Teksti suurus

Reavahe

Kontrastsus
Seaded

 

Kokkuvõte konverentsi "Küberturvalisus – vajadus ja võimalus" sõnavõttudest

Konverents "Küberturvalisus – vajadus ja võimalus" toimus 14. märtsil 2013.

Majandus- ja kommunikatsiooniminister Juhan Parts

Fotol Juhan PartsMajandus- ja kommunikatsiooniminister Juhan Partsi sõnul ei pea küberturvalisusega tegelema selleks, et hoida ära üksikuid probleeme. Suurim tagasilöök oleks ühiskonna usalduse langus interneti, tehnoloogia ja neist tulenevate võimaluste vastu.

Minister hoiatas ka küberteemadega kaasneva võimaliku ülereageerimise, liigse tsentraliseerimise ja vabaduste ning õiguste piiramise eest. "Rahvusvahelisel areenil rõhutame alati, et turvalisus ei saa olla ettekääne interneti pakutavate hüvede piiramiseks," märkis ta.

Turvalisust on ministri sõnul raske tagada hierarhilise süsteemiga. "Võti on koostöö, aga see ei saa olla tühi sõna. Keskne küsimus on koostöö riigi ja eraettevõtete vahel, samuti tuleb rohkem koostööd teha kodanikuühiskonnaga. Siiski on selge, et teatud määral me reeglitest ei pääse, selle märgiks on ka täna valitsuses kinnitatud turvameetmete määrus, mille eesmärk on tagada elutähtsa teenuse osutamiseks kasutatavate infosüsteemide toimepidevus nii tava- kui ka hädaolukorras," ütles Parts.

Eraldi peatus minister investeeringutel: "Tehnoloogia areng on kiire, ning investeeringud baasinfrastruktuuri ja teenustesse tunduvad vahel liialt suured, ent e-teenuste keskkonnas on alainvesteering omaette turvarisk."

Lõpetuseks peatus Juhan Parts Eesti mainel: "Eestil on küberjulgeoleku vallas kapitali nii tuntusest kui kompetentsusest. Peame rohkem pingutama selle tuntuse ära kasutamisel ja tulu teenimisel. Ka Euroopa kontekstis näeb Eesti hea välja: asjad, mida Euroopas püütakse ühiselt teha, tunduvad meile juba läbikäidud tee. Võtmeküsimus on see, kuidas jääda siin valdkonnas eelkäijaks ja innovaatoriks, arvestades meie inimressursi piiratust.“

Küsimusele, kas Eestis oleks vaja riiklikku küberkoordinaatorit, vastas minister, et koordinaatoritega tekib alati risk ülekoordineerimiseks. Küberjulgeoleku küsimusi arutab regulaarselt nii valitsuse julgeolekukomisjon kui ka küberjulgeoleku nõukogu, kuhu on kaasatud mitmeid ministeeriume.

Riigi Infosüsteemi Ameti peadirektor Jaan Priisalu

Fotol Jaan PriisaluRiigi Infosüsteemi Ameti peadirektor Jaan Priisalu rääkis oma ettekandes RIA rollist küberjulgeoleku koostöö elavdamisel. RIA on elutähtsaid teenuseid analüüsides tõdenud, et 90% neist on ITst sõltuvad ning 30% puhul on sõltuvus kriitiline: kui IT katkeb, katkeb ka teenus. 10% teenuste puhul on sõltuvus ülikriitiline - ilma infosüsteemita ei ole teenusel muud alternatiivi. Elutähtsate teenuste toimimise kolm alustala on sealjuures side, energia ja andmetöötlus.

Priisalu rõhutas, et oluline on suutlikkus õppida teiste kogemusest ning häid õppetunde on võimalik saada üksteist intsidentide korral abistades. Heade koostööprojektide näitena tõi Priisalu valitsustasandi õppuse "Küberpalavik": "Sellel harjutusel õppisime, et infosüsteemide tõrgetel on laiad tagajärjed ning küberkriis ei jää kauaks küberkriisiks, vaid kandub kiiresti teistesse valdkondadesse." Samas ei ole küberkriisihalduseks Priisalu arvates vaja eraldi asutust, sest kui midagi juhtub, alustab RIA ohu tõrjumist ning lisaks asuvad tegutsema veel viis ministeeriumi.

