Miks eestlasi ei häkita, või siiski häkitakse?

Tere tulemast kuulama Restarti saadet, saatejuht täna Henrik Roonemaa, nagu ikka, uudiste portaalist geenius.ee, Taavi Kotka on kusagil kaugustes, aga see-eest on meil hea meel tervitada meie tänast külalist. Ja tänane saade tuleb küberturvalisusest ja mitte väga kitsas, vaid ma loodan, et just väga laias mõttes alates valimistest, mis meil siin ukse ees on ja lõpetades teie enda isikliku. Gmaili parooli ja, ja ma ei tea, laste, laste internetiturvalisuse ja kõige selle, sellega veel. Ja meil on stuudios Clyde Mägi, kes on sellise ettevõtte nagu Cybexeri küberohtude valdkonna juht, no tere, Clyde. Tere, tere. Ma arvan, et paljud meie kuulajad teavad sind tegelikult, aga mitte võib-olla Cybexerist, kus sa ei ole nii hirmus kaua olnud ju ka, aga sa olid enne põhimõtteliselt Eesti riigi IT-turvajuht, kui väga litsustatult öelda või?

Riigi Infosüsteemi Ametis juhtisin jah, intsidentide käsitlemise osakonda, mis on selles mõttes siis sihukene unikaalne, unikaalne osakond, kuhu laua peale siis koguneb enamus sellistest, tähendab, et ütleks siis niimoodi, et kõik olulised küberintsidendid ja, ja palju ka selliseid vähem olulisi. Ehk siis pilt sellest, mis küberis toimub. On selles intsidentide käsitlemise osakonnas, on päris hea laua peal. Ja, ja, ja see on sellega väga unikaalne koht, kus, kus tööd teha, kus oma silma ringi avardada ja aru saada tegelikult, mis riiklikul tasemel üldse toimub, kuni siis indiviidideni välja, et kui me räägime. Nüüd valimistest või, või, või räägime sellest, kuidas olukord üldse Eestis on, siis see on niisugune hea taust, mille pealt seda rääkida.

Ja loomulikult, et noh, kõigepealt ongi see, et Eestis on suhteliselt hästi ära reguleeritud seadusandlusega see. Et väga paljud eraettevõtted peavadki aru andma, mida ja kuidas nad teevad ja eelkõige siis sellised eraettevõtted, kes siis on nii-öelda seaduse mõistes elutähtsa teenuse osutajad. Ehk siis meil on õigusaktides kirjas, millised teenused Eestis on kodaniku jaoks elutähtsad ja, ja siis vahet pole, kas seda teenust pakub siis avaliku sektori asutus või, või eraettevõte, et ta peab järgima mingisuguseid regulatsioone. Ja üks nendest regulatsioonidest on olnud siis seesama hädalakorra seadus, kus on tulnud see kohustus need intsidendid siia ühte kohta kokku koondada. Just nimelt sellepärast, et riik saaks aru, mis seisus kodanikud on, mis seisus on riiklik julgeolek. Ja, ja situatsioon ja me teame ju seda, et nüüd selle aasta kevadele tuli uus küberturvalisuse seadus, mis veel paremini reguleerib seda valdkonda ja veel laiemalt. Et eriti huvitav on vaadata seda, mismoodi on sisse toodud uued terminid, näiteks nagu digitaalse teenuse osutaja, et kes on meil täna digitaalse teenuse osutaja, kes peab samamoodi mingeid reegleid jälgima. Sisse on toodud perearstid, kes varasemalt ei olnud reguleeritud selle küberi poole pealt, sisse on toodud Eesti interneti sihtasutus, mis varasemalt samamoodi ei olnud. Ja, ja see on selle pildi laiemaks teinud ja samas loodame, et just paremaks teinud, et kuna meil on rohkem sihukeseid olulisi. Teenuseid ära reguleeritud ja kes peavad ennast hoidma teatud taseme peal, selleks, et seda teenust pakkuda. Siis on kodanikul muretum elu.

