Читать книгу Küberfoobia - Edward Lucas - Страница 2
Eessõna
ОглавлениеCharlie Chaplini 1940. aastal valminud film „Suur diktaator” tõmbas endale Hitleri Saksamaa viha natside juhi naeruvääristamise ja räige isikukultuse portreteerimise tõttu.2 Film keelustati sõjaaegses Euroopas kõigis Saksamaa kontrolli all olevais riikides (kuigi diktaatoril endal oli see olemas, ta vaatas seda kahel korral ja nuttis).[1.] Kujutlege, et Kolmanda Reichi luureteenistusele oleks antud ülesanne kätte maksta Charlie Chaplini stuudiole ja filmilevitajale United Artists. Hitleri spioonid oleksid sisse murdnud kontoritesse, kus filme hoiti, nad oleks tekitanud segadust, võib-olla lihtsalt füüsilist kahju, ehk pannud põlema stuudio või korraldanud natsimeelsete kogunemisi stuudio ümbruses (Ameerika Ühendriigid polnud tollal veel sõjas). Kõik see olnuks küllaltki riskantne ja tõenäoliselt nurjumisele määratud. Nad ei oleks elektroonilisele kommunikatsioonile suuremat tähelepanu pööranud kui üldse. Nad võinuks korraks ummistada telefonikeskjaama või saata valetelegramme. Kuid need oleks tundunud tühiste häirijatena, pigem naljategemise kui ründena.
Võrrelge neid piiratud võimalusi anonüümse ja vägagi efektiivse rünnakuga Sony Pictures Entertainmenti vastu, kes linastas labase komöödia „Intervjuu”, mis rääkis Põhja-Korea diktaatori Kim Jong-Uni mõrvamisest. Rünnak polnud ainuüksi üks laastavamaid sissehäkkimisi arvutivõrku, mis on avalikkuse ette jõudnud, vaid välja selgitamata jäid ka kurikaelad, see kuidas rünnak sooritati ja isegi rünnaku tõeline eesmärk.
Nagu 2014. aasta tänupüha nädalavahetusel selgeks sai, olid ründajad kasutanud kahjurvara (salaja installeeritud arvutiprogramm, mis on loodud kahju tegemiseks), et kustutada andmed firma arvutitest. Meilisüsteem lõpetas lihtsalt töö. Ettevõte oli halvatud. Rünne viidi läbi äärmiselt läbimõeldult üle mitme võrgu, mis viitab asjaolule, et ründajad orienteerusid ettevõtte sees hästi ja olid andmeid kogunud mitme rünnakule eelnenud kuu jooksul. Andmete kustutamine oli puhas vandalismiakt – elektrooniline analoog suurele tulekahjule ettevõtte peakontoris. Kuid see polnud ründe juures kõige halvem. Tunduvalt hullem oli varastatud andmete sisu ja maht, mida usutakse küündivat 100 terabaidini.
Kahju hinnata oli keeruline, sest tühjendati nii palju arvuteid. Selgus, et vähemalt viis veel linastumata filmi olid varastatud ning internetti üles pandud. Ründajad kopeerisid ja avalikustasid ka 47 000 endise ja praeguse töötaja, lepinguliste ja vabakutseliste partnerite (sealhulgas ka kuulsuste) isikuandmed ja hulgaliselt e-kirju. Kõik see tegi palju kahju. Filmide vargus mõjutas otseselt kasuminumbreid. Stuudiod näevad palju vaeva, et nende toodangu autoriseerimata koopiad ei lekiks välja enne esilinastust ja et neid ei tehtaks juurde pärast seda. Töötajate isikuandmed on seadusega kaitstud ja nad võivad ettevõtte kohtusse kaevata, kui selgub, et andmeid pole korralikult turvatud. 