Priisalu tänas ka ettevõtteid koostööalti suhtumise eest: "Hoolimata sellest, et seadusandlik baas ei edene nii kiiresti kui tahaksime, ei ole meil elutähtsa teenuste osutajatega kunagi tekkinud koostööprobleeme." Lähitulevikus on RIA põhitähelepanu mõõtmistel. Rahvusvahelises valdkonnas oli Priisalu sarnaselt ministrile optimistlik, märkides, et Euroopa küberturbe direktiiv kirjutab ette tegevusi, mida Eesti juba teeb.

Ettekande lõpus peatus Priisalu Eesti küberturbe alasel ettevõtlusel: "Hea meel on näha, et hästi läheb mitmetel ettevõtetel nagu Cybernetica, Signwise, Clarified Security. Vähemtuntud on ka fakt, et Symantecil on Eestis palju arendajaid. Eestis on selles valdkonnas palju potentsiaali, eriti SCADAs turvamise vallas – see on rätsepakunst, millel on kindlasti tulevikku.“

EMT AS tehnikadirektor ja ITLi esindaja Tiit Tammiste

Fotol Tiit TammisteEMT AS tehnikadirektor ja ITLi esindaja Tiit Tammiste tõi oma ettekandes välja, et IT-teenuste tarbimine liigub järjest enam nutiseadmetesse, seega muutub mobiiliteenus järjest olulisemaks. Kriisiolukorras lähtuvad aga eraettevõtjatest teenuseosutajad ennekõike klientide ja omanike huvidest. Samas on ootused side toimimisele kriisiolukorras kõrgemad kui tavaolukorras, sest inimesed sõltuvad siis sidest rohkem.

Tammiste kritiseeris riigi kriisiplaneerimist, märkides, et kriisistsenaariumid on justkui elutähtsate teenuste osutajate eest kõige paremini hoitud saladus: "Nii lähtumegi riskianalüüsis klientide ja äri vajadusest, mitte aga laiematest riiklikest stsenaariumitest ning tugev torm Järvamaal on kindlasti meie joaks reaalsem oht kui kübersõda."

"Näiteks eelmise aasta novembris langes tormi tagajärjel rivist välja 40–50 EMT tugijaama. Valitses kaos. Päästeametit, kiirabi ei saanud välja kutsuda. Samas, kui näitame sellises situatsioonis statistikat ettevõtte omanikele, on võrgust maas alla 1% ning probleemi justkui pole," ütles Tammiste.

Liberaalne suhtumine on Tammiste arvates positiivne, aga näiteks elutähtsate teenuste serverite asukoha puhul tuleb riigi tahet selgemini väljendada ja vajadused lahti kirjutada ka kriisistsenaariumite võtmes: "Majanduslikust vaatevinklist on konsolideerimine vajalik, aga lihtsam on konsolideerida sinna, kus on rohkem kliente, näiteks Soome." Säärastest arengutest päästaks Tammiste sõnul ainult selge seadusepügal. Samas on oluline mõista, et seadusandluse täiendamisega tegelevad ka Skandinaavia riigid. "See, kes oma seadusandluse esimesena juurutab, koondab ka serverid," rõhutas Tammiste. Lisaks tuleb järjest enam mõelda pilveteenuste turvalisusele: "Selline lähenemine aitaks meid "müüa" ka serverimaana."

Samas kiitis Tammiste riigi ja ettevõtete koostööd: "Kõige parem näide koostööst on AS Sertifitseerimiskeskus. Asutus, mis osutab sertifitseerimis- ja ajatempli teenust ning mille lõid ühiselt pangad ja telekommunikatsiooni ettevõtted." Eesti digitaalse identiteedi taristu tekitab välismaal alati hämmeldust: "Alles äsja rääkisime sellest Microsofti juhtidele ning vastasime lõputult küsimustele, kuidas on see ikkagi võimalik, et allkirjastame dokumenti üheaegselt, asudes ise teine teisel pool ookeani."

Mobiilsete seadmete kasutuselevõtuga kaasneb aga mure tarkvaraga: "Personaalarvutite põhises maailmas saime juhtida, millist tarkvara keegi kasutab. Mobiilsete rakenduste maailmas me seda enam ei suuda. Igaüks võib teha oma digidoci rakenduse ja saata selle Appstore'i. See, milline on rakenduse turvatase, ei huvita kedagi. Seega tuleb tõsiselt mõelda, kuidas turvateemat propageerida ja teha kasutajatele selgeks, mis on turvaline, mis mitte," märkis Tammiste.

