Kümme aastat tagasi Eesti domeeni reformimise läbiviimist juhtinud Marek-Andres Kauts ja Norman Aeg kirjutavad, et turvalisus on .ee domeeni haldamisel tähtsam kui kunagi varem.
Täna 10 aastat tagasi, 13. veebruaril 2009 asutati Eesti Interneti Sihtasutus. Sellega käivitati domeenireform ja muudeti .ee domeeni haldamine kaasaegsele e-riigile kohaseks.
Täna 10 aastat tagasi, 13. veebruaril 2009 asutati Eesti Interneti Sihtasutus. Sellega käivitati domeenireform ja muudeti .ee domeeni haldamine kaasaegsele e-riigile kohaseks.
Kümne aastaga on internetis toimunud nii mõndagi, kuid Eesti seisukohalt vaadatuna väärivad välja toomist just kaks trendi. Esiteks, internet on muutunud suurjõudude huvide mõõduvõtu tandriks, kus üksteise nõrkuste leidmisele panustatakse suuri ressursse. Teiseks, Eesti e-riigi maine on ülemaailmselt kinnistunud tugevaimaks Eestiga seotud kaubamärgiks. Nagu Šveitsi pangandus või Saksa autotööstus. Eesti e-riik on küberründajatele atraktiivne sihtmärk ja võimaliku turvalisuse fopaa korral mainekahju riigile suur.
E-riigi turvalisus on seotud .ee domeeniga. Niisamuti ka kõik teised riigi ja erasektori interneti kaudu töötavad teenused, mis on .ee domeeni peal: Riigiteataja ilmumine, meediaväljaanded, pangad, e-tervis, ettevõtete e-postiaadressid ja kodulehed. Nimekiri on pikk. Küberturvalisusega seotud väljakutsed domeenile on ajas suurenenud, mitte vähenenud.
Internet ei ole algupäraselt loodud turvaliseks
Domeenireformi ajal kümme aastat tagasi ei olnud küberturvalisus ja sinna investeerimine kõigile osapooltele sugugi nii iseenesestmõistetavad nagu täna. Seda vaatamata ka asjaolule, et Eesti oli hiljuti üle elanud pronksiöö küberrünnakud. Tegelikult küberoperatsioone viidi suuremates mõõtmetes läbi juba alates plaanist Cobra II ehk teisest Iraagi sõjast. Aga see oli üldsusele teadmata ja kauge. Valmidus küberturvalisusega seotud investeeringuteks raha välja käia oli väga madal.
Otsustajate seas oli interneti teemadel üksjagu ebakindlust. Edward Snowden oli siis veel kangelane. Internetiaktivistid kogusid ACTA-vastaste meeleavalduste ja muude aktsioonidega tähelepanu ning üritasid poliitilisse agendasse trügida. Kuigi peaminister pani nad kätt väristamata paika, siis leidus küllaldaselt poliitikuid, kes parlamendifraktsioonide kaupa selle seltskonnaga ühisosa otsima asusid. Edward Lucas on Snowdeni tuules liikunud aktivistide puhul toonud välja sarnaseid jooni 1980ndatel Euroopas USA tuumarelvastuse vastu protestinud aktivistidega, keda on kahtlustatud ka ida poolt rahastatud ja manipuleeritud olemises.
Eks snowdenistide motiivide puhul aeg annab arutust, aga nagu öeldud, siis napi 10 aastaga oleme jõudnud maailma, kus infooperatsioonid ja valimiste mõjutamine on saanud igapäevaste arutelude teemaks. Internetiteemaliste otsuste vastuvõtmine on liikunud riigijuhtide ja julgeoleku valdkonna tippude kätte. Snowden on seal, kus ta on.
Retrospektiiv võimaldab hinnata, mis on oluline, mis mitte. Selle põhjal soovime välja tuua kolm kriitilist tegurit, mis meie arvates olid .ee domeeni turvalisuse jaoks olulised 10 aastat tagasi, on täna ja on ka edaspidi.
1. Isikute tuvastamine
Isikud, kellele .ee domeenid on registreeritud, peavad olema tuvastatud. Nii residendid kui mitteresidendid. Iga domeeniga peab registris olema seotud selle domeeni eest vastutav füüsiline või juriidiline isik. Tuvastamise dokumendid tuleb enne domeeni registreerimist koguda keskregistrisse. See võimaldab kogu selle domeeni all oleva info siduda selle info eest vastutajaga ja probleemide korral kiiresti reageerida. Veelgi enam – see peletab minema huvilised, kes mingil põhjusel tahavad oma isikut varjata ja võivad kujutada ohtu.
