Ahto Lobjakas
kolumnist
Anna Malvara ei ole kahjuks midagi enamat kui küberkaitse suvekooli eksperiment, mis tõestas, et sotsiaalmeedias aktiivsed inimesed on ühtlasi suhtlusaltid ja mitte kõige tähelepanelikumad.
Kui see kedagi üllatada saab, siis vaid inimesi, kes ise pole Facebookis. Psühholoogid pakuvad, et päriselus on inimesel kõige enam umbes 150 sõbrasuhte pidamise võime. Kahtlen, et selle loo lugejate seas on enam kui mõni üksik, kelle Facebooki sõbranimekiri mahub sellesse piiri. Ise püüan rangelt piirduda inimestega, keda ma näinud olen, ja ometi on mul Facebooki sõpru aastatega kogunenud 400. Poliitikud, ametnikud ja ajakirjanikud, kes Malvara „ohvriks” langesid, on kõik inimesed, kelle tegemistesse tänapäeval on suhtlusvajadus sisse kodeeritud. Kui poliitik juba Facebooki konto loob, ei ole mõistlik oodata, et ta oma tuhandeid sõpru, potentsiaalseid valijaid väga karmi käega tsenseerima hakkab. Lõviosa oma „sõpradest” ta tegelikult ei tunne, ka varikontod pole sotsiaalmeedias haruldased.
Kui räägime turvaprobleemidest, siis see piir ületati juba Facebooki konto loomisel. Konto on kontaktikanal, nagu ka meiliaadress või nutitelefon. Küsimus on selle kanali haldamises. Facebooki libakonto ilusa naise pildiga on efektne lugu, aga tegelike probleemide kontekstis vaid pinnavirvendus.
Skeem iseenesest on palju vanem kui Facebook, võimalik, et sama vana kui inimkond. Tema nimi on meelõks, inglise keeli honey trap. Sotsiaalmeedia on muidugi inimestevahelist distantsi radikaalselt vähendanud, kuid isiklikel suhetel põhinevaid tüssamisi ja väljapressimisi pannakse toime ka Facebooki võltskontodeta.
Rumalad inimesed saavad end kompromiteerivaisse oludesse asetada lugematul arvul moel. Tunduvalt ohtlikum, sest salakavalam on Facebooki libakontoga võrreldes eelmisel aastal Iisraeli sõjaväge raputanud skandaal, milles sotsiaalvõrgustikus kenade daamidena poseerinud Hamasi liikmed, kes olid end häkkinud päriselt olemasolevate inimeste kontodesse, suutsid mingit arvu sõdureid veenda oma mobiiltelefonidesse paigutama äppi, millega sai vaenlane kontrolli kaamera ja mikrofoni üle.
Kõige kleepuvamaks lõksuks jääb ikka otsene inimlik kontakt, kehakeemia. Võib olla üsna kindel, et ükski Malvara ega häkitud päriskonto suuda korrata seda, mis juhtus 1961. aastal toonase Briti sõjaministri John Profumoga, kel oli afäär 19aastase modelliga, kes samal ajal magas ka NSVL mereväeatašeega. Või seda, mis juhtus Iisraeli tuumaprogrammi reetnud Mordechai Vanunuga, kes rööviti 1986. aastal Roomast, kuhu ta oli turvalisest Londonist sõitnud romantilisele puhkusele kena Mossadi agendiga. Vanunu veetis järgmised 18 aastat trellide taga. Nende lugude moraal või siis mittemoraal on: suhtluskanalid võivad olla arenenud, aga inimese käitumist fataalselt mõjutavad mehhanismid jäävad ürgvanadeks. Sama kehtib iga tänapäevase sõjaväe nuhtluse kohta, milleks on sõjaväelased, kes endast ja ümbritsevast pilte teevad, need sotsiaalvõrgustikesse üles panevad, pahatihti asukohatähistusega, motivaatoriks peamiselt edevus.
Malvara kaasus heidab neile lugudele paremal juhul pealiskaudset valgust. Kardetavasti ei ole Facebooki potentsiaal julgeolekuohuna võrreldav kohtinguäpi Tinderi omaga, kus kehaliste võlude eksponeerimine on esimesega võrreldes samas suhtes, nagu on külavahe- ja kiirteed. Palju huvitavam oleks teada, milline oli küberkaitse suvekooli õpilaste edukus õngitsuskirjade saatmisel, mida samuti harjutati. Õngitsus- ehk phishing-kirjadega on üldjuhul kaasas reaalne pahavara (inglise keeli malware, millest ka Malvara nimi). Viimase aja tuntuim ja ilmselt ka suurimate mõjudega näide on USA Demokraatliku Partei keskkontori meilisüsteemi häkkimine just sellisel moel. Tulemuseks üks suuremaid naelu Hillary Clintoni poliitilises kirstus ning toekamaid redelipulki Donald Trumpi teel presidendiametisse.