2014. aasta lõpus juba algatatigi mõned kohtuasjad. Kuid võib-olla halvim oli sõnumite, mida nende kirjutajad privaatseiks pidasid – iseäranis mõne firma juhtiva töötaja ülipiinliku meilivahetuse –, avalikustamine. Vanemprodutsent Scott Rubin kirjeldas oma meilis Sony Pictures’i kaasjuhile Amy Pascalile üht Sony filmide peamist tähte, Hollywoodi staari Angelina Jolie’d, kui „täiesti peast segi” ja „minimaalse talendiga ärahellitatud last”. Ühes stsenaristilt saabunud kirjas heideti kõrvale kuulus Iiri-Saksa näitleja sõnadega: „Ma ei tea, kes on Michael Fassbender, ja ka ülejäänud maailmal pole temast sooja ega külma.” Ja tõenäoliselt kõige kohutavamas meilivahetuses, mida parimal juhul võib rassiküsimustes ebadelikaatseks pidada, irvitati USA presidendi Barack Obama üle, vihjates, et talle lähevad korda ainult filmid, kus näidatakse musta nahavärviga inimesi. Detailid Sonyt tabanud rünnaku kohta tilguvad välja aeglaselt. Rünne ei hävitanud kompaniid ega hoidnud ka ära „Intervjuu” linastamist. Pärast piinlikku siia-sinna sahmimist, kus Sony näis alistuvat ähvardustele rünnata igat kino, kus film välja peaks toodama, tegi ettevõte 2014. aasta jõulude ajal Põhja-Koread käsitleva komöödia kättesaadavaks interneti kaudu ja valitud kinodele. See tõi kasumit 18 miljonit dollarit kulutatud 44 miljoni dollari kohta. Kuid kõik see, mis on teada (ja võib-olla enamgi veel, mis ei ole) näitlikustab selle raamatu peateemat: arvutite ja arvutivõrkude tähtsust tänapäeva elus ning nende nähtamatuid ja teadvustamata nõrku kohti.
Internet – võrkude võrk, mis ühendab enamikku planeedi arvutitest – on muutunud tänapäeva elu närvisüsteemiks, kuid on ühtlasi selle kõige nõrgem lüli. Muutus on olnud hämmastav. Kui Nõukogude Liit oleks külma sõja ajal üritanud rünnata Hollywoodi suure arvu nõukogudevastaste filmide eest, mida seal tehti, oleks tal olnud sama kehvake valik nagu natsidel Charlie Chaplini vastu: füüsiline sissetung, sabotaaž ja poliitiline survestamine.
Tim Berners-Lee ei leiutanud aga võrguprotokolli WWW (World Wide Web) – meetodit, kuidas arvutid võrku ühenduvad – enne 1989. aastat, mil nõukogude impeerium hakkas juba mõranema. Mõeldud abistama CERN-i osakeste füüsikalabori teadlasi töös, oli see peaasjalikult meetod, kuidas tähistada andmeid võrgus niimoodi, et erinevais paigus asuvad inimesed saaksid vaadata vajaminevaid faile. Isegi kaugeimal horisondil ei terendunud idee, et seda võiks kasutada destruktiivsetel eesmärkidel, või et sellest võiks saada triljoneid dollareid väärt tööstusharu. Enne 1990. aastate keskpaika ei tekkinud ka veel midagi, mis meenutanuks tänapäevast internetti ja veel viis aastat kulus ajani, et ettevõtted selles tõsist töövahendit nägema hakkasid. 1995. aastal kasutas internetti umbes 16 miljonit inimest, enamik neist arvutientusiastid. See moodustas 0,4 protsenti maailma rahvastikust. Ja kuigi oleks ehk pidanud, pööras siis vaid mõni üksik tähelepanu turvalisusele. Internet kasvas üles kui vahend, millega ühendada akadeemilisi ringkondi. Selle peamine eesmärk oli võimaldada teadlastel koostööd teha. Arvutitesse ei salvestatud tundlikke isikuandmeid, seda ei kasutatud poes käimiseks ega pangatehinguteks. Kümme aastat hiljem oli kasutajaid üle miljardi ehk 15,7 protsenti. Nüüd on neid üle kolme miljardi, ligi pool maailma rahvastikust. Rikkamates riikides on internetikasutus pea üleüldine, USA-s on võrgus 88 protsenti rahvastikust.[2.]
Interneti tähtsus ei peitu pelgalt selle kasutajate arvus. See on maailma tähtsaim sõnumiedastussüsteem. 2015. aastal ületas päevane teelesaadetud e-kirjade arv 200 miljardi piiri.[3.] See tähendab, et kahe päeva jooksul saadetud meilide arv ületab kogu maailma aastase postisaadetiste arvu.[4.] Vaid vähesed 2,5 miljardist inimesest, kes saadavad e-kirju, teavad, kuidas need sihtpunkti jõuavad, kuid arvavad – ekslikult –, et need jõuavad kohale kindlalt ja privaatselt. Võib olla veelgi enam eksivad nad, arvates, et saabuvad meilid on teele pannud väidetav saatja.
