Sille Laks – detektiivitöö kübermaailmas

Tekst: Jonas Nahkor, päisefoto: Taskin Ashiq on Unsplash

Ma olen ennast asetanud mõtteliselt olukordadesse, kus meie igapäevane elu on sügavalt mingist tõrkest häiritud ja mõelnud, kuidas me selles hakkama saaksime. Riik sai 2019. aasta kevadeks valmis juhise kriisiolukordades hakkama saamiseks. Milles aga üks tõsine tõrge seisneb ja kuidas selle tekkimist vältida? Tuleb välja, et ka meile kriitiline side ja infrastruktuur on tihedalt kübermaailma osaks põimunud. See, kuidas ajada selles võrgustuvas maailmas asju nii, et sa mingi pettuse ohvriks ei langeks, on aga igaühe küsimus.

Eesti firma Clarified Security infoturbeekspert Sille Laks teab, mil määral selline järjest suurem põimitus kübermaailmaga mõjutab inimest, ettevõtteid ja riike tervikuna. Missugustest ohtudest peab internetikasutaja olema teadlik ja kuidas ennast küberruumis kaitsta.

Mis osa on infoturbe ekspertidel riigikaitses?

Paljude inimestel on ettekujutus sõjast kui relvadega võitlusest metsas, ent tänane sõjapidamine sõltub infosüsteemidest samuti nagu ka meie igapäevane elu.

Sille on kauaaegse Kaitseliidu liikmena ka sealse paarisaja liikmega küberkaitse üksuse liige. Eesti Kaitseväe osana on meil aga 2018. aastal loodud eraldi küberväejuhatus, milles töötab 300 inimest ning kus käiakse ka aega teenimas.

Riigi Infosüsteemi Ametis on küll osakond, mis igapäevaselt küberintsidente käsitleb, kuid eriti ulatuslike intsidentide ning kaitsevõimet või elutähtsate teenuste osutamist (ETO-sid) puudutavate rünnakute puhul peab valmis olema ka Kaitsevägi. Vajadusel moodustatakse ka Kaitseliidu küberkaitse üksuse liikmetest rapid response tiimid, kes ulatuslikumaid juhtumeid lahendada aitavad.

Küberturvalisuse ettevõtte kasvamislugu

Clarified Security alustas oma tegevust veebikeskkondade turvalisuse testimisega. Sille selgitab, mis kontekstides on turvalisus kriitiline teema.

„Keegi peab kindlustama veebiteenuste (sh. riiklike) turvalisuse, et keegi teine näiteks ei saaks sinu nime alt tuludeklaratsiooni teha, raha enda kontole kanda või siis mõnes e-poes tasuta kaupa tellida.“

Turvalisuse testimine on aga tagasiside juba valmis tehtud masinavärgile. Veebiarendajad hakkasid järjest enam soovima, et neid koolitataks juba arendusfaasis - security by design. Sellele nõudlusele leidis Sille praegune töökoht aastaid tagasi lahenduse.

„Esimesele koolitusele Hands on hacking essentials lisandusid aastate jooksul ka sellised, nagu Web application security, Secure logging ja Hunt the hacker. See esimene näitab tehnikutele, kelle igapäevane töö on kaitse, mida on võimalik teha küberkurjategija vaatest. Pärast ründaja poole kogeust minnakse sellelt koolituselt tavaliselt koju šokiseisundis. Kas see nii lihtne oligi? Lisaks mainitud treeningule on võimalik läbida ka kaitsva meeskonna treening, mis õpetab oma süsteemis ründeilminguid märkama.“

Kõigi selliste teadmiste testimiseks on nii Eestis kui ka ülemaailmselt aastaid korraldatud küberkaitse õppuseid, sealhulgas NATO Küberkaitsekoostöö Keskuse korraldatav Lockshields, milles osaleb üle 20 riigi. Õppusel on üksainus ründav, punane meeskond, ning rohkem kui 20-liikmelised kaitsvad, sinised meeskonnad, keda on tänaseks rohkem kui 20-st riigist.

Lisaks Locked Shieldsile tehakse ka erinevaid väiksemaid õppuseid organisatsioonidele, kes tahavad oma kaitsevalmidust testida. Selleks võib olla näiteks väiksemamahuline "Locked Shields" vähemale arvule meeskondadele kui ka julgematele näiteks päriselt käigusolevate süsteemide ja kasutajate testimine. Näiteks emuleeritakse ründeid tootmiskeskkonnas (Red teaming on production).

