Arvamused
4. mai 2018 kell 3:00

Kuula

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Küberkuritegevus nõuab inimohvreid

Karen K. BurnsFoto: Erakogu

Ilmselt on küberrünnakute tagajärjed juba inimohvriteni viinud, kirjutab küberturvalisuse ekspert Karen K. Burns.

Mis on internetiäris kõige kasumlikum? Selleks ei ole Google ega Facebook, vaid küberkuritegevus, mis Computerweekly.com’i viimaste andmete järgi on väärt 1,5 triljonit dollarit aastas. Võrdluseks: Google’i eelmise aasta käive oli 109 miljardit dollarit.

Taoliste summade juures on ilmselge, et netikuritegevus võtab üha laiemaid ja loomingulisemaid mõõtmeid ning inimohvriteni jõudmine on suure tõenäosusega juba toimunud.

Värskelt avaldatud RIA aastaraamat puudutab muu hulgas samuti seda teemat, väites, et küberrünnakud päädivad peagi inimohvritega. Kahjuks Eesti praeguses olukorras, kus ainuüksi küberturvalisuse mõiste ja olulisus on (tava)inimesele hoomamatu, on mõte inimelu ohtu sattumisest veel eriliselt abstraktne. Samas on sel teemal räägitud juba aastaid ning oma 2016. aastaraportis ennustas Austraalia Computer Society, et esimene inimene hukkub küberkuritegevuse läbi lähima kolme aasta jooksul.

Ilmselt on küberrünnakute tagajärjed siiski juba inimohvriteni viinud. Edukaid rünnakuid süsteemidele toimub pidevalt ja palju (RIA raporteeris järjekordse rekordaasta juhtumite poolest) ning Suurbritannia eelmise aasta WannaCry rünnak just inimohvreid suure tõenäosusega endaga kaasa tõi. Lunavara leviku tagajärjel suleti mitu Briti riikliku tervishoiusüsteemi NHS-i keskust ja BBC andmeil tühistati või lükati edasi vähemalt 6900 (kaudselt üle 19 000) protseduuri ja operatsiooni.

See tähendab, et kuigi operatsioonilaual keegi rünnaku tagajärjel ei hukkunud ning võimalikult paljud kriitilised protseduurid viidi siiski läbi, ei ole andmeid selle kohta, milliseid tagajärgi tõid kaasa needsamad tühistatud ja edasi lükatud operatsioonid, suletud keskustest ümbersuunatud kiirabiautod ja viibinud laborivastused. NHS teenindab 36 tunni jooksul miljonit inimest (sic!) ning neid kõiki jälgida oleks võimatu.

Kes oli süüdi?

Nagu ikka on küberturvalisuse kolmest komponendist – inimesed, protsessid, tehnoloogia – kõige nõrgem inimene. Haiglate turvaaugud olid ka vaatamata hoiatustele lappimata ning ründajatele lihtne saak.

Olen ise Suurbritannia tervisejärelevalveameti IKT-osakonnas töötanud aastail 2007-2011 ning mäletan hästi sealset protsesside aeglust tohutu suure bürokraatiamasina tõttu. Sealses tervishoiusüsteemis on poolteist miljonit töötajat, mis teeb NHSist töötajate arvu poolest maailma viie suurima hulka kuuluva asutuse. Hanked kestsid vahel terve aasta või kauem – selleks ajaks on ostetav tehnoloogia juba vananenud.

Kuna tervishoiusüsteemidele peab olema tagatud pidev ligipääs on nende uuendamine ja parandamine väga kulukas ja vaevarikas. Väikesed kurjategijate grupid on võimelised kiiresti tehnoloogiat välja arendama, koostööd tegema ja leapfrog-rünnakuid läbi viima, samas kui pooleteise miljoni töötajaga organisatsioon ei suuda sama kiiresti neile reageerida. Lisaks tervishoiuasutustele, kes RIA raporti kohaselt ka meil rünnakute ohvriks on langenud, hakkavad tõenäoliselt üha enam löögi alla sattuma ka isiklikud meditsiiniseadmed.

Võrdlemisi mugav on inimröövi asemel korraldada näiteks südamestimulaatori ülevõtmine, et lunaraha nõuda. Kuigi hetkel on see risk teoreetiline ja pigem telesarjadest nähtud, on ilmselge, et see muutub reaalsuseks tänu asjade interneti pealetungile, mis pakub piiramatuid võimalusi nii heade kui halbade kavatsustega kasutajale.

Juba praegu informeeritakse südamemonitori saajaid teoreetilise küberrünnaku riski eest, ning mida aeg edasi, seda tavapärasemaks selline nõustamine muutub. Lisaks seadme – minu näites südamemonitori – töö otsesele häirimisele võidakse hoopis modifitseerida infot, mis arstideni jõuab (mis omakorda tekitab olukorra, kus patsient saab valeravi), või näiteks saata seadmetesse viirus, mis seadet kahjustab.

Mida sellest kõigest õppida?

Eesti väiksus on meie eelis – jõuame kiiresti reageerida intsidentidele ning hoida oma taristu korras, nii riigi tasandil kui erasektoris. Hankeprotsessis küberturbetehnoloogiat hankides peab olema paindlik ja tehnoloogia peab omakorda adapteeruma muutuvale keskkonnale.

Küberhügieeni alane teave on hakanud tasapisi kanda kinnitama – ent väga pikk maa on veel minna. Inimelusid on küberrünnakud väga suure tõenäosusega juba võtnud ja ma ei usu, et on võimalik seda vältida olukorras, kus me üha enam digitaliseerime elutähtsaid teenuseid. Küll aga peab olema iga asutuse suurim südameasi nende intsidentide ennetamine ja kahjude minimeerimine.

Autor: Karen K. Burns

Minu Äripäeva kasutamiseks logi sisse või loo konto.