Euroopa ministrid mängivad Tallinnas läbi küberrünnakuid
Sel aastal on sadu maailma riike tabanud rasked küberrünnakud, millest suuremad olid maikuus levinud WannaCry ja juunis levinud NotPetya. Euroopa Liidus pole seni olnud nii suuri rünnakuid, et poliitikud oleksid pidanud võtma nende osas vastu poliitilisi otsuseid, mistõttu puudub praegu ühtne arusaam, kuidas peaks liit küberrünnaku korral käituma ning millised võivad olla rünnaku kõrvalmõjud. Sel põhjusel hakkavadki Euroopa Liidu kaitseministrid neljapäeval Eesti juhtimisel küberrünnakuid läbi mängima.
Küberõppus EU CYBRID 2017 on esimene omataoline simulatsioon. Eesti soovib eesistujariigina panna Euroopa ministreid võtma otsuseid vastu reaalse rünnaku olukorras, niisiis esitatakse ministritele stsenaarium, kus küberrünnakud on tabanud Euroopa Liidu sõjalisi struktuure.
Stsenaariumit kaitseministeerium ei avalikusta, kuid selle põhjal saavad ministrid ja nende delegatsioonid kohtumise alguses ülevaate, milliseid asutusi on rünnatud ja millised sündmused on sellega kaasnenud. Õppuse käigus eskaleeritakse olukorda üha tõsisemaks ning poliitikud saavad seejuures valida, kuidas käituda. "Me oleme ministrite elu selles osas lihtsaks teinud: anname neile kätte tahvelarvutid, kus nad saavad vastavas süsteemis väga kiiresti oma valikuid teha," selgitas kaitseministeeriumi küberpoliitika osakonna juhataja asetäitja Tanel Sepp. Ministritele antakse niisiis ette valikvastused, kuid nad saavad ka võimaluse oma valikuid kommenteerida.
Rünnakute läbimängimise peamine eesmärk on näidata nende võimalikke kaasmõjusid militaarvaldkonnas: "Me üritame vaadata, kuidas läheb olukord edasi, kui mingitel serveritel kaob näiteks toide ära – mida tähendab see sõjalise operatsiooni funktsionaalsusele, mida saab edasi teha, mida mitte." Samuti on oluline tagada elutähtsate teenuste osutamine rünnaku korral.
Euroopa Liit ja NATO lähenevad?
Õppuse üheks eesmärgiks on tagada kiirem ja tulemuslikum infovahetus liitlaste vahel, kuivõrd kübermaailmas pole piire ning rünnakud ühes riigis võivad kanduda mitmesse kohta. Riigi Infosüsteemide Ameti (RIA) intsidentide käsitlemise osakonna juht Klaid Mägi rõhutas, et üle 99 protsendi küberrünnakutest on rahvusvahelised, mis tähendab et haruharva on ründaja ja sihtmärk samas riigis.
Kuivõrd praegu pole Euroopa Liidu ühtse küberkaitse võimalustest kuigi head ülevaadet, peaks õppus tooma välja lüngad senises poliitikas ning andma arusaama, kuidas peaks liit tervikuna käituma, kui rünnatakse Euroopa Liidu asutusi või konkreetseid liikmesriike.
Selliseid riike Sepa kinnitusel Euroopa Liidus enam pole, kes peaksid küberjulgeoleku teemat ebaoluliseks. Sellegipoolest on riikide huvid erinevad ning küberturvalisusse on nad panustanud erineval määral. Niisiis peaks EU CYBRID 2017 koos tulevaste õppustega viima EL-i riigid küberjulgeolekus kõrgemale ühtsele baastasemele. Kaitseminister Jüri Luik avaldas juulikuus lootust, et õppus aitab vähendada ka koostööpiire Euroopa Liidu ja NATO vahel.
Sepa hinnangul tuleb õppuse hädavajadus ka suurest lõhest poliitikute ja tehnikute vahel, kuivõrd praegu räägivad küberinimesed ja poliitikud justkui eri keelt. Tema sõnul on vajalik, et küberinimesed räägiksid poliitikutele arusaadaval moel ja samas peavad nad mõistma ka poliitiliste otsuste võimalikke tagajärgi.
