Kübersõjas surma ei saa, kuid end kaitsta on raske
— Mis sündmust võiks pidada ajaloo esimeseks kübersõja episoodiks?
— Tegelikult pole olemas kübersõja ja küberründevõime rahvusvaheliselt aktsepteeritud definitsiooni.
Kui vaadelda arvuti kasutamist sõjaliste või paramilitaarsete eesmärkide saavutamiseks, siis kasutasid näiteks tšetšeenid internetti propaganda tegemiseks osavalt ära. Džihaadimehed on samuti ära õppinud, et suurt juhti ei pea alati rahvale näitama, vaid võib ka YouTube’i kaudu videoläkituse saata.
Aga kui rääkida kitsamalt arvutirünnetest, siis oli Kosovo sõda üks esimesi kordi, kui sõjaliste operatsioonidega samal ajal toimusid poliitilised küberründed, millest vähemalt osa oli suunatud sõjaliste sihtmärkide vastu.
Kindlasti on olemas ka varjatud näiteid. Kõik ei kipu ju kohe rünnakust kisama ja pressi kohale kutsuma, et tulgu vaadaku seda suitsevat digitaalset kraatrit, millest pilti teha ei saa.
— Millal hakkasid riigid küberründevõime arendamise vastu suuremat huvi tundma?
— Mitmes riigis, nt USA-s ja Hiinas hakati seda asja tõsisemalt võtma 1990-ndate lõpus. Hiinas ilmus infokeskkonnas toimuvast sõjast rääkiv „piibel” 1999. aastal. USA on asja väga tõsiselt ette võtnud, sest nad on sõjaliste tulemuste saavutamiseks harjunud rakendama tehnoloogilist ülemvõimu. Kui mingi vahendi abil oleks võimalik seda ülemvõimu vähendada või hävitada, oleks see nende jaoks tõsine mure.
— Kui sageli valitsused tunnistavad, et jah, neil on selline ründevõime ja seda kasutada suutvad organid?
— Nii USA kui ka Hiina on seda öelnud, lisaks on mõned teised riigid mõista andnud, et nad töötavad selles suunas. Aasta alguses ilmus näiteks uudisnupp, et Saksa Bundeswehr on loonud väikese üksuse, millel on nii kaitse- kui ka ründeotstarve. Neid riike on veel.
Oletusi on võimalik teha üksnes selle põhjal, mida neis riikides avalikult kirjutatakse. Ega Hiina ju ütle, et palun, siin on nende kõige salajasem plaan. On olemas doktriinide üldised kirjeldused, saab vaadata, milliseid koole kasutatakse sõjaväepersonali väljaõpetamiseks, kas suurtel õppustel imiteeritakse küberründeid või mitte.
Arvan, et järgmine kord, kui kahe tehniliselt ühevõrra arenenud riigi vahel toimub konventsionaalne (tavapärane – toim) sõda, tuleb välja ka tegelik küberründevõime. Viimaste aastate konfliktides on ühel poolel alati olnud väga tugev infotehnoloogiline ülekaal ja sellist uute võistlevate relvasüsteemide väljatoomist, nagu Teises maailmasõjas, pole olnud võimalik jälgida.
— Loeb suurus, nutikusest ei piisa?
— Oleneb, mida sa tahad teha. Suhteliselt väike seltskond, kümned või sajad inimesed, on juba jõud, millega saab üht riiki segada. Võib-olla saab isegi suuremat kahju teha, kui on tõesti head ründajad ja rünnatavas riigis on head sihtmärgid.
Aga kuidas ajutist edu kasutada? Okei, sa võtsid vastasel internetipangad maha ja tema majanduses on nüüd kaos. Aga kui merejalavägi su ukse all maandub, siis on vaja ikkagi natukene enam kui 20 häkkerit.
Muidugi, näiteks terroriorganisatsiooni vastu ei pruugi võimalust tagasilöögiks olla. Sellist ust, mille taha merejalaväge saata, lihtsalt ei ole. Küberrünnete tegemiseks ei pea olema koertega valvatavat betoonpunkrit, sa võid istuda bensiinijaamas või avalikus internetipunktis, kaks meest ühes, kolm meest teises riigis.
— Terroristidele pole kübersõja mõte siis veel lihtsalt kohale jõudnud?