No mulle on alati tundunud see IT turvavaldkond ja nendega, ütleme selle valdkonnaga tegelevad inimesed natuke müstilised ja natuke sellised omamoodi isegi, et, et noh, et päris tavaline või tead. Päris normaalne inimene ei lähe ja ei hakka kaevuma tõenäoliselt kusagil küberkurjategijate koodis niimoodi, või mis su enda taust on, kuidas sa jõudsid selleni?

Umbes niimoodi ja me olemegi, olemegi võrrelnud neid inimesi, kes sellise positsiooni peal töötab, kas siis. Nii-öelda eesliini kiirabiarstidega või politseinikega, kes näevad seda maailma väheke teises alguses. Ja kui me küberit siia mängu toome, siis me oleme väga toetud, ma ise olen väga tihti kasutanud just nimelt sellist võrdlust. Et, et kui sa küsid tavalise kodaniku käest, kuidas Eestis on olukord narkomaaniaga näiteks. Ja kui sa nüüd ühtegi näinud ei ole, süstlad maas ja vedele, kellelegi otsa ei komista parasjagu, ütled, et üldiselt on olukord suhteliselt hästi, kui sa lähed, küsid sama küsimuse kiire peaarsti käest. Tõenäoliselt ta vastab sulle hoopis teisiti ja samamoodi kuritegevusega, et kui me võrdleme võib-olla üheksakümnendat, üheksakümnendaid Eestis. Ja tänast elu, siis me elu on oluliselt palju turvalisemaks läinud. Ja võime öelda, et noh, ei pea Neid kuritegusid, siis tema kindlasti nii positiivselt sellele, sellele ei vaata. Ja samamoodi on ka, on ka nagu küberturvalisuses, et kui sa oled seal sees ja sa näed seda iga päev, siis sul see pilt ja arusaam maailmast on kindlasti teistsugune kui inimene, kes võib-olla loeb ainult ajakirjanduse nii-öelda esikaane lugusid ja nupib sealt üles aastas kaks-kolm suuremat intsidenti.

Tõsi ta on, et kogu aeg käib logistamine, et neid, ma olen korduvalt öelnud, see muutub klišeeks, ma olen korduvalt öelnud, et küberkuritegevus on täna kõige turvalisem Jah, aga

See on Eesti niisugune küberturvalisuse, nimetaks ennast lipulaevaks, et meil on päris huvitavaid tooteid torus ja, ja valdav osa meie tööst läheb eksporti, ehk siis me teeme, teeme Eestist välja suure osa. Kas teil

Meil on mõlemat, aga valdavalt me räägime ikkagi toodetest, et me oleme, me oleme iseennast nii-öelda. Fokusseerinud sellisel kujul, et me, et me tegeleme teadlikkuse tõstmisega. Kõlab küll hästi lihtsalt ja loogiliselt, et klassikaline võib-olla küberhügieen räägib inimesele, kuidas pikka parooli panna ja ennast kaitsta. Aga tegelikult on olu, olukord nagu oluliselt sügavam, mida me teeme. Ja me oleme selle jaganud oma, oma teadlikkuse tõstmise piltlikult öeldes kolme lahtrisse. Kõige esimene tase on, võib-olla millest kõige rohkem teatakse, ongi see tavakasutaja teadlikkuse tõstmine, tema, tema harimine ja tema niisuguse nii-öelda riskihinnangu andmine, kui riskantne on tema käitumine selles samas kübermaailmas. Meil on oma toode seal olemas, e-õppeplatvorm, oma metoodika sinna välja töötatud ja. Ja, ja sellega me siis nii-öelda valutame maailma.

