Language switcher

Küberturvalisus sõltub igaühest

 

Ohumärkide tunnetamine aitaks küberkuritegevust ennetada

Kurjategijad tegutsevad kübermaailmas nutikalt, kasutades ära inimeste väheseid teadmisi ja süsteemide nõrkusi. Politsei suurimad ülesanded on leida ressurssi raskete ehk sihitud ja suure mõjuga küberrünnete tõkestamiseks ning tõsta inimeste teadlikkust.

Keskkriminaalpolitsei küberkuritegude büroo juht Oskar Gross nendib, et kuigi kuritegevust ei ole võimalik välja juurida, saab elu piiratud võimalustega turvalisemaks muuta.

Mis on kuritegevuse vaates politseile praegu kõige suurem murekoht?

Ilmselt siiski nn tänavaküberkuritegevus ehk laiahaardelised ja võrdlemisi lihtsa toimemehhanismiga küberkuriteod, nagu õngitseskirjad ja erinevad arvepettused, mille õnge on väheste teadmiste tõttu lihtne langeda ning mille puhul kannatanud politsei poole kõige rohkem pöörduvad.

Kindlasti peaksime sellele teadliku ennetusega rohkem tähelepanu pöörama. Ühelt poolt seetõttu, et neid juhtumeid on kriminaalmenetluslikult võrdlemisi keeruline uurida ja tulemusi toob see harva, kuid samas tekitab ühiskonnas kõige rohkem ebakindlust. Kui suudaksime ühiskonnas harjutada inimestele sisse ohumärkide tunnetamise, hakkaksid sellised kuriteoliigid oma ebaefektiivsuse tõttu vähenema ning politsei saab suunata rohkem ressurssi keerukamate juhtumite ehk sihitud ja suure mõjuga küberrünnete uurimisele.

Kas ja mis teeb küberkurjategija tuvastamise võrreldes mõne teise kuriteoliigiga keerulisemaks?

On teatud aspektid, mis teevad küberkuritegevuse muudest kuriteoliikidest erinevaks. Näiteks küberkeskkonna reeglid on füüsilise maailma omadest erinevad ning samuti on uurimise rõhuasetus tõenäoliselt mujal kui muude kuriteoliikide puhul. Küberkuritegude uurimine eeldab väga head klassikalise kriminaalpolitsei töö oskusi ja väga head tehnilist taipu. Minu hinnangul ei ole võimalik lahendada keerulisi kuritegusid vaid ühe kompetentsiga.

Milline võiks olla lähiaastate prognoos, kas trendid kuidagi muutuvad?

Kuna valdkond muutub püsivalt, tuleb kindlasti mingeid üllatusi. Küberkelmuste osas samamoodi. Kui ühel hetkel ei ole enam praegused kalastamiskampaaniad piisavalt efektiivsed, mõeldakse välja midagi uut. Hoiame silmad lahti ja püüame operatiivselt reageerida.

Oskar Gross

Kuidas paremini ennetada, mis on ju kriminaalmenetlusest oluliselt lihtsam ja odavam?

Meie jaoks on ennetuse puhul suur küsimus see, kuidas jõuda õige sihtgrupini. Kindlasti on meedia üks oluline kanal, mille kaudu inimesi teavitada, kuid isiklikult tunnen, et kuna tänapäeva ühiskonnas on tähelepanu hajuv, oleks vaja meetodit, mis paneks inimesed korraks tõsisemalt süvenema.

Näiteks katsetasime aasta lõpus koos RIAga ettevõtete juhtidele otsepostituste edastamist, milles hoiatasime levivate arvepettuste eest. Kuigi seda oleks saanud kindlasti teha nüansirohkemalt, oli tagasiside valdavalt väga positiivne. Tuleviku perspektiivist võiks mõelda riikliku teavitussüsteemi peale, mis võimaldaks kindla sihtgrupi teavitamist.

Kas Eesti eristub küberkuritegude poolest kuidagi muust maailmast?

