Viimastel nädalatel oli mul erakordne võimalus osaleda mitmel küberteemalisel arutelul USA tippülikoolides ja tippmõttekodades. Kuigi üldine teema oli üks – küberjulgeolek, siis iga arutelu oli omanäoline: rahvusvaheline õigus ja küberruum, kübernormid, avaliku ja erasektori koostöö, kas lugeda valimised osaks riigi kriitlisest infrastruktuurist ja kui lugeda, siis kuidas kaitsta jne jne. Nendel teemadel kirjutan teinekord pikemalt.
Seekord tahaksin jagada oma mõtteid kahel teemal – e-valimistest ja programmist Hack the Pentagon – sest minu arvates mõjutavad nad kõige otsesemalt ka Eestit.
Teatavasti on Eesti esimene ja seni ainuke riik maailmas, mis on võrdustanud e-valimised (on-line toimuvad valimised) traditsiooniliste valimistega (paberi ja pastakaga või mõne seadme nupule vajutamisega) ning on korraldanud e-valimis alates 2007. aastast. E-valimisi on aeg-ajalt kritiseeritud, kuid keegi ei ole suutnud tõestada, et e-valimised on vähem turvalised kui tavalised valimised. Jah, riskid kaasnevad kõigi valimistega, nii tavaliste kui ka e-valimistega. Riske ei saa kunagi 100%-liselt välistada, ei inimlikke ega tehnoloogilisi, aga riske saab maandada.
Ning selle asemel, et loobuda innovaatiliste lahenduste kasutamisest tuleb tegeleda nende turvalisuse kasutamise tagamisega. See on võidujooks, kus „vastased“ tõlgendavad nõrkusena igat üksikut sammu tagasi. Tänases olukorras, kus riigid loobuvad isegi kõige lihtsamatest tehnilistest vahenditest, sest kardavad valimiste turvalisuse pärast, on Eesti jäänud pea ainsaks e-lahenduste toetajaks ja kasutajaks. Ja peab selleks jääma ka edaspidi, vaatamata järjest suurenevatele riskidele ja uuenevatele väljakutsetele. Mitte naiivselt ja pimesi, vaid nutikalt ja läbimõeldult.
Eesti on olnud elavaks näiteks sellest, kuidas küberrevolutsioon aitas kaasa riigi ja ühiskonna kõigi valdkondade arengule, alustades riigivalitsemisest ning lõpetades kodanikuühiskonnaga. Meie poole vaadatakse – vaatavad nii need, kes soovivad meile edu kui ka need, kes soovivad e-Eesti läbikukkumist. Eesti poole mitte ainult ei vaadata, vaid ka jälgitakse väga tähelepanelikult poliitikate muutumist, arenguid, arutelusid.
Ei ole lihtne olla e-teenuste lipulaev, nagu ei olnud lihtne ka reformide läbiviimine 90.-ndatel. Aga see ei ole võimatu. See on tehtav, nii nagu oli tehtav X-tee ja teised IT lahendused. Ja kindlasti ei pea ise kõigutama usku ja usaldust e-valimiste vastu. Kahetsusväärselt just seda viimasel ajal tehakse – arutlustega selle üle, mitu päeva ikka peaksid e-valimised kestma.
Küsiti konverentsidel ka minult – miks tahate e-valimisi muuta või lausa nendest loobuda? Kas seepärast, et e-valimised ei ole turvalised? Mis juhtus, et te enam ei suuda tagada e-valimiste turvalisust? Minu selgitused selle kohta, et valitsus ei taha loobuda e-valimistest, vaid arutab e-valimiste toimumise päevade arvu vähendamist, tekitasid ainult lisaküsimusi – milleks muuta midagi, mis töötab ja mille turvalisusesse te usute ja mille turvalisust suudate tagada?
Raske vastata, sest ühtegi loogilist ning põhjendatud vastust ei olegi. Praeguse mõttetu arutelu asemel peaks valitsus arutama, kuidas suurendada küberturvalisust, et Eesti inimesed saaksid kasutada e-teenuseid ja e-hääletada ka 10 ja 50 (ja 100) aasta pärast ning Eesti kõrvale astuksid järjest uued e-riigid.
Hack the Pentagon! (Häkkige Pentagoni!) Just nii kõlas üleskutse, millega kutsuti esmakordselt USA ajaloos leidma vigu/puudusi USA kaitseministeeriumi võrkudes. See oli piloot-projekt, mis kutsus „valgeid häkkereid“ (white hat hackers) otsima rahalise tasu eest vigu Pentagoni võrkudes. Projekt kestis 18. aprillist 2016 kuni 12. maini 2016 ning viidi läbi koos platvormiga HackerOne.
Mis siis tegelikult toimus? Projekt algas häkkerite registreerimisega. Neile tehti taustakontroll ning lõppude lõpuks osales projektis 1410 häkkerit. 250 häkkerit esitasid ettekanded, milles juhtisid tähelepanu Pentagni võrkude konkreetsetele vigadele ja/või nõrkustele. Esimene viga leiti 13 minutit pärast projekti algust. Esimese 6 tunni jooksul laekus 200 ettekannet, mis viitasid võrkude vigadele/nõrkustele. Põhjendatud ettekanneteks loeti 138 ettekannet, mille esitajatele maksti preemiatena välja 75 000 USA dollarit.
Mais 2017 tehti kokkuvõtted ja otsustati koostööd jätkata, sest nagu ütles tolleaegne USA kaitseminister: „Kui asi puudutab info-tehnoloogiat, siis eelistab kaitseminsteerium reeglina suletud süsteeme. Aga, mida rohkem sõbralikke silmi jälgib/kontrollib meie süsteeme ja kodulehti, seda rohkem lünki suudame avastada, seda rohkem nõrkusi suudame parandada ning seda suuremat turvalisust suudame pakkuda oma kaitseväele.“
Sama edukalt läks ka järgmine projekt – Hack the Army (häkkige kaitseväge).
Tänaseks on USA kaitseministeerium võtnud vastu nõrkuste/haavatavuste avalikustamise poliitika (vulnerability disclosure policy), mis loob juriidilise aluse teatamaks Pentagoni avalikkusele suunatud süsteemide (public-facing systems) nõrkustest/vigadest. Poliitika reklaamlauseks on „märkad midagi, ütle midagi“ (see something, say something).
Muide, HackerOne platvormi esindaja Katie Moussouris nõustas 2017. aasta alguses Suurbritannia valitsust seoses analoogilise projekti korraldamisega.
Juuni alguses tuleb Katie Eestisse CyCon’ile (NATO Küberkaitsekeskuse iga-aastasele konverentsile). Kas ei oleks aeg ka Eesti kaitseministeeriumil viia läbi taoline projekt? Kuidas oleks – häkkige kaminat? Loe: kamin – lühend kaitseminiseeriumist