Arvutitest on saanud ka koht, kuhu kogu maailm andmeid salvestab. Ühele pöidlaotsa suurusele kettale võib mahutada rohkem infot, kui on 528 000 000 masinakirjalehel ehk umbes sama palju, kui arvatakse infot olevat inimajus.[5.] Filmistuudiod salvestasid varem oma toodangu hõbedasooladega kaetud plastribale. Nende varastamine tähendanuks suurte filmirullide välja tassimist hoolikalt valvatud hoonest, mida kaitsesid nii inimsilmad kui ka uksed, mille avamiseks oli vaja füüsiliselt eksisteerivat võtit. Nüüd on filmid, nagu ka muu väärtuslik intellektuaalne vara, salvestatud elektroonilistele andmekandjatele, mida kontrollivad arvutid. Õige parooliga (ja mõnikord ka ilma selleta) saab andmeid nähtamatult ja vaikselt kopeerida, kustutada ning ümber tõsta.
Arvutitesse ei talletata ainult intellektuaalset omandit, me hoiame seal ka igapäevaeluks vajalikke andmeid. Vaid ühes failis, mis varastati Sony Pictures Entertainmentilt oli
3000 või rohkem sotsiaalkindlustusnumbrit, nimed, kontaktandmed, sünniajad, meiliaadressid, hüvitised, töö tasustamise kord, pensioni- ja koondamisplaanid, töötajate tööajalood, juhtivpersonali palgad, meditsiini- ja hambaravikulud, soopõhine info, töötajate isikukoodid, müügiaruanded, passiandmed ja komandeeringute kviitungid.[6.]
Osal informatsioonist, mida firmad arvutites säilitavad, ei ole erilist tähtsust, näiteks sellel, kust ostab Sony Pictures Entertainment kirjaklambreid. Kuid liigagi tihti on olulist informatsiooni – isiklikku või hinnalist – sisaldavad võrgud, sihilikult või kogemata, ühenduses vähemtähtsat infot sisaldavatega.
Kokkuvõttes: internetist on saanud tänapäevase elu kese. See on juba praegu koht, kus me vahetame sõnumeid, lõõgastume, talletame mälestusi, otsime informatsiooni, leiame sõpru ja ajame äri. See muutub üha tähtsamaks tulevail aastail, sest inimesi ühendavast vahendist saab asju ühendav vahend. See tähendab, et meie kodumasinad, näiteks elektrimõõdik, termostaat, külmkapp ja ahi hakkavad koostööd tegema, et elektrit ökonoomsemalt kasutada. Tööstuslikes tootmisprotsessides suhtlevad masinad omavahel ilma inimese sekkumiseta. Supermarketite kassad juba annavadki ladudele teada muudatustest nõudluses, tellivad kaupa juurde ja broneerivad vajaliku transpordi. Miljardid seadmed ja masinad hakkavad tegutsema internetis, ületades kaugelt võrgus tegutsevate inimeste arvu.
Üksikisiku tasandilt võetuna on tehnoloogilise sõltuvuse suurendamisel mõte sees. Osa eeliseid on selged: suurem kasutusmugavus, usaldusväärsus, paindlikkus ja turvalisus. Arvutitest ja võrkudest loobumise hind, kui neid kasutavad sinu konkurendid ja partnerid, oleks ränk. Ettevõtte, kes loobuks elektronpostist, kaotaks tõenäoliselt tellimusi. Inimesel, kes keeldub mobiiltelefoni kaasas kandmast, võivad saamata jääda tähtsad sõnumid. Elu ei kipu andestama, ajad muutuvad. Püüa nendega kaasas käia, sest teist võimalust ei pruugi tulla.
Kuid kollektiivsel tasandil tekitavad need individuaalsed otsused probleeme. Kui kõik on tehnoloogiast sõltuvad, siis oleks parem kui tehnoloogia oleks usaldusväärne. Interneti puhul aga ei saa selles kindel olla. See loodi paindlikkust ja avatust, mitte turvalisust ja töökindlust silmas pidades.
