Küberturbe ekspert: iga e-kiri on avalik

Minu jaoks suurim üllatus on see, et pärast Snowdeni juhtumit on püütud jätta mulje nagu oleks see tohutult suur uudis. Arvasin enne PRISMi skandaali, et on üldteada, et igaüks jätab internetis liikudes endast väga palju jälgi. Aga tundub, et seda tuleb aeg-ajalt meelde tuletada. Minu zooloogiaõpeteja Aleksei Turovski rääkis, et loomaaias tuleb üle kahe aasta jälle meelde, et ei tohi panna kätt karu koopasse, muidu juhtub mõni õnnetus.

Kes on suuremad jälgijad?

Lisaks USA-le on hiinlastel suur võimekus, Venemaal, Suurbritannial, Prantsusmaal. Ka väiksema tehnilise võimekusega riigid trügivad sellesse valdkonda. Sellel lahinguväljal läheb järjest kitsamaks! Üks olulisemaid mängijaid on erasektor, kuid tundub, et see nii palju inimesi ei häiri. Tumedate jõududena nähakse eriteenistusi, kuigi tegelikult on praegu enamik võimekust ja võrgust erasektori käes. Privaatseid andmeid hoitakse esmajärjekorras erasektori, mitte NSA käes. Üks New Yorkeri kolumnist ütles, et on huvitav täheldada, et kui meid häirib NSA tegevus andmete kogumisel, mis on lõppeks ikkagi riigi eriteenistuse ülesanne, siis kuidas meid häiri see, et olles teinud üle Gmaili kokkulepe golfimänguks sõbraga, saame kaks päeva hiljem golfivarustuse reklaami.

Ehk häirib inimesi jälgimise massilisus?

Andmed, millest nn PRISMi kontekstis räägime, on ikka metaandmed, st jälgitakse andmeid andmetest - näiteks kes kellele emaili saatis, mitte selle sisu. Sama ka kõnede puhul - kes kellele helistas, kaua rääkis ja kus ta oli. Selle skandaali puhul tuleb arvestada ka kohalikku konteksti. USAs on eriteenistustel väga ranged piirangud, mida nad oma kodanike suhtes võivad teha. Kongressi-poolne järelevalve on karm. USAs on ka kõrgesti arenenud lembus erinevat sorti suuremate kohtuasjade järgi, mille teeb eripäraseks USA kahjude hüvitamise süsteem, mis on pehmelt öeldes väga helde. Kõige suuremad tsiviilkahjud on mõistetud välja USAs. Kõik see annab väga plahvatusohtliku kokteili. Eesti seadused ei ole nii ranged. Sedalaadi toimingute tegemiseks ei ole vaja läbida nii keerulisi protseduurireegleid kui peab läbima NSA.

Kuid välisriikide kodanike jälgimisele selliseid piiranguid ju pole?

See on skandaali teine faas, välisriikide jälgimine. Siin tuleb eristada retoorikat faktidest. Näiteks Prantsusmaa reaktsioon oli väga huvitav. President Hollande reageeris hästi teravalt näiteks ELi Washingtoni esinduse krüptofaksi häkkimisele. Samas, kui me vaatame, milline riik peatas Ecuadori presidendi Moralese, sundides tema lennuki Viinis maanduma (kahtlustati, et Snowden on tema lennukis - A.A.), siis see oli Prantsusmaa. Kui on tõstatatud küsimus luurekoostööst, siis teod näitavad, et see toimib ja usaldus on endiselt olemas.

Kas Snowden on reetur või märter?

Kui algul tundusid Snowdeni käed puhtad, siis nüüd enam mitte. Viitan selle ütlusega „puhaste käte" doktriinile USA common laws ehk üldises õiguses. See tähendab, et kui üks pool vaidlustes tuleb õigust otsima, peavad tal endal olema „puhtad käed". See, kuidas Snowden lekitamist algul põhjendas - USA valitsus tegutseb põhiseadusvastaselt - tundus õige. Aga tema hilisem käitumine meenutab CIA ülejooksiku Philip Agee juhtumit 1975. aastast. Tema tõi samuti alguses motiiviks moraalsed kavatsused. See tundub olema pigem meisterlik lavastus, lavastatud ülejooks teisele poole kui õigluse otsimine. Snowdeni moraalsus on hakanud väga tõsiselt lagunema.

Miks teile nii tundub?

