Marina Kaljurand: ehk oleks õige kutsuda üles kaitseministeeriumi häkkima?

Marina Kaljurand. Foto: Liis Treimann

Marina Kaljurand kirjutab arvamusloos sellest, miks Eesti peaks e-hääletamist edasi viima ka siis, kui kogu ülejäänud maailm seda pelgab. Samas on raske vastata kogu maailmast tulevatele küsimustele, miks Eesti ikkagi e-hääletamise korda muudab. Lisaks oleks Eestil tark õppida ameerika riigiasutustest, kes oma võrkude turvamiseks on appi kutsunud white hat häkkereid. Kaljurand on välisministeeriumi küberjulgeoleku nõunik ja Eesti esindaja ÜRO küberekspertide töögrupis.

 

Viimastel nädalatel oli mul erakordne võimalus osaleda mitmel küberteemalisel arutelul USA tippülikoolides ja tippmõttekodades. Kuigi üldine teema oli üks – küberjulgeolek, siis iga arutelu oli omanäoline: rahvusvaheline õigus ja küberruum, kübernormid, avaliku ja erasektori koostöö, kas lugeda valimised osaks riigi kriitlisest infrastruktuurist ja kui lugeda, siis kuidas kaitsta jne jne. Nendel teemadel kirjutan teinekord pikemalt.

Seekord tahaksin jagada oma mõtteid kahel teemal – e-valimistest ja programmist Hack the Pentagon – sest minu arvates mõjutavad nad kõige otsesemalt ka Eestit.

Eesti peab jääma e-valimiste toetajaks, kui ka ülejäänud maailm kardab

Teatavasti on Eesti esimene ja seni ainuke riik maailmas, mis on võrdustanud e-valimised (online toimuvad valimised) traditsiooniliste valimistega (paberi ja pastakaga või mõne seadme nupule vajutamisega) ning on korraldanud e-valimis alates 2007. aastast. E-valimisi on aeg-ajalt kritiseeritud, kuid keegi ei ole suutnud tõestada, et e-valimised on vähem turvalised kui tavalised valimised. Jah, riskid kaasnevad kõigi valimistega, nii tavaliste kui ka e-valimistega. Riske ei saa kunagi 100%-liselt välistada, ei inimlikke ega tehnoloogilisi, aga riske saab maandada.

Ning selle asemel, et loobuda innovaatiliste lahenduste kasutamisest, tuleb tegeleda nende turvalisuse kasutamise tagamisega. See on võidujooks, kus “vastased”  tõlgendavad nõrkusena igat üksikut sammu tagasi. Tänases olukorras, kus riigid loobuvad isegi kõige lihtsamatest tehnilistest vahenditest, sest kardavad valimiste turvalisuse pärast, on Eesti jäänud pea ainsaks e-lahenduste toetajaks ja kasutajaks. Ja peab selleks jääma ka edaspidi, vaatamata järjest suurenevatele riskidele ja uuenevatele väljakutsetele. Mitte naiivselt ja pimesi, vaid nutikalt ja läbimõeldult.

Eesti on olnud elavaks näiteks sellest, kuidas küberrevolutsioon aitas kaasa riigi ja ühiskonna kõigi valdkondade arengule, alustades riigivalitsemisest ning lõpetades kodanikuühiskonnaga. Meie poole vaadatakse – vaatavad nii need, kes soovivad meile edu kui ka need, kes soovivad e-Eesti läbikukkumist. Eesti poole mitte ainult ei vaadata, vaid ka jälgitakse väga tähelepanelikult poliitikate muutumist, arenguid, arutelusid.

Ei ole lihtne olla e-teenuste lipulaev, nagu ei olnud lihtne ka reformide läbiviimine 90-ndatel. Aga see ei ole võimatu. See on tehtav, nii nagu oli tehtav X-tee ja teised IT lahendused. Ja kindlasti ei pea ise kõigutama usku ja usaldust e-valimiste vastu. Kahetsusväärselt just seda viimasel ajal tehakse – arutlustega selle üle, mitu päeva ikka peaksid e-valimised kestma.

