Uus Eesti küberkaitse juht: meie maine hoidmiseks ei piisa enam ainult rääkimisest ja konverentsidel käimisest

  • Riigi infosüsteemi ameti uue asedirektori Uku Särekanno üks isiklik soov oleks tuua Eestisse mõne üle-Euroopalise suure IT-projekti arendus. See annaks meie mainele ka sisu.

  • Eestis peab muutuma mentaliteet, et küberrünnakud ja -ohud “mind ei puuduta”. Puudutavad kõiki.

Eelmisel nädalal alustas tööd riigi infosüsteemi ameti (RIA) küberturvalisuse asedirektori ametis Uku Särekanno.

Uku Särekanno nimi on praegu pigem tuntud Euroopa Liidu asjade, sisejulgeoleku ja rahvusvahelise koostööga. Mis teid riigi infosüsteemi ametisse toob?

Huvitav töö. Seni pole mul ilmselt nii huvitavat tööd veel olnudki. Need valdkonnad, millega ma varem tegelenud olen, siis küberturvalisus on tegelikult kõige sellega seotud: on rahvusvahelise koostöö element, sisejulgeoleku element, kaitsepoliitika ja ka avalik suhtlemine ja inimeste mentaliteedi muutmine. Tulin siia CV kuulutuse peale, käisin läbi erinevad voorud, kirjutasin esseed ja nii ma valituks osutusin. Minu jaoks on see üle pika aja tagasi Eestis olla ja siin saab suuri tegusid teha.

Kui te tulete küberturvalisuse valdkonda veidi väljastpoolt, siis kuidas see pilt tundub? Kas meil on asjad korras või tuleks midagi muuta?

Ma arvan, et kahe ja poole tööpäeva peale on raske öelda, mida kohe muuta. Ma ei ole ka seda tüüpi juht, kes kohe hakkab struktuuri ümber kirjutama. Tahan esmalt teada saada, kus on reaalsed probleemid organisatsioonis ja väljakutsete mõttes.

Aga tühja koha pealt ma muidugi ei tule, olen 8 aastat töötanud siseministeeriumi heaks, olen politsei andmebaaside arenduse eest vastutanud, olnud erinevate IT-projektidega seotud.

Esimene põhimõtteline probleem on suhtumine. Ma ei taju, et tavakodanik või ettevõtja aduks reaalseid riske, mis neil küberruumis on. Tihti mõeldakse, et küberründed, see seostub mingi kaitsevaldkonnaga – tegelikult ju ei, võetakse inimeste andmeid, krüpteeritakse kõvakettaid, saadetakse rahanõudeid. See on reaalsus tänases Eestis.

Teine asi, kuhu tuleb tüürida, et me poleks reaktiivsed, vaid rohkem ennetavad. Meil on väga hea võimekus läbi sobrada, mis toimub riigi võrgus ja seirata, mis toimub teistes võrkudes, hea koostöö erasektoriga, et neid aidata. Aga ma tahaksin seda, et see ei toimiks intsidentide põhiselt. Kuskil X kohas toimub intsident ja siis me mõtleme, kuidas me saaksime seal infoturvet parandada. Ma sooviksin, et meil oleks süsteemne ülevaade kõige kriitilisematest asutustest ja indikaatorid paigas, millega hindame, kas nad on punases või rohelises. Seda on muidugi ilus sõnades öelda, sest see eeldab tehnilist võimekust ja erinevate asutuste koostööd. Seda nii avalikus kui erasektoris, sest paljud elutähtsate teenuste haldajad on eraettevõtted.

Eesti peaks saama peagi küberturvalisuse seaduse, mis annab järelevalveks ja sunniks RIAle õigusi juurde. On seda vaja?