Interneti loojad pärinesid akadeemilisest seltskonnast, kes kasutajate tuvastamisel lähtusid usaldusest. Kuni kaalukausil oli ainult teadusealane koostöö, oli see ka mõistlik. Kuid turvalise isikutuvastuse puudumine pidurdab nüüd e-kaubandust ja avalike teenuste pakkumist üle võrgu. Igapäevases elus, pangandusest kohtamas käimiseni, on oluline teda, kellega sa asju ajad, et mitte langeda petuskeemide ja tüssamise ohvriks ning selleks tuleb mõnikord enda isiku tõestamiseks tegeleda tüütute protseduuridega nagu dokumentide skannimine ja üleslaadimine.
Internetil on pärismaailmaga võrreldes eeliseid. Interneti aadressid ei saa otsa (tänu uuendustele), nii nagu mõnes hiigellinnas on otsa lõppenud telefoninumbrid. Erinevalt transpordisüsteemist ei häiri internetti halb ilm. Tänu oma ülesehitusele on internet loomupäraselt vastupidav. Erinevalt telefonisüsteemist ei ühenda internet inimesi otse, vaid informatsioon jupitatakse tillukesteks andmepakettideks, mis liiguvad sihtpunkti mööda kõige käepärasemat teed. Kui mõni liin on umbes või blokeeritud, valitakse teine. Lõpp-punktis pannakse paketid jälle kokku, taasluues algse meili, pildi või muu dokumendi.
Nõrgad kohad on keerukus ja korrastamatus. Arvutid ja võrgud on liiga keerulise ehitusega. Me kasutame neid, teadmata täpselt, mida me teeme või kellega kokku puutume. See on paradiis igat sorti pahategijaile. Nende hulka võivad kuuluda spioonid, sõjaväelased, huligaanid, vembumehed, kurjategijad või ärikonkurendid, või segu kõigist loetletutest. Tõendamine on arvutiturbes üks kõige raskemaid asju, mis muudab vastulöögi andmise keeruliseks. Sony rünnaku taga võis olla Põhja-Korea režiim, keda solvas, et seal riigis pooljumalaks peetavat juhti halvustati. Kuid need võisid ka olla Pyongyangi kinni makstud häkkerid mõnest muust riigist. Need võisid olla häktivistid, kellele ei meeldi Sony seisukohad digitaalse autoriõiguse kohta. Või, nagu arvavad mõned turvaspetsialistid, võis see olla väljavihastatud endine töötaja.[7.] Väidetavate ründajate avaldatud kahjurõõmsad sõnumid olid ebamäärased, kuid lingvistiline analüüs näitas, et ülespuhutud ja vigasevõitu ingliskeelse teksti autori emakeeleks võis olla vene keel. FBI kuulutas süüdlaseks Põhja-Korea, toomata siiski veenvaid tõendeid, mis seda kinnitaksid. Jõuluajal kukkus Põhja-Korea internet ja mobiilisüsteem kahel korral mitmeks tunniks kokku, mis tõenäoliselt maailma vähim juhtmestatud riigis pole eriline sündmus, kuid siiski tähelepanuväärne kokkusattumus. Oli see Ameerika lubatud kättemaks? Midagi muud? Kas samu meetodeid saaks kasutada ka mõnes muus riigis? Nagu arvutite ja võrkude maailmas tihti juhtub, pole neile küsimustele selget vastust.
Internetis toimuva keerukus ja segadus ületavad meie keha ja vaimu toimetulekuvõime. Turvatunne väljaspool meie kodu ja töökohta olevas maailmas on instinktiivne. Me teame, et mõned naabruskonnad on ohtlikumad kui teised, et mingil ajal ööpäevast on vaja erilisi ettevaatusabinõusid. Mõnel puhul, näiteks reisil, püüame hoiduda silmatorkavalt käitumast. Tehes puhkuse ajal sisseoste mõne vaesema riigi turul, me vaatame kaupa, tingime ja maksame teistmoodi, kui teeksime seda maailmalinna rikaste linnajaos luksuslikku butiiki külastades. Me otsustame usaldusväärsuse üle kergesti, lähtudes võõra välimusest, käitumisest ja hääletoonist ning kasutame tutvusi ja sidemeid, et määrata kohustusi ja privileege. Jässaka kehaehitusega, räpakas ja ebakaine noor mees varastel hommikutundidel minu ukse taga kujutab endast ohtu, kuni poeg mulle meelde tuletab, et ta ootab külalist.
