Tänases maailmas, kus tehnoloogia areng on murrangulise tähtsusega, on küberrünnakutest ja küberluurest saanud rahvusvaheliste konfliktide lahutamatu osa. Tallinna Tehnikaülikooli vanemlektor Adrian Nicholas Venables, kes on spetsialiseerunud küberkriminalistikale ja küberjulgeolekule, avab uudse ohu taustu. Tähelepanuväärne, et tänapäevane riikidevaheline küberkonflikt sai hoo sisse 2007. aastal rünnakutega Eesti vastu.
Venables ütleb, et küberrünnakuid ja küberluuret tuleb mõista laiemas kontekstis, sest mõisted “küber” ja “sõda” võivad olla eksitavad. “Õigem on rääkida digitaalsest infokeskkonnast,” sõnab ta. “Samuti on õigem kasutada sõja asemel mõistet “konflikt”, sest see ei allu rahvusvahelistele kokkulepetele nagu Genfi ja Haagi konventsioonid.”
Küberluure, olgu see seaduslik või mitte, seisneb tundliku teabe hankimises ilma omaniku loata. “Huvitav on see, et kuigi rahvusvahelisi seadusi, mis otseselt keelaksid luuretegevuse, ei ole, peetakse üldiselt vastuvõetavaks, et kõik riigid seda teevad,” lisab Venables.
Ta täpsustab, et küberluure võib hõlmata nii riikide juhitud seaduslikke tegevusi kui ka ebaseaduslikke katseid saada teavet eraettevõtetelt või üksikisikutelt.
Rünnakud kriitilise taristu vastu
Kriitiline taristu, nagu elektrivõrgud ja veevarustus, on küberrünnakute sagedased sihtmärgid. Venables toob näiteks 2015. aasta Ukraina elektrivõrgu rünnaku, mille viis läbi Venemaa häkkerirühm Sandworm. “Nad kasutasid BlackEnergy pahavara, et kompromiteerida kolme energiaettevõtte infosüsteeme, jättes 230 000 inimest elektrita kuni kuueks tunniks. See on klassikaline näide, kuidas küberrünnakud võivad avaldada füüsilist mõju,” kirjeldab ta.
Teine tähelepanuväärne juhtum oli 2013. aastal, kui Iraani häkkerid üritasid saada juurdepääsu New Yorgi Bowman Dami juhtimissüsteemile. Kuigi nad pääsesid süsteemi, ei põhjustanud nad reaalset kahju.
Ülemaailmse mõjuga küberrünnak – SolarWinds
2020. aasta detsembris avastati üks viimase aja kõige keerukamaid küberrünnakuid, mida tuntakse SolarWindsi küberrünnakuna. Tegemist oli nn tarneahela rünnakuga, mille käigus sisestasid ründajad pahatahtliku koodi SolarWindsi Orion tarkvaravärskendustesse. Kui kliendid need värskendused alla laadisid, said ründajad juurdepääsu nende süsteemidele.
Kuigi rünnak mõjutas umbes 18 000 organisatsiooni üle maailma, keskendusid ründajad väiksemale hulgale kõrge profiiliga sihtmärkidele, et pääseda ligi tundlikule teabele ja viia läbi luuretegevusi. Rünnakut on seostatud rühmaga APT29, tuntud ka kui Cozy Bear, mis on seotud Venemaa välisluureteenistusega (SVR).
“SolarWindsi juhtum tõi esile tarneahela rünnakute potentsiaali ja mõju ulatuse,” märgib Adrian Venables. “See näitab, kui oluline on tarneahela turvalisuse tagamine ja pidev valvsus ka siis, kui rünnakut pealtnäha ei märgata.”
Sellised juhtumid rõhutavad vajadust rahvusvahelise koostöö ja infovahetuse järele, et tuvastada ja ennetada keerukaid küberrünnakuid, mis võivad ohustada nii riiklikku julgeolekut kui ka globaalseid ettevõtteid.
Pea 50 aastat esimesest küberrünnakust
Esimeseks küberrünnakuks peetakse sageli 1988. aasta Morris Wormi juhtumit, kus pahavara nakatas umbes 10 protsenti tollal internetiga ühendatud arvutitest. Kuid Venables märgib, et tänapäevane riikidevaheline küberkonflikt sai hoo sisse 2007. aastal rünnakutega Eesti vastu. “Need olid esimesed teadaolevad rünnakud, mis suunati otse ühe riigi vastu, põhjustades tõsiseid häireid valitsuse ja finantsasutuste veebisüsteemides.”
