Digitaalne Eesti on mugav täpselt seni, kuni seda usaldatakse. Usaldus säästab aega ja raha, kuid veebis muutub see ühtlasi sihtmärgiks: mida harjumuspärasemad on teenused, seda kallimaks lähevad maksma rünnakud, andmelekked ja pettustelained, kirjutab ajakirjanik ja meediaprojekti „Realnaja Baltija“ autor Andrei Demenkov.
Eesti koges Euroopas ühena esimestest massilisi küberrünnakuid juba 2007. aasta aprillis „pronksiööde“ ja Pronkssõduri teisaldamisega seotud konflikti ajal. Tol korral rünnati riigiasutuste, pankade, meediaväljaannete ja teenusepakkujate veebilehti – peamiselt päringutega ülekoormamise ja side halvamise katsete kaudu. Paljudele tundus see toona „varajase interneti“ eksootikana. Kuid sisuliselt oli see varajane vaktsiin illusioonide vastu: digitaalne infrastruktuur pole lihtsalt vaateaken, vaid oluline osa majandusest.
Sellest ajast peale on riik muutunud veelgi digitaalsemaks. 2007. aastal oli veebileht lihtsalt välisuks. Täna kujutavad digiteenused endast protsesside ahelaid: isikutuvastamine, allkirjastamine, maksed, teavitused, ligipääs andmetele ning riiklike registrite ja erasüsteemide vaheline integratsioon. Mida sügavamalt on see kõik meie igapäevaellu juurdunud, seda kõrgemad on panused.
Kui varem oli rünnak veebilehe vastu pigem ebameeldivus, siis täna suudab tõrge digitaalses infrastruktuuris vallandada doominoefekti: maksete viibimine, teenuste seiskumine, järjekorrad “päriselus“ ning nii ettevõtete kui ka kodumajapidamiste raisatud aeg.
Eestil on nende panuste hindamiseks olemas ka väline mõõdupuu. Riigi digitaalne kuvand on jätkuvalt osa selle konkurentsieelisest: lahenduste eksport, kaugteenuste mudelid ja usaldus “digitaalsete” protsesside vastu. Niipea kui usaldus keskkonna vastu mõraneb, tekib riskipreemia. Nõuded turvalisusele kasvavad, kooskõlastusprotsessid venivad pikemaks ja lepingud muutuvad kallimaks. Selles mõttes ei ole küberkerksus seotud pelgalt pahalaste tõrjumisega, vaid otseselt ka investeerimiskliima atraktiivsuse ja ärikeskkonna ettearvatavusega.
Usaldusmaks
Küberriskid toimivad digiriigis justkui regulaarne „usaldusmaks“. Seda pole küll näha ühelgi arvel, kuid see koguneb pidevalt – kaotatud rahas, ajas ja liigses ettevaatlikkuses, mis „sööb“ ära osa digitaliseerimisest saadavast kasust.
Maksu esimene osa on otsene kahju, mis tuleneb kelmustest ja õngitsusrünnakutest. Valitsuse riskianalüüsis toodud hinnangu kohaselt Eesti inimesed ja ettevõtted 2024. aastal mitmesuguste petuskeemide tõttu ligikaudu 8 miljonit eurot. See pole pelgalt abstraktne statistika: need miljonid oleksid võinud minna tarbimisse, teenuste eest tasumiseks, remondiks või investeeringuteks väikeettevõtlusse, kuid kadusid hoopis varjatud “kübermajandusse”.
Teine osa – ettevaatlikkuse varjatud kulud. Pärast kõlavaid juhtumeid hakkab inimene end üle kindlustama: helistab sagedamini, nõuab rohkem kinnitusi, langetab otsuseid kauem ning suhtub veebiostudesse ja rahaülekannetesse märksa ettevaatlikumalt.
Üksikkasutaja jaoks on see ratsionaalne. Majanduse jaoks tervikuna tähendab see aga tehingukulude kasvu. See, mille digitaliseerimine pidi kaotama, tuleb osaliselt tagasi käsitsi kontrollimise, klienditoe poole pöördumise, viivituste ja „topeltkinnituste“ näol. Digimaailm jääb mugavaks, kuid lakkab olemast „kõige kiirem tee“, kui inimesed kardavad eksida.
Kolmas osa – kaitsekulud. Neid kannab nii riik – infrastruktuuri ja seire kaudu – kui ka ettevõtlussektor, panustades IT-sse, vastavuskontrolli ja tarnijate audititesse. Ning mõistagi kodanikud, rakendades küberhügieeni ja olles pidevalt valvel.
