05.09.2022
Tagasivaade Innovatsiooniliidrite klubi hooaja lõpuüritusele: Sektorite ülene innovatsioon digiturvalisuse näitel
Uue Innovatsiooniliidrite klubi hooaja alguses on paslik meenutada, millega eelmisele hooajale võimas punkt pandi. 15. juunil toimus klubi hooaja lõpuüritus teemal “Sektorite ülene innovatsioon digiturvalisuse näitel”. Üritust võõrustas oma innovaatilises kontoris Pipedrive.
Ürituse avas Tehnopol Startup Inkubaatori juht Kadri Tammai. “Startupilik edasipüüdlikkus on meil veres,” alustas ta ja kirjeldas, kuidas see võib digiturvalisuse teemade puhul nii suurtele kui väikestele ettevõtetele palju ohtlikku kaasa tuua. Kuigi see võib olla natuke tabu teema, sest keegi ei taha ennast rumala või haavatavana tunda, siis ürituse teema ongi valitud selleks, et arutada, kuidas olla parem.
Robotitest ja küberturvalisuse maailma koostööst
Tollel hetkel veel Milrem Roboticsi T&A juht ja praeguseks NATO Küberkaitsekoostöö Keskuse juht Mart Noorma ettekanne keskendus esiti Milremi fookusvaldkonnale – robotid. Robotite turvalisuse vaates on seni kõik hästi, kuni kontroll meie käes püsib. Robotite küberturvalisuse teemat võib kokkuvõtvalt esitada nii: “Kuni nad on meie kontrolli all, on kõik hästi, aga kui ta ise hakkab mõtlema voi keegi ta nii-öelda üle votab, siis on asi ohtlik.” Autonoomsete relvade ja robootika puhul on küberturvalisus massidesse jõumise puhul väga suureks eelduseks.
Milremis tehakse selliseid roboteid, mida keegi teine varem teinud ega kasutanud ei ole. Kui esiti eeldati, et näiteks kaitsevägi hakkab neilt uudseid roboteid tellimustööma tellima, siis tuleb välja, et seda ei tehta. Miks? Sest ei osata. Me ei tea, mis juhtub lahinguväljaga siis, kui sinna lisanduvad robotid.
“Nii jõuamegi NATO Küberkaitsekoostöö Keskuseni,” ütleb Mart reipalt, “mida kõike saaks teha, kui me teeks koostööd…”. Tavainimesele tundub sedalaadi koostöö evimine väga loogiline, aga riikidevahelise koostöö mõttes on poliitikal ja muudel aspektidel suur roll selles, et koostööhimu varjutab palju hirme ja kartuseid näiteks ärakasutamise ja spionaaži ees.
Parim koht, kust vähemalt alustada koostööteemadega on Mardi sõnul tööstus. Esimene asi, mis ta ametisse jõudes lubas teha, on see, et ta paneb ametisse tööstuspartnerluse juhi. “Kui luureagentuuride tagatubades koostööd püüdma jääda, siis liigumegi väga aeglaselt edasi. Samas tööstusettevõtted, kes mängivad olulist rolli küberturvalisuse tegelikul tagamisel kõigis nendes riikides, kui me suudame need ettevõtted kokku tuua ühistes huvides tegutsema, siis saavutame hoopis kiiremad tulemused,” on ta veendunud.
Kadri Tammai: “Inimesed arvavad sageli, et innovatsioon on midagi, mis sünnib iseenesest, aga ei sünni. Innovatsiooni taga on ka inimesed. Tihtipeale sünnib innovatsioon siis, kui need inimesed saavad kokku erinevate sektorite üleselt – sellepärast ongi ellu kutsutud Innovatsiooniliidrite klubi”
Innovatsiooniliidrite klubi edukaim hooaeg
Tehnopoli innovatsioonijuht Merilin Varsamaa tänas kõiki eduka hooaja eest ja kutsus üles 2022. aasta septembris startiva uue hooajaga innovatsioonihuvilisi ettevõtteid liituma. Innovatsiooniliidrite klubi eesmärk on panustada uutesse arengusuundadesse, jagada kogemusi innovatsioonialaste tegevuste laiendamiseks, pakkuda Eesti majandusruumis lisandväärtust innovatsiooni edendaja ja võrgustiku näol ja toetada teadmusmahuka ja kestliku äri osakaalu kasvu.