Riigi vastutus liiga väike
RIA kriisireguleerimise valdkonna juht Lauri Luht tõdes, et Eesti küberjulgeolekus pigistab king enim seadusandluses: Eesti on üks maailma digisõltuvamaid riike, kuid kriitiliste olukordade puhul on liiga suur osa vastutusest jäetud ettevõtetele. Tõsiste intsidentide puhul ei piisa aga tema sõnul üksnes ettevõtte tegevusest, vaid teatud osa koormusest peaks enda kanda võtma ka riik.
Näiteks pole praegu teada, kes peaks vastutama juhul, kui mõne ettevõtte infosüsteemi rünnatakse ja selle kaudu saavad kompromiteeritud ka teised ettevõtted ja riigiasutused. "Kes on see, kes ütleb, et te peate selle teenuse kinni panema? Täna pole selleks kellelgi mandaati," tõdes Mägi.
Luht tõi võrdluseks, et kui keegi helistab politseisse ja ütleb, et nägi lennujaamas seismas kahtlast kotti, siis sõidab pikemalt mõtlemata kohale pommirühm. "Lennujaam aetakse kohe inimesteks tühjaks, ühtegi lendu ei tule sisse ega välja. Ühel hetkel leitakse sealt kotist ilmselt sokid ja tekk, aga sellega tegeletakse väga kiirelt."
Küberintsidentide puhul on olukord teine: "Kui lennuki navigatsioonisüsteemis on leitud viga, siis küsitakse, kui kergekäeliselt või millele toetudes saab lennujaam teha otsuse, et peatame selle vea väljaselgitamiseks kogu tsiviillennunduse," võrdles Mägi. Riik ei võta seejuures mingit riski ja jätab ohu uurimisega kaasneva kahju ettevõtte kanda.
"Me mõistame hästi seda, mis toimub füüsilises maailmas, aga see arusaam, kuidas küber mõjutab meie elu, on väga raske tekkima," arvas Luht. "Keegi ei ütle, et uurige lennujaamas ise seda kahtlast kotti, seal on niikuinii sokid sees, aga küberohtude puhul öeldakse väga kergekäeliselt, et see on nii väike viga, et seda me ei uuri." Küsimus pole tema sõnul niivõrd selles, et keegi ei soovi vastutada, vaid selleks pole seaduslikku alust. Praegu on küberintsidentidega tegelemise mandaat antud RIA-le, aga Luha sõnul ei saa amet teha suurt peale soovituste andmise.
Rünnakud võivad tulla külmkappi
"Kui me räägime riigikaitsest laiemalt, siis loomulikult tuleb arvesse võtta, et kuna me kasutame IT-süsteeme ja veebiplatvorme niivõrd palju, siis see on üks koht, kus me võime olla haavatavad – ja me oleme ka, õnneks palju vähem, kui paljud teised riigid," sõnas Sepp. Niisiis on kaudselt riigikaitse küsimus ka üleüldine küberhügieen ehk see, kuidas üksisikud oma arvuteid kasutavad.
Tehnoloogia areneb nii kiirelt, et enam ei puuduta rünnakud üksnes arvuteid või väiksemaid nutiseadmeid, mida me endaga igal pool kaasas kanname. Rünnata võib näiteks võrguühendusega külmkappi. "Külmkapi enda ründamine ei tundu eriti mõistlik tegevus, aga selle kaudu võib tekkida võimalus kuhugi mujale sisse pääseda," selgitas Sepp. "Ja kui me räägime kuritegelikust tegevusest, siis võidakse vabalt sisse murda näiteks mõne suure ettevõtte külmhoonesse ja sellega ettevõtte äritegevust tuntavalt kahjustada."
Nii-öelda asjade interneti kaudu liidavad inimesed üha enam seadmeid võrku, kuid tihtipeale ei mõelda sellele, et ka need seadmed peavad turvalised olema. "Ma kuulsin hiljuti uudist, kuidas isegi rannaplätudesse on hakatud kiipe panema, sest ettevõte tahtis statistikat, kuidas neid plätusid kasutatakse, kui palju kõnnitakse, mis ajal ja kuskohas," kirjeldas Sepp üha võrgustuvaid igapäevaesemeid.
