Küberpättide nõrkuseks võivad osutuda end tõestanud ärimudelid
Küberkuritegevuse tekitatav kahju on paisunud maailmas viimasel kümnendil sedavõrd suureks, et ületab juba Venemaa SKP-d. Tallinna Tehnikaülikoolis loodud mudel aitab lahata küberpättide tegevusmustreid ja töötada seeläbi välja meetmeid küberkuritegevusest tuleneva kahju vähendamiseks.
Süvenev probleem
Aastal 2020 küündis küberkuritegevusest tekkinud kahju maailmas 1,5 triljoni dollarini. See moodustab kaks protsenti kogu maailma SKP-st. Tegelikult on nimetatud 1,5 triljonit isegi tagasihoidlik hinnang – mõningatel hinnangutel on see summa kuus või isegi kümme triljonit dollarit. Võib ennustada, et tulevikus kasvab see veelgi, kirjutab Tallinna Tehnikaülikooli doktorant Tiia Sõmer.
Kuigi Eesti kohta selliseid arvutusi tehtud ei ole, ei ole ka põhjust arvata, et meie olukord oleks väga erinev. Tõlgendades ülaltoodud üleilmsed numbrid Eesti konteksti: 2% Eesti SKP-st on ligikaudu 560 miljonit eurot, sama palju kui on Eesti kaitse-eelarve.
Oma doktoritöös uurisin, kuidas see 1,5 trilljonit dollarit tekib, ning kas on võimalik midagi teha selle summa vähendamiseks. Selgus, et üle 90 protsendi edukatest rünnakutest on ühel või teisel viisil suunatud inimeste vastu. Lihtne matemaatika näitab, et kui suudaksime inimeste vastu suunatud ründeid ennetada, on võimalik küberkuritegevusest tekkinud kahjusid kuni 90 protsendi – 1,35 triljonit dollarit – ulatuses ära hoida või neid märkimisväärselt vähendada.
Esmajärjekorras otsivad kurjategijad raha, andmeid ja identiteete. Suuremal või vähemal määral on seda meil kõigil või saab ühte (identiteet või andmed) kasutada teise (raha) saamiseks.
Kas me aga teame, kuidas küberkuritegu toimub? Millised on erinevad tahud, millega kurjategija peab arvestama? Küberkuritegu ei tähenda pelgalt pahavara kirjutamist ja laiali saatmist, et seeläbi hõlpsalt tulu teenida. Küberkurjategijad kasutavad samu meetodeid nagu tänapäeva ettevõtted: vaatavad nõudlust, kaaluvad riske, uurivad kliendibaasi, kulude ja tulude vahekordi, ja teevad riski- ja tuluanalüüsi.
Küberkuritegevuse anatoomia
Küberkuritegevuse kui protsessi mõistmiseks töötasin välja mudeli, mis võimaldab kuritegusid uurida, ennetada ja vastumeetmeid luua ning seeläbi kahjusid vähendada. Selleks tegin koostööd Suurbritannia, Saksamaa ja Eesti politsei küberüksustega ning INTERPOL-iga. Mudeli koostamiseks võtsin esmalt kuriteod piltlikult öeldes tükkideks lahti, analüüsisin neid ja seejärel panin tükid uuesti kokku.
Kurjategijad, eriti organiseeritud kuritegevus, kasutab palju standardprotseduure. Neid ei ole loomulikult eeskirjadena kusagil kirja pandud, vaid pigem on need paindlikud. Tihtipeale kasutatakse neid alateadlikult, kuid erinevate küberkuritegude analüüs tõi välja selge mustri. Piltilikult öeldes koosneb küberkuritegu kolmest etapist:
- ettevalmistus
- läbiviimine
- ning raha teenimine ja jälgede peitmine.
Iga etapp kuriteo protsessis hõlmab endas üksikasjalikumaid samme, ning selles on mitmed olulised ja kriitilised otsustuspunktid. Mudel võimaldab kõikides kuriteo etappides leida need kriitilised otsustuspunktid, millele keskendudes saab kahjusid vähendada. Nendest teadlik olles on võimalik keskenduda sellistele kohtadele kuriteo protsessis, mis võimaldavad töötada välja tõhusaid ennetusmeetmeid, vastumeetmeid või tõsta kodanike teadlikkust.
I etapp
Küberkuriteo protsessi esimeses etapis toimub ettevalmistamine: leitakse ohver ja tema nõrkused, otsitakse ründevahendeid ning nende kasutamise võimalusi.
