Küberturbe ekspert: häkkerid kolivad riigi palgale

Mis ohustab e-Eestit, kas tavakodanik on kaitstud ja mida IT-kirjaoskuse laiem levik kaasa toob? Novaatori intervjuus võtab küberturbe aasta kokku Uus-Meremaal ja Belgias tegutsev Joe Burton, kelle teadustöö keskmes on küberturbe poliitilised, inimlikud ja psühholoogilised tahud.
Mis on küberturbe maailmas lõppeva aasta olulisemad märksõnad ja trendid?
Kõige suurem uudislugu rullub lahti praegu seoses turvatarkvara SolarWinds juhtumiga, mille puhul USA valitsusasutuste krüpteerimisvõtmed sattusid tõenäoliselt Vene häkkerite kätte. Läheb ilmselt kuid, enne kui ameeriklased suudavad sissetungijad oma süsteemidest välja lukustada.
Olukord on seda tundlikum, et Trumpi administratsioon peab võimu peagi Bideni tiimile üle andma. See suuremõõtmeline küberoperatsioon leidis aset USA jaoks väga keerulisel ajal.
Tegelikult on küberkuritegevus kogu maailmas tõusuteel. Tänavu tekitas eriti palju probleeme pahavara, mis lukustab arvutisüsteemi ning nõuab selle taasavamiseks lunaraha.
Paraku on küberturbega seotud üldised normid ühtlustamata ja rahvusvahelised läbirääkimised sel teemal pole antud loodetud tulemust. Probleemide ennetamiseks oleks tarvis detailsemad standardid paika panna.
Kui turvaliselt üks tavakodanik end tunda võib? Kui teeme kõik justkui õigesti ja laadime regulaarselt alla programmiuuendusi, kasutame ainult legaalset tarkvara ega klikka kahtlastele linkidele, kas oleme siis kaitstud või pahatahtlikule ründajale sellest hoolimata kerge saak?
Oluline aspekt ongi just see, kas keegi tahab nimelt just meid rünnata. Ohust kõneldes on suur vahe, kas räägime laialt levinud andmepüügi skeemidest, kus inimestele saadetakse näiteks pahatahtlike linkidega e-kirju või siis tõsisematest operatsioonidest, mille sihtmärgiks on konkreetne isik. Kui kuritegelik element on ikka võtnud pähe, et soovib kellegi arvutisüsteemi infiltreeruda, siis võib öelda, et paraku eelis on enamasti just nende poolel.
Ka seesama juba viidatud SolarWindsi juhtum on heaks näiteks: USA valitsus võtab ju küberturvet väga tõsiselt, ent siiski õnnestus häkkeritel oma tahtmine läbi suruda.
Tavainimeste puhul muidugi sellist koordineeritud rünnakut enamasti ei tehta ja inimestel oleks võimalik küberkuritegude ohvriks sattumist siiski suuresti ise vältida.
Selleks tuleks pöörata tähelepanu oma digihügieenile ja suhtuda oma seadmete turvalisuse tagamisse tõsiselt, vahetada regulaarselt salasõnasid, võimalusel kasutada kaheastmelist sisselogimist ja loomulikult ainult autentset tarkvara. Päris paljud inimesed ei tee neid lihtsaid asju ja arvavad ekslikult, et neid küberturbe küsimused ei puuduta.
Kindlasti on tarvis sel teemal inimeste teadlikkust tõsta, kuna nende igapäevaselt pruugitavate seadmete hulk muudkui kasvab ning seadmed ise on järjest enam omavahel kontaktis.
Alustades nutikelladest lõpetades tarkade külmikute ja autodega — suur hulk argielektroonikast on pidevalt võrgus. Selliste toodete loojate esmahuvi pole paraku turbeprobleemide ennetamine, vaid toote võimalikult kiire turulepaiskamine.
Kui sageli juhtub, et kübermaailma andekad on kõigepealt pahalaste poolel ja liiguvad sealt üle kangelaste sekka? Hiljuti rahvusvahelises meedias laineid löönud Marcus Hutchins tegutses teismelisena tumedas veebis, ent sai hiljem üleilmselt tuntuks WannaCry lunaraha viiruse praktiliselt ainuisikulise peatajana. Au ja kuulsuse nautimise lõpetas aga nooruspõlves tehtu eest kohtu ette minek. Kas selline piiride ületamine käib küberkultuuri juurde?
Kultuur on tõesti võtmesõna. Külma sõja järel esilekerkinud häkkerikultuurile on omane riikide ja suurte süsteemide vastasus. Nende aluspõhimõtted on seotud informatsioonivabadusega. See, et valitsused ja organisatsioonid peavad vajalikuks osa infot endale hoida, selle levikut kontrollida ja seada tõkkeid, on nende arvates vale.
Popkultuuris, eelkõige filmides, on häkkerite õõnestustööd kujutatud viisil, mis on tekitanud paljudes tunde, et arvutisüsteemidesse sissemurdmine on kuidagi aktsepteeritav. Tegelikult see muidugi nii ei ole, vaid see on siiski küberkuritegu.
