AI_pealkiri: Kaspar Kaarlep ja Ragnar Rattas SCADA-süsteemide ja elutähtsate teenuste küberturvalisusest

Tere,

Kuku raadio kuulaja, on laupäev ja taas on eetris ITR-i saade Restart. Meie saadet toetab ITL ja saadet juhin mina, Henrik Aavik. Tänane saade räägib IT turvalisusest, aga mitte ainult lihtsalt IT turvalisusest, vaid me räägime nendest arvutitest, kus ei jookse kurjade lindude mängvaid, mis juhivad võimsaid riiklikke süsteeme ja, ja automaatikat meie ümber. Sellest teemast on meil stuudios rääkimas Riigi Infosüsteemi Ameti küberturbe ekspert Ragnar Ratas ja Kaspar Kaarlep, kes on Elektrilevi automaatika projektijuht. Et mis see SKADA siis on?

Et kui rääkida Scadast kui sellisest, siis võib-olla eristab natuke kahte asja, üks asi on see, mis on võib-olla selle tavainimese arusaam, et Scala mõiste kui selline on natuke laienenud ja tegelikult keskmine eestlane või üldse keskmine inimene peab selle all silmas mis tahes automaatikas just teeme. Et kui päris niisugusest nüüd ametlikust definitsioonis, definitsioonist rääkida, siis on ta niisugune superviisori juhtimine ja automatiseeritud andmehõive. Et tüüpiliselt Scala-süsteeme siis võib kohata sellistes kohtades nagu elektri, ütleme, tootmine või laialivedu, katlamajad, ütleme siis gaasisüsteemide juhtimine, et mõte on selles, et kui sul on hajutatud protsess, mis on näiteks veel Eesti laiali, seal on palju punkte, kus mingisugune protsess on ära automatiseeritud, siis see süsteem, mis kogub sealt... protsessiga satud andmeid kokku ja ütleme, visualiseerib seda näiteks juhtimiskeskuses, siis seda süsteemi nimetatakse Scadaks. See on nagu suhteliselt niisugune enam-vähem ametlik definitsioon. Aga jah, nagu ma mainisin, siis see mõiste on mõnes mõttes laienenud, et keskmine inimene ikkagi Scadal mõistab mistahes automaatjuhtimisüsteeme, olgu see oleks liftikontroller, ma ei tea, mingisugune külmkapp või külmalett kusagil suures kaubamajas või olgu see oleks hoone, automaatika, ventilatsioonisüsteem, mida tahes.

Ja turvalisuse all siis raadiokuulajad on ilmselt vaadanud filmi, filme Mission Impossible ja porniseerijad, kus siis õnnestub pangaröövi ajaks kõik foorid nüüd panna punase peale või, või liftid majas seisma jätta, et siis see, mida nad seal tegelikult teevad, et nad võtavad oma DVD-mängija või siis mobiiltelefoni ja häkivad ennast sisse kohaliku maja Scadasse just, on see, mida nad teevad.

No mina ütleksin, et äkki nad sisse kohaliku hoone, mis iganes siis automaatjuhtimissüsteemi, aga jah, nagu ma jälle mainisin, siis võib ka öelda Scadasse, et mis seal ikka. Et aga ütleme jah, filmidest siis seal on natukene lihtsustatult see asi, aga idee poolest ei ole seal midagi urmalist, et...

No Elektrile viiaks lihtsalt näidisena meie Scada. on, koosneb kahest juhtimiskeskusest, Tallinnas ja Tartus, ja meil on täna seal siis tuhat kaheksakümmend geograafilist punkti, mida me juhime, millest siis kaks kolmandikku on alajaamad, üks kolmandik on siis noh, postide otsas asuvad lülitusseadmed, mis on kaugjuhitavad. Ja, ja kokku siis noh, infopunktides, nii palju, kui neid skadasse jõuab, on, on praegu kuskil sada kuuskümmend tuhat, et noh, meie mõistes on see kogu suur geograafiline süsteem, on meie skada.

Aga nimetage võrdluseks veel skadasid, mis Eestis on.

Et meie oleme, ütleme siis, meie riigi infosüsteemi alati osakond, kus ma töötan, meie huvihorbiidis nad on ja Eestis siis ongi, et üks asi on elektri tootmine, mida tüüpselt tehakse Narvas, siis on üks Velering, kes opereerib kõrgpingeliinidega, Elektrilevi, kes siis on jaotusvõrgune all esindaja, aga veel siis on, kindlasti on katlamajade kaukütte, on joogiivepuhastus, reoveepuhastus, raudteetransport ja gaas. Et

need tüüpilised samad asjad, mis siis kunagi partisanid sõdade ajal alati ründasid, siis neid samu nimetatud asju, et siis, kui veel arvuteid ka ei olnud, olid nad ikkagi riikidele olulised võitmeasjad, et võib-olla alati rünnati tol ajal ka telegraafi, et kas me ka Elioni võime skadaks nimetada?

Skaalas mitte, et tegelikult on üks niisugune mõiste, võib-olla veel on nagu elutähtsad teenused, mida hetkel Eesti riigis on nelikümmend kolm tükki ja sinna alla kuuluvadki ütleme, andmesidevõrgu toimimine, sigas-elektrivõrgu toimimine ja nii edasi, ja noh, tõsi ta on, et need skaadad, mis just sai nimetatud, need on ka nii-öelda tükikesed elutähtsate teenuste osutamisest ja need infosüsteemid, mis seal taga on, on, on ka nagu need infosüsteemid, mis meie kui Riia huviorbiit kuuluvad.

Aga kuidas siis Eesti riik on selle turvalisuse taganud, et kas on mingisugune tiim, riiklik tiim, kes neid kogu aeg vaatab või iga organisatsioon tegeleb iseenda turvamisega?

