Just sina oled küberturvalisuse nõrgim lüli
Kuna küberkuriteo sooritamiseks kulub vaid sekund, on kasutajat kaitsta väga keeruline. On vaid üks lahendus ja see kätkeb endas õigusteadust ning kasutaja harimist, kirjutab Tartu ülikooli IT-õiguse doktorant Kristjan Kikerpill.
WannaCry, NotPetya, BadRabbit – näiliselt suvalised sõnakombinatsioonid, mis tähistavad üksnes viimase poole aasta jooksul Eestit ja ülejäänud maailma kimbutanud lunavararünnakuid. Krüpteeritud failidega telliskivistunud arvuteid on Eestis kogeda saanud nii riigiasutused, siin tegutsevad suur- ja väikeettevõtted kui ka tavakasutajad.
Täielikust “uks läks lukku, kägu tegi kuku!” olukorrast on sageli päästnud vaid regulaarne andmete varundamine – oluline tegevus, mille suhtes ei tohiks passiivne olla enam ükski regulaarne arvutikasutaja.
Kui lunavararünnakud on laia ilma rändama lasknud kuritegelike kavatsustega inimesed, siis alati pole pahalaste nupuvajutusi isegi tarvis, et oma turvatunde suurendamiseks tehtud (hooletud) tehnoloogilised ponnistused risti vastupidise tulemuse annaksid. Näide: 2017. aasta septembris pakkus Eestis kõneainet pakkunud põhilisi turvanõudeid järgimata kodudesse paigaldatud valvekaamerad, mille pilt oli jälgitav kõigile, kes teadsid, kust otsida.
Kuna 95 protsenti arvutitega seotud intsidentidest põhjustab väidetavalt teatud tüüpi inimlik eksimus, kipub teadmatus teadmistepõhises ühiskonnas kibedalt kätte maksma.
Küberturvalisuse kohta käivate arutelude vajaduse kaasa toonud info- ja kommunikatsioonitehnoloogiaid (IKT) on Euroopa Liidus käibel olevas terminoloogias kirjeldatud kui kahesuguse kasutusega objekte. Teisisõnu kuulub osa IKT-st määratluse alla “kaubad, sealhulgas tarkvara ja tehnoloogia, mida saab kasutada nii tsiviil- kui ka sõjalisel otstarbel”.
Ekspordikontrolli kontekstis käsitleb arutelu just küberseiretehnoloogiaid, mille seaduses ette nähtud proportsionaalne ja vajalik rakendamine on oluline modernne meede demokraatliku ühiskonna korrakaitseorganite töös. Paraku võimaldab sellise tehnoloogia olemasolu autoritaarsetes ühiskondades sama lahendust rakendada tegevustes, mis päädib inimõigusaktivistide vangistamise või hukkamisega.
Kahesuguse kasutusega tehnoloogia pole kindlasti uus nähtus, sest ka kivikirved võib eelpool toodud määratluse alla kanda – eks olenes nendegi kasu või kahju sellest, mida raiuti. Samas piirdus see kasu või kahju väga kitsa tegevusruumiga.
Kohalik globaalsus
Keskkonnakaitsjad võtsid kasutusele fraasi “mõtle globaalselt, tegutse lokaalselt”, et ilmestada tegevuse mõju kodukohas kogu planeedi jaoks. See on huvitav mõõdupuu ajalooliste ja tänapäevaste kahesuguse kasutusega tehnoloogiate mõju avastamiseks.
Primitiivse tehnoloogia kasutus ja sellele järgnenud mõju üldises infosulus piirduks hüüdlausega “mõtle lokaalselt, tegutse lokaalselt”. Arenenud kommunikatsiooni tulemusena avardunud maailmapildi võtmes saab sama tehnoloogiat kasutada lokaalselt, lähtudes sealjuures juhtmõttest, mille kohaselt on tegevuse tagajärgedel nende summas ühtlasi mõju kogu (globaalsele) ühiskonnale.
Täisaurul infoühiskonnas on praktikas igaühele saavutatav eesmärk “mõtle lokaalselt, tegutse globaalselt” ning Eesti riik on siinkohal kindlasti eeskuju. Võtame näiteks e-residentsuse idee ja viimase rakendamise koos selle juurde käinud õiguslike muudatustega.
Teisalt on kohe positiivsete nähtuste kõrval esiplaanil ka asjade katkisem külg, kui mõelda hiljutisele ringkonnakohtu otsusele Kaur Kenderi kohtuasjas. Sisulisi küsimusi kõrvale jättes tõi juhtum väga teravalt välja, et praegu töötab Eesti kehtiv õigus kui riikluse operatsioonisüsteem vähemasti osaliselt uuendamata süsteemitarkvaraga.
Siiski pole kahtlust, et infotehnoloogia areng on kaasa toonud märkimisväärselt palju ühiskondlikult ja majanduslikult positiivset. Teenuste kättesaadavus on paranenud ning nende koosseis oluliselt täienenud, sealjuures on pidev suund juba olemasoleva toimimise veelgi mugavamaks ja kasutajasõbralikumaks muutmiseks.