Siit jõuame ulatuslikuma teemani, mis Malvara loos peaaegu täiesti varju jääb, milleks on järjest digitaalsema Eesti haavatavused ja nende analüüs. Võib arvata, et küberkaitse suvekoolis midagi väga tõsist ei üritatud, kuid samavõrra tahaks loota, et Eesti ametivõimud mitte üksnes ei tegele oma võimekuse kiitmisega, vaid seda ka pidevalt testivad. Nii võiks „sõbralike” häkkerite grupid pidevalt survestada e-valimise süsteemi, riigi pilveteenuste ja võimukommunikatsioone. Võib-olla see nii ongi, igal juhul näitab praktika, et parim kaitse vajab pidevat rünnakut. Ohutunne näib vähemalt ametnike tasandil olemas olevat, vähegi tundlikumal ametikohal olijad ei julge juba ammu oma mobiiltelefoni kasutada Venemaa mõju all olevais riikides, rääkimata Venemaa võrkudest endist. On olnud ka riigiametnikke ja poliitikuid mõjutanud lekkeid, mis on olnud meie kontrolli alt väljas, näiteks eelmisel aastal Dropboxi kaasuses, mille käigus said häkkerid oma valdusse ka Eesti ametlike domeenide meiliaadresside paroole. Maailma ajakirjandusse jõudnud lood Venemaa võimuringkondadega seotud häkkeritest osutavad, et sealne luure analüüsib põhjalikult kõiki lahtimurtud andmebaase.
Kahtlemata ollakse Eestis neist ohtudest teadlik, kuid see teadlikkus ei tõlgendu paradoksaalselt mõistlikuks ettevaatuseks riigi ja kodaniku suhete digiteerimises. E-riiki ehitatakse hurraaoptimismiga, mis ei jäta mingit ruumi elutervele skeptitsismile. Kui meilgi kehtib rahvusvaheline maksiim, mille kohaselt on kõik häkitav, siis on meil väga lai must auk selle koha peal, kus peaks käima vilgas ja igakülgne avalik debatt. E-valimised ei ole mitte üksnes mugav ja uuenduslik viis paberit ja aega säästa, vaid ka reaalne sihtmärk sisemistele ja välistele riigivaenlastele. Nagu kõik muud süsteemid, on ta häkitav. Riigi „pilve” kopeerimine serveritesse Luxembourgis (ja ilmselt mujal) ei tähenda mitte üksnes tagavarakoopia loomist, vaid uue rinde avamist. Kui andmed peaksid ka olema korrumpeerimatud (Bitcoini uuendusliku blockchain-tehnoloogia põhimõttel), on andmebaasid ikkagi hävitatavad, avatavad, kasutatavad. Kui Eesti riik, mis ei vaja tegutsemiseks füüsilist territooriumi, on lihtsalt rumal loosung, siis Eesti riik, mis on vaenlasele digitaalselt peopesal nähtav, on üks ohtlikumaid tulevikuperspektiive üldse. Ei pea olema raketiteadlane, nägemaks pehmelt öeldes rumalust riigi infosüsteemide ameti juhtide selgitustes selle kohta, miks kümne aasta vanused DDOC allkirjad ei saa olla häkkimiskindlad – tehnoloogia areneb –, aga 2015. aastal e-valimistel kasutatud kümne aasta vanused lahendused olid igati turvalised.
Mingil põhjusel, kas kogemata või meelega, on Eestist saanud äärmiselt diginaiivne riik. Tema halvim digiunenägu on Anna Malvara. Kompensatsiooniks saame sooja tunde, aga selle hinnaks on enesetsensuur, mis jätab välisajakirjanikeke eluliselt tähtsate küsimuste esitamise. Nagu tegi seda möödunud aastal Guardian intervjuus ekspresident Ilvesega: kas te tõesti ei oska mingit ohtu näha strateegias, mille eesmärk on kogu ühiskonna riigile digitaalselt läbipaistvaks tegemine (Ilvese sõnades) selleks, et keegi ei saaks halbu asju teha?
Õnneks on Ilvese minekuga kadunud Eesti ehk suurim otsene digitaalne turvaoht: TUI ehk tweeting under the influence. Või hullem: unustage Malvara ja kujutage ette, mis võiks juhtuda, kui kellelgi õnnestuks üle võtta näiteks Donald Trumpi Twitteri konto.
aitäh, ma teen kooli tööd ja see aitas!