Ulatuslikuks küberintsidendiks nimetatakse sündmust, mille tagajärjel satub ohtu inimeste elu või tervis, riigi julgeolek või olulised infosüsteemid, tekib suur keskkonna- või varaline kahju või katkeb mõni elutähtis teenus, näiteks vee- või elektrivarustus. 

Seaduse järgi korraldab sellise sündmuse lahendamist Riigi Infosüsteemi Amet (RIA). Valmisoleku tagamiseks teeb amet muu hulgas koolitusi ja õppusi ning osaleb hädaolukordade lahendamise planeerimisel. Kõige suuremaid riske nähakse praegu meditsiini- ja energiasektoris. 

Pikemas intervjuus räägivad RIA kriitilise infrastruktuuri küberkaitse (KIKK) osakonna juhtiveksperdid Ivo Vellend ja Jaanus Heinsar, kellele ja milleks õppusi korraldatakse, kuidas need välja näevad ning milleks on vaja Eestile küberreservi, mida siiani kordagi kasutatud pole.

Milleks on küberõppusi vaja?

Jaanus: Ühtki õppust ei tehta iseenesest. Õppuse aluseks on erinevad plaanid, kokkulepped, oskused ja võimed, mis inimestel on. Õppuse raames testitakse, kui hästi plaan töötab, kui hästi sai koolitus omandatud. Siis saame teada, kuhu peame edasi liikuma, kus oli vajakajäämisi. Õppus on viimane asi, millega me kriisiks ette valmistame. Selle taga on palju muid tegevusi.

Ega küberõppus ei ole kuidagi teistmoodi kui näiteks päästeameti või PPA õppus. Põhimõte on sama: süsteem on välja mõeldud, kuidas võiks asi käia, ja õppusega testitakse, kas süsteem ja inimesed lähevad n-ö kokku – kas nad teevad seda, mis on meie ootused.

Ivo: Enne tehnilisi ülesandeid püüame korraldada koolituse. See tähendab, et ülesanne rajaneb koolitusel õpitule – see on teadmiste kontroll.

Kellele on teie õppused suunatud?

Ivo: Meie klientuur on elutähtsa teenuse osutajad ehk ETO-d. Hädaolukorra seadusest tulenevalt tuleb harjutusi korraldada kord kahe aasta jooksul. Me püüame teenuseosutajaid omalt poolt aidata.

Tegelikult peavad kõik tegema harjutusi ja kuskil ei ole asjad lõplikult korras. Me korraldame ka endale õppusi, Jaanus sellega tegelebki – mitte seepärast, et midagi halvasti oleks, aga olukord muutub pidevalt. Sellega koos muutuvad ka ohuhinnangud. Sellest lähtuvalt tulebki harjutada, et olla valmis millekski, mida loodetavasti kunagi ei juhtu.

Praegu on plaanis välja töötada n-ö riiuliõppus – kui tulevikus kutsutakse inimesi meie osakonnast kellegi juurde appi, saame läbi viia standardiseeritud õppuse.

Mille jaoks peaksid teie õppused asutusi ette valmistama?

Ivo: Erinevateks rünnakuteks. Vaja on aru saada, kes ja kuidas sind ründab ning kiiresti ründaja elimineerida.

Jaanus: Alati on õppuse eesmärk ka näha, et kui kriis tuleb, kuidas suudetakse seda juhtida, kuidas juhtimissüsteem töötab, kuidas ja kui kiiresti saadakse vajalikud inimesed laua taha jne. Oluline on olukorrapildi loomine – kui on vaja mingit otsust vastu võtta, ei tohi olukorrapilt olla kuidagi moonutatud või kallutatud, vaid korralik ja usaldusväärne. See on oluline, et ei tehtaks valet otsust. Üritame seda ka õppustel erinevate valesõnumitega simuleerida – kas juhtimisüksus pureb selle läbi.

Mille põhjal te õppusi teete?

Ivo: Jälgime, mida CERT-EE oma monitooringust näeb. Lisaks saame infot väljastpoolt partneritelt, kohapealt. Eelmisel aastal korraldasime palju õppusi finants- ja meditsiinisektorile. Sel aastal oleme suunanud tähelepanu energiasektorile. Tahame, et harjutused oleksid nii elulised kui võimalik.