— Nii ma ei ütleks. Terroristid kasutavad kübermõõdet küll: sidepidamiseks, väljaõppematerjalide jagamiseks, propagandaks, planeerimiseks… Kui toimus Mumbai terrorirünnak, siis kasutasid ründajad oma liikumise paikapanekuks Google’i linnakaarti.
Olgem ausad, press keskendub siiski pigem plahvatustele, mis ei vaja nii spetsialiseerunud korraldajaid. Sellise lihtsa madina korraldamiseks võib kasutada tavalisi talumehi. Inimesed, kes on 15 aastat mööda arvutimanuaale tuhninud, katsetanud ja programmeerinud, on hoopis teistsugune ressurss.
— 2007. ja 2008. aasta Eesti ja Gruusia vastu suunatud rünnakute toimepanijaid pole leitud. Mis järeldusi võib Venemaa käitumise põhjal teha? Kuidas nad küberkuritegevusse suhtuvad?
— Arvan, et juhul kui mingi küberrünne on Vene valitsevale klikile kasulik, siis ei juhtu ründajaga tõenäoliselt eriti midagi. Eesti prokuratuur saatis 2007. aasta mais ametliku abipalve, et palun aidaku meil seda asja uurida. Eitav vastus tuli üsna kiiresti. Põhjuse selleks leiab alati – kas ei ole palve Vene seadustega kooskõlas või ei suuda nad tegijaid leida või ei ole neil logifaile. Venemaal on samas piisavalt juhtumeid, kus küberkuritegevuse eest on inimesi karistatud. Kui sa ei ole ühel või teisel moel kasulik, siis võib sind karistada küll.
Aga see on minu isiklik arvamus. Seda, kuidas Venemaa seda asja tegelikult teeb, peab küsima mõne tegelase käest, kes sealpool ohje hoiab.
— Olete ühes oma uurimuses loetlenud kolme viisi, kuidas ründeid korraldada saab: riigiorganite, vabatahtlike või „palgasõdurite” abil, lisaks veel neid võimalusi kombineerides. Kas Venemaa kasutab eelkõige vabatahtlikke?
— Eesti vastu tehtud rünnakute puhul oli tõepoolest väga palju „müra”. Väga palju ründeid tuli eeldatavasti tavalistelt inimestelt, kellel polnud eriväljaõpet ega olnud nad „struktuuride” palgal. Piisab ühest väikesest infooperatsioonist, et rahvamass mobiliseerida ja neile natuke nõu anda, kuidas ründed läbi viia.
Seda on näha olnud ka mujal kui Eesti ja Gruusia puhul. Aastal 2001 oli Hainani saare juures Hiina ja USA õhukite kokkupõrge, USA luurelennuk tegi hädamaandumise. Sellele järgnes suur USA ja Hiina häkkerikogukondade vastasseis.
Viimase kümne aasta jooksul on olnud pinget Iisraeli ümber, ka seal on mõlemalt poolt rünnatud. See ei ole mingi ainuomane Venemaa probleem, sama võib näha igal pool. Eriti seal, kus seaduse võim ei ole väga tugev või seda kasutatakse tendentslikult, vastavalt vajadusele.
— Kuidas tabada välismaalt tulevaid teenusetõkestusrünnete (denial of service ehk DoS-rünne) tegijaid?
— Enamikus riikides on seadused, mis ütlevad, et selline tegevus on mingil moel karistatav. Aga Eestis toimunu oli samm edasi ehk hajutatud: paljudest kohtadest korraga tuleb rünnak, mida viiakse läbi botnet’iga (nakatunud võõraid arvuteid kasutades). Need arvutikasutajad ei ole ju otseselt süüdi, et nende arvutid on pahavaraga nakatatud.
Mida teeme siis, kui näiteks Kanadas on mingi arv botte, mis „pommitavad” Eestit? Me ei hakka ju Kanada kodanikku välja nõudma, et uurida, kuidas see asi ikka tema arvutisse sai. Ei, me palume Kanada CERT-i või telekommunikatsioonifirmat, et kui nad saavad, võtku midagi nende arvutitega ette, blokeerigu liiklus või puhastagu see masin ära. Sinna see asi jääb.