Ohvrid võivad olla täiesti juhuslikud, või konkreetselt valitud. See tähendab et igaüks meist – nii üksikisik, väikeettevõte kui ka suur ja kriitilisi teenuseid pakkuv ettevõte – võib osutuda küberkurjategija sihtmärgiks.
Ohvri kohta kogutakse informatsiooni: avalikust veebist, sotsiaalmeediast või tumeveebist. Väga palju kurjategijatele kasulikku infot on olemas täiesti avalikult. Kurjategijatele on kasulik nii info inimese isiku kui ka ettevõtte tööprotsesside, kasutatavate siseprotseduuride või tehnoloogiliste lahenduste kohta.
Näiteks väga levinud tegevjuhi petuskeemi puhul on sisuliselt kõik vajalik leitav internetiotsinguga: ettevõtte juhi nimi, ettevõtte andmed, raamatupidamisteenuse pakkuja, pangaarvete andmed, kasutatavad operatsioonisüsteemid, jpm. Seejärel on kõige keerulisem asi kurjategija poolt tavalise e-kirja kirjutamine.
Sellistest kuritegevusest sündivate kahjude ennetamisel on ennekõike abi ettevõtte sisemistest protseduuridest. Samuti on abi e-kirja lugemisel kaalutlusest, kas see on ikka päriselt tegevjuhilt tulnud kiri. Kas pelgalt ettevõtte juhi e-kiri on piisav, et sooritada mitme(kümne) tuhande euro ulatuses ülekanne? Kas e-kirjas väidetud "kiire" on seda ka päriselt?
Investeerimiskelmuste puhul leitakse ohvrid telefonikõnede, sotsiaalmeedia või veebilehtede kaudu. Ettevalmistusfaasis peavad kurjategijad looma veebilehe, mis näib investeerimisteenust pakkuva veebilehega sarnane ning veenma ohvrit ise tegema vajalikke samme rahade üle kandmiseks.
Sellistest kuritegudest on viimasel ajal palju kirjutatud. Ühelt poolt kuuleme edulugusid edukast investeerimisest ja loomulikult soovime ise sama head tulemit! Teiselt poolt loeme, et aina rohkem inimesi satub investeerimiskelmide ohvriks ning kannab kurjategijatele suuri summasid kerge teenistuse lootuses. Kas aga on mõistlik esimese veebilehe nägemisel sinna oma andmed sisestada, või esimese telefonikõne peale reageerida?
Samuti tehakse kuriteo esimeses etapis riskihinnang ja kulu-tulu analüüs. Ka siin on võimalik leida ennetavaid meetmeid – kui riskid kurjategijale on liiga suured, siis on ehk ahvatlus väiksem. Kui tulu ei ole kuluga võrreldav, siis pole kurjategijal mõistlik oma pahategu sooritada. Siin võib abi olla nii seadusandlusest, protseduuridest, tehnoloogilistest lahendustest kui inimeste teadlikkusest.
Kurjategijal on vaja ka ründevahendeid, mida ta võib luua ise või osta mustalt turult. Vastumeetmed neile on peamiselt tehnilised, kuid ka õiguskaitseorganite tegevuses.
II etapp
Teises etapis teostatakse rünnak ning pannakse toime kuritegu, võimalusel mitu korda. Selles etapis varastatakse andmeid, lukustatakse masinaid, või lihtlabaselt varastatakse raha.
Näiteks tegevjuhi petuskeemi puhul saadetakse selles etapis "ettevõtte juhi" kiri raamatupidajale kiire arve maksmise vajadusest või mõne pangakonto andmete muutumisest. Ka siin tasub mõelda, kas e-kiri on päriselt tulnud tegevjuhilt ning kas on tavapärane, et ta soovib suurt summat üle kanda pelgalt e-kirja teel.
Investeerimiskelmuse puhul kannab ohver selles etapis raha üle kurjategijale. Kurjategija võib veebilehel näidata ohvrile raha kasvamist kontol, misjärel ohver teeb aina uusi ülekandeid. Ühel hetkel soovib ta oma raha kätte saada, see pole võimalik ning mõistab, et sattus pettuse ohvriks. Kui aga ennetavalt mõelda – kas päriselt küsitakse tehingute tegemisel PIN-koodide sisestamist telefoni teel?
