Küberkuritegevuse uus normaalsus: miks nullriski enam ei ole?

Viimaste aastate jooksul on küberkuritegevus jõudnud inimeste argiellu. Kui kunagi oli eelduseks, et küberrünnak on erandlik sündmus, siis täna ei ole rünnakud enam midagi kauget, vaid pidev protsess, mis puudutab kõiki, kes kasutavad telefoni, e-posti või veebiteenuseid. Elisa digiturvalisuse tootejuht Ivar Tennokese räägib, et seetõttu ei ole nullrisk ei ole enam realistlik eesmärk. Mitte et turvalisus oleks halvenenud, vaid seetõttu, et rünnakute maht, kiirus ja automatiseeritus on jõudnud tasemele, kus täielik välistamine ei ole tehniliselt võimalik.

Tänane küberkuritegevus ei ole juhuslik ega kaootiline. Tegemist on hästi organiseeritud, rahvusvahelise ja kiiresti kohaneva äriga. Ründajad kasutavad samu tööpõhimõtteid nagu legaalsed ettevõtted – automatiseerimist, spetsialiseerumist, testimist ja pidevat täiustamist. Kui üks meetod enam ei tööta, liigutakse järgmise juurde. Kui üks kanal muutub riskantseks, lisatakse rünnakusse teine.

Just seetõttu ei ole mõistlik rääkida eesmärgist, kus “rünnakud kaovad“. Realistlikum ja vastutustundlikum eesmärk on täna see, et rünnakud ei tooks kaasa suurt kahju ei inimestele ega organisatsioonidele. Selle saavutamine ei sõltu enam niivõrd tehnilistest tulemüüridest ja lahendustest, kuivõrd ennetustööst ja inimeste teadlikkuse tõstmisest.

Miks nullrisk ei ole tehniliselt saavutatav

Digiteenused toimivad usaldusel. Me eeldame, et sõnum jõuab kohale, kõne tuleb inimeselt ja veebileht on see, milleks ta end nimetab. Sama usaldusmudelit kasutavad ära ka ründajad. Sellises keskkonnas ei ole realistlik rääkida maailmast, kus rünnakuid ei toimu. Reaalsuses on alati olemas inimlik eksimus, tähelepanu hajumine ja olukorrad, kus info tundub piisavalt usutav.

Isegi kõige arenenumad tehnilised kaitsed ei saa täielikult välistada olukorda, kus inimene ise midagi kinnitab, edastab või lubab. Süsteem võib olla tehniliselt korrektne, kuid kui rünnak liigub usalduse ja sotsiaalse mõjutamise kaudu, ei ole võimalik kõiki olukordi automaatselt blokeerida. Sellises keskkonnas on inimlik eksimus paratamatu – eriti olukordades, kus otsuseid tehakse kiirustades, väsinult või ebapiisava infoga.

Digimaailm, kus rünnakuid ei toimu, jääb utoopiaks ka majanduslikel põhjustel. Küberkuritegevus on täna äärmiselt tulus tegevusvaldkond, kus potentsiaalne kasu kaalub ründajate jaoks selgelt üles riskid. Rünnakuid saab skaleerida, automatiseerida ja korrata peaaegu nullkuluga ning ebaõnnestunud katsetel on ründaja jaoks vähe tagajärgi. Seni, kuni ühe eduka ründe potentsiaalne tulu ületab oluliselt vahelejäämise riski, ei kao ka motivatsioon rünnata.

Seetõttu ei ole küsimus enam selles, kas keegi üritab, vaid selles, millal ja kui sageli. Aasta-aastalt kasvab nii rünnakute maht kui ka nende professionaalsus, sest majanduslik stiimul on tugev ja globaalne. Just see teeb nullriski mitte ainult tehniliselt, vaid ka praktiliselt saavutamatuks eesmärgiks.

Fookus peab liikuma mõju vähendamisele

Kui rünnakute täielik kadumine ei ole realistlik, peab keskne eesmärk olema nende mõju piiramine. See tähendab, et rünnak ei jõua kriitilisse faasi – andmete kaotuse, rahalise kahju või pikaajaliste tagajärgedeni. Mida varem oht katkestatakse, seda väiksem on kahju nii inimesele kui ka organisatsioonile.

Kaasaegne küberkaitse ei saa enam eeldada, et inimene teeb igas olukorras teadliku ja õige otsuse. Vastupidi – turvalisus peab toimima ka siis, kui tähelepanu hajub või olukord tundub usutav. Ennetavad ja taustal töötavad kaitsemehhanismid aitavad vähendada hetki, kus inimene üldse ründega kokku puutub. Mida vähem on vaja reageerida, seda väiksem on eksimise tõenäosus.

Sama oluline on ka arusaam rünnakute loogikast. Kui inimene mõistab, et pettus ei pruugi avalduda kohe, vaid võib areneda päevade või nädalate jooksul ning liikuda ühest kanalist teise, on tal lihtsam märgata mustreid. Kahtlaseks ei muutu mitte üks sõnum, vaid korduv teema, ootamatu järjepidevus või surve tegutseda.

Uus normaalsus ei tähenda allaandmist

Küberkuritegevuse uus normaalsus ei tähenda, et riskidega tuleb leppida või neile käega lüüa. See tähendab, et turvalisust tuleb käsitleda realistlikult ja süsteemselt. Eesmärk ei ole ideaalne ohutus, vaid vastupidavus – olukord, kus rünnak ei halvaks inimese elu, ettevõtte tööd ega ühiskonna toimimist.

Nullriski asemel tuleb rääkida juhitavast riskist. Sellest, et küberintsident oleks võrreldav tehnilise tõrkega, mitte isikliku katastroofiga. Just selline lähenemine võimaldab digikeskkonnal edasi areneda ka olukorras, kus ohud ei kao, vaid muutuvad ajas. See ongi tänase digiturvalisuse keskne väljakutse – mitte rünnakute täielik vältimine, vaid nende mõju kontrolli all hoidmine.