-
Reset
+
"Toomas Hendrik Ilves: Oluline on vähendada süsteemide haavatavust", 21, märts 2011
25.03.2011
Veiko Tamm, Karl Martin Sinijärv
Kui maailma toimimist korraldab üks suur tore võrk, mis juhtub siis, kui sinna loogikapomm lahti lastakse? President Toomas Hendrik Ilves on maailma mastaabis sedasorti küsimustega palju tegelenud. Ta oli nõus oma kogemustest rääkima.
VT: Olete viimasel ajal üha enam küberkaitse teemadega seotud. Kas küberkaitse vajalikkusest saadakse maailmas praegu paremini aru kui näiteks 2-3 aastat tagasi?
THI: Esinesin küberkaitse teemal hiljuti Rootsi Kuninglikus Kaitseülikoolis. Rääkisin, et meil on vaja neile küsimustele rohkem tähelepanu pöörata. Selles vallas on toimunud huvitav muutus. Iga-aastast julgeolekukonverentsi peetakse Münchenis juba 50 aastat. Tavaliselt räägitakse seal relvastuskontrollist. Aga seekord... Briti välisministri William Hague’i kõne, NATO peasekretäri Anders Fogh Rasmusseni kõne, Saksamaa liidukantsleri Angela Merkeli kõne, Briti peaministri David Cameroni kõne, kõik pühendasid veerandi kuni kaks kolmandikku oma sõnavõtust küberkaitse vajadusele. Nii et see teadmine on jõudnud nüüd ka maailmas tõesti kaugemale, kui ta veel hiljuti oli.
Küsisin seal paari inimese käest, et te väitsite varem, nagu oleks küberkaitseteema mingi Eesti nišiprobleem, ja nüüd te kõik räägite küberkaitsest. Et mis sellega siis nüüd on? Vastus oli kõigilt sama: viimasel paaril aastal on erinevat tüüpi küberrünnakud muutunud massiliseks, katseid halvata või varastada teiste tööd on väga palju.
See on pannud inimesi muretsema. Suur osa internetis toimuvast ründetegevusest on vargus ja luure, tööstusspionaaž. Firmad suunavad väga palju aega ja raha uute toodete arendamisse. Ja siis keegi varastab selle lihtsalt ära. Meie näide oleks, et Skype arendab aastaid mingit uut toodet ja siis tuleb keegi Skype’i süsteemi, ja näuhh!, see on neil olemas. Majandusliku julgeoleku pool on muutunud tõeliselt suureks probleemiks. Nii et kogu see valdkond on tõusnud nüüd ka maailmas esiplaanile. Võimaliku kahju ulatusest saab aimu, kui tuletada meelde kasvõi Stuxneti rünnet Iraani vastu (vt lisalugu).
Muide, Küberkaitseliidu ideest ollakse igal pool väga vaimustunud, kui sa neile asja lahti seletad. Arvutiinimesed tegelevad selle valdkonnaga niikuinii hommikust õhtuni. Ütleme, et sa töötad pangas ja haldad seal arvuteid. Aga samas võib olla väga huvitav vabal ajal töötada riigikaitsega. Ka Eestis on sellele ideele hea vastukaja, aga kui rääkida seda väljaspool Eestit, siis nad on otsesõnu suures vaimustuses – et täiesti geniaalne idee, miks meie selle peale ei ole tulnud.
Ründed
VT: On teada juhtumeid, kus koolipoisid häkkisid kaitsesüsteemidesse ja püüdsid tuumaraketti lahti lasta. Pärast seda lahutas USA need süsteemid täielikult internetist ära. Seal ei ole ühtegi lüüsi. Aga on teada ka lugusid, kus vaenulikud inimesed organisatsiooni seest läksid otse Ameerika baasi, tapsid palju sõdureid ära ja pääsesid süsteemile ligi. Väliselt ustav, kontrollitud mees pääseb ka ilma lüüsideta süsteemi sisse. Ja kui ta juba on sees, ei takista mitte keegi teda sinna mingit loogikapommi sisestamast.