Infooperatsioonid kasutavad ära tõika, et interneti kaudu on võimalik otse, ilma ajakirjanike ja toimetuste vahenduseta elektoraatidega suhelda ja informatsiooni kaudu nende hoiakuid mõjutada. Luua neile moonutatud reaalsust. Sellist ligipääsu elektoraadile massimeedia mitte kunagi ei võimaldanud.
Hiljuti USA senati luurekomitee tellimusel Oxfordi Ülikooli teadlaste ja ettevõtte Graphica koostatud raport toob välja, kuidas sotsiaalmeediavõrgustikesse olid loodud suured hulgad trollikontosid ja lehekülgi, mille poolt kommunikeeritavate sõnumitega elektoraati polariseeriti ja moonutatud reaalsust luues suunati. Trollikontode loomisel tehtud töö oli ressursimahukas ja nende reaalsena näimiseks küpsetati neid teinekord aastaid.
Sotsiaalmeedia platvormidel saadakse probleem eeldatavasti kontrolli alla, mis paneb infooperatsioonide korraldajaid otsima internetis uusi nõrku kohti. Kogu internetis olev informatsioon on seotud ühe või teise domeeniga. Domeen on internetis oleval infol justkui kvaliteedisertifikaat.
Domeene on erineva turvalisusega. Isikute tuvastamine tagab, et iga .ee domeeni taga olev füüsiline ja juriidiline isik on teada ning selle domeeni all avaldatud informatsiooni saab usaldada samaväärselt kui antud isikut.
Isikute tuvastamise vajalikkus tundub küll loogiline, aga domeenireformi ajal ei olnud see kõigile asjaosalistele sugugi nii. Domeenireformi ajal koondusidki peamised vaidlused isikutuvastamise reeglite ümber. Kuna Eestis on valitud sertifitseeritud domeenide edasimüüjatega ehk registripidajatega mudel – domeene ei registreerita mitte otse Eesti Interneti SAs, vaid edasimüüjate juures – on isikute tuvastamine ja dokumentide elektrooniliselt registrisse saatmine edasimüüjate töö. Rahvusvaheliselt on domeene erineva turvalisuse tasemega ja väga palju on ka neid, mille registreerijate isikute tuvastamise nõuet ei eksisteeri või on see üksnes formaalne. Näiteks on lõdva isikutuvastusega ka levinuimad .com ja .net. Kuna isikutuvastamisega domeenide registreerimine on vahendajatele mõnevõrra keerulisem, siis ootuspäraselt toob see .ee domeeni reeglite kehtestajatele pideva surve isikutuvastuse reegleid lõdvendada. Kuid .ee on riigiga seotud domeen ja Eesti geopoliitiline asukoht on selline, mis igal juhul nõuab tugevat isikute tuvastamist trollide välistamiseks.
Domeenide registreerijate isikute tuvastamine on edulugu, mida saab rahvusvaheliselt tutvustada. Samale turvaprobleemile otsitakse lahendust ka teiste riikide domeenide haldamises. Fakt, et Eestil on ette näidata kümmekond aastat töötanud lahendus, julgustab ka teisi oma turvanõudeid kaasajastama.
2. Tugev taristu ja võimalikult väike sõltuvus teenusepakkujatest
Domeen on kriitilise informatsiooni infrastruktuuri teenus, millest sõltuvad teised olulised riigi ja erasektori teenused. Seetõttu on oluline, et .ee domeeni haldamine ise sõltuks teistest teenustest võimalikult vähe.
Domeeni haldamiseks kasutatavad süsteemid peavad olema täies töökorras ka siis, kui telekomide võrkudes esineb olulisi tõrkeid ja näiteks riigi välisühendused on rivist väljas. Suuresti merealuste kaablite kaudu toimivatest välisühendustest sõltuvus on üks Eesti geograafiline eripära ja nende rivist välja langemisel peab .ee nimeteenus tööle jääma nii Eesti territooriumitel asuvates võrkudes kui ka välismaailmas. Selle geograafilise eripära tõttu ei sobi .ee domeeni halduseks ka pilvepõhised lahendused või peavad nad olema dubleeritud.
