendada väga konservatiivset pääsupoliitikat, mis ei luba suvalisi programme käivitada oma tööarvutis, olgu see siis avalikus või erasektoris, nii nagu seda aastaid juba Eestis on tehtud, siis see ka annab lisakaitse taoliste rünnakute ennetamiseks.

Ja kindlasti endiselt on inimfaktori element. See lüli arvuti ja veebimaailma vahel ehk inimene, kes reaalselt istub nutiseadme või arvuti taga - tema arusaamised küberhügieenist, mis on turvaline, millistele saitidele tasub minna, mida pigem võiks vältida, millised paroolid on turvalised, kuidas neid hoida. Kogu selle teema harimine on miski, millega nii meil siin, kui ka laiemalt, tuleb veel väga palju jätkata, pingutada ja seda teha üha varasemalt ja varasemalt. Viia see juba kooli tasandile, et oleks arusaam, kuidas ennast paremini kaitsta, kuidas ära hoida selliseid asju või kuidas mitte olla nõrgim lüli.

RIA-l on selleks tehtud veebileht itvaatlik.ee - soovitan kõigile kindlasti vähemalt korra sinna vaadata, sealt saab esialgseid näpunäiteid, kuidas enda isiklikke ja ka tööalaseid süsteeme kaitsta ja RIA on alati valmis ka küsimustele konkreetselt vastama.

Need probleemid, millest me räägime Ukraina puhul, võivad tabada ja ka tabanud meid. Aga välismeedias hästi palju kirjutatakse, et juhul kui pinged eskaleeruvad, siis me näeme Ukrainas sellist kübersõda, mida oma mastaapidelt me veel ei ole näinud. Kas see on tõenäoline? Kõik on valmis, vahendid on sellised, mida varem ei olnud ja need mastaabid võivad olla uskumatult suured?

Meil küberagentuuri või siis tehnilise, operatiivtasandi vaatepilt on hetkel vägagi tähelepanelik. Konsultatsioonid liitlastega sellel teemal on regulaarsed ja igapäevased. Peamine huvi ongi just tehniline pool. Millised on need ründevektorid, kood, mida kasutatakse, see pahavara, mida kasutatakse? Kuidas seda kasutatakse? Ja sellest õppimine - kuidas on võimalik seda ise ära hoida, takistada?

Ukrainas toimunud küberrünnak oli suuresti nendesamade paikamata haavatavuste tagajärjel, mis olid juba mõnda aega avatud ja sai neid kasutada nii-öelda ukse või aknana sisenemaks sinna veebisaitidele ja oma sõnumite sinna laadimiseks.

See teine paralleelne rünnak, mis käimas on, mille kohta kirjutab Microsoft, on juba oluliselt tõsisem ja ka oluliselt destruktiivsema mõjuga, kuna seal mitte lihtsalt ei ole kaaperdatud neid andmeid, vaid need andmed on nendest süsteemidest kustutatud.

Esmane õppetund, mida siit kiiresti kommenteerida on varundamine, et varundatud andmed ei oleks sellesama süsteemiga ühendatud, vaid oleks eraldi. Hävitatud andmeid taastada ei saagi. Ainus variant on see, kui on endal varundamine kuskil tehtud.