Mait Peekmaa Clarified Security OÜst ja Ragnar Rattas RIAst

Mait Peekmaa Clarified Security OÜst ja Ragnar Rattas RIAst näitasid, kuidas võiks üks Youtube'ist pärinevate teadmistega häkker juhtida valgusfoori tööd. Moraal: automaatjuhtimissüsteeme ei ole enam võimalik hoida internetist eraldi. Tuleb leppida sellega, et süsteemid ongi avatud ning avamiseks on häid põhjuseid. Kaitsta tuleb neid süsteeme seega kompenseerivate meetmetega.

Elektrilevi OÜ juhatuse esimees Tarmo Mere

Fotol Tarmo MereTarmo Mere, Elektrilevi OÜ juhatuse esimees rõhutas, et lisaks küberohtudele on veel mitmeid riske, millele riigil tasuks tähelepanu pöörata. Konteksti avades märkis Mere, et energiasüsteem on tervik, mida on arendatud ja kasutatud juba 100 aastat. Tormiline areng elektrisüsteemi arengus on toimunud alates 1960.–70. aastatest, mil on ehitatud tänased süsteemid, mis on oma olemuselt suhteliselt IT-vabad. Tootjaid võrgus on palju, põhivõrku nimega Elering on Eestis üks. Jaotusvõrke on 35, lisaks on hakanud tekkima väga palju mikrotootmist, Euroopas on areng selles vallas plahvatuslik.

"Energiasüsteemi kaudu on kokku traageldatud kogu meie ühiskond. Intsidentideks on välja töötatud head käitumisrutiinid, aga küberohtudele reageerimine on väga algusjärgus," ütles Mere. "Omamoodi on küberriski kindlustuseks olnud see, et süsteem on hajus. Ning pole olnud jõudu, mis süsteemi terves riigis maha võtaks. Kogu süsteemist ei ole olnud halvatud rohkem kui 40%."

Küberturvalisuse tagamise juures on Mere sõnul oluline mõista võrgu mahtu. Elektrilevil üksinda on üle 61 000 km liine – see on poolteist ringi ümber maailma. Sealjuures on telejuhitavad jaamu on pea 1200. 160 000 infopunkti on ühendatud juhtimiskeskusega. "Arvestades IT arengu kiirust ja automaatjuhtimissüsteemide elutsüklit, siis on meil 20 aasta pärast ilmselt võrgus kontrollerid, mille turvalisus ei kannata mingisugust kriitikat," ütles Mere.

Tänased nõuded teenuse toimepidevusele ei puuduta Mere sõnul vähemalgi määral küberturvalisust: "Kõik, mida teinud oleme, on kantud ärilistest eesmärkidest ja olnud meie enda initsiatiiv." Teenuse taastamiseks on olemas prioriteedid. Eemalt tagatakse varustus elutähtsatele süsteemidele (näiteks haiglad, Päästeamet); siis ühiskondlikult tähtsatele (näiteks politsei, militaarobjektid, lennujaamad), kolmandaks majanduslikult olulistele objektidele ja viimaks suure avaliku mõjuga asutustele (näiteks koolid).

"Küberturbe vallas ei istu me siiski niisama. Koostöös RIAga tehtud läbivustestist selgus, et Elektrilevil on vaja välja arendada täiesti uusi kompetentse, mida täna Eestis ei koolitatagi. Õppida saab küll IT-, automaatika või küberturbe spetsialistiks, aga nende erialade sümbioose pole kuskilt võtta," kurtis Mere.

Tehnoloogia areng toob meile nii suurema varustuskindluse kui ka mugavuse. Konverentsiga samal nädalal alustas Elektrilevi kaugloetavate arvestite masspaigaldust, kesksüsteemiga ühendatud kaugloetav arvesti on kõigil kodudes 2016. aasta lõpuks. Samas on see koht, kus küberturvalisuse seisukohalt muutub hajus risk kontsentreeritud riskiks. "Samas liigume ka alajaamade suurema automatiseerimise poole, mis tähendab, et küberturvalisusega on vaja juba väga palju tegeleda. Elektrivõrk ei ole disainitud vastu pidama rohkem kui 1–2 suurema lüli välja langemisele. Võrku ühendudes tuleb aga valmis olla avariide tulvaks," rõhutas Mere.