Täpselt, ja siis me saame vastuse, et noh, ma täpseid numberid ei tea, aga ütleme, et pooltele inimestel ei ole seda kodus, võib-olla see on vähem, väiksem see protsent, aga no mingil suurel hulgal inimestel seda kodus ei ole. Ja nüüd tuleb õige küsimus küsida, miks seda neil kodus ei ole? Ja, ja, ja kas nad ei tead, see on kasulik? Ei, me just jõudsime järelduses endate ja vaata, et kas see on liiga kallis? Ei, see maksab poest tõenäoliselt, ma ei tea, seitse kuni kümme eurot. Et sa kõik jaksavad seda osta, aga jätkuvalt seda kodus ei ole, küsimus on mõttemaailmas, distsipliinis ja suhtumises. Ja tegelikult on need, need asjad, mida on inimese puhul muuta oluliselt keerulisem, kui talle anda seda informatsiooni, väikest tükki informatsiooni, et kuule, kas sa tead, et nii on õige? See on nagu üks, üks lähenemine, aga just, et muuta seda, muuta seda mõttemaailma ja seda on oluliselt keerulisem teha ja kõik needsamad näited alates sellest samast turvavööst, kuidas politsei tegi kampaaniad ja kaua meil läks aega sellest, et. Et valdav osa inimesi seda kasutab, see oli pikk töö, et täna on see täitsa loomulik ja pigem vaadatakse vastupidi teiste inimeste peale, kes seda ei kasuta. Suitsusandur on teine suurepärane näide ja nüüd me läheme siis siin kübermaailmas sama täid edasi, et üks asi on seda teadlikkust tõsta inimestel, jah, loomulikult uusi ohtusid tuleb juurde. Uusi ründevektoreid tuleb juurde, pätid on leidlikud, nad üritavad kogu aeg välja mõelda, kuidas siis inimesi üle kavaldada ja neid lõksu meelitada. Kuid, kuid seal me suudame paari asjaga või paari sihukese elementaarse asjaga enda, enda turvalisust tagada, küsimus on, kas me teeme seda paar elementaarset asja. Ja selle mõttemaailma ja, ja suhtumise muutmine on oluliselt pikem ja keerulisem protsess. Hüva, meil on aeg teha esimene paus ja siis me jätkame.

Restart jätkub ja Klaid Mägi on meil külas. Ja räägin internetiturvalisusest ja mul on selline võib-olla isegi ketserlik väide või, aga mulle tundub, et Eestis on kuidagi arusaamatult hästi nende küberintsidentidega. Alustame siis e-riigist, on ju, meil on paarkümmend aastat siin vaata, et noh, viisteist aastat kindlasti. Suhteliselt oluline osa riigi teenustest ja, ja andmebaasidest olnud netis ja noh, küllap sina oled ka näinud neid välismaalasi, kes tulevad siia ja ütlevad, et. Kuidas see võimalik on, kuidas te julgete, kas, kas teil siis tõesti pole kunagi midagi juhtunud, valimised, kõik andmebaasid, noh, jätke nüüd jama. Ja siis mina pean ka alati ütlema, et ei ole juhtunud, me ei tea vähemalt, et oleks mingit suurt jama olnud. Ja, ja ma loen ka neid Lääne küberturva uudiseid, eks ole, noh, sa võid igal hommikul teha. Ma ei tea, Slashdoti või jumal teab, mis välja anda enne lahti ja, ja sa leiad sealt, et noh, jälle aeti ära sada miljonit, üheksasada miljonit, kolmkümmend miljonit, mingid kontod, kõik on lekkinud. Kuulsuste telefone häkitakse, eks ole, nüüd mingi halasti pilte postitatakse netti, noh. Õudne möll käib, Eestis mitte midagi. No mõned firmakesed on siin, me oleme teada saanud, et on oma selle kübel lunavaraga pihta saanud. Aga noh, samas läänes on mingid terved haiglad olnud enam-vähem nädalate kaupa maas, mitte midagi. Mis, miks, miks, miks meid ei rünnata, mis meil viga on?

No okei, peaaegu üntsident ja, ja, ja Feebil, Feebil olid veel uksed kinni siin ja Heidt Saabetsil olid uksed kinni. No nad said vist küberlunavaraga. Feebi kohta on küll vähe infot meedias, mis seal tegelikult juhtus, aga noh, oletavalt, oletavalt. Noh, tõenäoliselt, mis iganes, jah. Aga, aga seesama, sama näide, et meil on tegelikult juhtunud, et kui me need ritta paneme, me Eesti on ka väike, eks ole, paneme need ritta, siis me saame need juhtumid päris omajagu, teine asi on loomulikult see, et kuna me oleme tõesti selle IT ja küberiga oluliselt rohkem tegelenud kui paljud teised riigid. Siis ma, ma tahaks täna loota, et kõik see teavitustöö, mis me teinud oleme, kogu see kommuun, mis meil täna Eestis hästi töötab, kõik need. Need kõrgelt haritud spetsialistid, eksperdid, et me teeme ka keskmisest oluliselt paremat tööd siin Eestis.