Nagu paljude generatsioonide vältel enne meid, sõltub meie turvalisus reaalses elus lukkudest ja võtmetest ning meil on üsna hea ettekujutus nende tugevatest ja nõrkadest külgedest. Me ei riputaks oma maja ette mängutabalukku. Ja me ei kasutaks keerukat alarmsüsteemi, et kaitsta aiakuuri. Jagades võtmeid teiste inimestega, hoiame instinktiivselt tasakaalu mugavuse ja riskimise vahel: teismeline võib saada ühe majavõtme, kuid mitte tervet komplekti. Kodus võib meil olla seif või turvakapp väärtesemete ja dokumentide hoidmiseks. Me teame ka, et ainult lukkudest ei piisa: meie kodudest ja töökohtadest võib leida signalisatsioonisüsteeme, liikumisandureid ja isegi videovalve. Need meetmed on tagatud inimestega: sekretäriga töökohal ja uksehoidjaga korterelamus. Tõeliselt halvas ümbruskonnas ei taga turvalisust ka tugevaim lukk. Ja rahulikes maapiirkondades ei vaevu inimesed ust isegi lukustama ja jätavad mugavuse huvides autole võtmed ette.
Me oleme umbmääraselt tänulikud, et inimesed, kes loovad, toodavad, paigaldavad ja hooldavad lukke, on oma ala asjatundjad. Kuid vähesed meist on huvitatud detailidest. Selleks, et võtit kasutada, ei pea olema lukksepp nagu auto juhtimiseks ei pea olema mehaanik ega tervena püsimiseks arst. Moodne elu pakub meile palju võimalusi, mille jaoks meil ei pea olema eriteadmisi, osavust ega oskusi. Tuginedes kogemusele ja instinktidele, oskame hinnata nende tugevusi ja puudujääke.
Lühidalt, evolutsioon ja haridus on meile andnud tohutu valiku oskusi, et tasakaalustada riske, turvalisust ja mugavust. Me kaldume inimesi usaldama ja abistama – primitiivne inimene ei suutnud üksinda ellu jääda –, tehes samal ajal pidevalt, tihti ebateadlikult, tähelepanekuid ja reageerides neile. Meie silmad, nina ja kõrvad annavad teada ähvardavast ohust ning sellest, mida ja millal ette võtta. Niipea, kui me rändame veebimaailma, kaob see kõik. Meeled, mida kasutame tavamaailmas, saavad vaid piiratud infot, milleks on pildid ja sõnad ekraanil ning plekine hääl väikesest kõlarist. See on küll pärismaailma jäljendus, kuid petlik. Me võime ju olla enesekindlad argitoimingutes: ostes, veebis liikudes, e-kirju ja sõnumeid saates, kuid tegelikult oleme abitud, ettevalmistuseta ning kaitsetud varaste, manipulaatorite ja vaenlaste ees. Me ei näe inimesi, kellega asju ajame, me ei saa langetada otsuseid nende kehakeele, hääletooni ja näoilmete põhjal. Me ei tunne nende lõhna ega saa neid puudutada. Me ei saa neid paigutada oma minevikku ega geograafilisse asukohta. Ja me ei saa ka aru, mida me püüame kaitsta. Lukud ja võtmed on ainult osaliselt sobiv analoogia. Andmed ei ole päris võrreldavad füüsilise omandiga, nende väärtus sõltub kontekstist. Nimede ja aadresside loend iseenesest ei tähenda midagi. Alles siis, kui see on tähistatud kui konfidentsiaalne nimekiri politsei informaatoritest, seab see ohtu kõigi nimekirjas loetletute elu. Kuid me peame selles maailmas hakkama saama ja kasutama selleks tehnoloogiat, millest enamik meist aru ei saa.