Jaanus: Loogika on, et kui ründevektor kuskil muutub, see tähendab et hakatakse kuskil rohkem ründama, siis suuname sellele oma suurema koolituse mahu, et inimesi selle ründevektori osas paremini ette valmistada. Olgu see siis lunavara, õngitsus vms. Tänane hinnang on, et kõige suurema mõjuga küberrünnakud on meditsiini- ja elektrisektori vastu.

Kuidas üldine olukord paistab?

Ivo: Alati saab paremini, aga usun, et see on nii üle maailma – Eesti ei ole siin kuidagimoodi erand. Pigem on asi selles, et ETO-d – nagu riik laiemaltki – on suhteliselt õhukeseks lihvitud. Nad tegelevad oma põhitegevusega ning selle kõrval on õppuste ja harjutuste tegemine fookusest väljas. Pigem läheb pilt järjest paremaks.

Kui päästeameti või politsei õppus on igale inimesele hoomatav, siis küberõppus on abstraktsem. Kuidas teie õppused välja näevad?

Jaanus: Küberreservi õppus on suuresti väliõppus, kus inimesed kutsutakse kokku ja nad lähevad päriselt kindlatesse ETO-desse appi. ETO-des on välja töötatud tehnilised ülesanded – midagi on teadlikult katki tehtud ja minnakse vaatama, kas korda tegemisega saadakse hakkama.

Eelmisel aastal olime Põhja-Eesti regionaalhaiglas päev otsa kohapeal, tegime erinevaid ülesandeid, see oli nii “päris” kui olla saab.

Ivo: Seal tehti forensic-tegevusi, võeti tõmmiseid, et leida jälgi pahalastest – kuidas nad sisse tulid ja mis korda saadeti. Õppus kestis kokku viis päeva – oli nii staabi- kui ka väliõppus. See oli päris raske.

Kui tõmmata paralleeli politsei või päästeametiga, siis ka meie inimesed on vormis – RIA vormis – ja visuaalselt äratuntavad.

Mainisite, et õppused peaksid olema elulised. Kuidas seda tagada?

Jaanus: Kõiki õppuse tegevusi me täpselt ette ei planeeri. Näiteks lepime kokku, et see toimub mingis ajavahemikus, aga ei määra konkreetset koosoleku aega, et nüüd hakkame õppima. Vaatame, kuidas asutus ise jõuab sinnamaani – kas nad üldse saavad asja lahendatud. Teeme selliseid ujuvaid õppuseid, kus reguleerime väga vähe. Kui keegi on parasjagu haige või lähetuses, siis tuleb leida asendaja – see on õppuse osa. Tegelikus elus ei saa ka ette planeerida, kas kriisi ajal on keegi puhkusel või haige. Mõnikord annavad näiteks turvatestimised meile idee, millist õppust teha.

Lisaks tuleb alati juurde kommunikatsiooni osa. Seda me iga kord läbi ei mängi, aga tähtis on teada, kuidas suudab asutus kriisi väljapoole kommunikeerida ja kuidas erinevaid sõnumeid asutuste vahel ühtlustatakse – mida saab välja anda, mida mitte jne.

On ka selliseid näiteid, et oleme õppuse kokku leppinud, aga kõike ette ei ütle. Näiteks istub meil enda poolt palgatud pahalane ka seal veel sees. Testime, kas suudetakse kastist välja mõelda – kui süsteemi on manipuleeritud, siis minnakse parandama, aga kas nad suudavad mõelda, et ka parandamise ajal võib keegi manipuleerida, lugeda, mida sa teed ja selle alusel veel rünnata. Selliseid keerukaid konstruktsioone tuleb meil päris palju ette.

Ivo: Selles mõttes meenutab see Locked Shieldsi (NATO korraldatud iga-aastane küberkaitseõppus – toim.), kus on punased ja sinised ehk ründajad ja kaitsjad ning kaitsmise hetkel pahalased ka veel ründavad. Esiteks on kätte antud katkine süsteem, mis tuleb ruttu korda teha, teiseks püütakse seda samal ajal veel lõhkuda.