Venemaa, Hiina, Iraan ja Põhja-Korea on Venablesi sõnul aktiivsed osalised küberkonfliktides. “Lääneliitlased nagu USA, Ühendkuningriik ja Prantsusmaa on tuntud ka oma ulatuslike kübervõimekuste poolest,” lisab ta. Viimastel aastatel on tähelepanu pälvinud ka trollivabrikud, näiteks Venemaa Interneti-uuringute Agentuur, mille tegevus on ulatunud USA valimistesse ja Euroopa Liidu poliitiliste otsuste mõjutamisse.
Trollivabrikud ja desinformatsioon
Küberruumis tegutsevad mitte ainult häkkerid, vaid ka nn trollivabrikud, mille eesmärk on manipuleerida avalikku arvamust ja levitada desinformatsiooni. Venemaa trolliarmee, mida juhib Interneti-uuringute Agentuur, on olnud seotud nii 2016. aasta USA presidendivalimistega kui ka valimiste mõjutamisega Moldovas, Gruusias ja Rumeenias.
Moldovas oli valeinfo sihtmärk president Maia Sandu – püüti õõnestada tema juhtpositsiooni ja kahjustada riigi Euroopa Liiduga liitumise väljavaateid. “Kampaaniad hõlmasid süvavõltsingute (deepfake) videoid ja valenarratiive, mis külvasid umbusku tema euroopameelse poliitika suhtes,” selgitab Venables.
Gruusia 2024. aasta valimistel levitati samuti võltsvideoid ja valeinformatsiooni, et mõjutada valijate arvamust olulistes küsimustes nagu immigratsioon ja kuritegevus. Rumeenia presidendivalimistel samal aastal paljastati ulatuslik välismaine sekkumine, mille korraldajaks peeti Venemaa osapooli.
“See hõlmas sotsiaalmeedia desinformatsiooni ja küberrünnakuid, mille eesmärk oli kujundada avalikku arvamust. Pärast salastatud luureraportite avaldamist, mis näitasid ulatuslikku manipuleerimist, sealhulgas botide kasutamist ja krüptorahaga rahastatud operatsioone, tühistas Rumeenia konstitutsioonikohus valimiste esimese vooru tulemused.”
Venables rõhutab, et sellised juhtumid näitavad, kuidas desinformatsioon ja küberrünnakud võivad destabiliseerida riike ja õõnestada nende demokraatlikke protsesse.
Trolliarmeede tegevus on saanud palju tähelepanu just nende rolli tõttu valeinfo levitamisel ja avaliku arvamuse mõjutamisel. Venables toob näiteid Venemaa Internet Research Agency (IRA) tegevusest, sealhulgas nende sekkumisest 2016. aasta USA presidendivalimistesse. “Need operatsioonid keskendusid sageli polariseerivate teemade võimendamisele, et lõhestada ühiskondi ja külvata usaldamatust,” ütleb Venables.
Hiina “50-sendine partei” koosneb palgatud kommentaatoritest, kes propageerivad Hiina valitsuse seisukohti ja juhivad tähelepanu kõrvale negatiivselt kajastatud teemadelt. Filipiinidel on trolliarmeesid ulatuslikult kasutatud poliitilistes kampaaniates kandidaatide toetamiseks ja rivaalide ründamiseks.
“Need kampaaniad näitavad, kuidas trolliarmeed võivad avalikku arvamust juhtida, kasutades strateegiaid alates valenarratiivide levitamisest kuni isikliku mainekahju tekitamiseni,” lisab Venables.
Sellised näited rõhutavad trolliarmeede tõelist ulatust ja mõju ning näitavad, kuidas need kampaaniad ulatuvad kaugemale lihtsalt desinformatsiooni levitamisest, hõlmates ka sotsiaalsete ja poliitiliste struktuuride destabiliseerimist.