neid näiteid meil Eestis ikkagi on. Aga me oleme ikkagi saanud jaole, järelikult siis. Ei ole küll, aga need, need andmed olid seal ikkagi kaitseväe konfidentsiaalsed andmed või kaitseministeeriumis, iganes andmed seal peal olid. See pulk oli krüpteerimata, ehk siis klassikaline küberhügieen, sul olid kaasas konfidentsiaalsed andmed mingisuguse pulga peal, mis ei olnud krüpteeritud ja nii edasi ja nii edasi. Et tegelikult, kui me neid asju ritta paneme, siis tegelikult on meil, meil on juhtunud ikka omajagu asju. Et me kipume neid millegipärast ära unustama või need jäävad niisuguste suurte ja kõlavate lugude ja intsidentide taha.

Aga, aga see on suurepärane näide sellest, et tegelikult kõik sellised intsidendid, mis varases eas ära juhtuvad, annavad ju sellise nagu sisendi olukorra parandamiseks. Väga palju seadusemuudatusi on meil tehtud pärast suurte intsidentide juhtumist, ükskõik mis maailmast me räägime, kas me räägime füüsilist maailmast või kübermaailmast. Ja see, et see Perli, Perli asi juhtus nii varases staadiumis ja sära, et noh, muu maailm tõenäoliselt ei, ei adunud veel, polnud sihukest baasa olemas, kui üheski riigis, nagu meil tol hetkel oli võimalik. Üle

Õppuse eest oli kindlasti kasu, kurb oli muidugi see, et osad, kes siis õppusel osalesid kaks aastat varem, nende, nende järelmid olid sellised, et, et te olete teinud liiga ulmelise stsenaariumi ja it's never gonna happen, et sihukest asja ei juhtu. Ja, ja siis, kui kaks aastat hiljem see asi juhtus ja kaks korda suuremas mahus, kui me tol ajal seda läbi mängisime, siis noh, see on see näide, miks seda vaja teha on, teinekord tuleb natukene kastist välja mõelda. Ja, ja me tihti oleme, oleme mõelnud väga ulmelised stsenaariumid välja ja siis tulevadki need nii-öelda mängijad, On hästi kriitilised, et, et miks te sihukest ulmet seal laua peale toote, et sihukeseid asju ju kunagi ei juhtu. Ma tahan siiralt loota, et asju kunagi ei juhtu, aga äkki me oleme igaks juhuks nende asjade jaoks valmis, üks võib-olla suurepärase näiteid maailmas on see. Et aastaid, kui mitte, kui mitte kümme, kakskümmend aastat räägiti sellest, et kõige hullem asi, mis küberründe tagajärjel võib-olla, on see, kui rünnutakse energiasektorit ja kuskile võetakse vool ära. Kõik rääkisid sellest kui hüpoteetilisest võimalusest, kuni siis Ukra Et pärast seda see ei olnud enam hüpoteetiline.

Aga noh, sellised asjad tihti on ju. Ma, mina, mul on üldse väga raske neid kuidagi küberkuritegevuseks pidada, et noh, see on selline lihtlabane pettus, noh, et selles mõttes, et keegi saadab mingi emaili ja ütleb, mul on kiiresti raha vaja, võltsib natukene, noh, et seda võiks põhimõtteliselt teha ka paberi ja pliiatsiga, ainult et siis see ei oleks nii kiire.