„Ettevõtted, kes on julgemad ja kel on oma infoturbe meeskond, soovivad teada, kui haavatavad nad tegelikele rünnetele oleks. Sulle antakse ette kokkulepitud periood, millal sa ründeid läbi võid viia ja millistes raamides võid sa opereerida. Lisaks infosüsteemide turvalisusele võib lisada sinna ka inimliku nõrkuse teste.“

Olukorrast võimalikult realistliku pildi saamiseks peab testidest teadlike töötajate arv olema minimaalne. Samuti annab realistlikuma olukorra testimine, kus ka ettevõtte poolt antakse ette võimalikult vähe infot ning kogu info tuleb tükk-tüki haaval ise kokku panna.

„Kuigi piirid on kokku lepitud, teame me umbes sama palju kui need küberkurjategijad, kes istuvad Vietnamis puu all.“

Millest kasvas välja huvi tolle maailma vastu?

Sille on tegelenud eelnevalt küberintsidentide koordineerimise ja lahendamisega riiklikul ja rahvusvahelisel tasandil. Enne seda on ta töödanud ühes maailma suurimas ettevõttes pettuste tuvastamise ja ennetamise valdkonnas.

„Töötasin tookord kasutajatoes, mis muu hulgas tegeles ka toodete garantiikorras väljavahetamisega ja nähti, et mul on silma pettuste tuvastamisele. Selle kõrvalt tekkis huvi selle vastu, kuidas inimeste psühholoogiat ära kasutatakse selleks, et tasuta või soodustingimustel kaupa saada. Mul endal on olnud kõnesid Nelson Mandelade ja isegi Kurt Cobainidega, elavatest kuulsustest rääkimata.“

Päris tihti vaatab Sille veebikeskkondi juba sisseharjutatud eksperdi pilguga, vaadates, kas keskkond on ka tegelikult piisavalt turvaline, et sealt virtuaalse krediitkaardiga tooteid osta, kas selle taga on ka päriselt olemasolev ja usaldusväärne ettevõte ning kas klient oma tellitava kauba ka päriselt kätte saab.  

„Ristsõltuvus IKT-st kasvab pidevalt. 2017 mai WannaCry intsidendi korral oli halvatud 20% Inglismaa erakorralisest meditsiinist, kuna neil oli paar kuud tagasi välja tulnud Windowsi turvauuendus tegemata. Halvatud on olnud ka suured telekommunikatsiooni, transpordi-, autotööstus- ja kullerettevõtted, teiste hulgas näiteks Deutsche Bahn, FedEx, Nissan ja Telefonica.“

Arvestades seda, et ahelas on enamasti nõrgimaks lüliks olnud alati inimene, siis on olukordade vältimiseks vajalik eriala spetsialistide koolitamine, kuid vähemoluline pole ka tavakasutajate turvateadlikkuse järjepidev kasvatamine.

„2009. aastast on võimalik õppida Tallinna Tehnikaülikooli ja Tartu Ülikooli ühises küberkaitse magistriprogrammis ja Tallinna Tehnikaülikooli IT-kolledž pakub alates 2015. aastast ka küberturbe tehnoloogiaid. Põltsamaalt pärineb hea näide, kuidas juba üldhariduses küberkaitset õppida saab. Siiski algab aga turvalisus küberruumis igast inimesest endast. Süsteeme võib turvata ja uuendada niipalju kui tehniliselt võimalik, küll aga on alati inimfaktor kes võib ikkagi vea teha.“

Äärmiselt aktuaalne eriala

Küberturvalisuse teema on viimase 10 aasta jooksul äärmiselt aktuaalseks muutnud. Seda mitte ainult IT-töötajate hulga vaid ka paljudes tehnoloogia ja tootmisettevõtetes ning avalikes asutustes. Sellist asja nagu 100% turvaline süsteem, mis ilma uuendusteta oleks turvaline ka aasta pärast selle loomist, ei ole olemas. Selles vallas on turvalisuse tagamiseks vaja pidevalt tööd teha.

„Kui sul on IT oskused, aga sa tahad teada, kuidas sinu tehtud asju katki teha, siis hakka küberturvet õppima. Ning kui sa oled midagi valmis teinud, mõtle ka selle peale, kuidas seda katki saab teha.“

Ettevõte, milles Sille töötab, kannabki sellest lähtuvalt motot: We break security to bring clarity.