Küberluurajate tööriistad ja meetodid
Venables tõdeb, et küberluure toimub süstemaatiliselt ja kõrgemate autoriteetide juhendamisel. Sihtmärgid tuvastatakse erinevate meetodite abil, kasutades sageli “küberrünnaku tappahela” (cyber kill chain) strateegiat. See hõlmab järgmisi samme:
- eeluuringud – sihtmärgi kohta teabe kogumine;
- relvastamine – pahavara arendamine ja kohandamine;
- edastamine – pahavara toimetamine sihtmärgile, näiteks õngitsuskirjade kaudu;
- haavatavuse ärakasutamine – juurdepääsu saamine sihtmärgi süsteemidele;
- paigaldamine – pahavara installeerimine sihtmärgi süsteemi;
- kaugjuhtimine – süsteemi kontrollimine ja andmete varastamine;
- eesmärgi täitmine – näiteks andmete vargus või süsteemi sabotaaž.
“Riiklikult sponsoreeritud küberluurajad kasutavad sageli ka teisi luuremeetodeid, mis pole tingimata digitaalsed, vaid kombineerivad erinevaid luureallikaid,” selgitab Venables.
AI kasutamine muudab rünnakud keerukamaks
Tehisintellekti (AI) rakendamine küberruumis on muutnud rünnakud keerukamaks ja tõhusamaks.
Ründajate poolelt võib AI-d kasutada näiteks väga veenvate andmepüügikirjade (phishing) loomiseks, analüüsides ohvri sotsiaalmeedia profiile ja muud veebis kättesaadavat teavet. Samuti saab AI-d kasutada uue pahavara loomiseks, mis suudab kohaneda ja areneda, et vältida tuvastamist.
Veelgi enam, AI võib automatiseerida süsteemide haavatavuste avastamise ja ärakasutamise protsesse, muutes rünnakud kiiremaks ja tõhusamaks.
Kaitse poolelt võib tehisintellekt olla võimas tööriist suurte andmehulkade analüüsimisel, aidates tuvastada võimalikke ohte ja haavatavusi reaalajas. “Tehisintellekt suudab mõista normaalset kasutajakäitumist ning avastada kõrvalekaldeid, mis võivad viidata turvarikkumisele,” selgitab Venables. AI kiirus võimaldab ka rutiinsete küberturvalisuse ülesannete, näiteks logianalüüsi ja haavatavuste skaneerimise automatiseerimist palju kiiremini kui inimene.
Lisaks võib tehisintellekt kasutada ajaloolisi andmeid, et ennustada tulevasi ohte ning anda varajase hoiatuse eelseisvatest rünnakutest. “Tehisintellekt on tõhus tööriist, kuid samas tuleb selle võimeid kasutada targalt ja vastutustundlikult, et selle rakendused toetaksid küberturvalisust, mitte ei suurendaks ohte,” rõhutab Venables.
Eesti roll rahvusvahelises küberjulgeolekus
Eesti väiksus ja tihedad sidemed eri valdkondade vahel loovad tugeva koostöö avaliku ja erasektori vahel. “Paljud inimesed Eestis tunnevad üksteist – see soodustab koostööd ning hõlbustab liikumist valitsus- ja erasektori vahel,” ütleb Adrian Venables.
Eesti digitaalselt arenenud ühiskond toetab aktiivselt rahvusvahelisi küberjulgeoleku püüdlusi, olles tihedalt seotud Euroopa Liidu, NATO ja teiste globaalsete partneritega. Üheks oluliseks panuseks on NATO Küberkaitsekoostöö Keskuse (CCDCOE) majutamine Tallinnas. “See keskus mängib võtmerolli küberjulgeolekualases teadustöös, koolitustes ja õppustes.”
Lisaks tugevdab Eesti küberkaitset riiklik ajateenistussüsteem ning reservväelaste aktiivne osalus. “See tsiviil- ja sõjaliste struktuuride integratsioon võimaldab kiiret reageerimist küberohtudele, mis on eluliselt oluline, arvestades Eesti ainulaadset geopoliitilist asukohta ja digitaalset sõltuvust,” toonitab Venables.
Rahvusvahelised jõupingutused küberkonfliktide piiramiseks
Küberkonfliktide piiramiseks on aastate jooksul tehtud mitmeid rahvusvahelisi ja õiguslikke algatusi. “Tallinna käsiraamat on üks olulisemaid allikaid, mis selgitab, kuidas kehtivaid rahvusvahelisi seadusi saab rakendada küberkonfliktide puhul,” märgib Adrian Venables. See käsiraamat pakub raamistiku küberrünnakute seaduslikkuse ja vastutuse küsimuste analüüsimiseks.