THI: Need arengud on olnud igas mõttes väga kiired. Kontrollsüsteem, mis on tuumarelvade juures, on, jah, välisvõrgust ära lõigatud. Aga probleem on suurem. Me liigume suunas, kus kõik kontrollsüsteemid on internetipõhised. Kuni niikaugele, et toiduga varustamine toidukettides on täiesti internetipõhine. Kui selgub, et vorsti on jäänud alles veel kahe päeva jagu, saadetakse täiesti automaatselt sõnum, ja tuuaksegi juurde.
KMS: See tähendab, et sa saad logistika kaudu tekitada väikeseid halvatusi. Kui ainult masinad kontrollivad asjade seisu ja kuskil tellitakse automaatselt jahu asemel paberit, siis mõnedel inimestel ei ole ühel hetkel enam midagi süüa.
THI: Näiteks Gruusia sõjas oli rünne korraldatud täiesti uuenduslikult. Sotsiaalvõrgustike kaudu pandi vahetult enne rünnakut üles tähtsate strateegiliste objektide koduleheküljed Gruusias. Läbi sotsiaalmeedia oli näha, kuidas ja mille pihta rünnakuid suunata. Niimoodi isoleeriti näiteks Gori linna saite ülejäänud Gruusiast, pool tundi enne, kui alustati füüsilist rünnakut.
Jaanuaris ilmus ajakirjas «Small Wars Journal» (www.smallwarsjournal.com) artikkel, kus küberkomando ohvitser David Hollis analüüsis Gruusia rünnet. Konventsionaalse sõja olukorras rakendati sotsiaalmeediat, et see toetaks konventsionaalseid rünnakuid.
Kirjasõna
THI: Sellist raamatut loen praegu, täitsa tavalist, paberist. Evgeni Morozovi «The Net Delusion». Valgevenes sündinud kirjanik, kes praegu elab Ameerikas. Noor geenius. Tema väide on, et ei maksa arvata, et sotsiaalmeedia toob teile demokraatiat. See on lihtsalt veel üks kontrollmehhanism, mille kaudu autoritaarsed režiimid saavad teada, kellega sa suhtled, kui sa oled dissident. See on Morozovi raamatu sisu ühe lausega kokkuvõetult.
VT: Aga ka Teil on Facebookis konto ja väga suur fanclub?
THI: Ma saan sinna üles panna asju, mida loevad inimesed, kes on tõepoolest sellest infost huvitatud. Trükimeedia võiks öelda: aga keda see huvitab? Näiteks pean pika kõne Põhjala integratsioonist. See ei ole väga laia kõlapinnaga asi. Paarsada inimest, kellel on diplomaatiahuvi, loevad seda. Aga kui ma panen teksti Facebooki üles, satuvad selle peale ka need, kes ei leiaks paarituhande lugejaga Diplomaatiast seda võib-olla üles, aga kellele teema siiski huvi pakub.
KMS: Väikest paranoiat võib ju jälgimistehnika suhtes tunda, aga samas on iga süsteem ehitanud alati mingeid jälgimiskanaleid. Ja kui inimestel on võimalus, siis nad ostavad vabatahtlikult endale mobifoni taskusse ja neid on alati võimalik positsioneerida.
THI: Kui ma olin Washingtonis, saatkonnas, siis ka aegajalt keegi sosistas murega, et niikuinii kuulatakse kõike pealt. Ma ütlesin selle peale, et ja mis siis? Meil on siin seitse inimest, kes kogu aeg räägivad eesti keeles. Kui mitu inimtundi ja millist jõudu peaks rakendama selleks, et sealt midagi olulist välja sõeluda? Et kuule, mul oleks vaja kiluvõileiba teha, aga mul ei ole siin kilu. See osa mulle muret ei tee.
