Eesti ja meie välisteenistuse julgeoleku tagamine on välisministeeriumi üks valdkondi. Selle nimel, et Eesti diplomaadid, sealhulgas kümned saatkonnad üle maailma, oleksid kaitstud nii füüsiliste kui ka mittefüüsiliste rünnakute eest, teevad igapäevaselt tööd kümned välisministeeriumi töötajad.
Inimene, kes seda kõike juhib, on seega väga oluline lüli nii Eesti kui ka meie liitlaste turvalisuse tagamises. Täna otsibki välisministeerium uut diplomaatilise julgeoleku osakonna peaspetsialisti, kes oleks valmis kohe tööle asuma.
Geenius vestles vabanenud positsiooni asjus välisministeeriumi diplomaatilise osakonna talituse juhi Ivar Leemetiga, kes avas veidi välisministeeriumi julgeoleku osakonna tagamaid ja rääkis ka ohtudest, millega igapäevaselt rinda tuleb pista.
Olete otsimas uut välisministeeriumi diplomaatilise julgeoleku osakonna peaspetsialisti. Kui peaksite tema tegevust selgitama ühe lausega stiilis “See on see inimene, kes…”, siis mida ütleksite?
See on inimene, kes saab aru, et praktilisel infoturbel on oluline roll laiapindse riigikaitse tagamisel.
Meie osakond vastutab selle eest, et meil oleks ministeeriumina riigikaitse võimekus olemas. Tegemist on riigikaitselise positsiooniga, mis tähendab, et sõja korral ta ka mobiliseeritakse, aga mitte esimeste seas.
Infoturbesüsteemi mõiste paneb mõtlema tulemüüri ja viirusetõrje peale. Kuidas selgitada infoturbesüsteeme avaliku sektori või isegi täpsemalt välisministeeriumi kontekstis?
Põhiliselt saab seda selgitada küberturbe kontekstis. Riigil nagu ka erasektoril on teavet, mida ei ole mõistlik avaldada, ning seda informatsiooni tuleb põhilises töökeskkonnas ehk arvutivõrgus kaitsta.
Suurim vahe on ehk selles, et välisministeerium, erinevalt erasektorist, peab täitma suurt hulka nõudeid, millised on ühelt poolt kehtestanud Eesti riik ja teiselt poolt oleme võtnud kohustusi ka erinevate rahvusvaheliste organisatsioonide ja koostöövormide kaudu.
Tulemüür (sh IDS ja IPS funktsioonid) ja viirusetõrje (nii tööjaamades kui ka serverites) on vaid üks aspekt infoturbega süsteemselt tegelemisel. Seega välisministeeriumi näitel iseloomustab infosüsteemide käitamist kõrge standardiseeritus ning suur hulk baasnõudeid nii IT-süsteemidele ja nende turbele kui ka organisatsioonile.
Üks väljakutsetest on siin kahtlemata see, et kuidas mitmeid standardeid rakendades ning üldjuhul rangemaid meetmeid eelistades — kui on valida leebema ja rangema vahel, siis meie peame valima rangema — mitte kahjustada ladusat kasutajakogemust.
Üheks aspektiks on juba meie töötajate isiklikud seadmed, mis võivad võrku ühendatuna — ja kõik on ju tänapäeval võrgus — osutuda turvariskiks. Tänaseks oleme täiesti välja juurinud ka näiteks mälupulgakultuuri, et esitlust tegema minnes saadetakse presentatsioon ikkagi meilile, mis on kordades turvalisem kui mälupulga arvuti külge ühendamine.
Kui karmid on nõuded välisministeeriumi töötajatele, võrreldes mõne teise ministeeriumiga?
Vaenulike eriteenistuste küberrünnakute kolm peamist sihtmärki Eestis on kaitseministeerium, kaitsevägi ja välisministeerium. Seetõttu on neil kolmel asutusel ka teiste ministeeriumitega võrreldes karmimad turvanõuded.
Kas teie töötaja tohib näiteks TikToki oma telefonis hoida?
Siin on selline asi, et need andmed, mida võidakse varjatult koguda, kuuluvad meie silmis telefonis privaatsesse sfääri, kuhu ministeerium ei sekku. Töötajatel on oma n-ö liivakastid (ingl k sandbox’id), kus erinevad rakendused asuvad. Kui inimene teeb telefoniga pilti, siis meie ei nõua selle pildi nägemist. Kui töötaja soovib fotot meiega jagada, saab ta selle seadmes vastavasse kasti tõsta.
Kõikide rakenduste puhul oleme me töötajatele andnud siiski soovituse oma privaatsusest mitte loobuda. Kuigi see privaatsus on inimese enda oma ja meie ei saa jäika piiri tõmmata, et USA rakendused on okei, aga Hiina omad pole. Aga soovitame oma privaatsust võimalikult põhjalikult kaitsta.
Milliste rünnakutega te igapäevaselt töös kokku puutute ja millised on järgmised suuremad väljakutsed?
Riigi infosüsteemi ohustavaid rünnakuid leiab kõikidest turbeaspektidest. Kui sihitud pahavararünnakud välja jätta, siis esineb troojasid, phishing’ut ehk kalastusründeid, küberkelmusi, sh krüptoviiruste saatmisi e-posti teel, aga suuremas koguses ning keerulisemal kujul.
Kui teiste asutuste ja ettevõtete jaoks ei pruugi rämpspost isegi rünnaku alla liigituda, siis meie jaoks küll.