Eestis tuli 2007. aastal enamik ründeid ju igalt poolt mujalt kui Venemaalt. Kui me arvame, et rünnet koordineeritakse või juhitakse mingist kindlast riigist, siis saame selle riigi uurimisorganitelt ainult abi paluda. Kui neil head tahet ei ole, siis ei anna süüdlastega eriti midagi teha. Sellepärast ei olegi Eesti ja Gruusia ründamise põhitegijaid tuvastatud ega karistatud.
Üks Eesti koolipoiss sai Reformierakonna veebilehe ründamise eest 17 500 krooni trahvi. Ei saa ju ometi öelda, et tema vastutaski kogu selle operatsiooni eest. Vastasel korral saaks ta ilmselt suurema karistuse.
— Oletame, et tehniliselt arenenud riigid A ja B on juba konventsionaalses sõjas. Millised sihtmärgid on üldse legaalsed ja kust jookseb piir põhjendamatu terrori ja õigustatud sihtmärkide vahel?
— See on koht, kus juristid praegu omavahel vaidlevad. Et konkreetset juhtumit pole olnud, ei ole ka kohtulahendeid. Nii on see vaidlus praegu teoreetiline.
Ise arvan, et osa sihtmärke on loogilised ja lubatud, näiteks vastase sõjaväe juhtimis- ja logistikasüsteemid, sensorvõrgud ja satelliitluure võime. Need kuuluvad vastase sõjaliste võimete hulka.
Probleem tekib siis, kui vaadata, kuidas moodsad digitaalsed sõjaväed on tänapäeval üles ehitatud – mitte taktikalisel tasandil, vaid strateegilisel. Juhtimis- ja sidevõrgud ei ole tihtipeale mingid maasse kaevatud kaablid. Kasutatakse tsiviilinfrastruktuuri. Kui tsiviilasutus toetab sõjaväelist operatsiooni, tekib küsimus, kas see võib olla legaalne sihtmärk.
Ega sõjavägi olegi ju kõige haavatavam sihtmärk. Kui peaks puhkema totaalne sõda, siis on loogiline sihtmärk vastase majandus, ajakirjandus – kõik, mis aitab vastase rahvast alla andma sundida. Kui neil ei ole sooja vett ega elektrit, nad ei saa süüa, trammid ei sõida, lastel on koolis külm, siis on võimalik võita sõda väljaspool lahinguvälja.
Aga see ületab juba kindlasti rahvusvahelise õiguse piirid, ükskõik, kuidas seda tõlgendada.
— Kas sellise massiivse rünnaku vastu on võimalik mingit toimivat kaitsestruktuuri ehitada või peaks hoopis lootma „esmasele heidutusvõimele” nagu tuumasõja puhul?
— Totaalset heidutust küberründe vastu vähemalt praegu horisondil näha ei ole. Niivõrd massiivne vasturünnak, mis ründajat heidutaks ja samas ei leviks kolmandatesse riikidesse, ei ole tehniliselt lihtsalt võimalik. Kui riigid A ja B omavahel üle interneti võitlust peavad, tekitab see probleeme ka riikidele C, D ja E, kelle võrkude kaudu kogu see jama käib.
Mis kaitsesse puutub, siis Eesti on niivõrd väike, et meil on põhimõtteliselt võimalik ennast võrgust välja tõmmata. Ka riigi sees on tänu väiksusele suhteliselt lihtne korda hoida, mingi kahtlase serveri ülevaatamiseks ei pea tuhandeid kilomeetreid maha sõitma.
Aga samas võtaks selline otsus meilt endilt võime internetti kasutada ja välismaailmaga suhelda, oma seisukohta esitada. Pigem tuleks rõhuda sellele, et kui selline rünne tuleb, on meil olemas plaan. Esiteks selle kohta, kuidas me likvideerime tagajärjed. Plaan peab olema läbi harjutatud, meil peavad olema vajalikud inimesed ja ressursid.
— Mis objektide pärast peaksime eelkõige muretsema?
— Kui hüpoteetiliselt teha Eesti internetist täiesti puhtaks, siis esimene asi, mis tuleks uuesti üles tõsta, ei ole kindlasti Päevaleht ega isegi presidendi veebileht. Esimesena tuleb taastada infrastruktuur: side, energia, transport, toidu liikumine. Kui elutähtsad funktsioonid on tagatud, siis tuleb hakata vaatama psühholoogiliselt tähtsaid funktsioone nagu info jagamine meedia kaudu. Vaja on öelda: maailm ei ole lõppenud, asjaga tegeldakse, olge rahulikud, elu läheb edasi.