Mis on küberreserv ja miks seda vaja läheb?

Jaanus: Kui on kriis, ei pea tegelikult tegema uusi asju. Tuleb teha samu asju, lihtsalt kiiremini ja suuremas mahus, et kriis ära lahendada. Üldjuhul teeme igapäevaselt sama asja ja saaksime kõik korda teha ka ise, aga see võtaks aega näiteks kolm nädalat. See ei ole enam ühiskonnale aktsepteeritav. Siis ongi vaja välist jõudu juurde.

Küberreserv on kolmetasandiline. Esimene tasand on meie enda töötajad RIA-s – CERT-EE koosseisus olev kiirreageerimisüksus, mis jõuab vajadusel kohale tundidega.

Kui kriis venib ja läheb pikale, väsivad inimesed ära. Siis on vaja järgmisi tasandeid. Teine tasand on riigi IT-majade võrgustik ehk IT-majades töötavad eksperdid. Meil on nendega sõlmitud koostöölepe – nad on ennast kirja pannud vaba tahte alusel. Kui meil on vaja CERT-EE-le jõudu juurde, on võimalus esitada nendele asutustele halduskoostöö seaduse alusel ametiabipalve. Asutustel on võimalus keelduda, kui neil endal parasjagu põleb. Üldjuhul tulevad nad hea meelega appi.

Kui peaks juhtuma, et kõik IT-majad on omadega uppis ja pole kedagi saata, siis on ka kolmas tase – kaitseliidu küberkaitseüksus.

Ivo: Oluline on mõista, et kes abi pakub, võib mõnes teises olukorras olla see, kellel on abi vaja. Võib tulla ka aeg, kui abi vajab hoopis RIA. Reservi liikmed saavad sellest hästi aru. Sellepärast ongi koostöö vabatahtlikkuse alusel. 

Kui palju reservis liikmeid kokku on?

Jaanus: Kolme taseme peale kokku on neid sadades. Meil on aktiivsem tuumik, kes on andnud ennast üles küberreservi liikmeks, keda me koolitame aktiivsemalt, aga samas kui kedagi juurde on vaja, saame tegelikult opereerida kõigi IT-majade IT-inimestega.

Kellele küberreserv appi läheb? Kas ainult ETO-dele?

Jaanus: Meil ei ole n-ö valget nimekirja, kes on abikõlbulikud ja kes mitte. Peamiselt räägime ETO-dest, riigiasutustest ja põhiseaduslikest institutsioonidest, aga me ei välista kedagi. Kui kellelgi on häda majas, see on aegkriitiline ja suure mõjuga, oleme valmis appi minema ka erafirmale. Kui erafirma kutsub meid arvuteid vahetama, siis peame loomulikult keelduma, aga kui keegi kannatab ja kellelgi ühiskonnas on raske, siis oleme valmis sekkuma. Paneme staabi kokku ja staap teeb demokraatlikult otsuse.

Näiteks sadamad ei ole ETO-d, aga kui on vaja neile appi minna, siis lähme. Kõige aluseks on abipalve – me ei jookse ise vestidega kohale, et tahame tööd teha. Kõigepealt on igal ETO-l enda IT-osakond või IT-inimene, kelle peamine vastutus on asi korda teha. Kui jäädakse hätta, võib pöörduda vastavat elutähtsat teenust korraldava asutuse poole. Kui sealt tuge ei tule, siis alles pöörduda RIA poole.

Kuidas reservi kriisiks ette valmistatakse?

Ivo: Reservi liikmed saavad maailmatasemel koolitusi. Koolitused oleme valinud selle järgi, mis on praegu IT-maailmas kõige kriitilisem. Need põhinevad ohuhinnangul ja on igapäevases töös kasutatavad.

Koolitajad on praegu parimad võimalikud spetsialistid maailmas ja hinnaklass on ka vastav. Tavaliselt tuleb sellistele koolitustele sõita välisriiki, aga meie püüame koolitajad tuua Eestisse, et meie reservi liikmetel oleks võimalikult lihtne. Nemad selle eest maksma ei pea.