Nõus võiks, noh, eks selle küberintsidendi määratlemisel ongi hästi keeruline, et kuhu me selle küberi piiri tõmbame, et tegelikult on samad asjad, mida tehakse, kui me räägime näiteks tööstuspionaažist, mida, mis on toim Küberdomeenis, siis tegu on ju sama, riiklik luuramine, üks riik luurab teise riigi järgi, see on toimunud tuhandeid aastaid. Lihtsalt täna on selleks eraldi kanal olemas, seda on võimalik oluliselt kergemini ja lihtsamini teha. Et selles mõttes jah, et, et me paneme selle küberliite ette siis, kui seda tegu tehakse nii-öelda mingisuguste e-kanalite peal ja see käib läbi biti-debaitide, mitte nagu läbi hariliku pliiatseja paberi, või siis mis iganes. Piima ja paberi, mida me triikrauvaga pärast välja sealt, selle teksti välja triigime sealt paberi pealt, eks küsimus ongi selles, mis tööriista sa kasutad. Tegu on loomulikult seesama tegu.

Huvitav, kui kindlad me saame olla näiteks selles, no ma tean, et küberturvalisuses keegi kunagi ei ütle, et me oleme kindlad või, või noh, et see on täpselt nii või kunagi ei juhtu, nagu, nagu sa tõid näite, aga. Kui kindlad me võime olla näiteks, et, et kellegi mingi vaenuliku võrriigi käpp ei ole kuskil Eesti e-süsteemides praegu sees? Me ei saa kunagi selles

No tegelikult on ju niimoodi, et olulistes kohtades on süsadminidel samamoodi taustauuring tehtud ja selleks on olemas täiesti legaalne võimalus seda tänapäeval teha. Ja see on üks asi, teine asi on see, et, et suuremates ettevõtetes on võimalik kindlasti ära kuidas jaotada, et see üks süsadmin ei saaks sul ligi absoluutselt kõigele. Et on, igalühel on üks jupp käes ja selleks, et kogu infot kättesaadav ja kogu halba korraga ära teha, sa pead piltlikult öeldes ära ostma. Terve hulga need süssed minna, et ühest nagu ei piisa, et seal on erinevaid meetmeid, mida sa saad kasutusele võtta ja küsimus ongi selles, et kui palju sa seda riski teadvustad. Ja, ja kui palju sa neid meetmeid kasutusele võtad. Päeva lõpuks on see, et iga selle meetme kasutusvõtm on mingisugune kulu ja, ja seda kulu on hästi raske arvutada. Kui me vaatame täna ka Eestis ükskõik milliseid intsidente, mis juhtunud on, et kui palju me leiame või kui palju need ettevõtted on öelnud välja selle summa, et jah, mul oli selline küberintsident ja see läks maksma mulle nii mitu eurot. Neid on ülivähe näiteid. Et ehituse ABC mingisugune näide käis korraks meediast läbi, Tea Kirjastus oli vist, kes käis ka mingite summadega meediast läbi ja üldiselt on, on see ring hästi väike. Aga need

Mõnele mehele oled lihtsalt selline nagu noh, aurahavääriline, et see mägi kogu aeg patrab mingisugusest küberturvast, vot nüüd ma võtsin ta maha.

Jah, täpselt, et mis see on, et kui omale elementaarseid asju selgeks ei teed, kui sa oled professionaalne autojuht, siis äkki peaks teadmisi autojuhtimise vallas olema keskmisest inimesest vähekene, väheke kõrgemad, eks ole. Aga kooli teema on jah see, et koolides täna üleüldse on õpetajatega probleem ja me oleme palju kuulnud seda, mis mulle isegi tavaliste reaalainete õpetajatele on väga keeruline leida, et kõigepealt ma ei lähe matemaatika-füüsikaõpetajat, on keeruline leida ja leida ka seda pädevat siis. Nii-öelda digitaalse elu õpetajat või arvutiõpetajat, kes suudaks kõikide ohtudega lapsi kurssi viia, on, on raske. Ja olles ise käinud erinevates koolides seda rääkimas ja selle olukorraga natukene kursis olla ja mul omal on ka teisipäeviline tütar, kes käib Siis ma tean, et koolid tegelikult ei pane sellele piisavalt rõhku ja, ja ma ei ole täna üldse kindel, aga minu meelest ka nii-öelda üldharidus programmides ei ole sellist nii-öelda küberohtude osa. Ma