Põhimõte on ikkagi selline, et teenuse turvalisuse eest vastutab teenusepakku ise, et ei, ei ole riigis kusagil niisugust salajast maaelust tiimi, kes nii-öelda tuleks vajadusel välja ja hakkaks kaitsma, kui midagi halvasti läheb, et peab olema niisugune kuidagi jagatud vastutus riigi ja ütleme siis ettevõtete vahel, et mida riik saab omalt poolt teha, on see, et me kindlasti koolitame, anname nõu, ma ei tea, teeme õppusi, ütleme... Edendame niisugust kui see oli, kommu, kommuunielu või ütleme siis teadlikkuse sõstmist inimeste seas, aga süsteeme, kui praktiliselt kaitsmisest rääkida, siis seda teevad ikkagi need spetsialistid ise, et need on niivõrd keerukad, et see iluliselt mõeldav, et kusagil tuleb väljaspoolt organisatsiooni mingi inimene, kes, kes hakkab seda parandama, et see on nagu see koht, kus ikkagi ettevõtted ise on.

Samas, see, see seadusandlik raamistik tegelikult selle koha pealt, et... et kui palju see ettevõte ise peab tagama ja mis vahenditega ja, ja see on kõik ikkagi lapsekingades täna, et et noh, sellist riigi infosüsteemide amet seisukoht või, või üldse riigi seisukoht täna on, et, et seda peab korraldama elutähtsat teenust korraldav asutus, noh, Elektrilevi jaoks on see näiteks Konkurentsiamet ja, ja siin tulebki mängu erinevad need, need kompetentsid ja jaotused, et Riigi Infosüsteemide Amet ei saa võtta meie ärikorraldamist enda peale, sest tal puudub elektrikompetents, Konkurentsiameti kompetents, küberturbe koha pealt on, on nõrk ja, ja nüüd me, kuidas öelda, kõik siis püüame üksteist koolitada ja, ja harida, et see, see kõik kokku tuua.

Aga kas on ka mingil auditid või mingisugune kolmas sõltupanud osapool, kes tuleb ja vaatab, et kuskil klaviatuuri all ei ole paroole ja nii edasi?

Jah, et see on ka nagu üks, üks tegevus, mida meie teeme, on see, et turvalisuse hindamise projektid ja neid me teeme, need on olnud väga nagu mõistlikud, häid tulemusi andnud ja see on küll nagu niisugune, kus, kus me tegelikult lähemegi nagu mingisuguse teenusepakku juurde ja, ja täiesti süsteemidel nagu väga lähedalt vaatama, et mis seis seal on, kas neid saab rünnata, kus nõrkused on, mida paremaks teha. Et see on jällegi nagu üks pool, mida nagu riik saab teha. Ja jah, tegelikult võib-olla veel Kaspari jutule tagasi tulles, teine asi on jah, on nagu nõuded või mingi seadusandlus, et me saame kehtestada mingeid punkte, aga noh, mitte kunagi ei hakka minema seadlus nii detaili, et, et mis peab olema sul mingisuguse, mingisuguse operatsioonisüsteemi batch level või noh, mida iganes, et me noh, seadus ei saa nüüd detaili minna, et kindlasti saab alati, jääb seal nagu mingisugune vastutus ka teenusepakkujale endale.

Tänased need turvatestid on ju ikkagi noh... Soovitusliku või, või sellise nagu abistava iseloomuga ettevõttele, mitte nüüd niivõrd väga, et, et mõnda rikkumist või asja kontrollida, et pigem ikkagi aitamise eesmärgil olnud.

Et aga kas on juhtunud ka viimasel ajal midagi, et, et ei ole proovinud mõni häkker kõikide inimeste elektriarveid poole väiksemaks teha?

Ma ei tea, kas pole.

See on väga, ei, Ükski häkker ei ole proovinud veel kõikide inimeste arveid pooleks teha, aga sellist küsimust on arutatud ja korduvalt, et noh, need on seoses just nende skaada ja juhtimissüsteemide digitaliseerimisega, need on uued riskid. Ja, ja need noh, me, me pidevalt arutame neid.

Kui me paralleeliks võtame, siis me oleme siin saates rääkinud CERT-Eestiga ja nemad on öelnud, et neil on umbkaudu viis-kümme kaasust päevas vaja menetleda, et kui tihti Eesti skaadat rünnatakse.

Noh, ütleme nii, et üks asi on see, mis jällegi kuuleb kusagil suitsunurkades või kohvikurkades, et eks midagi ikka on juhtunud, mitte küll niisuguseid ründeid, aga noh, ütleme mis iganes, ikka arvutitele läheb midagi nässu ja neid asju juhtub. Ründeid kui sellised meie teade ka ei ole olnud, aga laias maailmas on küll juhtunud. Et on juhtunud nii-öelda jah, täpselt nagu enne mainisite, et inimesi, kes on oma elektriarvet tahtnud väiksemaks saa, väiksemaks saada, seda on juhtunud, on juhtunud juba nagu täitsa nagu ründeid, nagu Staxnetki, kes oligi niisuguse nii-öelda saboteeriva iseloomuga ja on juhtunud ka igasuguseid vahepealseid asju, kus kogemata mingisugune Windowsi keskkonnas leviv viirus või ütleme, ussike on nakatanud ka automaatikasüsteeme, mille tõttu on siis nii-öelda tehased seisma pandud. on juhtunud niisuguseid asju, kus mingisugused häkkerid lihtsalt muravad kuhugi sisse, et näiteks oma vareesi majutada, teadmata üldse, kus nad on, aga juhuslikult siis on sattunud kuhugi automaatjuhtimissüsteemide serverisse, et laias maailmas on seda küll juhtunud, Eestis õnneks ei tea, et oleks.

Noh, meil on see, mis CERT ütleb, on, on selles mõttes õige, et et meie SKADA on ikkagi ju internetist eraldatud noh, Eesti Energia ja IT-võrgu. näol ja, ja loomulikult seda IT-võrku pommitatakse iga päev rünnetega, aga noh, see, mis sealt läbi tuleb, see süsteem tegelikult on ka veel täna välja arendamatu lõpuni.