Riigilt ootab Elektrilevi nii selgemat tahte väljendust regulatsioonides kui ka pidevat koostööd, mis seni on olnud heal tasemel. Tuleb arvestada, et riikliku julgeoleku huvid ei pruugi kattuda ärihuvidega. "Vajame riiklikul tasandil koordineeritud tarka plaani. Elame väikeses riigis ega suuda kõikide riskidega tegelemist kinni maksta. Peame leppima, et meie tark plaan sisaldab ka seda, et kohutava kriisi puhul jäävad toimima ainult meie haiglad ja rahva kogunemise kohad - asjad, mis jätavad meile hinge sisse," lausus Mere lõpetuseks.

Elioni tehnoloogiadirektor Kalev Reiljan

Fotol Kalev ReiljanKalev Reiljan, Elioni tehnoloogiadirektor rääkis sissejuhatuseks usaldusest. Kriisis on side olulisus energia olulisusest väiksem, ent side on samas oluline elude päästmisel.

Oluliste trendidena tõi Reiljan välja järgmised nähtused:

  1. Võrgutehnoloogiate keerukuse kasv viimase paarikümne aasta jooksul. Võrreldes kunagise tavalise telefoniteenusega on teenuste hulk palju suurem ja keerulisem. Tekib kompetentsimure - kust leida eksperte, kes keerukusest üle käiks. Kliendi poolt vaadatuna kasvab ühenduse kriitilisus: klient tahab näha lemmiksaadet ja jalgpalliväravat ning on tige, kui see pole võimalik.
  2. Pilveandmetöötlus. Jaanuari juhtum näitas, et kui midagi juhtub osaga pilvest, tuleb intsidentideks teistmoodi ette valmistuda.
  3. BYOD ehk isiklike seadmete kasutamine töös.
  4. Sotsiaalvõrgustikud ja kommunikatsiooni muutumine. Inimeste teadlikkus ei ole tõusnud nii kiiresti kui uued kommunikatsioonikanalid võimaldaksid, tagajärjena tuleb tegeleda privaatsusküsimuste ja identiteedivargustega

Elion:

  • ootab selgemat tellimust riigi poolt, et ettevõtted ei peaks riske ennetama ainult ärieesmärkidest lähtudes.
  • tegeleb teenuste hallatavuse tagamisega (jaanuar näitas, et olukord võiks olla parem)
  • pöörab tähelepanu andmekaitsele. Elion ei halda küll nii palju andmeid kui näitekas pangad, aga siiski on märkimisväärne hulk andmeid, mida on oluline õigesti klassifitseerida ja töötajaid andmetöötluse teemal harida.
  • tegeleb pettuste ja teenuste varguste tagajärgedega. Näiteks juhtum, kus Narva koolist tehti kõnesid Sierra Leonesse.
  • tegeleb oluliste objektide füüsilise turbega
  • suurendab kasutajate teadlikkust. Heaks koostöönäiteks RIAga on greenwalling: takistame hoiatustega viirustega nakatunud arvutite ligipääsu võrgule.

Reiljan rõhutas, et infoturve ei ole kõrgelt makstud IT-spetsialistide teema, vaid seda tuleb vaadata kogu organisatsiooni üleselt. Alustada tuleb mõistmisest, millised teenused on olulised, kui avatud on need infoturbe riskidele ning millised kontrollmehhanisme on võimalik rakendada.

Töötajate teadlikkus ettevõtetes on pigem madal, sellega tuleks enam tegeleda. Kokkvõtteks nentis Reiljan, et infoturbega soetud riskid sagenevad, telekommunikatsioonifirmade vastutus infoühiskonna toimimise tagamisel suureneb ning koostöö on olulisem kui kunagi varem.

Küsimusele, kui palju on üldse piiriülesel ettevõttel võimalik hoida andmeid ja rakendusi Eestis, vastas Reiljan, et see on tõesti kriitiline teema. Soome ja Rootsi teevad praegu aktiivset tööd, et nendeni jõuaks rohkem pilvetehnoloogiate ja andmekeskustega seotud investeeringuid.

Arutelupaneel riigi ja erasektori rollist elutähtsate teenuste küberturvalisuse tagamisel

Arutelupaneelis rääkisid riigi ja erasektori rollist elutähtsate teenuste küberturvalisuse tagamisel Majandus- ja Kommunikatsiooniministeeriumi asekantsler Taavi Kotka, Siseministeeriumi päästepoliitika asekantsler Hannes Kont, RIA peadirektor Jaan Priisalu, EMT tehnikadirektor Tiit Tammiste ja Raul Rikk Trustcorpist.