Tõrvatilgaks kiire progressi meepotis on laiem ühiskondlik probleem uute tingimuste ja võimaluste keskkonnas edukalt kohaneda, olenemata sellest, kas oleme ise tehnoloogia kasutajad või kasutavad seda teised meiega seonduva mõjutamiseks. Taoline kohanemine on aga kollektiivne protsess.
Küberruum on oma täielikkuses inimeste loodud, mis tähendab, et stardipaugust alates on vähemuse oskused ja teadmised enamuse omadega võrreldes oluliselt paremad, kusjuures oskuste tasemete vahel haigutav tühimik on sageli kriitiliselt lai.
Küberkuritegu tehakse valguskiirusel
Küberkuritegevuse puhul on teadmiste ebavõrdne jaotumine tekitanud „tankidega odade vastu“ olukorra. Kuritegevus toimub hetkel, mil koos esinevad kolm elementi:
- on olemas motiveeritud ning piisavate oskustega (võimalik) kurjategija,
- tema teo toimepanemise aspektist sobilik sihtmärk,
- puudub keegi või miski suutlikkusega teo toimumist ära hoida.
Tähtis on siinkohal teada, et kui ükskõik milline neist elementidest on vastupidise väärtusega, siis on sündmust ei toimu. Sedasi sõnastatuna kõlab küberkuritegevuse ennetamine võrdlemisi lihtsana, sest tuleb vaid üks element ära muuta ning konkreetne probleem kaob.
Kuid tuleb arvestada küberruumi pidevalt paisuvat avarust ning situatsiooni, kus geograafilised piirangud õiguslikult relevantsete tegude tegemist reaalsuses aina enam üldse ei mõjuta.
Mainitud Kaur Kenderi kohtuasi on vaid üks näide sellest, kuidas “see, mis on” ei allu reeglitele, mis loodi ajastu “see, mis oli” tarbeks. Sarnaselt juba toimunu üle tõhusa õigusmõistmise tagamisele tuleb uuenduskuur läbida ka probleemide, eelkõige küberkuritegevuse ja -intsidentide ennetamisele rakendataval mõtteviisil.
Tulles tagasi kuritegevuse kolme vajaliku elemendi juurde, siis on pahatahtlike kavatsustega inimestel tänapäeval äärmiselt lihtne leida netiavarustest üles vajalikud tööriistad, et neid oma kavatsuste täideviimiseks rakendada ning teadmatuses viibivatele isikutele viimaste usaldust kuritarvitades kahju põhjustada.
Enne tegutsemist lahutab võimalik kurjategija saadava kasu suurusest maha teoga vahele jäämise riski. Mida väiksem on tõenäosus negatiivsete tagajärgede kogemiseks, seda suuremana näib lõppkokkuvõttes saadav kasu ning küberruumis toimuva puhul on karistamatuse tunne paraku siiani võidukäigul. Lihtne on ründajaks hakata, lihtne ka rünnata ja võimalikest sihtmärkidest puudust ei ole, sest pea igaüks meist kannab taskus kaasas andmete varasalve.
Kuivõrd küberkuritegu pannakse toime valguskiirusel ja enamasti tavainimese jaoks märkamatult, siis on kolmandatel isikutel väga keeruline sihtmärgiks olevale inimesele või asutusele teo momendil kaitset pakkuda.
Ainus kaitse
Sellest lihtsast tõsiasjast tulenevalt peame küsima, millise elemendi väärtuse vastupidiseks muutmisele keskendumine on turvalise küberkeskkonna tagamiseks hetkeolukorras kõige suuremate puudujääkidega?
Vastuseks siinkohal on just nimelt võimalik sihtmärkide teadlikkuse tõstmine. Oluline on jagada heade praktikate ja kriitilise tähtsusega informatsiooni kiiremini ning rakendada tulemuslikumalt olemasolevaid või loodavaid turvastandardeid.
Arvutid ei kasuta iseennast, vaid IKT loodud võimalusi rakendavad inimesed. Samuti kogevad vaid nemad seadmete kasutamise positiivseid ja negatiivseid tagajärgi. Küberturvalisuse kontekstis tuleb inimene edaspidi rõhutatumalt esile tõsta, sest digimaailmas tegutsemise turvalisuse tagamisele pretendeerivad lahendused, mis kipuvad ära unustama inimesi. See on võrdne tuuleveskitega võitlemisega: ehitatud müüride kõrgus on ebaoluline, kui väravavalvur on võimalik hõlpsasti ära meelitada.
Mugavuse ja kiiruse tagaajamine – patt, millest vähesed puhtad on – ei peaks enamusele samaaegselt tähendama turvalisusest loobumist. Selleks tuleb riigil, erasektoril ja teadusasutustel tihedamat koostööd teha ning töö tulemused kõigile arusaadavalt ka edastada.
Siinkohal on võti uute teadmiste ja oskuste omandamine koos eksisteerivate teadmiste tõhusama jagamisega erinevate valdkondade vahel viisil, mis tagab suurima võimaliku avaliku kasu. Kuivõrd õiguskaitseorganid on korduvalt näidanud, et on sunnitud uuenenud mängus kaasa lööma ikka veel vanade reeglite järgi, siis peab õigusvaldkonnas muutus algama uutest oludest teadlike juristide koolitamisest.
Toimetaja: Marju Himma