Aga kas võib väita, et reeglina see skaada Eestis ei ole ühendatud suurde võrku, et ta on ikka täiesti reaalselt teine masin teises toas?

Põhimõtteliselt jah, et sellel tuleb nagu eristada kahte asja, et ta jah, ta ei ole otseselt, otseselt tühendatud nüüd internet, et sa pääseksid nii-öelda täiesti avalikusse internetisena ligi, et kuidas see tüüpiline Scala arhitektuur välja näeb, on niimoodi, et on kusagil mingi kontorivõrk, on see siis Eesti Energia, Eesti Gaas, mida iganes, ja sealt on siis eraldi kusagil tagatoas, on nii-öelda Scala võrk. Mis ongi selles mõttes elavne võrk, aga nende võrkude vahel on mingid seosed. Et see on täiesti, kuidas öeldagi, järilised põhjused, miks on vaja nagu teinekord mingeid andmeid SKADA võrgust saada nii-öelda kontorivõrku või kontori ärirakendustele, need ühendused on olemas. Ja nüüd, kuna see nii-öelda ründaja vaatevinklist või ütleme mõttest lähtuvalt, siis jah, see ei saa otse nagu internetist hüpata SKADA võrku, küll sa saad nii-öelda korralikult läbi kontorivõrgu kolistades sinna ikkagi jõuda. Ja noh, tüüpselt seda ta käibki, et sa kõigepealt ütleme näiteks saadad mingisuguse paatahtlikku e-maili, millega sa saad jala siis kontorivõrgu vahele, sealt tuurid ringi, otsid edasi mingeid masinaid, kuni lõpuks sa leiad siis selle koha, kuidas sa pääsad automaatikavõrku ja, ja no ütleme, sealt siis veel omakorda edasi.

Noh, niimoodi vist kuigi isegi juhtmega ei olnud ühendatud need Iraani tuumaserverid, et siis või need kiirendid või ma täpselt ei mäleta, mis need seadmed olid? Tsentrifuugid. Tsentrifuugid ja nihuti kohale selle viirusega ka sõltumata selle... Kui tahe on, siis küll jõuab. Okei.

Noh, eks see on ju tegelikult olnud noh, olnud selle meie, meie võib-olla erinevus nende tavaliste pankade ja teiste teenustega, et, et noh, näiteks elektrivõrgust või ka, et ka gaasilt, sul ei ole otseselt sellest, sellest häkkimisest, otsest finantstulu ei ole võimalik saada. Sa pead selle mingisuguse keerukama skeemiga siduma, et kuidas sa suudad noh, elektri väljalülitamisest omale mingisugust siis kuritegelikku kasu tuua.

No võib-olla, kui me nüüd elektri väljatülitamine, et see on kindlasti mingi kasu sellel mustal turul on, et kui sa saad panna ütleme, al-Quaeda afiliatsaiti üles, et ma võtan ühe miljoni eest ühe väikse riigi maha Euroopa Liidus. Aga et no ma arvan, et Scadaks võib-olla võib lugeda ka näiteks mingit automaattanklade võrgus, võrku, eks ole, kus sa saavutades selle üle kontrolli tõenäoliselt saad panna noh, torud bensiini puhuma tasuta oma autodesse, et need rekkad täis lasta, et noh, see, see on ju tegelikult kõik olemas, et on ma võib-olla natuke utreerinud, sest filmides on ta alati, tundub juba lihtne ja nad ütlevad isegi ette, et nüüd, nüüd neli minutit läheb selle häk, ise häkimisega aega, aga Mis kaasusid võib-olla veel on olnud siinkandis?

Ma lihtsalt korra nagu mõtlesingi, et äkki ei mainitudki, et kes need nagu need potentsiaalsed ründajad võib-olla, et noh, nagu Kaspar mainis, siis õnneks ei ole nagu väga häid niisugused äritegemus, äritegemise mudelid, küberpätid nagu leiutanud, et krediitkaardi andmete nende, kõige nendega nagu lihtsam ässata ja raha teenida, aga laias laastus noh, ütleme, kui ründajaid võtta, siis on meil niisugused kõige madalam tasem, võib-olla siis need koolipoisid või skriptkidid. Tõenäoliselt nemad nii kaugele ei jõua, siis võib-olla järgmine tase, olgu need siis need aktivistid, anonüümsed ja muud asjad, nemad oma olemuselt pigem ju protesteerivad nende nagu eesmärkile, kuna kellegile, kuidas öeldagi, noh, kahju tekitada kui sellist, et me nüüd paneme mingi asja põlema, laseme midagi õhku või tapame inimesi ära, noh, üks niisugune grupp võib-olla on siis küberterroristid, kellest väga palju pole räägitud veel, aga karta on, et ka need inimesed avastavad, et, et teinekord on lihtsam arvutivõrgu abil midagi õhku lasta kui Ja hetkel noh, võiks ka öelda, et riiklikud struktuurid kõige aktiivsemad, aga karta on, et ka need küberterroristid kui sellised hakkavad tehnoloogiat võib-olla siis

paremini võtma. See tööriistade valik noh, levib ja kasvab ikkagi just selle noh, et kus sa enam ei pea niivõrd palju spetsiifilist teadmist omama nende süsteemide kohta ja...

Aga teoreetiliselt on võimalik kõik Tallinna foorid punase peale lülitada ühest süsteemist.

Ma arvan, et mitte, et seal, seal on tead, üks asi, miks, miks ei ole võimalik, on see, et ma nii palju, kui linna vahel olen ringi vaadanud, siis neid nõukogudeaegseid foore ja neid nõukogudeaegseid pärandeid on omajagu palju, mis tõenäoliselt ongi täitsa autonoomsed mingis ristmikus ja kui teil ikkagi mitte ühtegi võrgujuhet mitte kuskilt sisse ei tule, siis noh, ütleme kaugelt on seal raskem väga ära teha.