Innovatsiooniliidrite klubil on selle aasta veebruarist alates ka võimekas nõukogu:
- Ainar Leppänen, SEB jaekaubanduse valdkonna juht
- Helen Sulg, KIK arendus- ja partnersuhete juht
- Inge Laas, EAS innovatsioonivaldkonna juht
- Kadi Steinberg, Enefit Idea HUB ja partnersuhete juht
- Kristiin Bauer, Standardi toote planeerimise juht
- Mart Maasik, UniTartu Ventures investeerimisjuht
- Siim Lepisk, NetGroupi innovatsioonijuht
Merilin rääkis lahti ka klubi sisuformaadi, koostööpartnerid ja andis täpsema ülevaate eelmisest hooajast ja käsitletud valdkondadest. Kõike seda saab kuulata siin.
Riigi parim küberturvalisuse tiimi, küberturve ja riskihaldus
Siseministeeriumi infotehnoloogia- ja arenduskeskuse (SMIT) infoturbejuht Liisa Past tegi suurepärase ettekande küberturbe ja kriisiaja riskihaldusest. Alustuseks tõdeb ta Kadri Tammai esitatud küsimuse peale, et kõik sellel erialal töötavad inimesed, kes arvavad, et neid pole kunagi kompromiteeritud on lollid, kriminaalsed või kriminaalselt lollid.
Liisa räägib oma ettekandes põhjalikult, kuidas nad infoturbele ja küberturvalisusele läheneme; mis on praktikad ja protsessid, mis tema meeskonna jaoks toimivad; mis juhtub, kui lähedal algab sõda ja korraga on ohu hinnang kõrge.
“Infoturve on pidev tasakaalustamine funktsionaalsete ja mittefunktsionaalsete nõuete vahel ehk see mida on äripoolel ja kliendil vaja.” Äri vs turve – on asju, mida klient ei oska isegi küsida. Näiteks see üks asi, millega me ei ole veel piisavalt tegelenud on andmete terviklus.
Risk on infoturbe teema puhul väga oluline teema. Risk on paratamatu. Selle valem on ohu realiseerumise hind korda tõenäosus ja riskikäitlus on siis selle arvutuse pinnalt tehtud otsused. “Ma väga tahaksin, et need, kes vastutavad äri või teenuste eest digitaalses maailmas, teeksid juhtimisotsuseid riskidest lähtuvalt. Ehk kui sinu konkreetne teenus sisaldab inimeste tundlikke isikuandmeid, siis on tema konfidentsiaalsuse tagamine olulisem, kui toode või teenus, mis sisaldab ainult avalikke andmeid,” selgitab ta.
Samas ka tõdeb, et on täiesti OK olla organisatsioon, kes ütleb, et nad on väga kõrge riskitolerantsiga ja aktsepteeridagi seda, et asjad võivad hävineda. “Selle taust võib olla näiteks majanduslikult põhjendatav. Et asjade või andmete turvamine ei ole seda lihtsalt väärt ja riski võtmine ei vii hullemal juhul hukatusse.”
“Turve ja riskihaldus on midagi, mida klient ei telli, aga mida ta ootab,” tõdeb Liisa ja soovitab juhtidele: mõistlik on kulutada 10% tehnoloogiaeelarvest infoturbe/küberturvalisuse peale.