Aga näiteks on kuskil mingi dissidentide sait, lähed sinna sisse, vaatad, ahah, see inimene loeb seda ja seda, siis uurid, kuhu tema võrgustik hargneb, seotused on selgelt näha. Sa näed, kes suhtleb kellega, saad kohe kogu dissidentliku suhtlusvõrgu kätte. Võib-olla see oht kaalub üles üldise veebivabaduse mütoloogia stiilis, et nüüd on meil Twitter ja me saame selle kaudu teha meeleavaldusi. Et tulevad tuhanded inimesed kokku ja protesteerivad autoritaarse režiimi vastu. Küsimus on, mis on siin olulisem vabaduse seisukohalt? Kas see, et sa saad Twitteriga 3000 inimest ühekorraga kokku ajada või see, et Twitteri pealtkuulamisega sa saad täpselt teada need 3000 inimest ja kes nad sellised on.
KMS: Netimootori tegevuse seisukohalt pole ju suurt vahet, kas jätta meelde, et inimene ostab nii- ja naasuguseid asju ja seega on talle mõttekas reklaamida seda seitsmendat ja üheksandat asja või siis moodustab mootor seosed, et see vend suhtleb sellega ja tollega ning käib siin ja siin, järelikult tema tuleks vangi panna.
THI: Aga isegi see ostmise jälgimine häirib mind. Ma ostan väga palju raamatuid Amazonist. Aga ma ostan Amazonist ka kingitusi. Näiteks kellegi jaoks kingituse, mis ei ole üldse minu huviala, ütleme, et see on mingi raamat lilleseadetest või ratsutamisest. Ja siis mitu kuud pärast seda ostu, nii kui on ilmunud mingi uus raamat lilleseadmise või ratsutamise kohta, tulevad teated, et oo, uus lilleseaderaamat on ilmunud.
Läbipaistvus
VT: Väga ettevaatlik inimene võib ju mõelda, et võib-olla on ohutum endale üldse mitte internetti võtta?
THI: Oleme ausad, infotehnoloogia ja info kasutamine on andnud Eestile märkimisväärse kordistuse. Meie funktsionaalne suurus on palju suurem, kui see suurus, mis me mõõdu järgi oleme, tänu sellele, et oleme osanud infotehnoloogiat õigesti ära kasutada. Me saame paljusid asju teha efektiivsemalt ja läbipaistvamalt kui nendes riikides, kus asjaajamine on endiselt paberi peal. Arvutile altkäemaksu anda on suhteliselt tarbetu tegevus. Ma arvan, et Eesti on oluliselt läbipaistvam ja puhtam korruptsioonist just tänu sellele, et nii palju meie riigi ja kodaniku suhtlemisest käib arvuti kaudu. Mis on kõik jälgitav.
VT: Kaspersky laborites väideti, et eelmisel aastal ületasid küberkuritegevuses liikuvad rahad juba narkoäri. Ainult illegaalne rahvusvaheline suur relvaäri näitab veelgi suuremaid numbreid.
THI: Kui me tahame tõhusalt võidelda küberkuritegevusega, siis on vaja arendada seadusandlikku baasi. Kuritegelikkus on tagantjärele enamasti tuvastatav. Kuigi see võtab aega. Näiteks, nagu Gruusias avastati, et enne kineetilist rünnakut (kuul, mürsk, pomm) tuli ka küberrünnak. Kui kõik parasjagu toimub, siis on seal muidugi see clausewitzlik sõjaudu, sa ei saa kohe aru, mis juhtub, aga tagantjärele sa näed.
Aga mida siis teha? Isegi, kui sa tuvastad, kes on asja taga, ei saa sageli midagi teha, sest konventsioonide baas on liiga nõrk. Meil on olemas üks, mis on välja töötatud Strasbourgis, sellega on liitunud kõik Euroopa Liidu liikmesriigid. Ja väljastpoolt Euroopat on sellega liitunud ka USA, Filipiinid, Ladina-Ameerika riigid, kõik tahavad sellega liituda. See põhineb arusaamal, et peaaegu a priori on küberkuritegevus ja kübersõjandus piiriülene. Inimesed ei hakka enda riigis selliseid asju tegema. Kui sa tahad Eestis teha mingit netikurja, midagi varastada või rünnata, siis sa teed seda vähemalt Lätist, mitte Eestist.
VT: Selleks ei pea isegi füüsiliselt Lätti minema. Piisab, kui sa logid Läti masinasse.