Selle väikeriigi pimendamisega on tegelikult sama lugu, et meil on üle kahekümne kahe tuhande alajaama ja, ja tuhat kaheksakümmend neist on, Noh, kui nüüd nagu spetsiifilisemaks minna, siis ega seal ei ole ju ühte tüüpi seadmed, et kui sa nüüd peaksid midagi kirjutama, mis neid kõiki tahab välja lülitada, siis siis, siis kõigi nende noh, stiilis kümne aasta pealt eritootjate ja erikohtadest seadmete kohta skripti kirjutamine võib paras doktoritöö olla, et...

Aga lähme selle mõttega väikesele pausile. Tere tagasi väikeselt pausilt, endiselt on eetris IT-äri saade Restart, mida juhib Hendrik Aavik ja tänase saate teema on SKADA, mille kohta ma guugeldasin, et see on supervisory Control and Data Acquisition, ka mulle ei olnud see seletust palju, kuid tegelikult on tegemist siis suurte automaatikasüsteemidega, mis hoiavad meie riiki ja elu üleval, ja mida kaitsevad teiste hulgas ka meie kaks saatekülalist, Ragnar Rattas, kes on küberturbe ekspert Riigi Infosüsteemi Ametist ja Kaspar Kaarlep, Elektrilevi automaatika projektijuht. Meie saate teemadel, võite arutleda meie saate Facebooki lehel, leiate Facebookist märksõnaga Restart ja kui meie, kui te ei saa meie saadet kuulata praegu ega korduses kell kaksteist öösel, siis võite podcast.kuku.ee aadressilt leida meie saate tasku ringhäälingu. Aga lähme tagasi teema juurde ja meie siis teemaks on need, see, et kas, kuidas on meie automaatikasüsteemid häkkerite eest kaitstud? Et kas on Euroopa Liidu riikides no ütleme, elektrivallas näiteks midagi juhtunud?

Et nojah, meil on, on omal, on üks, üks kogemus ühe partneri näol, kes, kes on rääkinud konkreetsest ründest. Ja, ja nendel oli siis olukord, kus, kus kakskümmend kaks alajaama said omale pahavara, See pahavara, ütleme, levis ilma nende teadmata ja tegelikult selle tulemusena kaks nädalat nende kaugjuhtimissüsteem ei töödanud.

Aga see pa, kas see pahavara oli siis mõne kurja riigi salateenistuste kätetöö või oli ta midagi

muud? Ta oli täiesti tavaline pahavara, mille nad kuskilt olid külge saanud, need controller'd, mis need seal olid, olid Linuxi baasil. Nii et midagi sellist täiesti seda tavalist...

Noh, mina ikka ei ole kuulnud, et Linuxi viirused nii tavalised oleks, aga noh...

Et noh, igatahes alajaamad olid neil lukus kaks nädalat, käisid nad ringi, kõik noh, laeti uuesti peale kõik firmid, Ja, ja noh, ütleme, et kui sama asi peaks juhtuma mingisuguses situatsioonis, kus, kus on sul see, kaasneb kas siis tormi või mingi olukorraga, kus see kaugjuhtimissüsteem peab töötama, noh, siis lihtsalt taastamisajad suurenevad ja, ja riskid suurenevad, et mingisugune midagi põleb või...

Tänapäeva see automaatika tegelikult ei erine tavalistest arvutitest palju, et nad on sama haavatavad kui iga Windows arvuti. Nii ja naa,

et mis ma ütleks, on see, et nad noh, nad on selles mõttes, et nad ei ole nagu päris tavapärsed arvutid, et nad on ikkagi natukene piiratuma funktsionaalsusega, et teevad suhteliselt kindlat asja, et noh, oma olemuselt need nii-öelda programmeeritavad loogika, loogikakontrollerid või PLC-d on sellised, sa ühest küljest tõendad, eks ju, mingi hunnikuga mingeid andureid ja mis sinna, sa lülitad sinna külge, Ja teiselt poolt siis mingeid mootoreid või mingeid nii-öelda output-e, mis panevad meiega käima ja seal sees on siis nii-öelda loogika. Et selles mõttes kontrolleri peal sa mingeid nii-öelda Windowsi mängu kui niisugust mängida ei saa, aga mis puutub nõrkustesse, siis jah, neid nõrkusi nagu üha enam leitakse, üha enam niisuguseid turvaeksperte otsivad neid nõrkusi, selles mõttes küll, et, et kui vaadata nüüd, ma ei teagi, ütleme... viimase paari-kolme aasta jooksul leitud nõrkuste arvu võrd, võrreldes sellega, mis on nagu viimase mingisuguse kaks tuhat kuni kaks tuhat kümme leitud, siis see on ikka hüppeliselt kasvanud. Ja noh, nõrkusi on seal tõesti palju, aga noh, nagu Kaspar mainis, siis mis, mis teeb asja raskemaks, on see, et, et kui sul on ma ei teagi, ühes võrgus, ütleme seda võrgus on hästi palju erinevaid tootjad, erinevaid lahendusi kasutuses erinevate firmade poolt, siis sul niisugust unifitseeritud rünnet on natuke keeruline teha, et... Et ikkagi igal tootjal on omad nõrkused ja sa ei saa nagu...

See, see ütleme, nende tavaliste op, opsüsteemide kasutamine on viimase aja trend olnud, just seda kasutavad väiksemad tootjad noh, kes püüavad ka, kuidas öelda, turule ellu jääda, et suuremad Siemensid ABB-d, nemad teevad oma opsüsteemid sinna alla. Noh, Linuxid kasutavad näiteks seesama Eesti, Eesti automaatika tootjad ja, ja erinevad väiksemad. ka Windowsi baasil on hakanud mingeid asju tekkima ja, ja noh, kõik need probleemid, mis sellega kaasa tulevad, need ABB ja Siemensi tehtud oma operatsioonisüsteemid ei ole absoluutselt turvalisemad, sellepärast et noh, ütleme turvalisus on nende, nende, nende disainimisel olnud teema alles, ütleme viimased kolm või viis aastat. Aga üldiselt skaadades ja üldse tööstuses... Digitaalseadmete eluiga võib olla kümme kuni kakskümmend aastat, see on hoopis midagi muud, kui ütleme, tavaelus, ehk siis ka näiteks meie, meie võrgus on kakskümmend aastat digitaaltehnika ajalugu. salvestatud, et kui me soovime näha mõnda ükskõik mis asja, mis tööstuse automaatikas on olnud, siis me leiame mõne ala jaama, kus, mis meil selle järgi ehitatud on.