Fotol Hannes Kont ja Taavi Kotka

Raul Rikk arvas, et riigi roll on tegeleda ühisosaga, mis puudutab kõiki. Analüüsida trende ja ohtude arengut. Kujundada tervikpilt, luua oskuslikult tark plaan. Riik võiks nõuda baasturvalisust ning teha seda väga kaasavalt.

Hannes Kont haaras kinni ettevõtjate mõttest, et vaja on rohkem regulatsioone. Kont rõhutas, et Eesti mudel on detsentraliseeritud, meil ei ole ühte juhtivat kriisiministeeriumi, iga ministeerium vastutab oma valdkondade eest. Kui soovime rohkem rolle ja selgust, siis tuleb vaadata vastava pädeva asutuse otsa.

Taavi Kotka leidis, et see temaatika vajab jõulisemat koordineerimist. Peame tekitama toimiva koja, institutsiooni, mis liimiks avaliku ja erasektori jõuliselt ja ruttu kokku.

Jaan Priisalu rõhutas, et spetsialistide tasemel toimib koostöö hästi, ent juhtide tasandil on see vaja juurutada. "Mul on hea meel näha, et räägime hoopis teist juttu kui aasta tagasi," ütles Priisalu. Mida riik saab teha paremini kui teised, on olukorra mõõtmine. Sealjuures tuleb ülesandeid jagada ettevõtetega, sest just seal peitub suurim kompetents. Siit tekivad ka paremad juhtimisotsused, sest kui ei saa aru olukorrast, on juhtimine mõttetu.

Tiit Tammiste märkis, et heast koostööst tuleb minna konkreetsemaks ning reguleerida valdkonda sel määral, et oleks selge, kes ja kui palju teeb. Hädaolukorra seaduse täitmine võib olla hajus, aga see eeldab toimekat juhtimist.

Kompetents üle arutledes märkis Raul Rikk, et tsentraliseerida tarku inimesi ei saa. Pärast 2007. aastat on küberkaitsega eri valdkondades tegeletud üsna iseseisvalt.

Taavi Kotka märkis, et enam tuleks rõhku pöörata ettevõtluse arendamisele. Küberjulgeoleku õppekava on IT-akadeemia põhjalikumaid suundi, aga selle põhjal saab uus kompetentsi hüpe tulla ainult ettevõtluses.

Raul Rikk tõstatas küsimuse, et vahest peaksime Soome eeskujul määratlema ühe prioriteedina küberjulgeoleku strateegias ka ekspordi.

Tiit Tammiste mainis, et ITLi strateegias on küberturvalisus märgitud eelisarendatavaks valdkonnaks, loomisel on ITLi infoturbe koda.

Kalev Reiljan tõstatas küsimuse, kuidas suurendada Eesti tõsiseltvõetavust regulatsioonide valdkonnas. Planeerime kriisiolukordi, mida pole juhtunud ja tõenäosus ütleb, et kui midagi pole juhtunud, siis vaevalt et seda ka järgmise 10 aasta jooksul juhtub. Vahest keskendume liialt palju ennetusele – fookus võiks enam olla võimalikel tagajärgedel.

Hannes Kont vastas, et siseministeeriumil on käsil õppuste maastiku korrastamine, pigem võiks neid teha vähem, aga reaalset tulu silmas pidades. Preventsiooni ei investeerita tegelikult piisavalt, aga seda tuleks teha  mõõdetumalt ja paremini sihistatult. Reageerimismudelid ei ole kunagi lõplikult paigas, aga naaberriikidega võrreldes on Eesti siin kindlasti ees.

Raul Rikk rõhutas, et kõige olulisem märksõna on analüüsivõime, sest ilma analüüsita ei ole võimalik hinnata, kas ressurss on mõistlikult jagunenud.

Jaan Priisalu sõnul tuleb mõista, et meie vastane on mõtlev inimene ning lõpuks on küsimus selles, kes suudab paremini olukorda ära kasutada. Sealjuures ei saa ainiti loota varem valmis tehtud plaanidele, kasvõi seepärast, et kriis kübervaldkonnas kandub kiiresti üle kriisiks teistes valdkondades.

Hannes Kont: vastutuse teravik tuleks suunata alla ning suurendada kodanike teadlikkust riskidest, et inimesel tekiks tegelik valmisolek ja võime reageerida. Inimene peab aru saama, kui kiiresti tuleb kiirabi, kui kiiresti saab tulla appi Eesti Energia – nii saab ta end ise kõige paremini kaitsta.

Teema: Küberturve

Lisatud 27.03.2013

Tagasi lehele "Uudised"