Ma kuidagi tunnetan seda. Olen julgeolekuteemadega piisavalt palju kokku puutunud, et teatud väikestes asjadest märgata, et kõik pole nii nagu paista lastakse. Näiteks Snowdeni pressikonverents Moskvas; sõrmkübaramäng, mida president Putin väga oskuslikult mängib. See, kuidas kogu rahvusvaheline ajakirjanike korpus lennutati Aeroflotiga Havannasse (lennukiga, kus Snowdenit ei olnud - A.A.). Peaks ju teadma, et Aeroflot ei korralda lihtsalt niisama meedialekkeid, kus antakse teada reisija täpne istekoht. Just see nauding, millega Venemaa seda mängu mängib, on põhiline, mis Snowdeni moraalsust õõnestab. Ilmselt jääb ta Venemaale. Tundub, et ta on sinna üle jooksnud.

Piraadipartei ühe asutaja Rick Falkvinge arvates on meil praegu hullem jälgimisühiskond, kui Orwelli „1984"-s...

Orwelli „suur vend" on väga lineaarne. Tema motiiv on vaieldamatult ainult halb. Praegu oleme jõudnud olukorda, kus „suur vend" on erasektor, näiteks sotsiaalmeedia, ja eriteenistused - kuid nende motivatsioon on erinev. Orwellilikus maailmas jälgiti ainult selle pärast, et taheti halba. Praegu võib sellest jälgimisest juhtuda ka midagi head, iseasi kas sa seda tahad.

Inforohkus küberruumis annab väga huvitava tõe kriteeriumi. James Bond aastal pidi 1975. aastal selleks, et öelda, kes ta on, lihtsalt ütlema „Bond, James Bond" ja näitama valepassi. Tänapäeval sellest ei piisaks - tal peaks olema Facebook, Google, LinkedIn ja seal peaks olema ka päris sõbrad, sest kui sellist nime googeldades ei tuleks internetist ühtegi vastet, tekiks automaatselt suur kahtlus, et kellega on ikkagi tegu.

Jälgimise motiiv ei pruugi olla alati halb. Aga see, et väga palju infot on väljas, on paratamatus. Täna jalutame kohvikusse või koju, ja kui sajandialguse küsimus oli, kas seal on elekter, siis nüüd, kas on wifi, ja ülehomme on küsimus, kas tapeet on võrku ühendatud.

Mida me veel tulevikus näeme?

Näeme igasugu huvitavaid trende. Üks lähtub sellest, et inimene on ikka olemuselt koopainimene. On võrgulahendusi, mis mulle meeldivad, aga mulle ei meeldi näiteks Amazoni Kindle (populaarne e-raamatu luger - A.A.). Kuni pole leiutatud värske raamatu lõhnaga Kindle´t, ei osta ma seda.

Turvalisuse väärtus tõuseb, selle kasutamine muutub elementaarseks hügieeni osaks. See, et peseme hambaid, on sama loomulik kui emaili krüpteerimine. Paar aastat tagasi oli trend selline, et kui rääkisime võimalusest testida teiste firmade võrkude vastupidavust, oli teatud seltskonnas sellest isegi ebaviisakas rääkida. See on "viigilehe kompleks". Rääkides küberturvalisusest tekitame pahatihti kunstliku salastuse, andmata aru, kas tegelikult on asjad korras või mitte. Salastamine tekitab kunstliku mugavustsooni. Aga see, kui miski on salastatud, ei tähenda tingimata, et see on turvaline.

Kas inimesed hakkavad rohkem hindama privaatust?

Kui toimetad midagi internetis, tekib arvutiekraanile aeg ajalt koht, kus peab linnukesega vastama „jah" või „ei". Loodame, et püütakse rohkem aru saada, mida see tähendab, ja leida lahendusi, kuidas äraantud privaatsust tagasi võita.

See, kuidas ilma krüpteerimata email liigub, on suurendatud piltpostkaardi läbisõit pilgeni täis Lauluväljakult. Kes tahab, saab selle kätte ja näeb seda.

Krüpteerimist ei peaks võtma nii müstiliselt. Omaenda turvalisuse ja privaatsuse kaitse on piisavalt lihtne. Küsimus on selle teadvustamises. Juba sõna krüpteerimine on nii salapärane, et oi-oi, kuis mina nüüd tavaline inimene oma meile krüpteerin. Selle asemele võiks mõelda mõne ilusa eestikeelse sõna - see võiks olla näiteks "tavakiri". Või siis mõelda mittekrüpteeritud kirjavahetusele uus nimi - see on sisult avalik kiri. Ma usun, et privaatsuse kaitse muutub võrreldavaks hambapesuga, nagu elementaarne hügieen.

Kuidas saaks riik oma kodanikke paremini internetis kaitsta?

ID-kaart on üsna unikaalne lahendus. Ma ei tea, et kusagil mujal riigis nii tarka ID-kaarti oleks. Kui räägime ID-kaart 2.0-st, siis Eesti riigil on unikaalne võimalus kaitsta oma kodanikke läbi ID-kaardi välisriikide rünnete eest, luues lahenduse, mis võimaldab kasutada personaliseeritud krüpteerimist.

