Ajakirjast Sõdur: kübersõjatandril oleme me pideva rünnaku all
Ilmus ajakirjas Sõdur 5/2017
1. augustil 2018 luuakse Eestis ametlikult küberväejuhatus. Kas me võime juba rääkida, et nüüd on tekkinud uus väeliik maa-, mere- ja õhuväe kõrvale?
Siiski mitte. 2016. aastal Brüsselis kohtunud NATO kaitseministrid leppisid kokku, et küberruumist saab alliansi sõjaliste operatsioonide viies domeen senise nelja – maa, õhu, vee ja kosmose – kõrval. Seega küberväejuhatuse üks põhiülesannetest saab olema operatsioonide läbiviimine küberruumis. Meil muutub senine siderelvaliik küberrelvaliigiks. Mida see tegelikult sisaldab? Esiteks, info- ja kommunikatsiooniteenuste (IKT) osutamine. Teiseks, meie enda s.t kaitseministeeriumi haldusala küberruumi kaitse. Kolmandaks, aktiivne kaitse. Lisaks on selline termin nagu juhtimistoetus ja selle tagamine, see peidab endas rohkemat kui IKT ja küber. Maa-, mere- ja õhuväe kõrvale uut väeliiki ei teki. Aga me tagame NATO-siseselt ja kaitseministeeriumi-üleselt nn neljanda domeeni, küberdomeeni ehk küberruumi kaitset.
NATO teatas, et eelmisel aastal tabas allianssi keskmiselt 500 küberrünnakut kuus. Kas sisuliselt on see relvaliik praegu sõjas?
Õige, me oleme kogu aeg rünnaku all. 24/7 ehk 24 tundi päevas, seitse päeva nädalas, kõikidel päevadel aastas. Meid pommitatakse igalt poolt.
Kas me saame ka öelda, kes meid ründavad?
Rünnakud tulevad erinevate riikide territooriumitel paiknevatest infosüsteemidest. Seda on raske öelda, kas meid ründab mõni konkreetne riik ja kas rünnak on poliitiliselt motiveeritud. Seda me saame öelda, mis kontinentidelt ründed tulevad, aga need ei ole isikustatud ja selles on probleem. Näiteks, kui rünne tuleb teiselt poolt Atlandit, siis selle taga ei pruugi olla Ameerika Ühendriigid, vaid võivad olla hoopis meie idanaabrid, kes ründavad meid näiteks Panama kaudu, kasutades seal paiknevat infosüsteemi. Või kui rünne tuleb lõuna poolt, siis me ei saa öelda, et selle taga on Nigeeria.
Seega me ei näe seda vaenlast alati läbi ning teda on raske tuvastada.
Me ei näe vastast läbi ja teda on tõesti raske tuvastada.
See on väga keeruline sõjapidamine. Vaenlane areneb kiiresti. Kas meie peame sama kiiresti või veelgi kiiremini vastu arenema?
Õige. Hetkel anname me endast parima, et ennast kaitsta, aga me ei suuda veel täna kõiki ohtusid ette aimata ja ohuallikaid jahtida. Seda võimekust oleme me viimased u 10 aastat ka arendanud. Küberdomeeni kontekstis oleme jõudnud ka arusaamale, et parim kaitse on rünnak.
Ka paljud teised riigid on olnud viimastel aastatel tugevate küberrünnakute all. Kui palju me teistest riikidest õppida saame?
Me saame õppida ja õpime üsna palju. Meil on tihe kontakt NATO vastava üksusega NCIRC (NATO Computer Incident Response Capability). Meie küberintsidentidele reageerimise keskus suhtleb NCIRC-iga ja sealt me saame infot NATO-lt ja teistelt liikmesriikidelt nende rünnakute ja kaitsemeetmete kohta. Samamoodi suhtleme me oma NATO-sse mitte kuuluvate riikide (Soome, Austria, Rootsi ja ka Euroopa Liidu vastavate asutuste) partnerite ning raamlepingupartneritega, nagu viiruse-, pahavara-, nuuskimisvara- jne tõrje firmadega.
Kas viirusetõrje on ka sisuliselt kübersõja vahend?
Jah, see on nagu kerge kuulivest, mis kaitseb väikekaliibrilise tulirelva tule eest.
Ameerikas on palju spekuleeritud Kaspersky üle ja selle üle, kas see firma võiks Venemaa valitsuse tööriistaks olla. Kui tõenäoline üldse on, et viirusetõrjefirmasid saaks kasutada kübersõja rünnakul?
Kindlasti saab. Kaspersky puhul on see probleem, et firma pärineb Venemaa Föderatsioonist (VF) ja mingi osa selle arendusest toimub sama riigi territooriumil, kus ta on suure tõenäosusega ka riigi luureagentuuride huvialas. VF luureagentuurid kasutavad antud võimalust hea meelega ära, kuna USA elanikkonna arvu arvestades oli Kasperskyl suur turuosa, mis oli soodne ning seda kasutati ka riigisektoris. Selle soodsus võis olla taotluslik s.t et USA asutused selle kindlasti ostaks. Kaspersky viirusetõrje teeb oma tööd hästi, aga on kahtlus, et kuna AV programm installitakse arvutisse administraatori õigustes ja programm omab suurt kontrolli arvuti üle, siis kasutab VF huviorbiidis olev mõjuagent programmi tagauksena, et varastada informatsiooni USA riigiasutuse infosüsteemist. Sellise tagaukse kaudu saab süsteemi ka halvata ja hävitada. USA lihtsalt identifitseeris potentsiaalse ohuallika oma julgeolekule ning asus seda kõrvaldama.
