Kes ja miks meid ründab?

Toomas Vaks, RIA asedirektor küberturvalisuse alal, kirjutab rahulikult alanud 2014. aastat ja sellest, mida ei tohi nimetada.

Mul on hea meel avada RIA küberturvalisuse teenistuse kirjutiste sari, kus meie töötajad jagavad oma mõtteid nii päevakajalistel kui ka üldisematel küberturvalisust puudutavatel teemadel.

RIA-l algas 2014. aasta uue struktuuri loomisega: koondasime küberturvalisusega tegelevad allüksused küberturvalisuse teenistusse. Eraldi tugevdasime riigi infosüsteemi kaitsega tegelevaid funktsioone: lõime riigi infosüsteemi intsidentide käsitlemise talituse (GovCERT) riigiasutuste intsidentidele reageerimiseks ja riigi infosüsteemi turbe talituse, mis tegeleb riigi infosüsteemi intsidentide ennetuse, kaitsemeetmete tugevdamise, õigusaktide kaasajastamise ja infoturbejuhtide kogukonna hoidmisega.

2014. aasta esimesed kuud on Eesti jaoks möödunud tõsiste intsidentideta. Erandina raputas paar nädalat tagasi kogu maailma küberturbekogukonda serverite Hearbleedi-nimeline haavatavus. Eesti serveritest puudutas see turvaviga umbes viit protsenti. Õnneks reageeris Eesti turvakogukond veale kiiresti, näiteks riigi andmesidevõrgus ASO paigati kõik probleemsed serverid paari päevaga.

Viimase poolaasta jooksul on Eesti riigiasutusi tabanud mitu rünnet, mille taga seisavad näiliselt oma meelsust avaldavad aktivistid. Ründeid analüüsides näeme aga seda, et ründed pärinevad aktivistide arvutite asemel hoopis robotvõrkudest (botnettidest), mille tavapärased kasutajad on küberkurjategijad või mõnel tõenäolisel juhul ka riiklikud eriteenistused. Kummaga ühel või teisel korral tegemist on, selgitavad õiguskaitseorganid. Selge on see, et turvalisuse- ja kaitsemeetmete planeerimisel tuleb arvesse võtta just ründaja eesmärke ja vahendeid, mis on tema käsutuses. Riiklike eriteenistuste ja kurjategijate võimekus on aga erinev, isegi siis, kui nad kasutavad sarnaseid vahendeid. Riigiasutused peavad seega olema valmis rünneteks, mille eesmärk on nende tegevust kompromiteerida ja neilt teavet hankida, erasektori puhul on peamine ründe eesmärk rahalise kasu saamine.

Veebruari lõpus osalesin maailma suurimal infoturbekonverentsil RSA Conference. Kuigi mitmed tuntud infoturbeeksperdid kuulutasid konverentsile RSA ja NSA väidetava koostöö tõttu boikoti, ei kajastunud see konverentsi osalejate arvus – neid oli rohkem kui kunagi varem, üle 25 000. Oodatult oli RSA-l palju juttu usaldusest, riikide eriteenistuste tööst ja tehnilise turvalisuse keerukusest. Ka RSA-l tõdeti, et aastatega muutub järjest häirivamaks asjaolu, et küberturvalisuse tagamisel on ründajatest rääkimine tabuteema. Ründaja on justkui lord Voldemort, kelle nime ei tohi mainida… Selline pea liiva alla peitmine raskendab aga turvajuhtide tööd, kes oma ettevõtet või asutust küberrünnakute eest kaitsevad. Kelle ja mille eest end kaitsta, milliseid samme planeerida, et jõuda ründaja tegudest ette?

Küberründed ei ole paratamatus, millega leppida. Küberruumis huligaanitsemine, võrkude ja seadmete töö häirimine on samasugune huligaanitsemine nagu tänavatel. Kurjategijate tabamine eeldab tõsist rahvusvahelist koostööd ja rünnete üksmeelset hukkamõistu rahvusvahelises õiguses. See pole saavutamiseks võimatu eesmärk.