Ühesõnaga, eelkõige on siis lootus selles, et mõni Siemensi ülemus oma programmeerivat alluvat liiga ei solva töö juures, et et mõnus töökeskkond ja ta ei pea pahandama.

Jah, et see on, see on teema, sest, sest Siemens ja, ja suurettevõtted kasutavad standardplatvorme, need, neid samu operatsioonisüsteeme kasutavad siis nii laevad kui tehased kui, kui elektriettevõtted ja, ja noh,

nagu eelmise osas mainis me ka need tsentrifuugid seal Iraani tuumajaamas käid Siemensi tarkvara peal.

Just. Et neid kasutatakse paljudes kohtades ja see põhjustabki selle, et, et, et meie, meie ütleme, üks lähiaastate võib-olla risk ongi pigem see, et, et me saame pihta mingisuguse pahavaraga, mis on disainitud kuskil mujal mingiks mingiks otstarbeks, aga mis näiteks jõuab meieni isegi mitte nüüd läbi selle interneti, aga võib-olla läbi mõne nakatunud partneri või, või töötegija või, või, või hooldaja arvuti näiteks.

Ja kui me nüüd arutame selle üle, et kes neid asju võivad teha, et siis, et me oleme siis täna pikalt räägu, rääkinud häkkeritest, aga on siis ju võimalik, et ka mingid kurjad riigid ikkagi või, või lahked riigid turvalisuse eesmärkidel hakkavad tootma mingisugust no ütleme siis, mitte niivõrd paha, vaid kontroll, head kontrollvara, mis siis peaks võimaldama neil... kuskilt riigiserveritest juhtida seadmeid teistes riikides, et noh, õnneks vist see Põhja-Korea püsib, püsib põhiliselt raketikatsetustel hetkel, et ta ei ole veel ütelnud häkkima hakata.

Et seda jah, osa võiks mina kommenteerida, et see Staxneti kohta ka nüüd siin, selle eelmine nädal või üleelmine nädal tegelikult tulid uut infot, et Staxneti versioon null koma viis siis tegelikult juba käis ringi aastal kaks tuhat viis. Et selles mõttes ikkagi oluliselt varem olid olemas, kui, kui esialgu arvati ja mis ma teinekord olen jällegi nüüd avalikest allikutest vaadanud, et kui praegu suurriigid oma küberstrateegiat riiklikku uuendavad, siis see ründevõimekus ikkagi enamasti alati sinna sisse saab. Et kõik niisugused noh, arenenud riigid oma, koos oma küberkaitsega siis tüüpiliselt arendavad välja ka küber, ründevõimekust. Kes räägib sellest vähem, kes rohkem, aga noh, tõsid on, ja mis on nagu veel, et küber omaette ei ole nagu mingi komponent, et kui midagi tehakse, siis see on lihtsalt nagu üks, üks tükike kogu suurest operatsioonist, et noh, ta ei ole nagu iseseisev, iseseisev asi, aga kui sageli mingiks mölluks läheb, siis ajaks tahtnata, kipuvad nüüd küberkomponendid juurde olema.

Jah, aga samas, Stuxnet ise on väga hea näide sellest, just sellest majandusest, mis seal taga on. Et noh, ameeriklastel oli, oli Iraanile võimalik kahte moodi põhjustada kahju, nad kas arendasid selle või teine variant oleks olnud noh, punkri purustav pomm. Ja, ja punkri purustav pomm oleks tähendanud miljardeid kulusid, kuna, kuna Iraani vastulöök ja, ja Iisraeli konflikt oleks ka ameeriklastele tähendanud kulusid, Et sellise pahalase väljaarendamine, kuigi ta on nagu, tundub nagu suur töö, ütleme, häkkerile, siis riigile on see kommiraha.

Et kus, ma isegi lugesin täpselt sama artiklit, et kus nagu võrreldegi siis, et kas see Staxnet oli nagu kallis või odav ja oligi nagu siis see võrdlust toodud niisuguse tavalise nagu sõjategevusega. Ja siis oligi, et kui nad pommitajate, mis iganes, kütusekuule pommid ise, siis see oligi nagu miljarditest dollarites ja Staxneti. Ütleme hinnanguliselt maksis selle siis väljaarendamine, ma ei tea, üks miljon dollarit kuni kümme miljonit dollarit seal vahemikus. Ja tegelikult ütleme, riiklikus mõttes Ameerika Ühendriikides võib-olla mitte mingi summa ja kui sa veel võrdled nagu ütleme, kineetilise sõjategevusega, siis see on nagu lihtsalt noh, lihtsalt on ja tulemus vaadata, oli kas sama või isegi parem, et...

Nojah, aga kui me nüüd võtame, mõtleme selle peale, et mi, kui huvitav case study see STACC-st oli ja kui me, noh, me nüüd siin praktiliselt juba räägime, et Ameerika tegi ehk ju, me tegelikult vist ei saa seda siin niimoodi

väita,

aga et noh, ole, kui me oletame, et seda tegi Ameerika, et siis, siis on ta kindlasti niivõrd tugev edulugu, et ma arvan, et nüüd on see summa, sinna pandud eelarve kindlasti korrutatud kahekümnega kui mitte kahesajaga, et, et kindlasti on Meil Eestis on ju ka olemas NATO küberturbekeskus, et nemad vist ei tegele nüüd SKADA küsimustega ilmselt? Või, või millega ta üldse tegeleb, et kui meie kaitsekoostöö või, või see läheb natuke teie teemast välja täna, et kas kaitsekoostöö riikide vahel tähendab seda, et kuskilt mujalt riigist tuleb info, et meie elektrijaamu lünnatakse, et olge ettevõtlikud?