Järelevalvet ja sundi on vaja viimase võimalusena, enne peame tegema kõik võimaliku, et partner oma käitumist muudaks. See seostub kuludega: peab investeerima, et oleks infoturbejuht, peab investeerima, et oleks tulemüürid paigas, peab investeerima, et oleks suutlikkus reageerida. Piits ja präänik peavad siiski mõlemad olema ja küberturvalisuse seadus korrastab kõike seda, mis on praegu laiali teistes seadustes ja ühtlasi võtame üle infoturbe ehk NIS-direktiivi.

Aga seadusliku raami kõrval on olulisem usalduslik suhe. Kui ei tajuta, et riik on hea partner ja riigist on kasu – või kui riiki ei saa usaldada, partner tajub, et tema intsidendid avalikustatakse – siis kõik kaob. Iga aasta näeme muide, et intsidentide numbrid Eestis lähevad üles, aga see ei ole ilmtingimata korrelatsioonis sellega, et küberruumis on eskaleerumine. Meid usaldatakse enam, meile raporteeritakse enam ja me ise läheme enam süvitsi.

Mullu enne eesistumist korraldas RIA kogu riigisektorile küberhügieeni kursused. Kas sellist harimist, pehmet jõudu on ka edaspidi rohkem vaja?

Eks ikka on. Selgi aastal käime mööda haiglaid ja tervishoiuasutusi ja teeme selgitustööd. Inimesed teevad oma põhitööd ja kõik, mis on arvutis, ei ole primaarne ja ei peagi olema. Aga ometi paari kontrollpunkti peab teadma, et põhitöö hiljem ei kannataks.

Koolitama peab, aga see pole ainus vahend, ka süsteemne avalik suhtlus. Minu soov on, et kui kuskil on mingi intsident toimunud, siis me suudame siit asutusest ka mingid avalikud sõnumid välja saata, et mis see teadaolevalt oli ja mida tegema peaks. Oluline on teha ka süsteemne pakendamine selle info osas, mida analüütikud toodavad: meil on väga palju infot, ka siseinfot, teame paljusid asju. On vaja teatud “pakendit” sellest poliitikutele, et nad teaks, miks see on oluline ja miks siia on raha vaja; on vaja “pakendit” inimestele sektoris, mis on palju detailsem; on vaja “pakendit” tavakodanikule, mida ta peaks teadma.

Kas CERT või RIA võiksid ka inimesele tänavalt saada nendeks kohtadeks, kuhu helistada või kirjutada oma akuutse murega?

Nii ja naa, CERT on väga tehniline üksus. Meile kõige tähtsam on see, et kriitiline infrastruktuur ja elutähtsad teenused oleks kaitstud, teiseks ettevõtjate nõustamine, kes liigutavad väga suuri andmemahtusid. Ja tavakodanikku peame ka toetama.

Päris infobürood me siiski teha ei kavatse ja kõigi päringute vastuvõtmine ja neile vastamine, see oleks tehnilise kompetentsi liigne raiskamine. Teatud lüngad muidugi on, teavitus – näiteks et avastatud on 200 000 Eesti kasutaja kontot ja parooli – sellest peab võimalikult hästi teavitama. Kas avalik suhtlus peab toimuma 24/7, seda mitte.

Mainisite meditsiiniasutusi, mis üle maailma on murekoht, nagu eelmisel aastal Suurbritannias, tänavu on teateid tulnud Läti tervishoiuasutuste küberrünnakutest. Kui te lähete ka nendega rääkima, siis kui suur on risk, et selles vallas võib tulla mõni suurem pauk?

Eesti e-riik on detsentraliseeritud ja ka haiglad tegutsevad iseseisvalt. Erinevate intsidentide puhul oleme saatnud oma inimesed appi, aga lõpuks on see iga asutuse juhtkonna vastutus – teadmine ja arusaamine, et midagi tuleb teha. Selleks käimegi ja ütleme, et palun tehke seda või toda ja me aitame teid nii. Meil pole sunnivahendeid, et meditsiinisektorit muuta, ainult veenmine ja mõnikord kahjuks ka halbade näidetega.