Küberkuritegude vaates Eesti väga oluliselt tegelikult ei eristu. Ühe erisusena võib ilmselt välja tuua asjaolu, et tänu Eesti ID-kaardi süsteemile on pankade klientide vastu ründeid tõenäoliselt vähem kui mujal.

 

Küberkuritegude edukas uurimine eeldab riikide ühist arusaama olukorra tõsidusest

Piret Paukštys, 
riigiprokurör

Küberkuritegevus on üha levinum kuriteoliik, mis ei tunne riigipiire ning millega on võimalik teenida väga suures ulatuses kriminaaltulu.

Kurjategija võib olla sülearvutiga Itaalia kohvikus ning minutitega mõjutada servereid hoopis Ameerika Ühendriikides või mujal maailmaosades. Sellise kuriteo menetlemiseks on rahvusvaheline koostöö ja kiire infovahetus määrava tähtsusega.

Rahvusvaheliste küberkuritegude menetlemine eeldab riikidelt ühist arusaama, et tegemist on prioriteetse valdkonnaga, millega on vaja tegeleda. Ühine arusaam probleemidest on väga oluline, et oleks võimalik edasi liikuda. 2016. aastal loodi Eurojusti juurde küberkuritegudega tegelevate prokuröride võrgustik European Judicial Cybercrime Network, milles ka Eesti annab oma panuse. Võrgustiku eesmärk on muuta riikide koostöö kiiremaks, otsida ühiselt lahendusi küberkuritegude menetlemisel tekkivatele probleemidele ning jagada kogemusi, kuidas uue tulevikukuriteoliigiga tegeleda.

Lisaks pakkus Euroopa Komisjon juba eelmisel aastal välja, et tegelikult võiks politseil ja õiguskaitseasutustel olla võimalik saada kiiremini elektroonilisi tõendeid, kui neil oleks võimalik taotlused edastada otse teenusepakkujale. Töö vastavate seaduste väljatöötamisel jätkub aktiivselt ka sellel aastal ning lisaks otsitakse lahendusi krüpteerimisega seotud probleemidele, näiteks kuidas pääseda ligi krüpteeritud andmetele.

Piret Paukštys

Prokuratuur paneb aasta aasta järel küberkuritegude menetlemisele järjest enam rõhku. Kõige enam väljendub see kasvõi menetlusotsuseid saanud inimeste arvus, keda 2018. aastal oli 27 ja aasta varem hoopiski 18. Suurem osa kriminaalasjadest on aga n-ö kohalikud – võõraste interneti kasutajakontodele sisenemised ning seal andmete kustutamine või kopeerimine.

21. sajandil peavad õiguskaitseasutused arvestama uute tehnoloogiliste väljakutsetega, millega kurjategijaid tabada. Küberkuriteo tõendamiseks on vajalikud elektroonilised tõendid, kuid alati peab meeles pidama, et neid tõendeid on võimalik vaid ühe klahvikombinatsiooniga „ära kaotada“.

 

Valmisolek küberoperatsioone omistada on küberruumis stabiilsuse ja usalduse alus

Heli Tiirmaa-Klaar,
küberjulgeoleku erivolitustega diplomaatiline esindaja

Viimaste aastatega on küberjulgeolekust kujunenud oluline valdkond välis- ja julgeolekupoliitikas.

Järjest enam on vaja rõhutada riikide vastutustundlikku käitumist küberruumis, mis eeldab rahvusvahelisest õigusest, kübernormidest ja usaldusmeetmetest kinnipidamist. On riike, kes seda ei tee, ning seetõttu on üha olulisem kutsuda riike üles järgima reegleid küberruumis.

