2015. aasta jõulud, Ukraina elektritootjat ründas pahavara BlackEnergy, vooluta jäi ligi 230 000 inimest. Oli see esimene või kõige silmatorkavam juhtum, kui küberrünnak nii suurt mõju omas?

Kindlasti kõige silmatorkavam, aga mitte esimene, kui me võtame 2003. aasta CSX Train Signaling System viiruse või Los Angelese foori-intsidendi aastal 2006. Iga päev tuvastab mõni selline asutus, et nende võrgus käib port scan. See võib olla vaenuliku riigi tegevus, aga samahästi võib see olla ka mõni 16-aastane, kes on oma oskusi proovile paneb. Aga see juhtub kogu aeg.

Ukraina juhtum sai palju kuulsust ja see on hea asi. Kõige kõrgemal tasemel hakati mõistma, kui tõsiselt tuleb kriitiline informatsiooni infrastruktuuri kaitset võtta, täpselt nagu lunavara rünnakud on pannud juhte mõistma, mis ohtu see endast kujutab.

Kõik see peaks ju lükkama meid ehk küberkaitse tööstuse tegudele, tagame, et meie haiglad ja pangad on nii tähtsad, et me ei lase neid rünnata. Üks väljakutse on aga selles, et tehnoloogia muutub nii kiiresti.

The only constant in technology is that it is constantly changing. Therefore, we struggle to monitor, keep pace, and ensure our networks and lives are secure.

Üksainus muutumatu konstant tehnoloogias on see, et see muutub pidevalt. Seega näeme pidevalt vaeva, et monitoorida ja sammu pidada ja tagada, et meie võrgud ja elud oleksid turvatud.

Kui tõsiseks meie ohud muutunud on?

Muutunud on kogu keskkond. Võtame näiteks 30 aasta taguse aja, kui kõik ei käinud üle interneti. Toona läksid sa tööpaika kohale, logisid üle terminali sisse ja hakkasid tegutsema.

Nüüd on kõik muutunud. Võrgus peavad pidevalt olema kõik asutuse osad, finantsjuhtimisest ja turunduseni, kellel on vaja olla põhisüsteemidega ühenduses, lisaks on kõigil andmed pilves ja üle võrgu neile ligipääs. Töötajad ühenduvad asutuse võrku ükskõik kust üle planeedi. Samal ajal on trend, et me oleme töötajate arvu vähendanud ja ühe rohkem tegevusi automatiseerinud – see aga omakorda tekitab juurde haavatavusi.

Nii et töötaja on kodus ja peab teadma, mis tööl toimub, siis käib ta selleks läbi terve rea turvameetmeid: lükkab käima VPNi, samal ajal peab hoidma kogu tarkvara uuendatuna, jälgima et tulemüür toimiks. Kui aga töötaja teeb seadistusse muudatusi, siis võib see anda asutuse võrku ligipääsu neile, kel see pole ette nähtud. Või kui tehnika läheb hooldusse, mõni turvameede võetakse ajutiselt maha ja see ei tule kohe üles. Mida teeb ründaja? Kasutab seda võimalust kohe ära, logib sind jäljendades võrku.

Kui see kanda kriitiliste infosüsteemide keskkonda, siis tuleb lisaks arvestada ka teist poolt. Sellises asutuses – olgu see veepuhastus- või elektrijaam, sideasutus – olevad seadmeid ei pruugi olla tavalisele IT-administraatorile tuttavad. Siin ei ole tõenäoliselt tavaliste opreatsioonisüsteemidega servereid, selle asemel huugavad näiteks mõne spetsiifilise tootja kontrollseadmed. Ja tüüpiliselt on need 15-20 aastat vanad! Selle tehnika, operational technology, milleks võivad olla nii tööstuslikud juhtimissüsteemid kui muud seadmed, kaitsmine võib olla tavalisest hoopis keerukam.

Mis on sellises olukorras kallim? Kas hoida sellist vana, aegunud ja haavatavustega süsteemi töös või võtta ette selliste seadmete väljavahetamine?

Väljakutse on selles, et see operational technology on tootmisele orienteeritud ja peab kogu aeg töötama. Kui sa lülitad näiteks elektrijaamas ühe sellise seadme välja, siis sa ei tooda enam elektrit, sa ei saa seda müüa, su tulud vähenevad ja su kasumimarginaal kukub. Aktsionärid nõuvavad vastuseid, miks see nii on.

Teine väljakutse on aga see, millest meie kursus just räägibki – eristada IT-süsteeme ja operational technologyt, kusjuures viimase puhul on palju enam kõikvõimalikke platvorme. Keskastmejuhid peavad seda teadma ja sellest aru saama, et tippjuhtidele esitada selge ohuhinnang. Friedrich Suur ütles, et need kes kaitsevad kõike, ei kaitse midagi. Teisisõnu, tuleb prioriteete seada. Kui antud elektrijaam või elektritootja on piirkonna kõige tähtsam, kriitilisem energiaga varustaja, siis tuleb panna kõik ressursid sinna, et seda jaama kaitsta. Kui see veemagestusjaam annab vett tuhandetele inimestele piirkonnas, siis tuleb panna paika prioriteet, et see oleks turvaline.

Kui vaadata küberohtusid, siis kas erinevate ründajate ja rünnakute ampluaa tundub nii kirju, et nende vastu ongi raske midagi ette võtta?