Kas rahvusvahelist koostööd aitab teha ka Tallinnas asuv küberkaitse koostöökeskus?
Me teeme tihedat koostööd riigi infosüsteemi ameti (RIA), majandus- ja kommunikatsiooniministeeriumi, CERT-iga (organisatsioon, mis tegeleb turvaintsidentidega). Lisaks osaleme õppustel ja koordineerimeõppusi, mida viib läbi NATO küberkaitsekeskus.
Millisel tasandil üldse rahvusvaheline koostöö käib? Ma vaatan, et ameeriklased ja hiinlased on arutanud isegi lepingut vastastikustest küberrünnakutest hoiduda. Kui tõsiselt selliseid kokkuleppeid saab võtta?
Ei saa tõsiselt võtta. Seepärast, et riigid võivad omavahel kokku leppida, aga kui riigid tegutsevad, siis tihtipeale (eriti Venemaa) tegutsevad nad kolmandate osapoolte kaudu. Keegi pole kuulutanud ja suure tõenäosusega ka ei kuuluta ametlikult välja kübersõda. Kui midagi juhtub, siis nad tõstavad käed üles, väites „meie ei teinud, meie ei tea midagi“. Nagu ka 2007. aasta sündmuste käigus. Me teadsime, s.t kõik viitas ühele konkreetsele riigile, aga asitõendeid ei leitud piisavalt. Täpselt samamoodi toimivad kõik teised riigid.
2007. aastal oli Tallinn ja terve Eesti väga tõsise küberrünnaku all, mida on otseselt seostatud Venemaaga. Kui kindlad me võime täna olla, kust ja kelle kaudu need rünnakud tollal tulid?
Selle kohta on palju erinevaid analüüse tehtud ja on mitmeid erinevaid arvamusi. Kindlad mõõdikud näitavad, et enamus rünnakuid tuli ida poolt. Ja selle taga oli Kreml. Aga ei ole kohust, kes ütleks, et Venemaa oli süüdi. Selleks, et kedagi süüdistada, on vaja koguda konkreetseid asitõendeid, aga Venemaaga meil sellist koostööd ei ole. Me võime süüdistada, aga nemad ütlevad, et ei ole teinud.
Milline on meie võimekus Venemaa kätt Eesti küberruumist eemal hoida?
Olukorra teadlikkus on Eestis selgelt paranenud. Me teame ja reageerime nendele asjadele. Kui midagi juhtub, siis me saame aru, mis see on ja võibolla ka sellest, kust see tuleb. Aga kes seal taga tegelikult on, seda me kindlalt väita ei saa. Riigina oleme me suhteliselt heal järjel, aga kübersõja mõistes on veel palju vaja ära teha, et saavutada rahuldav tase sõjapidamise mõistes küberruumis. Meie ja ka ülejäänud maailm ei ole küberruumi varem sellisena vaadanud. Eestis on IT potentsiaal kõrgel tasemel ja see on Eesti-suurusele riigile sõjalises võtmes hea ja taskukohane nišš, mida arendada, seda enam, et Eesti on maailmas kübermaastikul eesrindlik ja eeskujuks teistele. Meil on riigina palju kaotada, kui meie E-eluviis katki tehakse, kuna me müüme oma lahendusi ja innovaatilisust üle maailma.
Milline on küberväejuhatuse ülesanne siin?
Parandada kaitseväe olukorra teadlikkust ja arusaama küberruumist. Ennetada ja jahtida küberohtusid ning ideaalis on parim kaitse ikkagi ju rünnak. Kaitseväe peamised ülesanded on:
1) riigi sõjaline kaitsmine ja osalemine kollektiivses enesekaitses;
2) valmistumine riigi sõjaliseks kaitseks ja osalemiseks kollektiivses enesekaitses;
3) osalemine rahvusvahelises sõjalises koostöös rahvusvahelise sõjalise koostöö seaduses sätestatud korras;
4) osalemine erakorralise seisukorra ja hädaolukordade lahendamisel ning turvalisuse tagamisel seaduses sätestatud alustel ja korras.
NATO kiidab oma leheküljel Eesti küberharjutusväljakut (Cyber Range). Mida see üldse endast kujutab?
