9 asja, mida aastal 2017 Eesti küberturvalisusest teada

Kadri Kaska, RIA küberturvalisuse teenistuse juhtivanalüütik

Täna avalikustatud Riigi Infosüsteemi Ameti küberturvalisuse aastaraamat analüüsib Eesti küberruumi tervist ja rünnatavust aastal 2016 ning annab hulga soovitusi levinud ohtudega toimetulekuks. Mulluste riskide ja rünnete mustrist joonistuvad selgelt välja nii ohud kui ka viisid nendega toimetulekuks. Sealjuures ei ole kahtlustki, et igapäevase mugava digitaalse eluviisi kaitse on igaühe enese kätes ning riik on ennekõike ohtude seiraja, suurte rünnete ennetaja, taristu kaitsja.

1. Elutähtsate teenuste kübersõltuvus kasvab. Kasvav arv elutähtsate teenuste osutajaid sõltub kriitilisel määral digitaalse taristu toimimisest ja paljudel juhtudel on need sõltuvused väljaspool ettevõtja enda kontrolli või lausa väljaspool riigipiire. Katkestuste mõju ühiskonna ja majanduse toimimisele ning riigi julgeolekule on üha olulisem. Ennekõike tähendab see, et elutähtsate teenuste omanikud – olgu see riik või erasektor – ei tohi näha küberturvalisust või oma võrkude kaitset kui oma isiklikku muret, vaid peavad vaatama laiemat konteksti. Mida avatumalt ollakse valmis riskidest ja juhtumitest rääkima, seda suurema tõenäosusega on võimalik ka teistelt õppida.

2. Avalik sektor on nii juhuslike kui suunatud rünnete sihtmärk. Avaliku sektori peamised küberriskid on seotud teenusekatkestustega süsteemides, mille toimimisest sõltub riigi julgeolek, ning suunatud rünnetega rahalisel, poliitilisel või ideoloogilisel motiivil. Iseäranis kohalikel omavalitsustel napib nii teadmisi kui ressursse küberohtude ennetamiseks. Riigiasutuste osutavate kriitiliste teenuste toimepidevuse tagamine vajab tõsist tähelepanu ning investeeringuid, et kindlustada teenuse käideldavus, ent vähem tähtis ei ole töötajate harimine ja infoturbe tähtsustamine juhtimistasandil.

3. Erasektori teadlikkus küberriskidest on lünklik – see käib nii üksikisikute kui ettevõtjate kohta. Üksikute kõrge turvateadlikkusega ettevõtjate ja valdkondade kõrval paistab silma, et üldiselt peetakse küberturvalisust või selle puudumist jätkuvalt „tehniliseks probleemiks“, mitte ettevõtte põhitegevuse riskiks. Iseäranis väikeettevõtjad ja vabaühendused ei pea end küberohtude sihtmärgiks ning turvalisusse ei investeeri. Digitaalne ühiskond nagu me oleme, peame õppima mõistma, et IT-teenus ei ole üheski valdkonnas enam pelgalt tugiteenus, vaid selle toimimiseta ei saa enam ka organisatsiooni põhitegevuses kindel olla.

4. Küberkuritegevus on üha professionaalsem. Pahavara levitamisviisid on üha viimistletumad ning näha on keskendumist aegkriitilistest andmetest sõltuvatele valdkondadele, kus küberturvalisust pole seni oluliseks peetud (tervishoid). Suunatud ründed võivad olla äärmiselt usutavaks viimistletud. Ka ei ole küberkuritegevus enam üksnes väheste valitute pärusmaa, vaid soovitud „teenust“ on võimalik kurjategijatelt osta ka neil, kel endal vajalikke oskusi ei ole.

5. Eesti on jätkuvalt Venemaa mõjutustegevuse sihtmärk. Venemaa kasutab küberoperatsioone käsikäes traditsioonilise mõjutustegevusega vastavalt tehnoloogilisele võimekusele, doktriinile ja välispoliitilistele võimalustele. 2017. aastal eesseisvate oluliste sündmustega seoses tuleb valmis olla küberrünnete hoogustumiseks. RIA on teinud ettevalmistusi ja töötab koos partneritega, et väljakutseteks valmis olla.

6. Arenevad tehnoloogiad ja teenused on haavatavad ning turvalisus ei jõua tehnoloogia arenguga sammu pidada. Nutiseadmete ja esemevõrgu seadmete kasutusala laieneb. Ühes sellega laieneb nende turvalisusriskide mõju, aga ka atraktiivsus küberkurjategijate jaoks. Praegu ei ole täit arusaama, millised riskid kiirelt arenevate digitaalsete toodete, teenuste ja ettevõtlusvormidega kaasnevad. Tõenäoliselt näeme esemevõrgu seadmete rünnete puhul seniste rekordite purustamist nii mahu kui uute ründeviiside mõttes. Suureneb ka surve esemevõrgu seadmete turvalisuse parandamiseks.

7. Enamiku registreeritud küberintsidentide põhjus või seda soodustav tegur on aegunud tarkvara. Aegunud veebihaldustarkvara kasutamine Eestis on epideemiline. Iga veebilehe pidaja võiks oma veebiarendajalt küsida, kas ta on tarkvarauuendustega kursis ning need tema veebilehel rakendanud. Erakasutaja jaoks on olulised väikesed lihtsad asjad nagu esimesel võimalusel tarkvarauuenduste paigaldamine nii oma arvutisse kui nutiseadmesse.

8. Üksnes salasõnadel põhinev autentimine ei ole enam turvaline. Üha suurenev salasõnade hulk ning keerukamad nõuded paroolidele ei ole kasutajatele jõukohased. Kasutajate kohanemismeetodid (sh paroolide ristkasutus) suurendavad haavatavust. Kasvab surve võtta kasutusele turvalisemad isikutuvastusmeetod nagu kaheastmeline autentimine, biomeetrilised autentimismeetodid. Teenusepakkujatel ja riigiasutustel soovitame seadistada kaheastmeline autentimine igal pool, kus võimalik.

9. Õiguskeskkond vajab ajakohastamist. Küberturvalisust tagavate organisatsioonide õigused ja kohustused peavad olema sätestatud seadusega, mitte rakendusaktides või haldusesisestes dokumentides. Praegune küberturvalisuse regulatsioon on killustatud ja adressaatide jaoks läbipaistmatu. On oluline, et väljatöötamisel uus küberturvalisuse seadus neid kitsaskohti leevendaks.