Raske öelda, et Riia kui niisugune noh, meil on, eks ju, riiklik SERT ja SERTil on omad kanalid, aga mis jah, niisugusest küsimust puudutab, see pigem ikkagi läheb sinna kuhugi julgeoleku kasutuste valdkonda. Ja noh, see nagu ei ole päris riigi infosüsteemi alati mänguma, et meie...

Me võin noh, tegelikult nii palju me ju teame, et ega lõppude lõpuks ka sõjaväes on väga palju automaatikasüsteeme tänapäeval ja, ja nende turve noh, on tõsine teema. Et noh, ka stiilis, kui me siin juba niimoodi oletuslikult räägime, on ju, eks siis seesama, sama küsimus, et, et kes selle USA drooni seal Iraanis alla tõi ja mis moodi see toodi, et noh, neid ju kõiki lõppude lõpuks juhivad skadasüsteemid, neid droone, et...

Aa, et, et siis kahtlustavad, et kuskil mägedes istus häkker, kes häkkis pilve pealt drooni alla ja vaatas, mis seal sees on.

Noh, see on, need on niisugused ütleme kuulujutud, aga aga see fakt, et me ei saa öelda välja, kes selle tegi, on üks küberrünnaku, üks suurtest plussidest ja boonustest, see on juriidiliselt puhas. võimalus anda teisele riigile mingisugust ütleme, mis iganes efekti ta siis seal põhjustada tahad.

Jah, et kui sellest kaasusest rääkida, siis noh, eelkõige nende eesmärk ei olnud, eks ole ju ka midagi õhku lasta seal või ära rikkuda, vaid lihtsalt narrida sada, sadu, sadu teadlaseid, kes kes pidid, noh, nad ei saanud ju aru, milles asi on ja nad pidid muudkui taaskäivitama oma reaktoreid ja ringi sahmima ja uusi seadmeid ostma.

Seda küll, aga ma saan aru, et vist ikkagi üks, üks eesmärkidest oli see ka, et mitte noh, ütleme kas siis just peatada, aga pigem nagu pikendada seda protsessi ja nii palju, kui ma jällegi ju sellest plokidest lugenud olen, siis hinnanguliselt kaks kuni kolm aastat on see, millega seda hakkama sai, mis nii-öelda lükkas seda tuumaprogrammi seal edasi ajalises mõttes, et...

Et, et kas, et kui suur on tõenäosus, et keegi püüab näiteks, ma ei tea, Eesti arengut, Estlink kaks kaabli avamist edasi lükata täna mingisuguste meetoditega, et kuidas selles maailmas on see, need ühildumised, proovid kahte asja, mis peavad kokku sobima, aga ei sobi, ja kui kindel saab olla, et seal taga nüüd ei ole keegi itsitav salateenistus?

See on , see ongi täpselt nii keeruline, nagu ta, nagu ta kõlab, et ega ei olegi lihtne, meie jaoks ka näiteks, kui me noh, kui ütleme klassikalises IT-s on meil niisugune nagu intsidentide haldus, siis, siis meie intsident algab elektrilisest. Noh, intsidendist suuresti, et noh, et mingisugune jama oli kuskil, aga aga see, kas, mis põhjus seal oli, kas see oli nüüd küberpõhjus, aga lõppude lõpuks tööstusseadmed on isegi piisavalt kapriissed vahetevahel, et et püüda sealt nüüd aru saada, et kes mida tegi olukorras, kus paljud nendest seadmetest ei ole disainitud selleks, ütleme et kui, kui IT-s on ikkagi... logimised ja autentimised ja kõik sellised asjad on hästi, hästi välja arenenud, siis, siis skaada seadmete seas on see väga noh, ütleme lai pilt, mõnel on, kuidas on, mõni toetab numbritega paroole, mõni ei toeta üldse paroole, mõni noh, ja nii edasi, eks, mõni logimised, noh, tsentraalne logimine on hästi uus asi seal üldse. Aga lähme siia selle mõttega korraks pausile.

Tere tagasi väikeselt pausilt, jätkame IT-ärisaatega Restart, mille teemaks on täna suured süsteemid, saadet juhib Henrik Aavik ja meie saates on külas Ragnar Rattas, kes on küberturbeekspert ja kaitseb suuri automaatsüsteeme Riigi Infosüsteemi Ametist ja Kaspar Kaarlep, kes on Elektrilevi automaatika projektijuht. Läheks, nüüd mõtleks selle peale, et kui nüüd mõni raadiokuulaja kas on seotud skada võrkudega või tahab selle kohta rohkem teada saada, loodetavasti heade eesmärkidega, et kuidas saab oma teadmisi selle automaatika kaitsest või selle, nende süsteemide ülesehitusest kasvatada Eestis?

Võib-olla mina alustan, et riigi infos teeme ametipoole pealt, et noh, meie ühest küljest nagu veamegi niisugust Scada meeste või jah, paraku õpetame meeste, sest naisi seal väga palju ei ole, võrgustikku või ütleme, niisugust community't ja seal on küll see, kus me siis otsimegi erinevatest nii-öelda teenusepakkujate seast välja need Scada mehed, kes siis teavad ja tunnevad oma süsteeme, koolitame neid, õpetame neile ja selgitame uusi riske, tõstame teadlikkust ja see on nagu see pool, mida nagu RIA teeb. Ja noh, ütleme päris nagu mees tänavalt, ei saa tulla nagu Riiasse ja paluda, et, et noh, õpetage meile ka, küll aga see, kui sa juba töötad kusagil nii-öelda elutähtsa teenuse osutaja juures, igapäevaselt skaada üleval hoidmine ja haldamine on sinu teema, siis, siis nagu Riia saab kindlasti aidata. Mis puudutab nagu niisama õppimist kuskil koolides mujal, siis nii palju, kui mina olen aru saanud, siis on nagu kaks võimalust, et kas sa oled ühest küljest IT-mees, kes hakkab huvi tundma automaatika vastu, on nagu üks, üks võimalus, kuidas saada nii-öelda skaada turvaspetsiks, või teistpidi see, et kui sa oled automaatik ja hakkad sealt pealt õppima, siis kuidas IT toimib, mis, mis, mis nõrkused, ohud seal on, et see on ka nagu niisugune variant.

