Eetiline häkker: küberturvalisus on ühiskonna ellujäämise küsimus

Laura sõnul on tänapäeva maailm sügavalt tehnoloogiast sõltuv. „Peaaegu kõik, mida me teeme, poes käimine, ühistranspordiga sõitmine, haiglate töö või koolide toimimine, toetub mingile arvutisüsteemile. Ja kui need süsteemid satuvad valedesse kätesse, saab haavata kogu ühiskond,“ selgitas ta.

Väike viga võib muuta kogu süsteemi kaitsetuks

Kankaala tõi näiteks 2020. aastal Soomes toimunud ränga andmelekkega juhtumi, kui psühhiaatriakliinikust Vastaamo lekkis kümnete tuhandete patsientide andmed.

„Kliinik oli aastaid tegutsenud, kuid selgus, et nende andmebaas oli avalikult internetis ja kaitstud vaid vaikeparooliga,“ rääkis Kankaala.

Tema sõnul polnud tegemist tehniliselt väga keerulise rünnakuga, vaid tavalise hooletusega. „See polnud mingisugune kõrgtehnoloogiline häkk. Tegemist oli inimesega, kes kasutas avalikult kättesaadavaid tööriistu, et leida internetti ühendatud andmebaase. Piltlikult öeldes oli aken lahti ja keegi astus sisse.“

Andmed, mis lekkisid, olid aga äärmiselt tundlikud – psühhoteraapiaseansside salvestused, isiklikud mõtted ja mured. „Mõned patsiendid olid jaganud asju, mida nad poleks rääkinud isegi oma lähedastele,“ ütles Kankaala. „Kui selline info satub võõrastesse kätesse, on tagajärjed laastavad ja pihta saab ühiskonna turvatunne.“

Inimene on süsteemi nõrgim lüli

Lisaks tehnilistele puudujääkidele tõi Kankaala välja inimfaktori olulisuse – küberrünnakute taga on sageli lihtne psühholoogiline manipulatsioon.

Kankaala, kes osales aastaid tagasi ka Soome telesaates Team Whack, rääkis eksperimendist, kus eetilised häkkerid lõid võltsitud LinkedIni profiili nimega Heidi Virtanen.

„Tahtsime näidata, kui lihtne on inimesi petta, kui tundud usaldusväärne, kuigi profiil oli täielikult võltsitud ja see juhtus veel enne tehisintellekti buumi,“ selgitas ta.

„Alguses ei tahtnud keegi sõbrakutset vastu võtta, aga kui mõned inimesed olid kutse aktsepteerinud, muutus teiste veenmine juba palju lihtsaks. Inimesed mõtlesid, et kui ta tunneb minu kolleegi, siis on ta ilmselt päris inimene ja võimalik, et oleme kuskil isegi kohtunud. Ja just nii sotsiaalmanipulatsioon toimibki – me usaldame inimesi, keda me tegelikult ei tunne ega tea, kas nad üldse eksisteerivad.“

Profiilipilt oli seejuures loodud tehisintellekti abil. „Kasutasime sama tüüpi tööriistu, mida kurjategijad olid juba 2018. aastal hakanud kasutama. Nad ei oota, kuni tehnoloogia täiustub – nad võtavad selle kohe kasutusele,“ ütles Kankaala.

Küberkuritegevus ei näe välja nii nagu filmides

Kankaala murdis ka müüdi nagu oleksid küberkurjategijad mustade kapuutsidega geeniused kuskil pimedas keldris mitme arvuti taga, mida oleme näinud Hollywoodi filmides. „Tänapäeval ei pea sa olema isegi programmeerimisekspert, et tegeleda küberkuritegevusega. Paljud ründajad ei kirjuta isegi koodi – nad on lihtsalt osavad manipuleerijad ja veenvad e-kirjade kirjutajad,“ ütles ta.

Tema sõnul on küberkuritegevus muutunud mitmekihiliseks äriks, kus osalevad väga erinevad inimesed ja organisatsioonid: „Mõned teevad seda raha pärast, mõned poliitilistel või spionaažilistel põhjustel. Ja osa gruppe on niivõrd professionaalsed, et neil on isegi oma ’personaliosakond’ ja ärimudel.“

Näiteks tõi ta välja Venemaa päritolu rühmituse Clop, kes on tuntud lunavararünnakute ja andmete väljapressimise poolest. „Clop ei krüpteeri alati andmeid – mõnikord on nad piirdunud ainult andmete varastamisega ja ähvardanud need avaldada, et ohvritele survet avaldada,“ selgitas Kankaala, lisades, et sihtmärkideks on peamiselt ettevõtted.

Tehisintellekti varjukülg

Kankaala rääkis ka tehnoloogia tulevikust ja sellest, kuidas tehisintellekt lisab küberturvalisusele uusi kihte. „Mida rohkem me usaldame AI-süsteeme, seda rohkem loome ka uusi turvaauke,“ ütles ta.

Ta tõi näite: „Kui AI teeb meie eest oste või kirjutab koodi, kuid keegi on süsteemi ära kasutanud, võivad tagajärjed olla tõsised – raha liigub valesse kohta või koodi jõuavad vanad, juba teadaolevad turvavead.“

Eriti murelikuks teeb teda noorem põlvkond, kes küll oskab suurepäraselt kasutada seadmeid, kuid ei mõista veel nende toimimist. „Lapsed ja noored on digitaalselt nutikad, aga see ei tähenda, et nad mõistaksid küberohtusid. Nad on vilunud kasutajad, kuid mitte vilunud kaitsjad paraku.“

Tehnoloogia peaks olema tööriist, mitte relv

Kankaala, kes oli Eesti ühe suurima IT-konverentsi Atea Action 2025 peaesineja, lõpetas oma ettekande sõnadega, mis võtsid tema mõtteviisi hästi kokku:

„Meie ühiskonnad on üles ehitatud arvutisüsteemidele. Need on imelised tööriistad, mis aitavad meil teha oma tööd ja elada paremini. Aga me peame hoolitsema selle eest, et need jääksid tööriistadeks, mitte ei muutuks relvadeks. Küberturvalisus ei peaks enam ammu olema IT-juhtide vastutus, vaid ikka kõigi ühine kohustus. Kui me ei hoolitse oma süsteemide, paroolide ja tähelepanelikkuse eest, on vaid aja küsimus, millal keegi teeb vea, mille eest maksame kogu ühiskonnana.“

Laura Kankaala on eetiline häkker ja küberturvalisuse ekspert, kes uurib interneti ohte ning aitab ettevõtetel avastada ja likvideerida kriitilisi turvanõrkusi enne, kui neid kuritarvitatakse.

Uudis meedias: „Aken oli lahti ja keegi astus sisse“ – eetiline häkker paljastab, kui haprad on meie digilukud - Ärileht

Atea on suurim IT teenuste ja terviklahenduste pakkuja Põhjamaades ja Baltikumis, tegutsedes Norras, Rootsis, Taanis, Soomes, Leedus, Lätis ja Eestis. Ateal on 7 riigis kokku 88 kontorit ning ettevõttes töötab üle 8000 töötaja. Eestis töötab Ateas üle 70 inimese ning kontorid asuvad Tallinnas ja Tartus. Juba neljandat aastat järjest on Atea valitud maailma 100 kõige jätkusuutlikuma ettevõtte hulka.