RIA muljed Cyconilt

367

Merilin Sülla, riskihalduse osakonna riskijuht, koondas kokku RIA töötajate muljed NATO küberkaitsekeskuse iga-aastaselt konverentsilt CyCon 2014.

3.–6. juunini toimus Tallinnas iga-aastane NATO küberkaitsekeskuse korraldatav konverents CyCon 2014, mille teemaks oli seekord “Active Cyber Defence” ehk aktiivne küberkaitse.

President Toomas Hendrik Ilves tõi avakõnes välja tehnoloogide ja muude inimeste (juristid, poliitikud, sõjaväeringkond, otsustajad) ühise keele leidmise vajaduse. See on vajalik, et kõik osapooled mõistaksid ühelt poolt nii tehnilist võimekust ja kübervahendite pakutavaid võimalusi kui teisel poolt õigusruumist tulenevaid piiranguid. Sama mõtet kordasid hiljem teisedki sõnavõtjad. „Lõpuks ometi räägiti küberteemadel inimeste keeles!“ võiks vastukaja ühte lausesse kokku võtta.

Tehniline teemaplokk:

  • Dr. Gabriel Jakobsoni esitlus pealkirjaga Active Cyber Defense at the Tactical Edge: A Cognitive Situation Management Based Approach. See kõneles peamiselt aktiivsest kaitsest kui proaktiivsest tegevusest, mitte nn vasturünnakutest, tuues muuhulgas välja tõsiasja, et vasturünnakud võivad negatiivselt mõjutada kolmandaid isikuid ja nende IKT taristut, mida tuleks vältida.
    Põhirõhk oli arusaama tekitamisel, et küberruumi kaitsmine pole mitte vajadus iseeneses, vaid tegevus, mis on suunatud nö päriseluprotsesside (nt äriprotsessid, sõjaväeline missioon) toimivuse tagamiseks. Peamine eesmärk on hoida need protsessid toimivana.
    Mis seda esitlust teistest kuuldutest eristas, oli metoodilisem lähenemine riskide haldamisele ning seoste mõtestamisele nii küberruumis sees kui sellest väljaspool. Dr. Jakobson tõi välja, et iga rünnak (attack)on suunatud teatud vara (asset) pihta, mille toimimisest sõltub teatud teenuse (service) toimimine ja sealt edasi missiooni (mission) täitmise võimekus. Vaja on mõista, millised kohad sellises ahelas on kõige haavatavamad ning millised omavahelised sõltuvused erinevate varade, teenuste ja missioonide vahel eksisteerivad.
  • Prof. Peter Martini ettekanne ,,It’s Not Just the NSA: Don’t Underestimate Cybercrime!”. Ettekanne tõstis väga hästi esile küberkuritegevuse tegelikku mastaapi ja probleemi tõsidust. Väga näitlikustavad olid ka tabelid, kus olid välja toodud küberkuriteod ja nende toimpanemise eest saadav tulu. Põnev oli võrdlus, kuidas kajastatakse meedias küberkuritegevust ning NSA ja jälgimise problemaatikat.
  • Jussi Timoneni ettekanne “Situational Awareness and Information Collection from Critical Infrastructure“.  Esitlus meeldis, kuna tegemist oli ühena vähestest konkreetseid lahendusi kirjeldavatest ettekannetest. See rääkis Soomes välja töötatavast lahendusest, mis kogub kriitilise infrastruktuuri võrkudest olekuinfot.

Strateegia ja õiguse teemaplokk:

  • Mitmele konverentsil osalejale jäi meelde prof. Michael N. Schmitti ja Bernhards Blumbergsi debatt aktiivse küberkaitse teemadel, mis oli huvitav, kuna praktikat kõrvutati küberõigusega. Lahendati kolme erinevat stsenaariumit ning vaadati, mis oleks õiguspärane riigipoolne tegevus, kui on toimunud aktiivne küberrünnak mõne teise riigi poolt. Ettekanne andis hea ülevaate aktiivse küberkaitse probleemistikust rahvusvahelise õiguse vaatenurgast ning oli arusaadav nii mitte-juristile kui pakkus mõtlemisainet ka küberjulgeoleku teemadega mitte igapäevaselt tegelevale juristile.
  • Juristidest meeldis Yale’i ülikooli professori Oona A. Hathaway pahandav ettekanne sellest, kuidas rahvusvahelise õiguse alusdokumendid aktiivkaitset ei luba. Üldiselt tundub, et juristid on “pehmenemas” ja aktiivkaitse teemal kompromissitult pingesse enam ei lähe, aga see ettekanne oli küll üheselt kriitiline.
  • Dr Jarno Limnell tegiintrigeeriva ettekanne. Tema väitel on küberrelv eksperdid, kellel on võimekus ja teadmised rünnete teostamiseks (ka kaitsmiseks). Füüsilistele varadele lisaks saavad ka nemad füüsiliste rünnete sihtmärgiks ning edaspidi peame olema valmis kaitsma ka neid kui kriitilist vara.
  • Veel üks konverentsil erinevate esinejate poolt välja öeldud teema, mis väärib märkimist, kuna tundus sellisena välja öeldes mõnevõrra uudne: ründajate elu tuleb muuta keeruliseks – tõsta nende enda riske ning kulusid! Erilist tähelepanu pööras sellele USA armee kpt. Jason Rivera, kes tõi ettekandes välja vastumeetmed, mis muudavad ründaja tegevuse riskantsemaks, olenemata sellest, et ründajat ennast on keeruline või võimatu kindlaks teha (atributsiooni probleem), ning ideaalis toimiksid need vastumeetmed autonoomselt.