Samuti on Ühinenud Rahvaste Organisatsiooni (ÜRO) Valitsusekspertide Grupp (UN GGE) alates 2004. aastast töötanud välja norme, reegleid ja põhimõtteid riikide vastutustundliku käitumise kohta küberruumis. Eesmärk on suurendada riikidevahelist koostööd ja ennetada konflikte küberruumis.
Budapesti küberkuritegevuse konventsioon, mis keskendub peamiselt küberkuritegevuse vastu võitlemisele, käsitleb ka küberkonfliktidega seotud küsimusi. Selle eesmärk on edendada rahvusvahelist koostööd ja ühtlustada riikide seadusandlust küberohtude vastu võitlemiseks.
Venables rõhutab siiski, et nende diplomaatiliste algatuste tõhusust piirab asjaolu, et vastased ei pruugi neid kokkuleppeid järgida. “Kuigi reeglid ja raamistikud eksisteerivad, ei tähenda see, et kõik riigid neid järgiksid, eriti need, kes kasutavad küberruumi aktiivselt strateegiliste eesmärkide saavutamiseks,” nendib ta.
Mis värvi on kübertulevik?
Venables rõhutab, et kaasaegsed küberrünnakud on sedavõrd keerukad ja mitmetahulised, et parim kaitsestrateegia on sageli nn nullusalduse (zero trust) poliitika. See tähendab, et organisatsioonid eeldavad juba algusest peale, et nende süsteemid võivad olla kompromiteeritud.
“Selle asemel et kulutada liiga palju ressursse rünnakute täielikuks tõkestamiseks, keskenduvad organisatsioonid tundliku teabe kaitsmisele. Üks strateegia on näiteks andmete salvestamine võrguühenduseta või keskendumine sissetungijate avastamisele süsteemi sees,” selgitab Venables. See lähenemine muudab ründajate jaoks tõhusate tulemuste saavutamise keerulisemaks, kuna tundlikud andmed jäävad kaitstuks isegi juhul, kui rünnak suudab süsteemidesse tungida.
Venables lisab, et sissetungide avastamine on kriitiline osa kaasaegses küberkaitsesüsteemis. “Kui organisatsioonid ei suuda sissetungimist ennetada, siis vähemalt on neil võimalus rünnakut varakult tuvastada ja selle mõju minimeerida.”
Küberteadlikkuse tõstmise vajadus
Lisaks tehnilistele lahendustele on Venablesi sõnul ülioluline tõsta üldsuse teadlikkust küberohtudest ja spionaažiriskidest. “Kuigi tähelepanu keskmes võivad olla traditsioonilised sõjalised konfliktid, nagu need, mida näeme Ukrainas ja Lähis-Idas, on oluline mitte unustada, et küberrünnakud on jätkuvalt käimas,” märgib ta. Ta rõhutab, et nii üksikisikud kui ka organisatsioonid peavad olema valmis küberohtudeks ja järgima pidevalt häid küberhügieeni tavasid.
Küberteadlikkuse suurendamiseks soovitab Venables pidevat koolitust ja avalikkuse harimist. “Küberhügieeni alused, nagu tugevate ja unikaalsete paroolide kasutamine, kaheastmelise autentimise rakendamine ja ettevaatlikkus tundmatute e-kirjade ja linkide suhtes, peaksid olema iga inimese ja organisatsiooni igapäevapraktika osad,” rõhutab ta. Väga oluline on regulaarselt uuendada operatsioonisüsteeme ja tarkvara, et kaitsta teadaolevate haavatavuste eest.
Venables lisab, et organisatsioonid peaksid oma töötajaid pidevalt koolitama, et nad tunneksid ära õngitsusrünnakud ja muud küberohud. “Tõhusate küberjulgeolekupoliitikate rakendamine ja töötajate teadlikkus loovad esimese kaitseliini küberrünnakute vastu,” kinnitab ta.
Venables rõhutab, et küberkaitses ei tohi kunagi loorberitele puhkama jääda. Eduka kaitse aluseks on ennetus, kiire reageerimine ja pidev teadlikkuse tõstmine. “Igaüks, alates üksikisikust kuni rahvusvaheliste organisatsioonideni, peab mõistma, et küberohud ei kao kuhugi. Nende ohtude tõsiduse mõistmine ja teadlik tegutsemine aitavad tagada parema turvalisuse meie kõigi jaoks,” lõpetab Venables.