Siin on oluline mõista: turvalisus ei ole ühekordne ost, vaid igakuine korduv rutiin. See hõlmab uuendusi, teste, koolitusi, varundamist, ligipääsuõiguste kontrolli, kriisistsenaariumide läbimängimist. Selle tulemusena kasvavad ettevõtete kaudsed kulud ning riigi puhul suureneb surve nii eelarvele kui ka tööjõuturule.
Miks on intsidente varasemast rohkem?
Intsidentide arvu kasv on ühtaegu nii häiresignaal kui ka lõiv, mida maksame sügava digitaliseerimise eest. 2024. aastal registreeris riigi küberturvalisuse amet RIA/CERT-EE 6515 reaalse mõjuga küberintsidenti, samas kui 2023. aastal oli neid 3314. Peaaegu kahekordne hüpe aastaga näitab, et foon on muutunud.
Oluline on ka nende intsidentide struktuur. Märkimisväärse osa moodustavad õngitsus- ja petuskeemid, silmatorkav osa on seotud teenuste katkestustega. Jutt ei käi ainult spioonidest ja geopoliitikast. See on massiline keskkond, kus üritatakse pidevalt varastada ligipääse, raha või andmeid. Mõnikord lüüakse teenused rivist välja lihtsalt nende vastupidavuse ja reageerimiskiiruse testimiseks. Riigis, kus veebist on saanud igapäevaelu vundament, muutub küberkuritegevus vägagi tulutoovaks.
Mida rohkem inimesi ajab asju igapäevaselt internetis, seda suurem on rünnaku “tasuvus”.
Siit ka paradoks: mida edukam on digitaliseerimine, seda suurem on ründajate motivatsioon. Üks edukas õngitsusstsenaarium paljuneb kiiresti ja üks lekkinud andmekogum hakkab „tööle“ kuudeks. Seetõttu ei ole turvalisusest rääkimine enam ammu pelgalt IT-osakonna pärusmaa, vaid see on muutunud aruteluks majanduse toimimise põhitingimuste üle.
On ka puhtalt juhtimisega seotud põhjus. Euroopa nõuded andmekaitsele ja toimepidevusele muudkui karmistuvad ning koos sellega kasvab ka nõuetele mittevastavuse hind.
Suurettevõtete jaoks on see sissehitatud protsess. Väikeettevõtetele ja kohalikele omavalitsustele aga sageli stressiallikas. Enam ei piisa lihtsalt “viirusetõrje paigaldamisest” – inimesi tuleb koolitada, koostööpartnereid kontrollida, protseduure dokumenteerida ning omada kindlat kriisiplaani. Lisagem siia ka konkurents tööjõuturul: spetsialiste on vähe, kuid nõudlus nende järele üha kasvab. See aga kergitab automaatselt küberkaitse hinda.
Doominoefekt
Ühe ilmeka õppetunni annab erasektor. Jutt käib ettevõtetest, mis teenindavad kriitilise tähtsusega protsesse ja jäävad „nähtamatuks“ täpselt seni, kuni tekib tõrge.
2024. aasta kevadel toimus Hansabis suur küberintsident. Eesti Pank rõhutas, et pangateenused jätkasid tööd, sularahaautomaadid olid täidetud ja taastamine toimus koostöös RIA-ga. Tarbijale kõlab see rahustavalt: kõik töötas. Majanduse jaoks on olulisem aga midagi muud. Toimepidevus ei teki võluväel, vaid tugineb varakult ettevalmistatud varuplaanidele. See tähendab süsteemide varundamist, käsitsi tehtavaid protseduure, kooskõlastatud tegevuskava ja probleemi isoleerimise kiirust.
Siin avaldub digiriigi süsteemne risk. Isegi kui peamised riiklikud registrid on kaitstud ja stabiilsed, on ahelas alltöövõtjad, integraatorid, teenuseoperaatorid ja infrastruktuuri pakkujad. Löök ahela ühe lüli pihta võib vallandada probleeme, mis ulatuvad üheainsa ettevõtte piiridest hoopis kaugemale. Ühiskond aga peaaegu ei tolereeri tõrkeid seal, kus on mängus raha ja igapäevane baastoimetulek: maksed, terminalid, ligipääs teenustele, logistika.