Noh, Scada on niisugused suuremad süsteemid, aga tegelikult väiksemate mingite automaatsüsteemidega võib igal väiksemalgi tehasel tegelikult ju kokkupuuteid olla, isegi siis, kui nad suurema süsteemiga võrgus ei ole ja siis ma olen nüüd senisest juttust aru saanud võib-olla valesti, aga et ma, mul on nagu mulje, et tasuks vältida Linuxi ja Windowsiga kontrollereid või on see nagu vale väide?

No ja oleks nõus, sest ühest küljest Need ütleme, standardsed operatsioonisüsteemid loovad nagu uusi riske, aga teisest küljest nendel platvormidel on olemas ka tööriistu, millega nendega tegeleda. Siemensi noh, oma operatsioonisüsteemide puhul sa jäädki noh, küsid Siemensit, et millal tuleb ja vastus on, et ei tule, et noh, näiteks ABB on, on mõningate vanemate skaadade osas, mille kohta on avastatud turvaauke, ongi vastanud, et... Me ei toeta seda toodet enam, et kahju, samas tehas tegi oma tasuvusarvutuse stiilis kahekümne viie aasta peale, on ju, eks see ütleb, et me kasutame seda, seda nüüd teada internetis leviva auguga süsteemi veel näiteks kümme aastat, et see on, selles mõttes see on mitme otsaga asi, et samamoodi ju... Noh, me võiks ju öelda ka tavaarvutite kohta, et palju mõnusam oleks, kui neil kõigil oleks eraldi operatsioonisüsteem, siis ei saaks neile kirjutada pahavara. Aga sellel on plussid ikkagi noh, ka meie ütleme, liigume sinnapoole, et, et pigem ühtne süsteem on, on ikkagi kaitstavam. Ja, ja hallatavam kui see, kui see ütleme, selline paljusus, mis meil täna on.

Siit jutust jääb mulle küll ka kõlama, et, et siin on mingisugune nišš kui Eesti start-upide jaoks, et kui mingi ettevõte teeks endale selgeks mingisuguse, kas see Siemensi või mingi asja platvormi, siis nende mitte toetatud, aga veel kümme aastat töötavate tehaste kaitsmine võiks olla mingite tarkvaraprojektide päris tasuv ettevõtmine.

Jah, põhimõtteliselt olen, olen nõus küll, et selles mõttes see noh, küberturvaldus üldse on suhteliselt perspektiivikase valdkond ja, ja ütleme, mida spetsiifiliselt oleks lähed, ütleme, et ongi automaatikasüsteemide kaitse, siis, siis kindlasti seal on, on nagu võimalusi äri teha kindlasti. Aga kui veel tulla tagasi nende kaitsemeetmete juurde ja nende nii-öelda legacy süsteemidega juurde, mida hästi pikalt kasutatakse, mida tootjad enam ei toeta, siis ongi oluline see, et, et sa teadvustad neid riske ja sa leiad nagu mingeid kompenseerivaid meetmeid. Et kui sul tõepärast ongi nagu mingisugune niisugune kontrollerkasutuses, millel ei saa enam uuendusi teha, seal on teada-tuntud turvaviga, siis, siis mida disaini see arvutivõrk sinna ümber niimoodi, et ei pääseks mingisuguselt suvaliselt sellele ligi ja noh, see on nagu, kuidas öeldagi, automaatikamaailmas ü oluline põhimõte, et kui sa ei saa nagu otseselt kaitsta mingite lõuna meetmetega, siis leia kompenseerivad meetmed. Et tegelikult ma ütlen, nagu Kaspar on mainis, see maailm on seal hästi-hästi kirju, tootjad on palju, tootjatel on erinevaid versioone, palju niisugused, mida nagu enam ei toetata nii-öelda tootja poolt, et see kompenseerivate meetmete rakendamine on nagu igal juhul küsimus. Ja kui leiad inimesi, kes oskavad sind aidata ja nõustuda selles osas, siis on abiks kindlasti.

Ta on kindlasti noh, tulevikus ikkagi hästi suur just noh, start-upide koht, sellepärast Ta on hästi selline distsipliinide kokkupuutepunkt, noh, mina ütleme räägin ennekõike elektrist, aga ma tegelikult arvan, et enamus nende suuremate valdkondade puhul, see kehtib samamoodi, et sa pead ühest küljest tundma mingil tasemel IT-d, sa pead mingil tasemel tundma noh, automaatjuhtimist ja seda tööstus, tööstusautomaatikat, sa pead tundma mingil tasemel telekommunikatsiooni põhimõtteid ja siis sa pead veel aru saama sellest, sellest ärist ka, kus sa oled. Ja, ja noh, sellest konkreetsest, sest paljud nendest süsteemidest on ikkagi hästi noh, application-specific või siis noh, konkreetsele rakendusele, elektrile või siis raudteele tehtud. Ja need loogikad, mis seal on, on ka selle järgi eraldi tehtud, et, et seal on täna noh, esiteks on seal kompetentsipuudus, aga teiseks on ka, ka niisuguste heade lahenduste osas noh, ütleme, et neid tuleb turult täna tikutulega taga otsida. Näiteks seesama probleem, mis ma enne mainisin, et keegi võib tulla nakatunud arvutiga konfigureerima meie ütleme, seda kontrollerit, eks, kui ma nüüd tahaksin ütleme, seda riski maandada ja, ja panna näiteks oma alajaama mingisuguse purgi, kus, kus ma noh, ütleme, et ma mingisuguse turvalisuse purgi, et ma sellest purgist login ja, ja ma lasen inimesed ainult läbi selle purgi sisse, noh, siis ütleme, neid, neid lahendusi küll täna juba on, Aga kuna infraettevõtted on ajalooliselt väga erinevad, Siis ütleme, igaüks tahab niisugust oma spetsiifikat ja seal on hästi suured võrgud ja neid võrke ümber ei tehta, enne otsitakse turult uus, uus pakkuja, et, et seal on noh, väga perspektiivikas valdkond.