THI: Sellepärast ongi vaja riikideülest seadusandlust, millega riigid saaks vabatahtlikult ühineda. Siis see kaitse hakkab toimima. Kui me avastame, et keegi on Itaalias midagi korda saatnud, siis teatame Itaaliasse ja nemad võtavad selle tegelase meie jaoks kinni. Aga häda on muidugi selles, et need riigid, kust pärineb suur osa küberrünnakutest, keelduvad selle konventsiooniga ühinemast.
KMS: Võib-olla kipub harjumuspärane riigikontseptsioon võrgus toimuvatele arengutele jalgu jääma? Euroopa Liit samas on liikumine avatuma süsteemi suunas.
THI: Negatiivne aspekt avatuses on see, et need kohad, kust pärinevad rünnakud, on need riigid, kellega me eelistaks piiri hoida.
VT: Piisab ühest paariariigist, kus küberkuritegevusele ei pöörata tähelepanu (näiteks lastakse vabalt DDoS rünnakuid korraldada) ja kõik teised on hädas. Kohati tundub, et terve suure NATO-ga ei saa me midagi selle vastu teha.
THI: Midagi ikka saab. Ma usun, et kõikide selliste kuritegelike käikude suhtes leiab demokraatlik maailm ikka mingi vastukäigu. Aga see tuleb, jah, vahel aeglaselt. Alati võib läbirääkimistel öelda ka nii, et kui te ei ühine selle leppega, mis kohustab üle andma küberkurjategijaid, siis on mõni teine lepe, mis oleks teile kasulik, aga sorry, me ei saa seda teha, sest te ei ühine meile olulisega. Selline seotus on poliitikas üsna tavaline.
Haavatavus
THI: Kõige olulisem osa tänapäevases küberkaitses on tegeleda lahendustega, mis vähendavad süsteemide haavatavust (ingliskeelne termin oleks vulnerabilities). See tähendab, et võib olla asju, mis tulebki veebist ära võtta, isoleerida. Et neile ei olekski võimalik võrgus ligi pääseda.
Haavatavuste vähendamine võib aga tekitada tulevikus ebamugavusi. Võib-olla ei ole me selle vajaduse tõttu lähitulevikus enam igas küsimuses kõikjal ühendatud. Juba praegu on süsteemid, mille sisu on julgeolek ja kaitseküsimused, eraldatud süsteemidest, mis on maailmaga ühendatud.
VT: Kas Eestis ka juba?
THI: Jah. Näiteks NATO võrk ei ole ühendatud ülejäänud maailmaga. See tekitab ka ebamugavusi. Kui tahad midagi NATO raames lugeda, siis pead sisuliselt vahetama arvutit. Ma usun, tõenäoliselt hakkame üha rohkem nägema, et tekivad piiratud juurdepääsuga sisemised võrgustikud. Stiilis: eraldi NATO, eraldi Euroopa Liit, eraldi Eesti Vabariik. Kõik see sidusus, mis tegi interneti nii heaks, seda mugavust on nii palju kuritarvitatud, et meil hakkavad tekkima paralleelsüsteemid. Aga nii või teisiti tuleb ikkagi kiiremas korras luua tõhus piiriülene rahvusvaheline seaduslik baas.
Haridus
VT: Ilmselgelt ei lähe küberkaitse vallas asjad mitte lihtsamaks, vaid keerulisemaks. Meil on vaja tänasest rohkem vastava haridusega inimesi. Kas hariduses tuleks midagi muuta?
THI: Arvatavasti oleks vaja riskialtimat lähenemist. Piisab sellest, et tulla välja natukenegi teistmoodi ideega, kui kõik istuvad sulle kärmelt pähe. Meenutame, milline oli reaktsioon minu kunagisele Tiigrihüppe ideele umbes 15 aastat tagasi. Kui õudne see kõik pidi olema. Aga mina olin veendunud, et see tuleb niikuinii, küsimus on ainult selles, kas me oleme esimesed või viimased. Kui uut ideed hakatakse kõigepealt sõimama, sõltub juba idee looja närvikavast, kas ta peab vastu ja kas ta riskib.
