Isikuandmete vargus internetis on kasvav oht ka riiklikule julgeolekule kirjutab Rahvusvahelise Kaitseuuringute Keskuse teadur Piret Pernik.
Piret Pernik: tundlikud isikuandmed kui riiklik julgeolekuoht
Riigi Infosüsteemi Ameti (RIA) peadirektor ütles hiljuti, et Eesti on väga haavatav küberrünnakutele meie suure sõltuvuse tõttu e-teenustest. RIA peadirektori sõnul on arvuti tavakasutaja suurimaks ohuks küberkurjategijad, riigi jaoks aga küberspionaaž. Maailmas on küllalt näiteid, kus «riigisaladus on väga lihtsate vahenditega lihtsalt ära võetud.»
Just nii läks me liitlastel Euroopas ja Põhja-Ameerikas. Arvatavasti Venemaa eriteenistused murdsid troojalase pahavara abil hiljuti Saksamaa parlamendi infosüsteemi, saates liidukantsler Angela Merkeli arvutist nakatatud meili paralamendiliikmetele. Nii saadi juurdepääs parlamendiliikmete arvutite sisule, sealhulgas meilivahetusele. Kui palju ja milline sensitiivne info on kompromiteeritud, ei ole julgeolekukaalutlustel avalik info. Juunis avalikustas ka USA, et arvatavasti Hiina riik on varastanud tõenäoliselt kõikide föderaalvalitsuse ametnike, endiste töötajate ja paljude alltöövõtjate (hinnanguliselt 4-14 miljoni inimese) isikuandmed, sh sünnikuupäevad, aadressid ja sotsiaalkindlustuse numbrid, millega on võimalik valeidentiteeti kasutades laenu võtta või petta muudel viisidel inimestelt raha välja. Andmed, millele saadi juurdepääs, ulatuvad aastasse 1985.
Hullemgi veel, pihta pandi tõenäoliselt ka detailsed riigisaladuse juurdepääsu ankeedid. Neis oleva info põhjal on võimalik kompromiteerida muuhulgas riigisaladuse juurdepääsu omavate inimeste tuttavaid ja lähisugulasi, kelle andmed ankeetides sisalduvad; samuti arvatakse, et nende põhjal on võimalik kindlaks teha varjatult töötavad luuretöötajad (inglise keeles undercover). Kui need andmed peaksid sattuma küberkurjategijate kätte, võivad ohvrid kannatada suurt materiaalset kahju. Lisaks võivad need miljonid inimesed, kelle isikuandmeid riik ei suutnud kaitsta, riigi koguni kohtusse kaevata.
Olukord on nii tõsine, et USA isikuandmete ameti esindajad kutsuti juhtunust aru andma senatisse (andmeleke hõlmab ka senaatorite abide andmeid) ja ka USA president Obama isiklikult on ameti direktori kaitseks sõna võtnud. USA poliitikud küsivad õigustatult miks ei olnud riigi julgeoleku jaoks olulised andmekogud piisavalt kaitstud, kuigi möödunud aastal samas ametis läbiviidud audit näitas, et turvameetmed olid ebapiisavad (nt puudus mitmeastmeline enesetuvastus). Need ja paljud varasemad intsidendid nii Euroopas kui mujal maailmas näitavad, et enamasti nii riigiasutused kui erafirmad ei tea väga pikka aega, et nende arvutivõrkudes tegutseb sissetungija (keskmiselt läheb intsidendi tuvastamiseks rohkem kui 200 päeva).
Teatavasti ei pidanud interneti loojad silmas selle turvalisust, kuna kübersuhtlus toimus algselt väikeses, üksteist usaldavas ringis. 100 protsendiline küberjulgeolek on võimalik ehk vaid Platoni ideede maailmas, kuid mitte küberruumis, sest tehnoloogiat ei saa kunagi lõpuni usaldada. Iga harrastussportlane teab, et pulsikell ei näita alati õigeid numbreid ja iga IT arhitekt teab, et teoreetiliselt on võimalik kõiki inimese ehitatud süsteeme kompromiteerida (tõsi, meie ID-kaardi elektroonilise isikutuvastuse funktsioon on olnud vähemalt seni turvaline).
Samuti on pahalased kaitsjatest mitu sammu ees, kuna uute kommertstoodete arendajad ei disaini neid turvaliselt, sest see tõstaks toote hinda, pikendaks turuleviimise aega ja tavakasutaja ei nõua seda. Uute tehnoloogiate haavatavuse vähendamiseks seavad paljud valitsused kommertstoodete hankimisel üha enam turvanõudeid (suppy chain security), mistõttu vähemalt riigi infosüsteemid peaksid turvalisemad olema kui meie isiklikud nutiseadmed.
Kübereksperdid räägivad ühehäälselt, et totaalset küberjulgeolekut ei saagi saavutada. Kaitse eesmärk on suurendada infosüsteemide vastupanu või toimepidevusvõimet (resilience). Arvestades, et pahalased saavad nii kui nii infosüsteemidesse, peab hea kaitsestrateegia suutma eraldada eriti tundlikud andmed nõnda, et neid ei oleks lihtne kätte saada.
Miks Saksamaa ja USA, kes eraldavad küberkaitse ja -võimete arendamisele lausa kolossaalseid summasid, ei suutnud kaitsta vaenulike riikide ja küberkurjategijate kõige tõenäolisemaid sihtmärke - sensitiivseid isikuandmeid, poliitikute arvutite sisu? Kas need riigid on pannud oma ressursid valesse kohta, arendades sõjalisi kübervõimeid ja kaitstes elutähtsaid teenuseid sabotaaži eest, kuid vähem tähtsustanud riigiasutuste infosüsteemide ja andmekogude turvameetmeid? Registrid on osa kriitilisest infrastruktuurist, millel peavad olema kehtestatud tavapärastest rangemad turvanõuded. Juba paljastavadki kriitikud kui kehv on USA föderaalvalitsuse infosüsteemide turvalisus tegelikult - kui mitte arvestada Pentagoni arvutivõrke, on minimaalseid turvastandardeid rakendanud vaid 41% USA föderaalvalitsuse institutsioonidest.
Ka Eesti on haavatav küberohtudele, kuna teatavasti ei ole meie e-eluviis suuresti paberil dubleeritud ja kui riiklikku andmekogu küber- või füüsiliste vahenditega kompromiteeritakse, see varastatakse või hävitatakse, ei ole tõenäoliselt võimalik seda kergesti taastada. Õnneks näeb Eesti küberjulgeolekustrateegia ette tegevused haavatavuste leevendamiseks (iseasi kas riigi- ja kohaliku omavalitsuse asutused kõiki ettenähtud meetmeid tegelikult rakendavad), ja loodetavasti ei ole me sama atraktiivne küberkurjategijate ja vaenulike riikide sihtmärk kui seda on maailma juhtivad riigid.
Artikkel ilmus esmalt Rahvusvahelise Kaitseuuringute Keskuse ajaveebis (http://www.icds.ee/et/blogi).