Praegu kasutame ID-kaarti peamiselt digiallkirjastamiseks, kuid ID-kaardil on suur potentsiaal turvalise andmevahetuse juurutamiseks, mis on seni kasutamata. Kui see muutuks populaarseks, kui riik teeks selle kasutamise lihtsamaks, ja minimiseeruks kahtlus, et riik krüpteerimisse sekkub - ja see ka näiks usutav, oluline on ka psühholoogiline efekt, - siis oleks Eesti unikaalses positsioonis, et oma rahvast kaitsta ohtude eest, mis meid küberruumis ähvardab. Iga suhtlus võiks olla krüpteeritud ja see võiks olla IDkaart 2.0 teema.

Kui palju kasutate ise Facebooki ja muud sotsiaalmeediat?

Kasutan Facebooki, LinkedIni, Gmaili, Google´t. Gmaili saan oma firma tarkvaraga krüpteerida. Facebooki puhul peab lähtuma sellest, et kõik, mis sinna paned, on avalik. Ma ei usu tasuta asju, sest neid ei ole. Tasu tuleb lihtsalt kusagilt mujalt ja küsimus on, kes selle tasu maksab.

Hea asi kogu Snowdeni skandaalis on see, et inimesed hakkavad rohkem teadvustama turvalisusega seotud aspekte, ja mõtlema, kas me ikka tahame, et kõik oleks nii avalik nagu ta praegu on.

* * *

BHC Laboratory omanik Lauri Almann ja firma tegevdirektor Andrus Kivisaar räägivad krüpteerimisest ja küberjulgeolekust, mida erafirma saab pakkuda.

Millega tegeleb teie küberturbe-firma?

Kõige traagilisem on see, et sageli ei teadvustata, et lihtsalt kättesaadavad ja peaaegu igaühele taskukohased vahendid privaatsuse ja turvalisuse kaitseks internetis on käepärast. Meie ettevõttes välja mõeldud SecureMaili mõte on anda igale tavalisele internetikasutajale suvalise kliendiga, Gmail, Yahoo jne, krüpteerimise võimalus. Lisaväärtus on kliendihaldustarkvara, mis selle tööle paneb. Krüpto on selles mõttes unikaalne, et meie ei ole kolmas pool, vaid lahendus saab olema kliendi enda oma, temal on 100% kontroll.

Ajakirjale "Wired" tuginedes puudub NSA-l 2048-bitilise krüpteeringu lahtimuukimise võimekus. Meil vaikesätetest on 2048, saab keerata 4096 peale. Võtab ikka aastaid, et see lahti muukida.

Teiseks on terve rida asutusi ja ettevõtteid, kus ettevõtte edu sõltub kliendi usaldusest. On selliseid, kus kliendiandmete konfidentsiaalsus on seadusega ette pandud kohustus - audiitorid, ajakirjanikud, advokaadid. Kas see tegelikult nii on?

Kolmas asi on see, et kui palju usaldame oma koostööpartnereid või kolleege? See annab võimaluse muuta siis, kui koostöösuhe lõpeb, kaardi deaktiviseerimisega kättesaamatuks varasem e-kirjavahetus. Revolutsiooniline on ka hind, oleme ebameeldiv konkurent traditsioonilistele krüptolahendustele.

Tegelema ka turvatestidega. Oleme sõltumatu salaagendata partner, testime, kas süsteemid on turvalised või mitte.

Meie algoritmiline andmelekke ennetus tarkvara suudab tuvastada ettevõtte või asutuse reeglite rikkumisi. Kui on näiteks reegel, et võõraid mälupulkasid ettevõtte arvutisse panna ei tohi, või kui kopeerid andmeid, mida ei tohiks kopeerida, siis keegi saab teada, et sa seda teed. Tarkvara paneb käitumismustrit analüüsides kas kahtlase käitumise puhul tropi ette, takistab andmeleket või jälgib seda. Kahtlane on näiteks käitumine, kui millegipärast kopeeritakse kogu kõvaketas mälupulgale. Või kui ettevõtete dokumentidest kopeeritakse lõikude kaupa teksti ja kleebitakse Gmaili. Või saadetakse lihtsalt firma dokumente oma isiklikule aadressile. Miks peaks keegi seda tegema? Väga keeruline on tuvastada, kui näiteks nutitelefoniga filmitakse dokumente, kuid käitumismudel on võimalik välja peilida ja reageerida. Näiteks kui keegi lihtsalt lappab läbi hulga dokumente ja paneb kinni tagasi.

Väga palju Eesti ekspordivõimekusest põhineb ettevõtete intellektuaalomandil. Kurb on näha, kui vähe võetakse ette selle kaitseks. Oleme kohati hästi lohakad. Vaadates Riigikohtu kodulehel ärisaladuse jaotist, võib näha, et juhtumeid on palju. Kaotused võivad olla tohutud. Lahendused selle ennetamiseks on olemas.