Kuivõrd lapsevanemad pistavad oma järeltulijatele aina nooremast east nutitelefonid ja tahvelarvutid pihku, siis on Sepa sõnul oluline lastele ka õpetada, et iga vajutus tähendab midagi. Samas ei usu ta, et see oleks praegu kuigi levinud praktika.
Me kõik oleme rünnatavad
Kõige põhilisemad ja samas lihtsamad sammud, mida inimesed saavad isikliku küberturvalisuse jaoks astuda, on pidev tarkvarauuenduste tegemine ning kahtlaste meilide mitte avamine, ütles Sepp. "Kui on midagi kahtlast, siis ma pigem soovitan üle kontrollida, kas see inimene ikka saatis sulle kirja – saab ju telefoni kätte võtta ja küsida. Me saadame viimasel ajal niivõrd palju e-maile, et võib-olla ongi parem, kui inimesed vahepeal helistavad ka," pakkus ta.
Samamoodi peaksid Sepa hinnangul ettevõtte juhtkonnad võtma suurema vastutuse, et küberrünnakuteks valmis olla: "Ma kuulsin kunagi sellist toredat ütlust, et on olemas kahte sorti ettevõtteid: need, kes teavad, et neid on rünnatud, ja need, kes ei tea, et neid on rünnatud. Kui on ka mõni ettevõte, keda pole rünnatud, siis järelikult ei tooda ta piisavalt väärtust ja sellisel juhul on see ettevõte mõttetu."
"Me kõik oleme rünnatavad," lisas ta, mistõttu on oluline töötajaid koolitada ning ehitada süsteemidesse turvaelemente. "Lõppkokkuvõttes võib see vabalt määrata ka ettevõtte edukuse. Kui töötajate tõttu jäävad mingid protsessid poolikuks või tehingud tegemata, siis see on ettevõttele otsene kahju."
Kaalul inimelud
Mägi ja Luht rõhutasid, et küberrünnakute puhul pole majanduslikest kahjudest rääkimine alati isegi kohane, kuigi teatud ettevõtted, näiteks pangad saavad selle väga täpselt välja arvutada. Ründed on tihtipeale suunatud elutähtsate teenuste osutajatele: näiteks rünnati kevadel Suurbritannia haiglaid, mistõttu ei saanud nad korralikult meditsiiniteenust osutada. Seega on kahjud majanduslikust mõjust laiemad ja puudutavad tihtipeale suisa inimelusid, aga ka keskkonda ja ühiskonna üleüldist toimimist. "Me ei räägi IT-vahenditest ja arvutihädadest – see on 80ndad ja 90ndad," rõhutas Luht.
Viimase suured küberrünnakud üle maailma on kaitseministeeriumi hinnangul siiski näidanud, et meie ettevõtete programmid on suuresti uuendatud, tänu millele oleme vähem haavatavad. Näiteks juunis toimunud lunavararünnak NotPetya tabas Eestit vaid läbi välismaiste emaettevõtete, kellega jagati näiteks ühtset raamatupidamissüsteemi. Ettevõtetele suunatud kuritegelike küberrünnakute vastu võitleb Sepa kinnitusel siseministeerium ning oma osa on ka majandus- ja kommunikatsiooniministeeriumil.
Järgmise aasta maikuus peavad Euroopa Liidu liikmesriigid võtma vastu võrgu- ja infoturbe direktiivi, mille ettekirjutustest rakendab Luha sõnul Eesti juba üsna paljut, näiteks peavad elutähtsate teenuste osutajad teavitama RIA-t küberintsidentidest ning peavad järgima kindlal määral turvanõudeid. Direktiivi ülevõtmisel täiendatakse ka Eesti küberturvalisuse seadust, mille eelnõu peaks septembris minema avalikule kooskõlastusringile.
Euroopa Liidu kaitseministrid kohtuvad Tallinnas Kultuurikatlas 7. septembril.