“Selle aasta jaanuaris tehti Ukraina valitsusasutustele pühkurrünnakuid ehk rakendati wiperid ehk pahavara, mis tõmbab süsteemi puhtaks failidest ja muust. Meil olid selleks hetkeks rakendatud mitmeid sorte lisakaitsed,” tõdeb Liisa. Hoiti ära suuri katkestusi oluliste asutuste lehekülgedel ja näiteks poole ööpäeva asemel oli mõni leht maas neli minutit. Suurepärane tulemus.
Liisa räägib SMITi kogemusest seoses sõjapõgenike tulekuga ja sellega, kuidas seni manuaalselt toiminud lahendused järsku suurenenud nõudluse tõttu ümber mängida tuli ja kuidas nad ettevõttes sellele startupilikult lähenesid.
Ukraina kontekstis saame rääkida laiemate märksõnadena ebakindlusest, agressiivsest lähipaistvusest agressiivsest koostööst ja tarneahelast ning nullpäeva turvanõrkustest. Näiteks Microsoft avaldas esimesena sellises olukorras nii-öelda agressiivse läbipaistvuse korras tehnilised andmed sellest pühkurvarast, mis nad olid leidnud. Varem oleks selle eest küsitud meeletut raha. Olukorra küsimus. Sellise agressiivse koostööga hoidsid nad ära muuhulgas väga korralikke rünnakuid meie enda ametkondade ja asutuste vastu.
Viies Eesti ükssarvik ehk midagi ju pidi õigesti minema
Küberturvalisusest kui loomulikust osast ettevõtte kasvustrateegiast rääkis Pipedrive tehnoloogijuht Agur Jõgi, kes ettekande lõpus tõdes, et kui uuesti teeks, siis ei muudaks suurt midagi. See ettekanne võiks olla kõikidele startuppidele näpunäiteks.
Agur tutvustas Pipedrive ajalugu. Kuidas kümne aastaga sai viie mehe poolt asutatud ettevõttest ükssarvik ja kuidas tänaseks saab nende tarkvara kasutada 22 keeles, üle 150 riigis ja neil on kokku 10 kontorit, millest kaks asuvad Eestis. Pipedrives töötab Aguri sõnul rahvusvaheline seltskond ja seal on üleüldse väga põnev töökeskkond.
Agur andis ülevaate küberturvalisuse järjepidavast arengust Pipedrives. “Kui sa oled alustav ettevõte, siis su fookus on sellel, kas sa lahendad päris probleemi, mis on toote ja kliendi suhe jne. Selles staadiumis sa ei mõtle tõenäoliselt nende nii-öelda raskemate teemade peale ja keegi ka otseselt ei nõua sult seda. Mingis mõttes võib öelda, et sind pole isegi mõtet rünnata. Kui sul on aga rohkem tulu ja sa oled juba arenenum, siis huvitad sa neid, kes sind röövida tahavad juba rohkem.”
Pipedrive tegeles alguses nende teemadega hästi reaktiivselt. “Kui midagi juhtus, siis tegelesime,” tõdeb ta. Aguri soovitus täna on see, et startupi loojad peaksid esimeste töötajate seas palkama ka kellegi, kes teab midagi digi- ja infoturbest.
Praktilise info vaates võib öelda, et turvalisus on kallis, aga sellega mitte tegelemine veel kallim. Pipedrive ka ei teadnud alguses, mida neil täpselt vaja on. Esiti katsetati ka vabavaralisi lahendusi. Samuti on nende näitek ennast tõestanud valged häkkarid, kes aitavad üles leida nõrku kohti süsteemis.
“Küberturvalisuse tagamine on lõputu protsess ja samuti väga ettevõttespetsiifiline. Kui tundub, et asi hakkab looma ja korda saama, siis alati saab midagi veel paremaks teha või efektiivistada. Turvalisus on alati tervik – see peab vastama seadusandlusele (governance), maandama tehnilisi riske (risks) ja vastama muudele majandusvaldkonna kehtivatele standarditele (compliance).