Veelgi enam, kaitset, mida me igapäevases elus suheldes peame enesestmõistetavaks, veebis tihtipeale ei eksisteeri. Kui kaotame võtmed, riskime sissemurdmisega. Kui aga kaotame passi, ei eelda me, et selle leidnud varas hävitaks kogu meie elu. Näiteks kui pank laseb end petta kellestki, kes on tema kliendiga sarnane, riietub ja räägib sarnaselt ning võltsib tema allkirja, siis raha tuleb maksta pangal, mitte varguse ohvril. Kannatanu peab ainult tõestama, et ta tegelikult ei külastanud panka ega võtnud raha välja.
Internet on aga seda muutnud. Elektrooniline turvalisus nihutab vastutuse pettuse tuvastamise ja ärahoidmise eest äriettevõttelt kliendile. Kui teie raha varastatakse, kasutades teie parooli ja kasutajanime, väidab pank, et olete süüdi, kuna pole neid turvalisena hoidnud. Võib olla, et teie pangakaardi andmed varastati nn sätitud sularahaautomaadist, millele oli paigaldatud nutikas seade kaardi numbri ja PIN-koodi kopeerimiseks. Võib-olla varastati teie veebipanga kasutajanimi ja salasõna tarkvaraga, mille varas installis teie arvutisse. Mõlemal juhul peate ise tõendama, et teie pole süüdi, pank seda ei tee. Arvutid on nihutanud tõendamiskoorma üksikisiku õlgadele, ning meil on vaid ähmane ettekujutus, kuidas sellega hakkama saada.
Küberturvalisus oli pikka aega nišiprobleem, see oli keeruline, tüütu ja vähetähtis. Nüüd on sellest saanud peavooluteema, millest on aga endiselt raske aru saada. See raamat püüab lahata arvutite ja neid ühendavate võrkude turvalisusega seotud teemasid. Nii, nagu te ei pea olema arst, et avaldada arvamust tervishoiusüsteemi kohta ega autokonstruktor, et avaldada seisukohta teeummikute kohta, ei pea te olema ka arvutiproff, et saada aru, mis on oluline arvutite ja nendega seonduva turvalises kasutamises.
Nagu meditsiin, õigusteadus, poliitika ja teised valdkonnad kubiseb ka see lühenditest, tehnilistest terminitest ja veidrast keelekasutusest. Kas teie ettevõte palkab pentesteri, kes kasutab manipuleerimisvõtteid, et hinnata ründepinda? Teeb nõutuks? Tegelikult tähendab see professionaalse trikitaja palkamist, kes kontrollib, kas teie turvameetmed on nii head, nagu te arvate. Kui „aus häkker” ründab teie „silo” (isoleeritud süsteemi), siis trikitaja, kes kasutab vaid elektroonilisi vahendeid, näeb kas eri tüüpi info on mõistlikult eraldatuna hoitud.
Raamatu pealkiri on „Küberfoobia”, sest liiga paljusid peletab eemale põhjendamatult keeruline tehniline keel ning nad ei saa seetõttu aru, mis on kaalul. Paljud selle valdkonna raamatud kirjeldavad detailselt, kuidas üles ehitada ja tagada arvutivõrgu turvalisust. Need on pigem lukkseppadele mõeldud käsiraamatud: spetsialistile huvitavad, kuid võhikule kasutud.
Selle raamatu peamine sõnum on see, et meie sõltuvus arvutitest kasvab kiiremini kui meie võimekus ründajatega toime tulla. Kurjategijad, huligaanid, häktivistid ja vaenulikud võõrvõimud ründavad pidevalt üksikisikuid, ettevõtteid, organisatsioone ja valitsusi. Nemad võidavad ja meie kaotame. Kuni me ei muuda oma mõtlemist ja käitumist, oleme vähem kaitstud, vähem vabad, vähem terved ja vähem õnnelikud. Eelkõige peame aru saama, et küberturvalisus ei ole tehniline probleem rohkem, kui liiklusohutus pole inseneride pärusmaa. See raamat räägib sellest, kuidas me peame ümber kujundama oma käitumisharjumused nii üksikindiviididena kui ka organisatsioonidena ja kogukondadena, et tulla toime ohtudega, mis meid võrgus varitsevad. Kuid eelkõige on see raamat inimestest, mitte masinatest.
2
Charlie Chaplin ütles hiljem, et ta poleks teinud komöödiat, kui oleks teadnud juutide massilisest mõrvamisest natsirežiimi all.