Miks Eesti e-hääletust muudab? Raske vastata…

Küsiti konverentsidel ka minult – miks tahate e-valimisi muuta või lausa nendest loobuda? Kas seepärast, et e-valimised ei ole turvalised? Mis juhtus, et te enam ei suuda tagada e-valimiste turvalisust? Minu selgitused selle kohta, et valitsus ei taha loobuda e-valimistest, vaid arutab e-valimiste toimumise päevade arvu vähendamist, tekitasid ainult lisaküsimusi – milleks muuta midagi, mis töötab ja mille turvalisusesse te usute ja mille turvalisust suudate tagada?

Raske vastata, sest ühtegi loogilist ning põhjendatud vastust ei olegi. Praeguse mõttetu arutelu asemel peaks valitsus arutama, kuidas suurendada küberturvalisust, et Eesti inimesed saaksid kasutada e-teenuseid ja e-hääletada ka 10 ja 50 (ja 100) aasta pärast ning Eesti kõrvale astuksid järjest uued e-riigid.

Head otsisid Pentagoni võrgus auke

Hack the Pentagon! (Häkkige Pentagoni!) Just nii kõlas üleskutse, millega kutsuti esmakordselt USA ajaloos leidma vigu/puudusi USA kaitseministeeriumi võrkudes. See oli piloot-projekt, mis kutsus “valgeid häkkereid” (white hat hackers) otsima rahalise tasu eest vigu Pentagoni võrkudes. Projekt kestis 18. aprillist 2016 kuni 12. maini 2016 ning viidi läbi koos platvormiga HackerOne.

Mis siis tegelikult toimus? Projekt algas häkkerite registreerimisega. Neile tehti taustakontroll ning lõppude lõpuks osales projektis 1410 häkkerit. 250 häkkerit esitasid ettekanded, milles juhtisid tähelepanu Pentagoni võrkude konkreetsetele vigadele ja nõrkustele. Esimene viga leiti 13 minutit pärast projekti algust. Esimese 6 tunni jooksul laekus 200 ettekannet, mis viitasid võrkude vigadele/nõrkustele. Põhjendatud ettekanneteks loeti 138 ettekannet, mille esitajatele maksti preemiatena välja 75 000 USA dollarit.

Mais 2017 tehti kokkuvõtted ja otsustati koostööd jätkata, sest nagu ütles tolleaegne USA kaitseminister: “Kui asi puudutab infotehnoloogiat, siis eelistab kaitseminsteerium reeglina suletud süsteeme. Aga mida rohkem sõbralikke silmi jälgib/kontrollib meie süsteeme ja kodulehti, seda rohkem lünki suudame avastada, seda rohkem nõrkusi suudame parandada ning seda suuremat turvalisust suudame pakkuda oma kaitseväele.”

Sama edukalt läks ka järgmine projekt Hack the Army (häkkige kaitseväge).

Häkime kaminat!

Tänaseks on USA kaitseministeerium võtnud vastu haavatavuste avalikustamise poliitika (vulnerability disclosure policy), mis loob juriidilise aluse teatamaks Pentagoni avalikkusele suunatud süsteemide (public-facing systems) nõrkustest. Poliitika reklaamlauseks on “märkad midagi, ütle midagi“ (see something, say something). Muide, HackerOne platvormi esindaja Katie Moussouris nõustas 2017. aasta alguses Suurbritannia valitsust seoses analoogilise projekti korraldamisega. Juuni alguses tuleb Katie Eestisse CyConile (NATO Küberkaitsekeskuse iga-aastasele konverentsile).

Kas ei oleks aeg ka Eesti kaitseministeeriumil viia läbi taoline projekt? Kuidas oleks – häkkige kaminat*?

 

* kamin – lühend kaitseminiseeriumist
See on toimetatud versioon artiklist, mis ilmus algupäraselt Marina Kaljuranna blogis.