Risk on siis suurem?

Jah, risk on suurem. Kui paljudel riigiasutustel on suured andmekogud? SMIT, RIK? Need on väga korralikult kontrollitud, auditeeritud.

Iga haigla puhul on asi erinev, see on iseseisev asutus, kus on juhtkonna vastutus. Tajume, et probleem on olemas ja see tähendab, et peame minema ja aitama.

Üleüldse eelmine aasta oli avalikkuse jaoks keskmisest rohkem häirekelli, WannaCry, NotPetya, rääkimata Eesti ID-kaardi murest. Kas siia tööle tulles on keskmisest erakordsem olukord? Kas me oleme piisavalt ärganud ohtude suhtes?

Me tuleme suurest kriisiaastast. Selle asutuse jaoks oli see üks kõige raskemaid aastaid üldse. See tähendas väga suurt töömahtu, aga positiivse poole pealt jällegi ma ütleks, et paremat meeskonnakoolitust kui ID-kaardi kriis, on raske tellida. Ma loodan, et ei peagi ja ei tulegi sellist kriisi rohkem.

Kas oleme ärganud? Jah, oleme. Meil on paar päris mahukat eurorahadega projekti, kus me aitame erasektoris elutähtsate teenuste osutajaid, oleme teinud neile infoturbe auditi. Ja ma näen, et huvi selle järele on väga selge, tajutakse, et riik on siin abiks ja ettevõte ise on pärast paremas seisus. Turvaaugud on kinni pandud, riskid on maandatud ja ettevõte on paremini majandatud.

Ühe sellise projekti raames oli meil eelmisel aastal kolm partnerit, tänavu juba kuus. Nimesid ei saa ma nimetada, sest see on usaldusel põhinev, aga on selgelt näha, et huvi on kasvav. Selle asutuse raames ei olnud vaja neid WannaCryd ja teisi kriise, et neid riske teadvustada.

Meil lõppes just eesistumine, mille jooksul Eesti trumbid olid “küber” ja “digi”. Esimene peaks tähendama tehnoloogia turvalisust, teine võimalusi. Kui palju meid siis Euroopas neil teemadel kuulatakse?

Mina eesistumise võtmes küberteemadega otseselt ei tegelenud. Minu ülesanne oli valmistada ette sisuliselt uus asutus Brüsselis ja viimased 7 kuud töötasin ma üldse Brexiti läbirääkimismeeskonnas Michel Barnier’ juures selle kokkuleppega, mille me saavutasime detsembris.

Aga kuidas meid Euroopas vaadatakse: esiteks on meil selle teema volinik Euroopas, meil on üks kõige tugevamaid CERTe Euroopas, oleme alates 2007 küberturvalisuse vallas üks eesrääkija olnud. Meil on väga väga tugev kuvand. Lugesin Economistist, et “maailmas on kaks riiki, kes pööravad küberturvalisusele tähelepanu: Eesti ja Hiina”. Võtan seda kui väga tugevat mainekujunduslikku projekti.

Sisu on teine teema. Sisu ongi see, et meil on küll väga tugev võime intsidentidele reageerida, oleme palju vaeva näinud elutähtsate teenuste osutajate ISKE standardiga vastavusse viimiseks. Aga mis lonkab, on tavakasutaja teadlikkus ja meil on väga erinevaid organisatsioone. Kui vaadata äriregistrit, siis enamus on seal mikroettevõtted, mis tegelevad ometi ka andmetega, tegelevad inimestega, maksetega ja seda veebis.

Kui rääkida meie mainest Euroopas, siis minu üks eesmärk ja soov on, et Eestisse tuleks üks üle-Euroopaline IT-arendus. See ei pea olema RIAga seotud, aga ma soovin, et me hakkaksime juhtima ühte üle-Euroopalist projekti, mis leiaks rakendust 27 liikmesriigi poolt. Võib-olla ka 28.

Kuidas me selle endale saaksime? 