Lunavararünnakute puhul krüpteeritakse selles etapis masinad ja andmed, mille lahti krüpteerimiseks küsitakse hiljem raha. Kas raha maksmisel andmed saadakse tagasi või mitte, ei ole alati kindel. Kui aga meil on olemas varukoopiad, siis rahalist ja ajalist kahju ei ole. Mainekahju võib tekkida suur, kuid seda võib olla lihtsam lahendada, kui andmeid ja süsteeme taastama hakata.
Kuriteost tulenevaid kahjusid juba selle läbiviimisel aitavad vähendada erinevad tehnilised lahendused. Ka IT-spetsialistide või politsei võimekus kiirelt reageerida ja kuritegu seeläbi ära hoida suurendab riski kurjategijatele ning omab ennetavat mõju.
III etapp
Kolmandas etapis väljutakse kuriteo tsüklist, mis ühelt poolt tähendab oma jälgede peitmist ja teiselt poolt saadud "kasu" rahaks tegemist. Kuritegeliku raha puhtaks pesemine on olnud probleem kurjategijatele sama kaua kui kuritegevus on maailmas eksisteerinud.
Isegi kui lunavararünnete puhul tundub skeem olevat lihtne: ohver teeb rahaülekande ning kurjategija teenistuse, on protsess märksa keerulisem. Kurjategija peab looma või leidma kasutamiseks erinevaid pangakontosid, kandma raha välgukiirusel erinevate krüptorahade ja tavapanganduse teenuseid kasutades. Tihtipeale kaasatakse protsessi ka rahamuulasid, kes võivad tegutseda nii teadmatult kui ka teadlikult. Kuna rahapesu toimub ülikiirelt ja riikidevaheliselt, on selle jälitamine raske.
Rahapesu on täiesti eraldi teema, mille vastu võitlemisega tegelevad nii riigid, pangad kui ka ettevõtted. Selleks on täiesti omaette meetodid, milledesse siinkohal ei ole mõtet laskuda. Kui aga ohvrid esmase sammuna ei kanna kurjategijatele ise raha, võivad kahjud olla märgatavalt väiksemad. Siit edasi mõeldes – kui kurjategijad sel viisil raha ei teeni, pole neil edaspidi selliseid pahategusid mõtet teha.
Samamoodi on kurjategijad nutikad, kasutades oma jälgede peitmiseks erinevaid tehnilisi ja mitte-tehnilisi vahendeid: nii täiesti seaduslikke kui ka kuritegelikul turul müüdavaid.
Pole ohvreid, pole kuritegu
Inimeste kaudu rünnatakse ka riike ja suurettevõtteid. Kuigi sellised kuriteod on tehniliselt keerulisemad, võimaldab välja töötatud mudel ka neid detailselt kirjeldada ning vajalikke ennetus- või vastumeetmeid välja töötada.
Kurjategijad kasutavad meetodeid, mis töötavad – lihtsamaid ja keerukamaid. Ja loomulikult – kui lihtsa õngitsuskirjaga on võimalik rivist välja viia väga suured ja kriitilisi teenuseid osutavad ettevõtted ning seeläbi kuritegelikku tulu teenida, siis seda ka tehakse. Ka kurjategijatele on keerulisemate meetodite kasutamine kulukam ja riskantsem, lihtsam on suurt asutust rünnata tavakasutaja kaudu.
Tallinna Tehnikaülikooli doktorant Tiia Sõmer. Erakogu
Kui ei ole ohvreid või võimalusi kuriteost kasu teenida, on raskem sooritada ka kuritegu. Seetõttu on välja töötatud mudelit kasutades edaspidi kavas uurida detailsemalt kuriteo ohvrite käitumist, küberkurjategijate ärimudeleid, ning kuritegelikku raha teenimist.
Briti statistik George Box on öelnud, et kõik mudelid on valed, aga mõned võivad olla kasulikud. Teadlastena võime küll asju uurida ja kasulikke mudeleid välja töötada, politsei võib neid kasutades küberpättide vastu võidelda ja kohtud süüdi mõista, kuid suur osa kuritegevust mängib tavakodanike enda tähelepanematusel ja pealiskaudsusel.
Seega peaksime ise üksikisikutena ettevaatlikumad olema ja küberturvalisuse enda jaoks ümber mõtestama. See pole tüütu, keeruline ja kallis. See on miski, mis võimaldab vältida küberpättide tekitatavat rahalist ja moraalset kahju.
Artikkel ilmus Eesti Teaduste Akadeemia korraldatava konkursi "Teadus 3 minutiga" raames, mille pidulik finaal toimub 11. veebruaril.
Toimetaja: Jaan-Juhan Oidermaa