mingi hetk tuleks seda meelde tuletada, põhitõed ja, ja täpselt, ma tean, et täna haridusministeerium otsib või on välja kuulutanud hanke või on äkki juba, juba käimas ja seal on olemas ettevõte, kes sellega tegeleb, siis sellise. Küberteemalise aine väljatöötamiseks küll gümnaasiumi, gümnaasiumitele, aga noh, tegelikult selgelt peab sellega pihta hakkama tänapäeval algkoolidest. Ja need koolid, kellel on õpetaja kompetents oma, oma olemas väga positiivne. Kõik, kutsun selle kohalt üles, et kõik need inimesed, kes, kellel on keskmisest rohkem teadmisi või nad tunnevad endale rohkem teadmisi küberohtudest ja kogu sellest kübermaailmast. Vabatahtlikuna, tehke seda tööd, et ma teen ise seda, olen äärmiselt palju seda teinud, puhtalt missioonitundest käinud päris koolides ja, ja see on see meie tulevik, me peame sellega tegelema.

Täpselt või, või laste puhul alustades kas sellest, et milliseid pilte nad üles laevad ja mida nad näitavad ja kuidas seda küberkiusamist vältida. Et noh, tegelikult iga teine või kolmas täiskasvanud inimene oskab seda rääkida, et leidke see lapsevanematest hulgast ülesse, tehke ka aeg-ajalt selliseid koolitusi ja lastele tegelikult meeldib, kui keegi väljapoolt tuleb, vahepeal räägib võib-olla kergelt humoorikas võtmes.

Paraku on täna niimoodi, et kuna see internet ja kogu see küberdomeen on niivõrd, kuidas ma ütlen, anarhiline, et keegi seda ju ei kontrolli. Ei

Ei ole olemas internetivalitsejat, ei ole olemas ühtegi reeglistikku, ühtegi raamistiku, standardit, mille, mille alusel seda üles ehitatakse ja mille alusel kogu see süsteem toimib. Kui jätkuvalt lubatakse kõikidel nendel deep veebidel ja, ja torridel ja kõikidel süsteemidel toimida, siis küberkurjategijatel see pinnas on niivõrd hea käes, et mina täna. Järgnevalt kümne aasta jooksul, võib-olla ma natukene praegust utreerin, aga viie aasta jooksul kindlasti mitte mingit muudatust ei näe. Ja ma kardan, et ka kümne aasta jooksul seda ei tule.

Midagi, midagi sihukest puhast peab tulema, piltlikult, midagi puhast peab tulema. Või siis on see, et meil, meil läheb selle olemasoleva interneti haldamine kuidagi niimoodi paremaks, nende kurjategijate kättesaamine on lihtsam. Täna jälle korrutan seda lauset, mida ma siin saate alguses ütlesin, et küberkuritegevus on kõige turvalisem viis toimuvana kuritegu, see tuleb ära tappa. Et kui me need petta kätte ei saa, nad ise ära ei lähe. Ja maailm, oodata seda, et kogu maailma nagu meelsus muutub niimoodi, noh, nagu meil Eestis on, et kogu kuriteguse üldine tase on kõ Ja tänu sellele, et inimeste teadlikkus ja meelsus on, on muutunud, et oodata, et see terves maailmas muutuks. Sellest on vähe kasu, kui meil siin Eestis muutub, et, et küberis ei ole riigipiire, küberis ei ole ajatsoone. See noh, kõik, kogu see domeen on meil üks siin, kogu see planeet, mis me siin oleme, on, on siis piltlikult kõik meil ukse taga ja ühe hiirekliki kaugusel. Et me ei saa kunagi eeldada, et see kaheksa miljardit, varsti üheksa-kümme miljardit inimest mõtleks turvaliselt ja ärme ründa teisi inimesi, ei. Seda ei juhtu mitte

Täpselt, et sellega, vot see leib on, leib on täna pikk ja meil on siia inimesi palju juurde vaja ja, ja loodetavasti selliseid nii-öelda kübermõtlemisega inimesi, kellest me ka saate alguses rääkisime. Et, et tekib nagu juurde ja neid tekib juurde ka muidugi noh, kes ongi selle mõtteviisiga või teine variant on siis see, et, et kui keegi on valusalt pihta saanud, siis, siis hakkab teistmoodi mõtlema ja tulge paati ja, ja aidake heitada turvalist riiki.