Sisuliselt on see suur andmekeskus, kuhu on ehitatud vastavalt õppuste vajadusele vajalikud virtuaalsed keskkonnad. Nendes keskkondades on võimalik matkida erinevaid stsenaariume. Nii kaitse-, ründe- kui ka muid stsenaariume. Ehk kui näiteks võetakse kasutusele uus IKT lahendus, teenus, siis seda saab testimise eesmärgil rünnata. Nii vaadatakse, kas see teenus või lahendus on kõlbulik kasutamiseks kaitseväe infosüsteemis või millised riskid kaasnevad selle kasutamisega ning vajadusel analüüsitakse, mida annab teha, et riske maandada. Täna viiakse selles keskkonnas läbi valdavalt koolitusi ja õppusi. Näiteks kui maa-, mere- või õhuvägi viib läbi oma operatsioone ja selleks on vaja C4-taseme juhtimistoetust, siis C4 IT osa saab matkida virtuaalselt. Ja sealt kaudu ka selle kaitsmist õppida.
NATO ja eriti ameeriklased on harjutanud olukorda, kus näiteks satelliitside on katkenud ja riigil tuleb sellises olukorras toime tulla. Kas see kuulub otseselt kübersõja alla?
Osaliselt kindlasti kuulub. Side ja IT läheb kõik kokku, olenevalt riigist, aga ameeriklased ütlevad, et see on kõik üks küberdomeen.
Kas Eesti peab samuti valmis olema selleks, kui tavalised sidekanalid ära kaovad?
Aga seda me oskame. Kui me enam ei saa digitaalselt informatsiooni edastada või vahetada, siis me läheme ajas tagasi, nii kuidas me vanasti tegime. Seda ei tohi ära unustada, seda tuleb samamoodi harjutada, erinevaid vahendeid, nagu virgatsid, postkastid, kohtumised jne.
Me oleme näinud Venemaalt lähtunud või vähemalt Vene-meelset küberrünnakut Eesti vastu. Aga kas näiteks hiinlased või põhjakorealased on ilmutanud mingit huvi Eestit rünnata?
Tegelikult me näeme iga päev, et neid ründeid tuleb mõlemalt poolt, nii Aasia kui Ameerika poolt, aga seal taga ei ole riigid, või ei pruugi olla. Kindlasti Ameerika ei ründa otseselt meid, see on keegi teine, kolmas või neljas, kes kasutab USA-d proxy-na. Valdav osa rünnakuid on finantskuriteod ja nende puhul pole Eesti atraktiivne sihtmärk. Me ei ole maailma finantskeskus ja meie pangandussektori turbetase on üsna heal tasemel. Lühidalt öeldes, oleme kaitse mõistes okkalised ja piisavalt ebameeldiv sihtmärk.
Kas rünnakuteks on võimalik ära kasutada servereid maailma erinevates kohtades?
Absoluutselt. Ja nende rünnakute taga ei pruugi olla valitsused. Aga see pilt on meil olemas, joonistub välja.
Rünnaku all võib olla Eesti eraldi, NATO tervikuna ja rünnaku all võivad olla väga erinevad osad Eestis. 2007. aastal pidi aga iga ettevõtte IT ise oma jõududega küberrünnakule vastama. Kas sellega tuldi hästi toime?
Jah, sel ajal oli hea meede sellistele rünnakutele vastamiseks: tõmba pistik seinast välja. Ka kodus, kui sul on interneti pääsupunkt, ja selle taga on kohtvõrk, siis selle interneti pistik tõmba seinast välja ja kodus olev võrk töötab edasi. Samamoodi käitus Eesti. Päris omaette ikka igaüks ei rabelenud s.t koostööd tehti spetsialistide tasemel ilma formaalse juhtimiseta. Sellest sündis hiljem pankade vaheline tihe koostöö ja veel hiljem sisuliselt Kaitseliidu küberkaitse üksus (2011).
Kas me saame täna öelda, et samasugune rünnak tänapäeval on võimatu?
Ei saa. Aga meie süsteemid on kindlasti turvalisemad kui aastal 2007, me suudame sellise ründe kiiremini tuvastada tänu tihedale riigisisesele koostööle ja ka NATO koostöövõrgustikule. Kui mingisugune mõõdik on kuskil punaseks läinud, siis antakse sellest kõigile teada. Ja seal on kindlad meetmed, mida rakendatakse. Aga küberväejuhatuse tegevusala on siiski ennekõike kaitseministeeriumi valitsemisala küberruumi kaitsmine. Meie ei kaitse selles mõttes kogu Eestit ja kogu maailma.
Kas küberväejuhatus aitab kaasa selle teadlikkuse suurendamisele Eestis?
Jah, ja küberväejuhatus on ühtlasi NATO-võrgustiku üks osa. See on oluline.
Prognoosid ütlevad, et küberrünnakute arv maailmas on järjest kasvamas, mitte vähenemas.
Õige. Konventsionaalne sõjapidamine mitte ei vähene, vaid rollid hägustuvad. Kasutatakse vähem kineetilist ja rohkem küberruumi sõjapidamist. IT lahendustest sõltuva ja halvasti turvatud riigi mõjutamine kübermeetmetega on oluliselt odavam kui kineetiline rünnak. Näiteks oleks ükskõik millisel riigil äärmiselt kulukas rünnata USA’d kineetiliselt, kuna otserünnakuks on vaja ületada ookean. On selge, et antud tingimustes on odavam rünnata läbi küberruumi. Olgem ausad, et lõpuks virutatakse aga ikkagi kineetilise energiaga.