Usalduse asemel veendumus: nullteadmustõestused küberturbes
Cybernetica AS küberturvalisuse osakonna turvainsener Markko Merzin rääkis küberneetikast ja nagu tavaliselt, lubas esiti hirmutada ja siis ahjusoojast tehnoloogiast suud paotada. “Mõni aasta tagasi arvasid valdkonnaspetsialistid, et praktilisi väljundeid sellele tehnoloogiale pole, aga on. Saame analüüsida andmeid ilma neid nägemata.”
1997.aastal moodustati Cybernetica AS, seal on 170 töötajat, kellest tänaseks 12% on PhD. Seal töötavad e-Eesti ökosüsteemi arhitektid, kellel on kliente 35+ riigis. Üks paljudest asjadest, millega nad tegelevad on näiteks privaatsust säilitavad tehnoloogiad. Cyberneticas on säilitatud küberturbe instituut, mis on päris teadusasutus ja saab institutsionaalset rahastust ehk riik rahastab selle alusuuringuid ja samuti osaletakse erinevates alusuuringute hangetes, mida tihtipeale ka võidetakse. Uurimisteemadeks on krüptograafia, tehisintellekt, turvaline ühisarvutus, infoturvalisus Eesti e-riigi krüptoaluste jätkusuutlikkusuuringud.
Ja nüüd hirmutamisosa ehk ohud. Markko sõnul on keskmine haavatavus programmkoodis 4 aastat. Enamus edukaid ründeid kasutab haavatavusi, mille parandus on olnud saadaval aastaid. Selle vihmavarju all rääkis ta pikalt lahti usalduse, vahendite, meetodite ja unistuse teemad.
“Mitte kas, vaid millal see juhtub” ehk MSSP (Managed Security Service Provider) seiklused küberturvalisuse maailmas
Cybers küberkaitsekeskuse juht Jürgen Erm jagas publikuga põnevat sisevaadet MSSP ehk Managed Security Service Provideri tööpõllule. Cybers on ettevõte, kes tegeleb küberintsidentide lahendamisega ja mõju hindamisega.
Ta toob ühe konkreetse näite. “Kui pahalased võtavad teie ettevõtte pantvangi ja ka tagavarakoopiad võetakse teie käest ära, siis teil ei ole mitte kuidagi võimalik on ettevõttega senisel viisil jätkata. Laual oli kaks halba valikut – ma ei soovita mitte kunagi kriminaalidega läbirääkimisi pidada, aga vahest on seda vaja teha.”
Ta kirjeldab nende põnevikulist lähenemist: “Hakkasime etendama rolli, et saame vastu võtta otsuseid, aga ei ole eriti IT-teadlikud. Proovisime lunarahanõuet (Bitcoin) alla saada. Tulutult. Need on kriminaalid, kuidas sa üldse tead, et nad isegi raha makstes tagasi annaksid sulle su firma? Äkki saab vastu petta!?” Mõeldud, tehtud. Hulljulge plaan serveri võtmete nimede muutmisel läks läbi ja nad said ettevõtte tagasi. See situatsioon ilmestab aga ideaalselt seda, et “the true cost of a ransomware attack – too expensive” ehk lunavararünnaku tegelik hind on liiga kallis. Raha võib alati juurde teenida, aga hirm mainekahju tekkimise ees on päris olukorras nii suur.
“Tänapaeval ei käi kriminaalid püssiga ringi, nad käivad teie võrgus ringi ja võtavad teie ettevõtte pantvangi,” seletab Jürgen. Terviklik kaitse on kokkuvõttes see, mis kaitseb, aga juppidest rääkides tuleb alustada turvalisuse hindamisest (security assessment). Seejärel on turvalisuse nõuandla (security advisory), turvalahendused (security solutions), turvaoperatisoonide keskus (security operations centre), head häkkerid ehk offensive security ja hädaolukordadele reageerimijad (emergency incident response).
Äärmiselt kasulikku ja jätkuvalt päevakorras oleva klubikohtumise täispikka ülekannet saab vaadata SIIT.
Ürituse galerii leiad SIIT.