Koolitatutelt ootame vastutasuks, et kui läheb jamaks, siis on meil n-ö härrasmehelik kokkulepe, et nad tulevad appi ja kasutavad oma teadmisi Eesti riigi aitamiseks.

Jaanus: Ja kui ei ole kriisi, kasutavad nad igapäevaselt oma teadmisi IT-majades.

Kui palju on reservi siiani päriselt vaja läinud?

Jaanus: On olnud olukordi, kus seda oleks väga vaja olnud. Küberreservist on räägitud pikalt, aga reaalsuseks hakkas see muutuma alles kaks aastat tagasi. Siis tulid koolitused, nimed, andmebaasid.

Kindlasti oleks küberreservi läinud vaja ID-kaardi kriisi ajal, aga siis seda veel polnud. Pakun, et viie aasta peale on üks või kaks sündmust, kus reservi päriselt vaja läheb.

Samamoodi on kaitseväe reserviga. Kui sõda ei ole, ei ole seda 50 aastat vaja, aga kui reservi pole, on jube halb lugu, kui seda järsku vaja on.

Kuidas saab küberreserviga liituda?

Jaanus: Ainus võimalus, kuidas n-ö inimene tänavalt saab reserviga liituda, on astuda kaitseliidu küberkaitseüksusesse. Teistel juhtudel eeldame, et inimene juba töötab riigisektoris.

Appiminemise aluseks on abipalve, aga kuidas on küberõppustega? Kui näete ohtu, kas lähete ise õpetama?

Ivo: Nii ja naa. Oleme ise proaktiivsed, aga on ka meie poole pöördutud palvega tulla appi õppust või harjutust korraldama. Vajadus selleks on kindlasti olemas. Drillida ja harjutada tuleb alati – kunagi ei saa kriisiks liiga hästi valmis olla.

ETO-dele korraldame ka reserviväliseid õppuseid. Need on valdkonnapõhised tehnilised õppused. Eestis on ka pakkujaid, kes teevad analoogseid õppuseid raha eest.

Jaanus: Kui üks ETO tellib tasulise õppuse, saab ta selle endale. Meie väärtus on, et saame võtta näiteks 10 või 15 ETO-d ja panna kokku mängima. See eeldab suuremat vaadet.

Kuidas erinevatel asutustel koos “mängimine” välja tuleb?

Ivo: Kui üldiselt on tegemist eraettevõtetega, kes on üksteise silmis konkurendid, siis õppuste käigus tekib küünarnukitunne. Seda on väga lahe vaadata. Järgmisel nädalal on nad konkurendid edasi, aga kriitilises olukorras on nad head kolleegid, kelle käest saab abi küsida. Kogukonna ehitamine on õppuste väga oluline osa.

Jaanus: Tihtilugu saab õppustel ametlik aeg läbi, aga grupp ei taha ära minna. See on hästi positiivne kogemus.

Keerulisem on olukord näiteks siis, kui ETO-de emafirmad asuvad Eestist väljas. Suuremate pankade puhul on Eestis tütred ja harud, aga samas on kogu IT neil ühine. Sama on ka telekomiettevõtetega. See tähendab, et olukordade läbimängimine läheb mõnikord Eesti piiridest välja. See on paras väljakutse.

Kui palju te õppustelt ise õpite?

Ivo: Meile pakub kindlasti pinget ülepiiriline koostöö, eriti kui on võimalus oma analoogpartneriga koostööd teha. Õppus on üks asi, aga laiem küsimus on alati, kuidas saaks partneritega vahetada Eesti jaoks kasulikku infot.

Lisaks hindame väga kohapealseid spetsialiste. Kui nad märkavad mingeid anomaaliaid, on väga oluline infot meie CERT-EE-ga jagada. Meie näeme suuremat pilti ja kui ühes sektoris saab keegi millegagi pihta, siis on suur tõenäosus, et sektor laiemalt on ründe all. Siis on info jagamine hästi oluline.

Samamoodi kui saadetakse õngitsussõnumeid, ei maksa arvata, et mina olen ainus sihtmärk, kes SMS-i sai. Oluline on võimalikult kiiresti rünnakust teada anda, siis saame kõiki aidata.