Doktoritöö: autonoomne küberkaitse peatab rünnaku selle toimumise ajal
Ajal, mil aina enam esineb küberrünnakuid, tõuseb küberkaitse olulisus. Tallinna Tehnikaülikoolis kaitstud doktoritöö uuris, kuidas liikuda autonoomsete küberkaitse süsteemide poole, mis võitleks rünnakutega nende toimumise hetkel.
"Enamasti on küberrünnakute eesmärk kätte saada erinevat sorti andmeid, näiteks klientide infot ja isikuandmeid. Samas küberrünnakud sagenevad ning muutuvad aina tõsisemaks. Ukrainast on näited, kuidas küberründajad on põhjustanud ulatuslikke elektrikatkestusi," kirjeldas uurimistöö autor ja NATO kooperatiivse küberkaitse kompetentsikeskuse teadur Mauno Pihelgas.
Doktoritöö keskendus ettevõtete ja organisatsioonide jaoks mõeldud kübertõrje lahenduste väljatöötamisele. Pihelgase sõnul skaneerivad küberründajate automaatsüsteemid pidevalt internetti ja otsivaid turvaauke. "Kui selline auk leitakse, sekkub inimene ja üritab neist sisse tungida. Tihti juhtub ka, et jälgede peitmiseks kasutavad ründajad võõraid arvuteid, nii et selle kasutaja ise aru ei saa," kommenteeris Pihelgas.
Uurija lisas, et täna kasutusel olevad monitooringusüsteemid koguvad küll suurel hulgal toorandmeid, aga pahatihti hakatakse neid analüüsima alles siis, kui midagi on juba juhtunud. "Kuna rünnakud võivad toimuda hetkega, võib küberkaitsja sekkudes juba hilja olla. Seega on tarvis, et küberkaitse süsteemid suudaks reageerida juba rünnaku toimumise ajal," selgitas Pihelgas.
Uurijas täiendas, et automaatsüsteemid on küberkaitses olnud kasutuses aastakümneid, aga enamasti suudavad nad peatada ründeid, mis on selgelt äratuntavad: "Eesmärk on neid süsteeme arendada nii, et nad tuleks toime ka keerulisemate ja varjatud rünnakutega. Kaitsesüsteemide esimene ülesanne ongi ära tunda, kas tegemist on rünnakuga või mitte."
Nimetatud eesmärgi saavutamine eeldab, et tõuseb kaitseprogrammide tundlikkus, mis aitab eristada olulisi sündmusi vähem olulistest. Koos kolleegidega töötas Pihelgas selleks välja ka uusi algoritme. "Ühelt poolt on vaja jälgida logiandmetes esinevaid mustreid ja korduvusi, teiselt poolt peavad kaitsesüsteemid suutma tuvastada ka olulisi üksiksündmusi," rääkis värske doktor.
Samuti tõi autor välja, et kaitsesüsteemide tõhustamise juurde peab kuuluma ka nende süsteemide haldajate väljaõpe ja pidev täiendamine.
Autonoomsed vs automaatsed süsteemid
Pihelgas rõhutas, et tuleks eristada automaatsust ja autonoomsust: "Automaatne süsteem toimib ette antud raamistikus kindlate reeglite alusel. Autonoomsus tähendab, et süsteem peab kohanema muutustega, mis võivad ette antud raamistikust välja jääda."
Uurija sõnul täna päris autonoomselt tegutsevaid süsteeme veel ei ole. Kuigi automaatsüsteemide puhul on põhilised tööriistad olemas, on neidki vaja pidevalt täiustada.
Pihelgas rõhutab, et isegi kui kaitsesüsteemid on automatiseeritud või autonoomsed, on alati tarvis inimese silma, kes neid protsesse tõhustab. "Kui täna on tihtipeale nii, et süsteemihaldurid analüüsivad erinevatest seadmetest kogutud andmeid käsitsi, siis nüüd tuleks liikuda sinna, et meil on süsteemid, mis teevad seda autonoomselt. Sealjuures on tarvis kõrgelt kvalifitseeritud inimesi, kes suudavad neid keerulisi süsteeme hallata ja paremaks teha," selgitas Pihelgas.
Tulevikku vaadates ei pea värske doktor siiski võimatuks, et tekib olukord, kus kübersõda peavad omavahel õppimisvõimelised autonoomsed süsteemid, ilma et inimene peaks üleliia palju sekkuma.
Eesti küberkaitse taset peab uurija heaks. "Lõdvaks ei saa siiski lasta, vaja on tagada ka noorema põlvkonna järelkasv ja ettevalmistus," sõnas Pihelgas.
Mauno Pihelgas kaitses oma doktoritöö "Automating Defences against Cyber Operations in Computer Networks" ("Arvutivõrkude kaitse automatiseerimine küberoperatsioonide vastu") Tallinna Tehnikaülikooli tarkvarateaduse instituudis 11. augustil.