Konverentsi töötuba:

Esile tõstmist väärib ka konverentsi esimesel päeval toimunud töötuba, kus osalejatele anti ülesanne etteantud stsenaariumi põhjal arutleda aktiivkaitse ehk tagasiründamise teemadel. Töö teostamiseks jaotati osalejad 5 väiksemasse gruppi, iga grupi suurus ca 6-8 inimest. Osalejatel tuli arutleda, millisel juhul on aktiivkaitse meetmete rakendamine mõistlik, millist ressurssi see nõuab ning lisaks milliseid riske meetmete rakendamine endaga kaasa võib tuua. Päeva lõpus tutvustasid kõik grupid oma tulemusi. Lähtuvalt enda töögrupi aruteludest ning lisades juurde teiste gruppide ettekanded, võib öelda, et aktiivkaitse meetmete rakendamisega ollakse ka teoreetilistes aruteludes väga ettevaatlikud. Läbivalt jäi kõlama mõte, et kui üleüldse kaaluda mingeid aktiivkaitse meetmeid, siis need peavad igal juhul olema proportsionaalsed ründega, millele reageeritakse. Lisaks tuleb arvestada, et paljudel juhtudel kasutatakse rünnete sooritamiseks juhuslike ohvrite arvuteid/servereid ning seda omaniku enda teadmata (nt botneti liikmed). Üldiselt jäädi arvamusele, et eelkõige tuleb rakendada klassikalisi kaitsemeetmeid ning aktiivkaitset ainult äärmisel vajadusel.

Soovitusi, kellele võiks Cycon tulevikus huvi pakkuda.

  • Otsustajad, poliitikud, juristid, militaarringkond, kes soovib aru saada tänapäeva kübervõimekustest ja -võimalustest ning vastavatest kaitseplaneerimise vajadustest. Konverentsil räägiti küberkaitsest küllalt ladusas kõigile mõistetavas keeles, minemata süvatehniliseks, mis nö tavainimesele, tavaotsustajale jääb segaseks ja raskesti hoomatavaks. Konverents annab taolistele inimestele hea sissevaate „küberellu“, ohtudele, mis seal varitsevad, ning mõtetele, kuidas nende ohtude vastu kaitsta ning kuidas vastavat kaitset planeerida.
  • Tehnilistele inimestele, kes soovivad aru saada, millist laiemat mõju kübervaldkond elulistele protsessidele, sh riigikaitsele, osutab. Valmis tuleb olla selleks, et jutt on suhteliselt üldisel tasemel, st otsest süvatehnilist tarkust antud konverentsilt ei saa. Pigem on võimalik aduda, kuidas näevad küberruumi juristid, poliitikud, otsustajad, militaristid ja mismoodi võiks, saaks ja peaks küberteemasid juhtimisprotsessidesse (sh äri- ja riigikaitseprotsessidesse) senisest sidusamalt kaasama.
  • Cyconil võiks osaleda inimene, kel on vaja küberteemadel arvamust omada, aga kes teemadest suurt (veel) ei jaga. Artiklikogumik on soovitatav igaühele, kes peab aktiivkaitse teemal struktureeritud mõtteid omama ja väljendama.
  • Pigem generalistid kui tehnikud. Selle aasta CyConil oli palju nö ‘awareness’ ettekandeid, aga eks see üritus ole paljuski ka omavahelise suhtlemise üritus. CyConi eesmärk on üksteisele lähendada neid subkultuure, kes teineteisega tavaolukorras väga ei suhtle: tehnikud-juristid-sõjardid-eetikud-erasektor-akadeemikud-poliitikud, kuid konverets seda eesmärki ta veel täielikult ei täida, ehk siis juristid kuulavad ikka juristide ettekandeid ja tehnikud suhtlevad tehnikutega.