Riikide korraldatud või soodustatud küberoperatsioonide ennetamiseks ja heidutuseks valmistati 2018. aastal ette ja võeti selle aasta algul valitsuses vastu küberoperatsioonide omistamise tegevusjuhis, mis koosneb poliitilistest, tehnilistest ja õiguslikest elementidest ning selgitab asjassepuutuvate Eesti ametkondade pädevuse omistamise läbiviimisel. Eesti toetab ka ELi ja NATO küberoperatsioonide vastumeetmete raamistikke ja aitab ELi kübersanktsioonide režiimi väljatöötamise, kollektiivse omistamise ja teiste vastumeetmete rakendamisega kaasa stabiilse küberruumi arengule.

Järjest suurenevate küberväljakutsete, suureneva digiteerumise ja geopoliitiliste konfliktide taustal on ka välispoliitiline huvi Eesti valdkondlike kogemuste vastu üha suurem. Lähiaastatel tugevdab Eesti suhteid kübervaldkonnas peamiste liitlasriikidega ning küberjulgeolekualgatusi rahvusvahelistes organisatsioonides. Samuti pöörame järjest rohkem tähelepanu arengukoostööle kübervaldkonnas.

Heli Tiirmaa-Klaar

Eesti on juba praegu väga suur eeskuju nendele riikidele, mis alles ehitavad oma e-riiki ja küberturvalisust, ning me kavatseme jätkata oma kogemuste jagamist. Lisaks arendame edasi Eesti ekspertiisi rahvusvahelise õiguse osas ning koostöös Eesti ülikoolide ja teiste akadeemiliste asutustega on plaanis luua rahvusvahelise küberõiguse kompetentsikeskus. Vajadus õigusalase ekspertiisi järele kübervallas üha suureneb ja Eestil on, mida teiste riikidega jagada.

 

Vaade välismaalt: CSIRT võrgustik panustab tugevalt Euroopa küberturvalisusesse

Otmar Lendl,
Austria CERT.at juht

2016. aastal Euroopa Liidus vastu võetud NIS direktiivi algatas Euroopas uue koostööplatvormi, mille liikmeteks on kõik riiklikud küberturbemeeskonnad (CSIRT) ja lisaks CERT-EU.

Praeguseks on CSIRT võrgustik toimiv koostöövorm, mis iga päev panustab kogu Euroopa küberturvalisusesse. Meie Euroopa Liidu Nõukogu eesistumise trio (Eesti, Bulgaaria ja Austria) õlgadele langes ülesanne panna see koostöö toimima võrgustiku algusaastatel. Lisaks olime esimene kolmik, kes pani paika küberturvalisuse valdkonnas just eesistumise jaoks olulised prioriteedid ja mõtted. Kuna poliitilisel tasandil oli küberturvalisus tugevasti toetatud, võtsid Eesti, Bulgaaria ja Austria CERTi meeskonnad selle võrgustiku käimalükkamise enda peale.

CERT-EE suhtus oma rolli äärmiselt tõsiselt kogu meie trio eesistumiste aja. Minu hinnangul tegid nad palju rohkem, kui formaalselt tegelikult nõutud. Eesti panustas üleeuroopalisse võrgustikku näiteks sellega, et pakkus CSIRT võrgustikule kasutada oma Mattermost koostööplatvormi taristut. See osutus eriti kasulikuks 2017. aasta Wannacry ja NotPetya kampaaniate ajal, kui kõik Euroopa küberturbemeeskonnad kogunesid sellise virtuaalse lõkkeplatsi ümber, et koos arutada oma tegevusi ja saada ühine arusaam olukorrast Euroopas.

Otmar Lendl

Teine panus Eesti poolt oli inimeste tööaeg. CERT-EE eksperdid ei piiranud kunagi oma osalemist projektides nende kuue kuuga, mil Eesti oli ametlikult eesistuja rollis. Eesti eksperdid aitasid ehitada vajalikud tööriistad CSIRT võrgustiku jaoks, aitasid luua sellele võrgustikule vastava juhtimisstruktuuri mudeli ning panustasid oluliselt Cyber Europe 2018 õppusesse. Tänan Klaid Mägi, Andres Ellikut, Hannes Krauset ja Sille Laksi Eestist, kellest igaüks andis väga korraliku panuse, et Euroopa CSIRT võrgustik oleks Euroopa küberturbemeeskondadele efektiivne informatsiooni jagamise platvorm – mul oli väga hea meel nendega koostööd teha.