Kui võtta 600 aadressile saabunud rämpskiri või reklaam ning iga meie sisekoolitused läbinud töötaja pühendab umbkaudu minuti selle uurimisele, siis oleme kaotanud 10 tundi ametnike tööaega. Tegelikult päris suur kahju.
Suuremateks väljakutseteks on kindlasti uute tehnoloogiate kasutuselevõtuga seotud uute riskide märkamine ning nende maandamine. Kuna arvutivõrk moodustab orgaanilise terviku, mobiiltelefonidest on saanud arvutid, mille kaudu saab tavakasutaja täita praktiliselt kõiki tööülesandeid ning kaugtööl on selles üha suurem roll, siis tuleb ohtudega toimetulekuks viia need seadmed ligilähedasele turvatasemele, mis oleks kontoris töötamisel.
Ent arvutivõrgus, olgu see kodus või tööl, tuleb senisest enam tähelepanu pöörata tervikule, näiteks võivad arvutivõrku ohustada erinevad värkvõrgu komponendid.
Siin on lisaks insenertehnilisele väljakutsele ehk sellele, kuidas valida turvalisi seadmeid ja neid turvaliseks seadistada, ka teine väljakutse: kuidas tõsta turvateadlikkust töötajate seas selliselt, et nad teadvustaksid kaugtööga — kodus, hotellis, lennujaamas — kaasnevaid riske ning teaksid võtteid, millega anda enda panus turvataseme püsimisse.
Peaspetsialisti näol on tegu vastutava isikuga. Mille eest täpsemalt see inimene välisministeeriumis vastutama hakkab?
Ennekõike logiandmete agregeerimise ja analüüsisüsteemide eest. See tähendab, et tema korraldab vastavate süsteemide paigaldust — vajadusel paigaldab ise — ja arendustöid ning sisu poolelt aitab arendada välja automaatseid aruande- ja teavitussüsteeme, et avastaksime varakult arvutivõrgus toimuvast normist kõrvale kalduvaid sündmusi.
Teisese ülesandena näeb see positsioon ette regulaarsete haavatavustestide läbiviimist — seda selleks, et nii testimisjärgus kui ka kasutusel olevad süsteemid poleks haavatavad.
Suures pildis vastutab ta välisministeeriumi töötajate küberjulgeoleku eest.
Loen siit välja, et see ei ole päris koht valgete kinnaste kandjale.
Tööle asudes tuleb kätte tõmmata ikka töökindad. Protsesside juhtimist on vaja kahtlemata ajakohastada, kuid ennekõike vajame ärksat inseneri.
Meie eeldus on, et olulisemad haldusoperatsioonid logi- ja aruandekeskkondades teeb infoturbeametnik. Hindame väga mitmekesisust ja rangelt koodi kirjutada vaja pole. See-eest see, et igaüks loob ise oma raporteerimisvahendid, kasutab erinevaid skripte statistika või analüüside jaoks, on elementaarne. Seda teen ka mina, struktuuriüksuse juhina.
Missugust inimest te selles rollis näeksite, just iseloomu poolest?
Kindlasti peaks ta olema uudishimulik. Just selles mõttes, et kui tundub, et arvutivõrgu andmetes või logides on midagi kahtlast, midagi jääb silma, siis ta selgitab selle põhjuse alati välja.
Teda peavad seega huvitama uued tehnoloogiad ja kõiksugu IT-tehnilised anomaaliad. Selles osas on oluline roll ka erinevate logiandmete ühendamises, komplekteerimises, et sedasi uut infot luua.
Näiteks, kui meil on süsteemis näha, et keegi vaatab ühes ruumis mingisuguseid dokumente, aga läbipääsusüsteemis pole jälge, siis on kaks varianti: ruumi on sisenetud kaarti kasutamata või on tegu volitamata süsteemikasutusega.
Miks välisministeeriumisse tööle tasub tulla? Mida te pakute?
See inimene annab väga olulise panuse nii välisministeeriumi kui ka kogu Eesti küberjulgeolekusse ja saab olla seotud oma ala uusimate tehnoloogiate ja arengutega.
Omalt poolt pakume seadusest tulenevat 35 puhkusepäeva, erialaseid koolitusi ning mõistagi keeleõpet.
Lisaks IT-turbelise maailma avastamisele oleme paindlikud selles osas, et kes soovib rohkem välislähetusi, siis seda talle ka võimaldame.
Välisministeeriumis on keskmise kodanikuga võrreldes tunduvalt kõrgem teadlikkus küberohtudest ja -ohutusest. Millist nõu annaksite Eesti inimestele nende isikliku küberturvalisuse osas?
Kindlasti on probleemiks aegunud tehnoloogiate kasutamine ja mittelegaalsetest allikatest tarkvara hankimine. Samuti tahan rõhutada, et nii nagu sada aastat tagasi oli oluline oskus ise riideid parandada, siis täna on täpselt sama oluliseks muutunud hoopis teised kompetentsid.
See, et inimene oskab oma koduvõrgu turvaliseks teha — et tal on salasõna, piisav WPA-krüpteering, vajadusel sisevõrk segmenteeritud — ja et tal on ka üldine hea IT-hügieen — viirusetõrje, varukoopiate tegemine, salasõnade vahetamine — võiks täna olla juba elementaarne.
Kuigi osa inimesi arvab, et nende andmed on valitsuse või mõne firma käes, siis tegelikult omab kõige rohkem andmeid enda kohta ikkagi inimene ise. Ja vastutab oma andmete andmise eest samuti tema ise.