Ohtude pilt on pidevalt muutumas. Minu vastus sellele on, et iga organisatsioon vajab selget strateegiat. Alustada tuleb täiesti tipust ehk mis on kõige olulisemad asjad, millega see asutus tegeleb ja mis peavad iga kell toimima ning kuhu peavad töötajad pääsema.

Selle nimel tuleb kujundada kogu kaitse. See võib tähendada white-listimist, kes kuhu ühenduda saab. Ja võib-olla tuleb isegi otsustada, mida internetti ühendatud töökohal teha saab.

Tuleks mõelda, kas igal töökohal on vaja ligipääsu suurtesse sotsiaalvõrgustikesse või teistesse populaarsetesse teenustesse, mis võivad tegelikult mingil moel ohuks olla. Kas töötajad peavad tööülesannete täitmiseks seda lehekülge vaatama? Kas selle teenuse või saidi kasutamine on hädavajalik?

Kui tööle tuleb uus töötaja, siis peame talle näitama tööohutuse põhimõtteid, kus on tuletõrjeväljapääs ja nii edasi. Äkki peaks sama tegema ka arvuti taga?

Ja kui keegi rikub sisereeglite vastu, tuleb ta vastutusele võtta. Me teeme seda USA valitsuses, me teeme seda sõjaväes, me õpetame seda sellel kursusel. Sest kui sul on reeglid ja nende rikkumisele ei järgne vastutust, siis ei pea neist keegi kinni.

Teisisõnu, küberhügieen on oluline, aga ei maksa lihtsalt lootma jääda, et inimesed korralikult käituvad?

Inimeste vastutus tuleb paika panna. Kui asutuses on CIO (IT-juht) ja ta määrab reeglid, siis tuleb neid täita ja ta peab tagama, et kõikide teiste üksuste juhid tema reegleid täidaks.

Erasektoris on CIO vastutav võrguturvalisuse eest kuni iga viimase arvuti tarkvarauuenduseni välja. Tema missioon on tagada, et võrk ja andmed on turvalised. Ja kui ei ole, siis lõpuks on CIO vastutav. Tema peab ja jõustab normid.

Te olete töötanud kriisiohjamises ka näiteks looduskatastroofide juures. Mis selles samamoodi või teisiti on võrreldes küberrünnakutele vastamisega?

Jah, olen töötanud Sandy ja Katrina orkaanide kriisijuhtimises, Jaapanit ja Fukushimat tabanud tsunami järel, Afganistanis. Igas kriisis on lõpuks tähtis see, et tuleb oma ressurssidele prioriteet anna – otsustada, mis on kõige tähtsam asi, et praegu elusid päästa või siis näiteks taas ühendus luua.

Eri riikides, kus ma olen käinud, olen andnud sama nõu: teil peab olema plaan valmis. Kui lõpuks saabub orkaan või muu õnnetus, siis peab teil olema juba plaan, mida täitma asuda, et keda appi kutsuda ja kes mida tegema hakkab. Küberkriisidega on täpselt samuti – plaan peab valmis olema.

Euroopas arutletakse, kas küberjulgeoleku kriisidele tuleb samamoodi vastata nagu muudele.

Minu vastus on, et jaa. Ma isegi ütleks, et kui teil on olemas plaan hädaolukordade puhuks, siis on teil plaan küberkriisideks.

Hea näide on pangandus: kui selle vastu usaldus kaob, võib see äärmiselt suure mõjuga olla, inimesed tulevad tänavatele meelt avaldama ja võivad korraldada nn pangajooksu. Ja selleks võib piisata ainult sellest, et ainult ühe panga vastu kaob usaldus, aga tulemus on laastav kogu ühiskonnale. Plaan sellisele kriisile reageerimiseks on tegelikult sarnane näiteks väejuhtimises võis ka küberrünnakus kasutatavale plaanile.

Mida meil lähiaastatel ees oodata on? Ohud muutuvad üha mitmekesisemaks, kuidas me reageerima peaksime? Kallama sinna valdkonda rohkem raha?

Kõige esimene samm on haridus, mis jaotub kaheks. Esiteks, meil on vaja sertifitseeritud küberkaitse eksperte, nende järgi on tohutu nõudlus. Teiseks, haridusele peaks tähelepanu pöörama kõikidel tasemetele, kas või juba lasteaias. Kui juba algkoolis aktiivselt arvutit õpetama hakata, siis põhi- ja keskkoolis on saanud sellest tugev põhi, mis annab võimaluse väga head kõrgharidust omandada.

See, mida TTÜ teeb Eestis, et tudengid saaks reaalsetest ettevõtest otse kogemuse, on suurepärane. Ja kui nad lähevad oma lõputööd kirjutama ülikooli, olgu see kõrgem robootika, küberturvalisus või miski muu täpsem ala, viivad nad tagasi kogemuse eraettevõttest.

Ja muide, see mida meie siin NATO küberkaitse keskuse kursusel teeme, on samuti osa sellest samast haridusest. Lisaks on see ka meie enda jaoks väga oluline, et luua dialoog, õppida oma kursuse õpilastelt ja luua sidemeid üle kogu maailma, sest turvalisuse loomine on alati koostöö. Me ei jõua ise kõikjale, seepärast teemegi koostööd liitlastega ja koolitame.