Kas Eestis on küberkaitsetööstus?

Eestis ei ole küberkaitsetööstust, õigemini on see algfaasis. Sellel on suur potentsiaal. See on võti ekspordiks. Jällegi on Eesti unikaalses positsioonis pakkuda küberkaitselahendusi.

Millised tooted-teenused võiks olla?

Meie SecureMail ongi arendatud silmas pidades ekspordi kliente. Veel ei tahaks rääkida, palju neid on. Teine asi on automatiseeritud turvatestid, kus eestlasi usaldatakse. Meil on ikkagi hea maine. Kolmas on andmelekkeennetus. Neljas e-teenuste turvalisuse test. Eesti on maailmas enimarenenud riike e-teenuste osutamises. Turvalisuse tagamine on võtmetähendusega nende usaldusväärsusel ja omaksvõtul. Peaksime olema eesrindlikud ka turvalisuse tõstmisel. Meil tullakse hästi lihtsalt e-teenustega kaasa. Teistes riikides, näiteks, Suurbritannias, ollakse rohkem mures privaatsuse pärast. Francis Maude, Briti IT-minister, käis Eestis ja imestas, kuidas eesti rahvas usaldab nii palju e-teenuseid. Üks asi, mis sellele kaasa on aidanud, on see, et rääkisime väga avatult 2007. aasta küberrünnetest ja nendest probleemidest. Paljud riigid eelistavad selliseid asju salastada. See on osa viigilehe kompleksist. See oli oluline nurgakivi. Ja teenused peavad olema mugavad. Mida suurem on läbipaistvus, seda suurem ka usaldus, mitte vastupidi.

Palju on kliente erasektorist, palju riigisektorist? Palju on välismaalt?

BHC Labi eesmärk on tegeleda eelkõige erasektori klientidega. Meil on ilus tava mitte kunagi oma klientidest rääkida, see on võrreldav arsti juurde tulekuga.

Kas teie relvafirma toodab midagi?

Asutasime selle mõned aastad tagasi, et koostöös välisriikide ja Eesti ettevõtetega arendada kaitsetööstuse projekte teistes riikides. UAI fookus on suunatud ekspordile. UAI portfellis pole ühtegi UAI enda toodet. UAI rahvusvahelistest küberprojektidest on välja kasvanud spin-offina BHC Lab ja UAV ehk mehitamata platvormidega, droonidega tegutsev ettevõte Threod Systems, millel on võimalus olla regioonis tegija. See toodab nelja erinevat drooni.

Kas Eesti kaitseväel on kodumaiseid droone?

Arvan, et pall on siin ettevõtete väravas, kes peavad veel palju tegema, et riigi usaldust võita. Samas on meil ka edulugusid, näiteks vanim ettevõte selles vallas on Planex, kes tootis Soome kaitseväele lendavaid sihtmärke, mis on minu hinnagul läbi ajaloo Eesti kaitsetööstuse edukaim tehing.

-  Lauri Almann tegeles kaitseministeeriumi kantslerina näiteks pronksiöö (küber)rünnakutega. Nüüd on tal militaarfirma United Armaments International ja küberjulgeolekufirma BHC Laboratory. Ta on osanik firmas, mis toodab droone.

-  Varem esindas ta Eesti riiki Iisraeli relvatehingu rahvusvahelises kohtuvaidluses, nüüd on ta mainekas Varuli büroos advokaat.

-  Enne pidas Almann Eesti delegatsiooni koosseisus läbirääkimisi NATOga liitumise osas, nüüd käib erasektori eksperdina esinemas küberjulgeolekukonverentsidel.

-  Ise ütleb ta, et infost, mis ta kantslerina omandas, on eraäris vähe kasu: „Põhilised teadmised, mida saan kasutada, on tulnud õppides Tartu Ülikoolis ja Georgetownis või New Yorgi advokatuuri astumisest. Pealegi tabas mind 2008. aasta novembris riigitöölt lahkudes oluline mälukaotus."

-  Almann peab juba 13 aastat Estonian Business Schoolis loenguid äriõigusest ja rahvusvahelistest äritehingutest.

-  Ta on pälvinud Valgetähe V klassi ordeni (2004), Kaitseministeeriumi II klassi teeneteristi (2004) ning Kaitseliidu Valgeristi II järgu teenetemärgi (2008).

-  Tema isa on omaaegne tuntud kommunist, Eesti NSV ülemnõukogu presiidiumi sekretär ja EKP Keskkomitee liige Arno Almann. Ühiskonnateadustes doktorikraadi omav Arno Almann oli president Arnold Rüütli nõunik.