Olen eu-LISA (Euroopa IT-agentuur – toim) Eestisse toomisega tegelenud, olin selles rakendis, nii et veidi seda tööd tunnen. Esiteks on selliseks asjaks vaja poliitilist tahet. Teiseks on minu arvates see aeg läbi, kus me suudame oma kuvandit ülal hoida ainult sellega, et räägime ja käime konverentsidel. Nüüd oodatakse sisu. Sisu on olnud, aga seda võiks ka tekkida sellest, et me suudame üle-Euroopalist arendust juhtida.

Algatuseks poleks selleks vaja rohkemat kui projektimeeskonda. Enamik rakendusi, mis 27 Euroopa riigi poolt on kasutuses, on detsentraliseeritud ja vajaka on jäänud projektijuhtimise kogemusest. Ma usun, et Eestis on selleks väga kompetentseid inimesi ja kellele see töö oleks väga suur motivatsioon. Aga see on mu personaalne isiklik agenda, mida püüan põhitöö kõrvalt vedada.

Me teeme Eestis väga palju, aga ressursse on vähe ja konkureerime tihti samade ressursside peale. Meil on päris palju asutusi, kes vastutavad suurte andmebaaside haldamise eest. Ma näen, et konsolideerumine võiks siin toimuda, sest me tõmbame üksteiselt ressursse alt ära. Nii et see oleks mu kolmas pisike soov, vähemalt küberturvalisuse valdkonnas.

Et kui kokku võtta, mis need kolm eesmärk on, mida tahan saavutada, siis:

  • et meil oleks teadlikkuse ja mentaliteedi muutus ühiskonnas küberturvalisuse riskidest;
  • et me samm-sammult liiguks IT-valdkonnas suurema konsolideerumise poole ja ei kakleks sama ressursi pärast;
  • ning et Eesti võtaks Euroopas vedada ühe suurema arendusprojekti.

Viimane teema: RIA puutub kokku ja on oma viimaseski raportis maininud, kuidas Eesti võrgust on leitud ka väga kõrgelt arenenud ründajaid. Ilmselt võib tegu olla Venemaa küberrelvadega. Kui palju peaksime nendeks rohkem valmistuma?

Ma näen seda vajadust kasvamas. Ühiskonna normaalset toimimist segavate käikude tegemine on muutunud väga mitmekülgseks: see pole ainult infrastruktuuri ründamine, see on ka sotsiaalmeedia kaudu killustamine ja lõhestamine, segamine, inimeste vastandamine. See eeldab kohanemist. See ei puuduta kindlasti ainult minu ametiposti, peale RIA on see palju ka Kaitseväe töö, siin on roll ka strateegilisel kommunikatsioonil, aga see puudutab ka kriitilise infrastruktuuri kaitsmist.

Selge on see, et [rünnakute] palett on läinud väga laiaks, proovitakse kõike. On nagu katsetamise ajastu. Me ei pea kaugele vaatama, kus kohas proovitakse trollimisi, sotsiaalmeediakampaaniaid. Aga ma näen, et me – st läänemaailm – ka kohaneb. Macroni kampaania Prantsusmaal oli näide, kuidas väga kiirelt kohaneti uue olukorraga. Tehti suuresti vormiliselt sama kampaaniat nagu Trump, kasutati ohtralt sotsiaalmeediat, kuigi teistsuguste sõnumitega, ja oldi seejuures valmis ka küberrünnakuteks.

Ometi on need piirid nii hägused, väidetavalt oli NotPetya viirusepuhangu taga, mis kogu maailma laastas, Vene eriteenistuste rünnak Ukraina vastu.

Jah ning päris initsiaatorit on väga raske tuvastada. Kui võtta Ukraina konflikt, siis see oli täiuslik näide hübriidsõjast, kuidas neid asju tänapäeval aetakse. Kaitseväe roll tuli mängu palju hiljem, enne seda olid kõikvõimalikud muud operatsioonid läbi viidud. Ei olnud ju nii, et “kuulutan sõja” ja siis marsitakse sisse, tegelikult oli asi palju segasem.