Järeldus on lihtne: nõrk koht asub harva vaateaknal endal. See peidab end enamasti seostes, integratsioonides ja ahelapõhises vastutuses. Digimudelis on piir „riigi“ ja „erasektori“ vahel hägune. Riigiteenused tuginevad erasektori lahendustele ja alltöövõtjatele, erateenused aga omakorda riiklikele registritele ja isikutuvastusele. See annab kiiruse, ent nõuab samal ajal äärmiselt küpset riskijuhtimist kogu süsteemi ulatuses.
Andmelekked ja trahvid
Katkestused ja DDoS-rünnakud on kohe märgatavad: teenus on „maas“, inimesed on närvis, äri kaotab aega. Andmelekked toimivad aga teisiti. Need tekitavad pika tagajärgede ahela ja suurendavad tulevaste pettuste tõenäosust. Mida rohkem informatsiooni on kurjategijal, seda veenvam on sotsiaalne inseneeria.
Digiriigis on usaldus teenuste vastu reaalne vara. Seda võib kasvatada aastaid, kuid kaotada üheainsa kõlava looga. Seetõttu ei kahjusta lekked ainult konkreetset organisatsiooni. Need halvendavad „usalduskliimat“ tervikuna. Inimesed muutuvad elektrooniliste teavituste suhtes kahtlustavamaks, e-teenustega ettevaatlikumaks ja nõustuvad uute digilahendustega harvemini. Majanduslik tagajärg on lihtne: vähem usaldust tähendab vähem kasutamist ning digitaliseerimisest saadava kasu kahanemist.
Kuid asjal on ka otsene rahaline mõõde. Kui andmekaitse veab alt, ei ole turvalisus enam pelgalt IT-osakonna siseteema, vaid sellest saab juhtimisrisk, millega kaasnevad kulutused taastamisele, juriidilistele protseduuridele, kommunikatsioonile ja võimalikele järelevalveasutuse sanktsioonidele. Turvalisuse pealt kokkuhoidev „optimeerimine“ muutub kulukaks loteriiks.
Lisaks kasvab riskide kindlustamise maksumus ja raha hind. Lepingupartnerid ja pangad vaatavad üha enam küberprotsesside küpsust kui finantsilise usaldusväärsuse ja jätkusuutlikkuse olulist näitajat.
Kuid ka siin ei tohi vinti üle keerata. Kui koormata väikeettevõtlust keeruliste auditite ja paberimajandusega, pole tulemuseks turvalisus, vaid halvatus. Vaja on baasreegleid, arusaadavat vastutust ja saavutatavat miinimumi, et väikese alltöövõtja nõrkusest ei saaks suure süsteemi probleem.
Liidripositsiooni hind
Kõige ausam jutt küberturvalisusest algab eelarvest. Riigikontroll märkis, et riigiasutuste IT-kulud ja investeeringud on mõne aastaga märgatavalt kasvanud: kogumaht on suurenenud 123 miljonilt 257 miljonile eurole. Kasvuteguritena nimetati küberturvalisuse meetmeid, struktuurseid muutusi ning seadmete ja tarkvara kallinemist.
Selles peitubki võti teelahkmel „reaalsus versus kuvand“. Digiriiki ei saa „valmis teha ja ära unustada“. See nõuab regulaarseid kulutusi: uuendused, seire, testimine, koolitused, varundamine, tarnijate auditeerimine ja taristu arendamine. Kui digitaalset liidripositsiooni müüakse ühiskonnale kui tasuta boonust, ent seejärel küsitakse turvalisuse ja IT jaoks lisaraha, tekib inimestel tunne, et asjad ei klapi.
Tegelikkuses ei ole siin mingit ebakõla. On lihtsalt täiskasvanulik reaalsus: digimudel nõuabki pidevaid investeeringuid.
Niisiis, kas see on uhkus või haavatav koht? Õige vastus on ebamugav: nii üks kui ka teine.
Eesti on digitaalselt tugev, seetõttu peab ta olema tugev ka küberkaitses. Mitte sellepärast, et see kõlab ilusti, vaid seetõttu, et vastasel juhul läheb digitaalne mugavus lihtsalt liiga kalliks maksma.
Ja peamine küsimus ei ole siinkohal “kas me oleme haavatavad?”. Haavatavad on kõik. Peamine küsimus on hoopis muus: kas me oleme valmis riskide maandamise eest ausalt maksma ning jaotama kaitsekulusid nii, et digikeskkond jääks eeliseks, mitte ei muutuks kroonilise stressi allikaks?
