Küberrünnaku eest ei ole keegi kaitstud

Eelmisel aastal registreeris Riigi Infosüsteemi Amet (RIA) üle 9000 küberjuhtumi. Neist intsidente (juhtumeid, millega kaasnes otsene mõju teabe või süsteemide konfidentsiaalsusele või kättesaadavusele) tuvastati 2248 ehk ligikaudu neljandik. Statistika räägib enda eest: ei saa väita, et Eestis midagi ei juhtu.

 

Õnneks ei tabanud meid mullu ükski kriitilise tasemega küberintsident, millega oleks kaasnenud oht inimeste elule ja tervisele või elutähtsale teenusele. Küll tuvastasime aasta vältel 348 kõrge prioriteediga intsidenti, mis mõjutasid riigile olulise teenuse toimimist.

 

Pärast WannaCry rünnakut küsiti Eestilt – miks pole teil midagi katastroofilist juhtunud? Miks pole Eestis elutähtsad teenused kannatada saanud? Võib ju mõelda, et oleme nii väikesed ja ebaolulised, et kes meid ikka rünnata viitsib?! Muuseas, see see on suhteliselt levinud arvamus, mida minagi tihti kuulen. Mis minult ikka võtta on, kes mind ikka rünnata peaks tahtma vms.

Küberkurjategijaid ei huvita, kes sa oled ja kas sinult on midagi võtta. Internet on ülemaailmne – kui sinu süsteemid on haavatavad, siis sind ka rünnatakse. Kübermaailmas peituv anonüümsus tekitab segamatult tegutsemiseks väga soodsa pinnase ning selle najal ka purjetatakse.

Kui süsteemid on hästi kaitstud, siis paar korda proovitakse ja seejärel leitakse kusagil mujal keegi, kelle juurde on lihtsam sisse murda. Seetõttu jääbki enamik ründeid suurema mõjuta katseteks – eriti juhtudel, kui kaitsjad õigeaegselt ja asjalikult reageerivad.

Küsimuste asemel, kes ja miks ründas, mõelgem parem, kuidas saaks jätkuda olukord, kus meie väikese Eesti põhitegevuseks jääks mujal maailmas toimunud intsidentide analüüs või arutlused mõne Lähis-Ida poliitilise sõnumiga näotustatud Eesti poliiterakonna kodulehe üle.

Riigi sund ei ole kiusamine

Loomulikult on eelkõige tublid olnud kõigi nende Eesti ettevõtete ja riigiasutuste IT-eksperdid, kes meie lugematuid infosüsteeme ja arvuteid hooldavad ja haldavad. Kuid mis on riigi roll selle kõige juures?

Riik on panustanud lugematul hulgal ressurssi inimeste teadlikkuse tõstmisesse, koolitanud ja harinud nii eksperte kui tavakasutajaid, saatnud välja hoiatusi, olukorra ohuhinnanguid ning teateid, kehtestanud reegleid ja kohati isegi sundinud n-ö ajaga kaasas käima.

Ja kõike seda mitte kiusamise ja piiramise eesmärgil, vaid selleks, et meil ei juhtuks kriitilisi intsidente lihtsatel põhjustel, st keegi kasutas iidvana operatsioonisüsteemi või lihtsalt ei leidnud aega või põhjust oma süsteeme uuendada ja kriitilisi parendusi rakendada.

Jätkuvalt mõtlevad liiga vähesed kasutajad, infoturbejuhid ja IT-spetsialistid elementaarse küberturvalisuse peale. Ilmselt tuleb see asjaolust, et kübermaailm paikneb meist kuidagi eemal, ei ole käega katsutav ning seetõttu ei pöörata sellele ka nii suurt rõhku kui käitumisele esemete maailmas.

Ometigi teeme me riigisektoris palju tööd selle nimel, et Eesti küberturvalisuse taset parandada. On rõõm näha, et elulised näited panevad paljusid inimesi teistmoodi mõtlema ja mõistma küberjulgeoleku olulisust.