Suhtumine uutesse ideedesse, võimalus arutleda peaks olema paremini lahendatud. Selge see, et paljud ideed ei kõlbagi mitte kuhugi. Aga see peab selguma läbi ratsionaalsete debattide. Meil on vaja arendada oma ettevõtlikkust ja valmidust riskeerida.
Kui ma olin kaheksandas klassis, ütles meie matemaatikaõpetaja, et teate, ma õpetan teile, kuidas programmeerida. Aastal 1968. Õppisime, kõik oli väga tore. Aga selle käigus tekkis ettekujutus, mis asi programmeerimine üldse on. Ülikoolis töötasin laboris, olingi programmeerija, ja sattusin kokku hoopis teise programmeerimiskeelega. Aga ma sain ideest aru, kuigi sümbolid olid teised. Tolleaegne arvuti oli kaks korda suurem kui see laud siin ja tema mälu oli 8kB. See oli arvuti nimega PDP-8.
VT: Võib-olla tuleks meie hariduses arvutiõpetusele üldse teistmoodi läheneda?
THI: See oligi Tiigrihüppe algne idee. Mitte, et sa klikid millegi peal. See ei ole arvutioskus. Arvutioskusest võiks rääkida siis, kui sa oskad ise endale programme kirjutada.
Küberkaitseliit
Mitteformaalset küberkaitsega seotud koostöövõrgustikku hakati Kaitseliidu koosseisus looma pärast 2007. aasta küberrünnakuid. Küberkaitseliidu eesmärk on koondada vabatahtlikke infotehnoloogia turbe spetsialiste, et rakendada nende initsiatiivi ja oskusteavet riigi põhiseadusliku korra kaitsel. www.kaitseliit.ee
Gruusia näide
Vene-Gruusia sõda oli ajalooline pretsedent. Esimest korda ajaloos toimus koordineeritud küberrünnak samaaegselt tavasõja meetoditega. Kolm nädalat enne tulevahetust Vene ja Gruusia vahel toimusid online rünnakud Gruusia veebilehtede vastu. Sealtmaalt on uurijad püüdnud saada jälile võrgurünnakute kavandajatele – olgu need siis sõjaväelased, kübersõdalased, häkkerid vms – kuid siiani tagajärjetult. Selge on vaid see, et Venemaa ründas neljal rindel. Kolm neist olid konventsionaalsed – rünnak maalt, õhust ja merelt. Neljas oli aga uus – rünne läbi küberruumi. Rünnakud tabasid 54 Gruusia veebilehte. Samal ajal, kui tankid ja maaväed ületasid piiri ja pommitajad tegutsesid õhus, ei pääsenud Gruusia elanikud veebilehtedele toimuva kohta infot ja käitumisjuhiseid saama. Gruusia võimud avastasid, et nende võrguühendused ja suhtluskanalid olid Vene sekkumisele erakordselt haavatavad.
David Hollis
Cyberwar Case Study: Georgia 2008
http://smallwarsjournal.com/blog/journal/docs-temp/639-hollis.pdf
Stuxnet
Stuxnet on Windowsi opsüsteemi jaoks loodud ussviirus (computer worm), mille sihtgrupiks on tööstuslik tarkvara ja seadmestik. Ta on esimene uss, millelt on leitud programmeeritavate loogikakontrollerite (PLC) rootkit-pahavara. Stuxnet on loodud kahjustama ainult Siemensi SCADA (Supervisory Control And Data Acquisition) süsteeme, mille eesmärk on kontrollida ja monitoorida tööstuslikke protsesse. Maailmakuulsaks sai see uss ründega Iraani viie objekti vastu, millest olulisem oli uraanirikastamise tsentrifuugide kahjustamine, mis Iisraeli luure hinnanguil lükkas Iraani tuumarelvavõimekuse edasi vähemalt viieks aastaks. Ründes said pihta ka teised riigid nagu India, Pakistan, Indoneesia jt. Kuna Iraani tuuma-arvutid pole ühendatud internetti, arvatakse, et uss tungis masinatesse eelnakatatud USB mäluseadmete kaudu.
Intervjuu tehnokultuuri ajakirjas 21 (avandeb pdf-failina).