 

Vaade välismaalt: Riiklik küberturvalisuse keskus — oluline samm Hollandi jaoks

Michel Van Leeuwen,
Hollandi justiits- ja julgeolekuministeeriumi küberpoliitika osakonna juhataja

Hollandi küberturvalisuse keskse olukorrapildi ja ekspertiisi keskus on riiklik küberturvalisuse keskus (NCSC). Selle keskuse missioon on Hollandi ühiskonna vastupanuvõime tõstmine küberruumis toimuvate intsidentide osas, mis aitab kaasa turvalise, avatud ja stabiilse ühiskonna loomisele.

NCSC on digitaalsete ohtude ja küberturvalisuse intsidentide puhul ka rahvusvaheline partnerasutus. NCSC aitab koordineerida suuremate küberkriiside operatiivset lahendamist ning on CERT tiimiks Hollandi keskvalitsusele ja kriitilise infrastruktuuri asutustele.

Hiljuti avaldasime oma küberturvalisuse strateegia, kus panime paika meetmed, kuidas niisuguste ülesannetega hakkama saada. Nende hulgas on näiteks üleriigiline küberturvalisuse võrgustik, kus on võimalik jagada efektiivsemalt informatsiooni küberturvalisuse kohta avaliku sektori ja erasektori parterite vahel.

Holland toetab ka tugevamat küberkoostööd Euroopas ja loodab sel tasandil Eestiga rohkem koostööd teha. Eesti paistab selles valdkonnas olevat loomulik koostööpartner – mõlemad riigid on arenenud digitaalse, avatud ja konkurentsivõimelise majandusega. NCSC on RIA ja CERT-EEga juba aastaid koostööd teinud nii operatiivsetes küsimustes kui ka poliitika kujundamises. Kahepoolsete suhete kõrval oleme nendes valdkondades teinud tööd ka Euroopa Liidu raames, mis on viinud küberturvalisuse koostöö uuele tasandile.

Michel Van Leeuwen

Eesti võttis digiteerumise ette üsna varakult ja on (turvalise) digitaalse valitsemise mõttes Euroopas esirinnas. Et üleeuroopalise võrgustiku professionaalsust ja arengut stimuleerida, tuleb veelgi intensiivsemalt otsida koostöökohti. Küberruumis kasvavad ohud ning kodanike üha kasvav sõltuvus tehnoloogilistest lahendustest nõuab üha tõhusamat küberturvalisust üle terve Euroopa – näiteks paremat informatsiooni- ja teadmistevahetust, võimalikele kriisidele reageerimise võimet, õppusi ja partnerite võimete arendamist.

 

Turvaline identiteet: Eestis käib töö kvantarvutite turvamiseks

Tartu ülikooli krüptograafiaprofessor Dominique Unruh ütleb, et avaliku võtme taristuga turvasüsteemid, näiteks Eesti ID-kaart, on kvantarvutitega murtavad. Kuigi sellist arvutit veel polegi, peavad turvalised lahendused valmis olema juba enne.

Professor Unruh, kui kaugel me töötavast kvantarvutist oleme? Ja kuidas me saame valmistuda selleks, mida veel pole?

Tänapäeval eksisteerivad veel väga piiratud kvantarvutid ja need pole kasulikud krüptosüsteemide ründamiseks. Kuigi on väga raske ennustada, millal täisfunktsionaalne kvantarvuti valmib, edeneb teadustöö nende loomiseks. Aga oleks viga oodata kvantarvuti ilmumiseni, enne kui me hakkama tegelema millegi sellisega, mida nimetatakse post-kvantkrüptograafiaks. See on krüptograafiline süsteem, mis kvantarvutite suhtes turvaline.