See puudutab puhtalt küberrünnet, eeldades, et parajasti ei sisene riiki tankikolonne ja poolt asustatud punktidest pole sodiks pommitatud. Sellisel juhul oleks taastamine muidugi mõõtmatult keerulisem.
— Kas kübersõja puhkedes võiks lähtuda Vabadussõja traditsioonist ja saata värbajad kõigepealt IT-kolledži ja tehnikaülikooli ukse taha?
— Küberkonfliktis on väga piiratud nimekiri asju, mida saavad teha „vabatahtlikud koolipoisid” ja millest oleks kasu. Need asjad ei ole enamasti seotud mingi kindla serveri kaitsmise ega vasturünnakuga. Kui on seltskond IT-väljaõppega või -hobiga inimesi, kes tahavad sellises olukorras midagi teha, siis saavad nad vaadata, et kodused arvutid oleksid pahavarast puhtad. Nad saavad uurida, mis toimub väljaspool. Ma ei räägi salajasse andmebaasi sisse murdmisest, vaid näiteks avalike foorumite jälgimisest. Kasutegur on olemas, aga see on piiratud.
Oletame, et on otsustatud teha kübervasturünnak. Jah, on võimalik öelda, et kõik, kes midagi oskavad, tehku midagi. Aga peab olema ettevaatlik. Kui rünne on läbi, võib riigile tulla õigusabipalve selle, teise või kolmanda koolipoisi vastutusele võtmiseks. Näiteks on keegi lasknud kogemata õhku mingi tähtsa teenuse, mille tulemusel kallati vastase territooriumil radioaktiivsed jäätmed jõkke ja nüüd on 800 000 inimest sümptomitega haiglas. Või on juhtunud midagi neutraalsel territooriumil – mida me teeme, kui Island ütleb, et keegi meilt lasi õhku geotermilise elektrijaama, kuna ta ei suutnud IP-aadresse õigesti lugeda?
— Kui te kehastuksite korraks maailmavallutajalike kalduvustega maniakiks, kes tahab külvata võimalikult suurt kaost, siis milline rünnak oleks kõige tõhusam?
— Sellist rünnakut ei ole kindlasti lihtne läbi viia ja see ei pruugi võimalikki olla. Tuleks mõelda sellele, mis tavaliselt hirmutab. Kui demonstreerida, et on võimalik kokku jooksutada kolmel eri kontinendil asuvad kolm tuumajaama… Või näiteks kriitilise tähtsusega börsisõlmedes info ära solkida. Nii et kaupleja ei tea enam, kas hind, mida talle näidatakse, on õige, kas tehingud läksid läbi nii, nagu ta tahtis. Esimene juhtum tähendaks ökoloogilis-meditsiinilist, teine majanduslikku katastroofi.
Kindlasti ei tasuks valida sõjalist sihtmärki. Sõjavägi on sellise võimalusega arvestanud – asjad ei tööta nii, nagu nad peaksid, ja pahategija plaan lendab esimese paugu järel korstnasse. Kui sõjaväel rahu ajal mingi süsteem kokku jookseb, ei pea ülejäänud riik selle pärast väga suurt muret tundma.
— Ühesõnaga, kübersõjas pole seni veel tegelikult ühtegi mainimisväärset konflikti toimunud?
— Nojah, must stsenaarium pole tõeks saanud. Toimunud on mitmeid huvitavaid episoode, aga midagi kriitilist pole veel korda saadetud, on olnud ainult väikseid häirivaid momente.
See on loomulikult hea, aga samas arvan, et on ainult aja küsimus, millal toimub esimene tõsisem sündmus.
— Kuidas on viimasel kümnendil muutunud küberkuritegevuse levik?
— Küberkuritegevus on äärmiselt kasulik tegevus, seal liiguvad suured summad. See veab mingil määral enda järel küberturbetööstust, sest kurjategijad on alati sammu võrra ees. Nad leiavad mingi augu, mõtlevad välja, kuidas sellest raha kätte saada, ja kasutavad seda mõnda aega, kuni ülejäänud maailm auku lappida proovib.