Samuti peab organisatsiooni ja süsteemide töövõime säilima kui võrgust elektritoide kaob. Sarnaselt nagu näiteks haiglad, lennujaamad ja muud kriitilised objektid. Krimmis oli elektrijaama kilbiruum üks esimesi kohti, kuhu rohelised mehikesed tungisid.
Valmisolek hõlmab lisaks seadmetele ka piisava hulga vajalike kompetentsidega inimeste olemasolu organisatsioonis, kes oleksid seadmepargiga kursis ja valmis vajadusel operatiivselt tegutsema. Tuleviku ennustamine on keeruline ja loeb võimekus teiste teenusepakkujate järgi ootamata ise olukordi kiiresti lahendada.
Taristu tugevus ja palgal olevate inimeste arv on otseselt seotud domeeni hinnaga. Mida madalamaks tahame langetada domeeni hinna, seda väiksema tagavaraga saab olema taristu ja meeskond. Näiteks 24-tunnise mehitatud jälgimise jaoks on vaja palgal hoida vähemalt viis kuni kuus oskustega spetsialisti, kelle palgatase on kõrge.
Domeeni hind on seotud ka registris olevate domeenide arvuga. Algul oli domeene praegusega võrreldes oluliselt vähem ja siis oli hind kõrgem. Aja jooksul, kui domeene on juurde tulnud, on mänguruumi hinda langetada ja taristusse investeerida rohkem.
3. Tuleb teha seda mida vaja, mitte seda, mille eest on lootus kiita saada
Kes meist ei tahaks kõigile meeldida. Saada kiita. Olla lemmik. Nagu koolis, kus kõik ülesantu ära tehes saab hinde viis. Aga maailm meie ümber ei ole paraku nii lihtne, vaid mitmetahulisem ja kurjem. Riigid valmistuvad kübersõjaks kaua ja käivitavad selle ühe klikiga, kui parafraseerida akadeemik Enn Tõugut. Eesti on geopoliitiliselt piiririik ja meie e-riigi renomee sõltub ka domeeni turvalisusest. Panused on väga kõrged.
Domeenireformi kümme aastat tagasi ellu viies sai väga ruttu selgeks, et domeeni haldamine on liiga spetsiifiline ja tehniline teema, et riik suudaks seaduste ja määrustega kehtestada täpsed turvanõuded, mida domeenihalduses järgida. Neid reegleid kellegi kõrgema poolt ei kehtestata, vaid piibel mida tõlgendada on seesama küberohtusid täis maailm meie ümber.
Kiituste laud asetseb tegelikult teistpidi. Domeeni ümbritsevatel huvigruppidel, kes oma huvide rahuldamise eest semulikult patsutavad ja mitterahuldamise eest kära tekitavad, on teine menüü kui turvalisus. Peaasjalikult nõutakse kahte asja: domeeni hinna alandamist ja reeglite lõdvendamist edasimüüjatele.
See pole üksnes teoreetiline küsimus, vaid hiljuti domeeni tasu alandades ning isikutuvastuse nõudeid lõdvendades tekkiski olukord, kus väga lühikese ajaga oli 25 protsenti kogu .ee domeenide arvust registreeritud obskuursete kavatsustega hiina ettevõtete poolt. Mis oli hiina firmade äriplaan .ee domeenide «tagavaraks» registreerimisele kulutatud raha tagasi teenimiseks ja kas see kujutas endast ka turvariski pole siiani üheselt selge.
Domeeni hinnatase on kaks-kolm õlut aastase registreeringu eest. Praegusel ajal, kus riigid panustavad suuri ressursse küberruumis üksteise nõrkuste otsimisele ei ole teistest madalama hinnaga eristudes riskide võtmine aastas säästetavat ühte õlut väärt.
Soovime tänada neid, kes domeeni turvalisuse küsimuses kümme aastat tagasi head nõu andsid. Vajalik sai tehtud. Samuti soovime praegustele teatepulga hoidjatele meelekindlust, et .ee domeen oleks ka tulevikus hästi hoitud.
Artikli kaasautor on Norman Aeg. Artikkel on esmakordselt avaldatud Postimehes 13.02.2019.