Uue krüptograafilise süsteemi uurimine, arendamine ja laialdaselt kasutusele võtmine võtab aastaid, ilmselt isegi kauem kui kvantarvuti enda arendamine. Kui me probleemi tõsiselt ei võta, võidakse meist mööda minna, nii et kvantarvutid saavad valmis juba enne kui turvalahendused.

Õnneks on võimalik kvantarvutite tulekuks valmistuda kvantarvutit kasutamata. Me küll ei tea, kuidas kvantarvuti täpselt ehitatakse, aga meil on selle toimimise ja põhimõtteliste piirangute kohta olemas matemaatilised mudelid. Nii saamegi hakata matemaatiliselt analüüsima, kas kvantarvutiga saaks murda mõnda krüptosüsteemi, ilma et me oleks sellisel arvutil nuppugi vajutanud.

Sellisel moel püüamegi me täna luua krüptosüsteeme, mis suudaks vastu seista homsetele kvantarvutitele.

Millist riski võiks kvantarvutid kujutada meie praegustele krüptosüsteemidele?

Kogu maailmas levinud avaliku võtme taristu – millel põhineb ka Eesti ID-kaart – on kvantarvutite suhtes haavatav.

Kuigi me teame, et avaliku võtme taristule on alternatiive, pole need nii hästi uuritud ega ka tõhusad ning seetõttu praktikas kasutusel.

Nii et jah, kui kellelgi on täielikult töötav kvantarvuti, saaks ta täiesti murda enamiku tänapäevasest avaliku võtme taristust.

Kui me tahaksime täpselt analüüsida, mis riske see meie igapäevaelule kujutab, on meil vaja teada, kui kallis selline kvantarvuti oleks ja kas see oleks kättesaadav ka näiteks kuritegelikele jõududele. Seda on praegu veel raske ennustada.

Dominique Unruh

Saite mullu Euroopa teadusnõukogult viieks aastaks üle 1,7 miljoni euro suuruse uurimisgrandi. Mis on teie uurimistöö eesmärk?

Kui analüüsida krüptograafilisi süsteeme, olgu need tavalised või kvantsüsteemid, kasutame nende turvalisuse uurimiseks matemaatilisi tõestusi.

Aga matemaatilised tõestused on väga keerulised ja inimestel on väga lihtne neid kirjutades või kontrollides vigu teha. Põhimõtteliselt on nii, et kui ainult inimesed kontrolliks keerukat matemaatilist tõestust, siis me ei teaks ikkagi, kas see tõestus on korrektne.

Formaalne verifitseerimine on meetod, millega kontrollitakse tõestusi arvuti abil – inimene võib olla või mitte olla tõestuse kirjutanud, aga me kasutame arvutit selle kontrollimiseks.

Kuna arvutitel ei ole piiratud tähelepanuväli nagu inimestel, sobivad need hästi selleks, et vaadata läbi megabaitide kaupa tõestusi ja leida vähimgi viga.

Minu uues Euroopa teadusnõukogu projektis töötame välja formaalse verifitseerimise meetodi just kvantkrüptograafiale. Ja me kasutame seda selleks, et kvantkrüptograafiliste süsteemide turvalisust kontrollida. See annab kvantkrüptograafia arendamisele tugevama matemaatilise vundamendi.

Minu uurimisrühmas on praegu üks järeldoktoriõppe ja kolm doktoriõppe üliõpilast, aga Euroopa teadusnõukogu rahastusega kasvab see hulk kahe- või kolmekordseks. Meie igapäevane töö on matemaatiliste tõestuste kontrollimine ja formaalse verifitseerimise meetodite arendamine, esmalt paberil ja siis tarkvaras. Aga lisaks tegeleme ka õpetamisega, et kasvatada järgmine põlvkond kõrgetasemelisi krüptograafiaeksperte.

Viimati muudetud: 04.04.2019

Kas said vastuse oma küsimusele?


Täname tagasiside eest!