Selleks ajaks, kui see õnnestub, on neil juba järgmine auk välja vaadatud. Nüüd on riigid tõesti hakanud küberkuritegevusele tõsisemat tähelepanu pöörama.
Aga mida see tähendab? Tegelikult mitte palju. Mõned mehed on pidanud kolima riiki, mis sellistest asjadest veel eriti ei huvitu. Aga internet on ju globaalne, pole vahet, kus sa füüsiliselt asud, sa võid ikka küberprotsesse kontrollida. Peaasi, et keegi kohapeal sulle selle pärast turja ei hüppaks.
Kui sa oled eriti paranoiline, siis peida oma jäljed hästi, seda on lihtne teha. Vähegi pädeva kurjategija kättesaamine on äärmiselt ebatõenäoline. Vahele jääb pigem prügikala.
— Viitasite üle-eelmises Akadeemias sellisele sotsiaalsele probleemile nagu küberhõimude tekkimine.
— Võtame näite inimestest, kellele meeldib lumelauaga sõita – neid on igal pool üle maailma ja nad saavad tänu internetile vabalt suhelda, moodustada oma veebikommuuni. Selline kokkuharjunud „hõim” ei pruugi olla üksteist kunagi näinud ega teada üksteise pärisnimesidki, aga potentsiaalselt on võimalik neid väga kiiresti mobiliseerida küberrünnet läbi viivaks väeks.
Oletame, et kuskil on mingi hästi populaarne mägi, aga mingi ametkond on otsustanud, et seal ei tohi enam sõita, sest nad tahavad, et seal kasvaksid suvel lilled. Keegi teeb ettepaneku teha selle ameti vastu näiteks DoS-rünnakuid, ja kirjeldab ühe lõigu tekstiga, kuidas seda teha.
Oletame, et kogukonnas on 10 000 liiget, kellest kümme protsenti ehk tuhat inimest on sellest mäest tegelikult huvitatud. Kui neist omakorda kümme protsenti otsustabki rünnata, on see juba piisavalt suur hulk, et ametkonna tööd häirida.
Kui juhend on selline, et siin on ametkonna ametnike meiliaadressid, saatke neile kord tunnis üks meil, milles ütlete, et tahate hirmsasti lumelauaga sõita, siis ei ole see isegi ebaseaduslik. Ametnik saab tunnis sada e-kirja, aga de jure ei ole küberrünnet minu arvates toimunud, de facto (jälle minu arvates) aga küll. Ja võib vabalt juhtuda, et kui pressing kestab piisavalt kaua, peab ametkond oma poliitikat muutma.
— Mida te lugejatele südamele paneksite?
— Küberteema on natuke liiga romantiliseks aetud ja see artikkel ei aita ehk probleemi lahendamisele kaasa. Inimeste ring, kes peavad pead murdma, et Eesti riiki selliste ohtude eest kaitsta, on üsna piiratud. Teisest küljest: ega neid ohte oleks, kui müütiline „tädi Maali” ka internetis ei käiks.
Meile tuttavad rünnakud botnet’idega on tegelikult äärmiselt algelised. Kui mõelda tehniliselt arenenud riikide vahelisele sõjale, siis seal on vaja palju täpsemaid meetmeid. See, mida meie nägime, oli rahvamass tänavatel, kübermäsu. Aga seda poleks juhtunud, kui kodukasutaja – mitte ainult Eestis, vaid üle maailma – oskaks ja tahaks oma arvuti turvalisena hoida. Küberkurjategijal ei ole mingit suurt serveriparki, see on teie või teie väikese õe kodune arvuti, mida ta kasutab.
Tegelikult võiks internetis surfamiseks kehtida juhiluba. Esialgu võiks see olla lihtsalt vabatahtlik, kas või online-koolitus, kus saab selgeks põhilised ohud ja kaitsemeetmed.
Kes ta on?
Rain Ottis
Küberkaitse spetsialist
Sündinud 1981
•• Küberkaitse kompetentsikeskuse teadur
•• Tehnikaülikooli doktorant (tema uurimistöö keskendub vabatahtlike osale küberkonfliktides ja küberrünnakute mõjule sõjalistes konfliktides)
•• Lõpetanud West Pointi sõjaväeakadeemia (BSc, arvutiteadus)
•• Lõpetanud tehnikaülikooli (MSc, informaatika)
•• Teeninud kaitseväes sideohvitserina