Kuidas Eesti niisugune keskmine tase võrreldes naabritega, ütleme Soome, Läti ja Venemaaga on, et kas meil on kuidagi pigem need võrgud turvalisemaid ja spetsialiste turul liigub või on, oleme pigem nagu vaeslapse osas, et, et Soomes on kõik palju turvalisem kui Eestis?

Mina olen aeg-ajalt, mis öelda, kellegi, kui, kui saab, satub välismaale konverentsile, siis jällegi õhtul nii-öelda kas sotsiaalsele üritusele olen siis nagu uurinud, et mis seis on, ja eks ta ole tõsiasi, et, et kuskile ei ole nagu kiita. Aga mis nagu Eesti puhul on eelis, on see, et, et võib-olla meie väiksus. Et noh, ütleme leida Eestist igast ettevõttesse üks inimene, kellele selgitada riske ja saada nii-öelda oma paati, et ta nagu noh, tunneks muretsekust asja, sellepärast on ikkagi nagu mõeldav ja tehtav, siis Ameerika Ühendriikides noh, nii suures riigis kindlasti mitte. Et võib-olla see meie väiksus nagu lihtsustab, lihtsustab ka seda kaitsmist, et me leiame õiged inimesed ülesse, neid ei ole nii palju kui kuskil suurriikides, aga, aga see on ka nagu kõik, et noh... Jällegi, kas taset on nagu raske, raske hinnata mingite objektiivsete kriteeriumite alusel?

Mina võin noh, ene, elektrijaotuse koha pealt öelda, et et kui, kui käia konverentsidel ja, ja seal noh, ka see küberturve üha rohkem tuleb teemaks ka kogu selle tavapärase automaatjuhtimise probleemide kõrvale, siis täna me oleme ees. Pigem, et see on uus teema terves maailmas. Häid töötavaid mudeleid siin ei ole valmis mitte kellelgi, samamoodi nagu me loeme meediast, kuidas ameeriklased noh, mõtlevad selle üle, et kui palju lubada oma riiklikke süsteeme oma infraettevõtetesse ja ja, ja ongi, selles mõttes me oleme sattunud selle digitaliseerimisega selle paradoksi ette, et ärilised huvid ja rahvusliku julgeoleku huvid on nüüd kõrvuti ja me peame midagi siin nüüd ette võtma, et see oleks tasakaalus, aga noh, täna me oleme olnud, olnud ikkagi ees, et, et need, need ettevõtted, keda ma olen kohanud konverentsidele rääkinud, et nemad ikkagi ütlevad ka, et kõik on juba teadlikud, aga noh, Meil on ka, ütleme, ka juba mingil tasemel ikkagi riiklikult toimib koostöö, on ju, RIA näol toimib, et see on kõik, seal alles areneb.

Aga noh, ka, ka teie süsteemid elektrimaailmas on ilmselt erinevate osapoolte poolt tehtud, ma arvan, et no ütleme, peaks ju olema võimalik, ei ole ju teie võrguga kaetud, ütleme, Saaremaal olevad tuulikud, mis on, elektrit toodavad, et, et noh, et... No see on ju mingi eraldi ees skadasüsteem, see ei ole seotud teiega, eks ole, et noh, et ka kõik need, ütleme, alternatiivenergia tootjad, kõik hüdroelektrijaamakesed, kes, mis Eestis on, noh, nemad peavad ju ennast eraldi kaitsma, eks ole, ja sa, samade asjade vastu.

See toob tegelikult välja selle skadasüsteemide kaitse probleemi üldse, informatsiooni me nende tootjatega ju vahetame, et võrku juhtida, teisest küljest selline väike tootja ei ole elutähtis teenus. Ja, ja seetõttu paljud sellised meetmed ja, ja kogu see kommunikatsioon, mis meil riigis liigub, nendeni ei jõua. Ja, ja nad jäävad natukene nagu väikeettevõtetega samasse rolli, kus neil ei ole seda inimest, kes sellega tegeleb ja, ja tihtipeale, et noh, ongi nagu nõrgem see pool seal.

Seda ma olin jah, omalt poolt ka öeldud, et riigi infosüsteemi ametifookuses on ikkagi noh, nii-öelda seadusega defineeritud elutähtsa teenuse osutajad, kellest üpriselt ongi niisugused suured, suured skaada ettevõtted nagu ütleme, Elektrilevi ja Eesti Energia ja nii edasi, et päris väikeste tuulikutega me lihtsalt ei jõua teha, et, et ka meil on nagu ikka suhteliselt piiratud ressurss ja, ja kuhugi me peame oma fookuse setima.

Aga nüüd, kui saatekuulajate seas on inimesi, kellel on oma elektrijaam või mõni väike tehas, et kust ta võiks abi saada, et kas ta peaks nõuande saamiseks pöörduma RIA-sse või guugeldama?

RIA-sse võib kindlasti pöörduda, et ma ütlen, et kuigi nad ei ole otseselt nagu nii-öelda meie skoobis, et me ise nagu kasvõrdagi otsiks nendega meeletult koostöö tegemise punkte, siis ühelegi kirjale me siiamaani nagu ei küll öelnud, et ei, sa oled nagu vale mees, et sinuga me ei tegele. Meile võib alati kirjutada ja, ja kas või üldmeelile, prijatria.ee, kui on mingid spetsiifilised küsimused, siis kindlasti saame aidata.

Aga aitäh teile selle teema lahkamise eest, see oli meie tänane saade Restart, kuulake meid täna õhtul kell kaksteist korduses või taskuhäälinguna podcast.kuku.ee ning kuulmiseni nädala pärast!