Häkkereid on nüüdseks juba väga palju. Viimase 10-15 aastaga on toimunud teatav nihe ning nende ekspertiis on läinud väga hinda. Inimesi, kes end varem häkkeriteks pidasid, on hulgaliselt palgatud ülikooliprofessoriteks ja ka riigikaitseasutused on neid värvanud.
Niinimetatud eetiline häkkimine on kujunenud eraldi valdkonnaks, mis tegeleb olemasolevate arvutisüsteemide turvaaukude väljaselgitamisega. Tänapäeval on see juba üsna suur äri ja inimesed teenivadki raha selle eest, et häkivad firmade serveritesse sisse ja leiavad salateid läbi nende tulemüüride.
On irooniline, et selleks tööks vajalike digitaalsete tööriistade valmistamise tahtmatu tagajärjena tõuseb pidevalt ka pahalaste tase ja varustatus. Tööriist on ju kõigest tööriist — seda saab kasutada nii heaks kui ka halvaks.
Ka SolarWinds tegutses just selles sektoris. Nüüd on aga nende arendatud tarkvara internetis üleval ja seda saavad kasutada küberkurjategijad. Ka mõne aasta tagune WannaCry pahavara kriis sai sarnaselt alguse. Windows XP operatsioonisüsteemis oli üks turvaauk ja USA luureagentuur oli sellest teadlik. Kui häkkerid nende tarkvara EternalBlue varastasid, sai sellest relv.
Selline skeem, et ehitatakse mingi tarkvara turvalisuse tagamiseks ja sellest saab hoopis uus turvaoht, on üks küberturbe valdkonna paradokse.
Uued vidinad ja tarkvara on omavahel nii intuitiivselt seotud, et isegi väikelapsed suudavad neist mõningaid ilma juhendamiseta kasutada. See pidev lihtsustamine on toonud kaasa olukorra, kus vähemintuitiivsed programmid nagu näiteks tekstitöötlusega soetud, valmistavad noortele ootamatult palju probleeme. Teisalt on mõningates koolides asutud lugemise, kirjutamise ja rehkendamise kõrval juba maast madalast õpetama ka programmeerimist. Nendest klassidest sirguvad noored on teises äärmuses, kuna saavad aru mitte ainult sellest, kuidas programme kasutada, vaid ka sellest, kuidas programmid töötavad. Kui üks seltskond vajab lihtsaid lahendusi ja tahab näpuga mööda ekraani libistada ja teine, IT-kirjaoskusega seltskond ei vaja üldse mingeid ikoone ega kasutajaliidest, vaid oleks valmis sellest filtrist loobuma ja kübermaailmaga intiimsemalt suhestuma, siis kumb jääb peale?
Mu esimene pakkumine on, et need kaks äärmust eksisteerivad ilmselt edaspidigi teineteise kõrval. Meil on tõesti palju inimesi, kes tahavad ja vajavad võimalikult lihtsat kasutajaliidest. Ja siis on teised, kel on oskused luua endale otsetee arvutisüsteemide sisse.
Uus-Meremaal Waikato Ülikoolis korraldame igal aastal küberturbe võistlusi, mille raames teismelised programmeerijad häkivad sisse arvutisüsteemidesse või droonidesse. Me tahame, et nende noorte hämmastavad teadmised ja loovus leiaks seaduslikku rakendust.
Kui ühiskond tervikuna jagaks küberturbest ja arvutisüsteemidest rohkem, oleks küberkurjategijatel keerulisem oma pahatahtlikke plaane ellu viia. See, et lapsed ja noored suudavad intuitiivselt nutiseadmeid kasutada, annab mulle lootust.
Samas ma ka muretsen, kuna me veel ei tea, milliseid käitumuslikke, sotsiaalseid ja psühholoogilisi tagajärgi meie tõusvas joones kulgev ekraanistumine aastakümnete jooksul kaasa toob.
Kui keegi suudaks kunagi luua toimiva kvantarvuti, oleks Eesti erinevad e-lahendused suures ohus, kuna kvantarvuti abil saaks kõigist praegu olemasolevatest turvavõrkudest mänglevalt läbi liuelda. Millal see hüpoteetiline oht teie hinnangul reaalseks ohuks saada võiks?
Ei maksa unustada, et kvantarvutit saaks ka krüpteeringu turvalisuse parendamiseks kasutada. Kui kvantarvutite ajastu päriselt saabub, siis hakkabki võistlus käima selle peale, kumma poole kvantarvuti on võimsam: kaitsja või ründaja oma.
Minu meelest ei peaks me aga keskenduma mitte nii väga kvantarvutitele endile, vaid sellele, kuidas nad teiste arendusjärgus olevate tehnoloogiatega ristuma hakkavad. Eriti palju mõtlemisainet pakub siinkohal tehisintellektiga seotu.
Kui panna kokku tohutu arvutusvõimsusega kvantarvuti ja uue taseme algoritmid ning eksponentsiaalselt kasvav kogus suurandmeid ja asjade internet ning liita valemisse tehisintellekt, kes selle kõigega suhestuda oskab, siis see kombinatsioon võiks küll põhjapanevalt nii internetti kui ka turvet ümber kujundada.
Toimetaja: Maarja Merivoo-Parro