Aga Eesti riigi pluss ja eelis on see, et me oleme nii väike. Me teame, kes teevad asju päriselt ja hästi. Kriisiolukordades on see kõige tugevam eelis üldse. Sama oli ID-kaardi kriisiga, see oli era- ja avaliku sektori väga tugev koostöö. See oli musternäidis selle kohta, et kuidas me kriisi saame lahendatud.

Mida ma soovin, et neid kriise oleks vähem ja valmisolek oleks niivõrd hea, et me saame kriise pigem ennetada. Muidugi, reaalsuses alati nii ei saa. Aga kui vaadata politseid ja päästeametit, siis nad on 10 aastat ennetusest rääkinud: turvalisus pole politseipatrull või tuletõrjeauto, turvalisus on kodune suitsuandur. Me hakkame seda tasapisi tegema ka küberruumi kontekstis.

Samas on ju küberturvalisuses palju rohkem niiöelda musta luige stsenaariumeid, kus järsku näiteks leitakse, et peaaegu kõikides maailma protsessorites on turvanõrkus. Nende vastu on raske end ette valmistada.

See on tõsi. Inimfaktor on esimene risk, aga tehnoloogia on järgmine risk. Me ei saa ette näha, mis toimub lähitulevikus või ka aastate pärast.

Kui me vaatame kas või oma ID-kaarti, siis me oleme selle peal purjetanud ikka väga pikalt. Me oleme selle tehnoloogiat küll uuendanud, aga aeg on vaadata ka alternatiive, et me poleks autentimise osas sõltuvuses ainult ühest lahendusest. Oluline on, et meil on mobiil-ID olemas ja selle kasutajate arv kasvab, aga kindlasti on tark vaadata veel võimalusi. Alati on tark omada plaani B või alternatiivi.

See tähendab ka, et me arendame RIAs rohkem kompetentsi kriitilistes valdkondades, olgu see krüptograafia või turvalahendused. Nii et meil oleks riigis kompetentsikeskus, kes oskab nõu anda ja konsulteerida. Kompetentsi Eestis on, küsimus on, kas ja kuidas seda koondada. Ma arvan, et riigisektoris peab see olema ka, mitte ainult erasektoris, muidu sõltume vaid ühest ettevõttest ja see pole ka hea.

Kompetents on inimestes, aga kõik ütlevad, et häid töötajaid on raske leida.

Ongi raske leida, aga minu üleskutse on, et tulge meile tööle. Meil on väga huvitav töö, meil on pakkuda palju väljakutseid ja vastutust.

Reaalsus on, et majandus Eestis kasvab, IT-ettevõtetel läheb hästi ja need, kes siit asutusest ära on läinud, on alati jätkanud väga põnevate projektidega. Minu eesmärk on pakkuda RIAs inimestele kõike seda, mida neil on huvitav teha, ja neid hoida.

Selge on, et palgasurve on meil väga tugev, valik on piiratud ja riigieelarve vahendite peal seda kõike majandada on väga raske. Aga me püüame, meil on umbes viis rahastusviisi, et seda teha, sest peale riigieelarve on ka välisvahendid, välisabi ja nii edasi.

Riigil on tuumikfunktsioonid nagu tagada inimeste tervis ja turvalisus ning seepärast ma usun, et pikas perspektiivis peaks riik ka küberturvalisuse tagama. Toon ühe näite, seesama 24/7 toimiv CERT jookseb meil mitte baaseelarve pealt, vaid lisarahastusega ja see on meil kokku lepitud kuni aastani 2020. Ma näen, et see on asi nagu politseil operatiivkeskus, mis peaks põhikuludes olema.

Vaadates kõiki neid kriise, siis peaks olema selge, et küberturvalisus peab olema rahastatud.