Ukraina kaitsmine: kübersõja esimesed õppetunnid

Venemaa võttis ühes esimeses raketirünnakus ettearvatavalt sihikule Ukraina riigiaparaadi andmekeskuse ning ka teised kohapealsed serverid olid tavarelvastusega tehtud rünnakutele sarnaselt haavatavad. Samuti sihtis Venemaa kohapealseid võrke oma hävitavate pühkurrünnetega. Ukraina valitsus on siiski suutnud oma tsiviil- ja militaartegevust edukalt käigus hoida; kiire tegutsemisega viidi riigi digitaalne taristu üle avalikku pilve, kus see on majutatud andmekeskustes üle Euroopa.

Selle eesmärgi saavutamiseks oli vaja astuda kiireid ja erakorralisi samme kogu tehnikasektoris, kaasates teiste seas ka Microsofti. Ehkki tehnikasektori töö on olnud elutähtis, on kindlasti tarvis mõelda ka sellest raskest tööst tulenevate pikema perspektiiviga õppetükkide peale.

Kuna kübertegevused on palja silmaga nähtamatud, on nii ajakirjanikel kui ka paljudel sõjaanalüütikutel keeruline neid jälgida. Microsoft on näinud, kuidas Venemaa sõjavägi saatis 48 Ukraina riigiameti ja ettevõtte vastu ühe hävitavate küberrünnete laine teise järel. Nende rünnete eesmärk on olnud võrgudomeenidesse tungimine, murdes kõigepealt sisse sadadesse arvutitesse ja levitades siis ründevara, mis on loodud tuhandetes muudes arvutites tarkvara ja andmete hävitamiseks.

Venemaa kübertaktika selles sõjas erineb 2017. aastal Ukraina vastu korraldatud NotPetya ründest. Tollane rünne kasutas „ussitavat“ hävitavat ründevara, mis suutis ühest arvutidomeenist teise hüpata ja liikuda ka üle piiri teistesse riikidesse. 2022. aastal on Venemaa käitunud ettevaatlikumalt, kasutades hävitavat pühkurtarkvara üksnes kindlates võrgudomeenides Ukraina piirides. Nii hiljutised kui ka käimasolevad hävitusründed ise on aga olnud keerukad ja palju laiema levikuga, kui paljude teadete või ülevaadete järgi võiks arvata. Venemaa sõjavägi jätkab nende hävitusrünnete kohandamist vastavalt sõja pidevalt muutuvatele vajadustele, sealhulgas sidudes küberründeid tavarelvade kasutamisega.

Seni on neid hävitusründeid iseloomustanud küberkaitse tugevus ja suhteline edukus. Ehkki küberkaitse pole olnud täiuslik ja mõnda hävitusrünnet on siiski saatnud edu, on need küberkaitsemeetmed seni osutunud küberründevõimekusest tugevamaks. See peegeldab kahte olulist viimase aja trendi. Esiteks on ohuanalüüsi areng, sealhulgas tehisintellekti kasutamine, aidanud neid ründeid senisest tõhusamalt tuvastada. Ja teiseks on Interneti-ühendusega lõppseadmekaitse võimaldanud kaitsvat tarkvarakoodi kiiresti levitada nii pilvteenustesse kui ka teistesse võrku ühendatud andmetöötlusseadmetesse, et ründevara tuvastada ja kahjutuks muuta. Seda kaitset on veelgi tugevamaks muutnud Ukraina valitsuse toel sõja ajal tehtavad uuendused ja kaitsemeetmed. Kindlasti aga on selle kaitse-eelise säilitamiseks tarvis valvsust säilitada ja uuendusi jätkata.

Microsoft on seni tuvastanud Venemaalt pärinevaid võrkutungimiskatseid 128 organisatsioonis 42 riigis lisaks Ukrainale. Ehkki Ameerika Ühendriigid on olnud Venemaa peamine sihtmärk, on suur osa sellest tegevusest suunatud ka Poola vastu – just seal koordineeritakse suurt osa nii sõjalise kui ka humanitaarabi tarnimise logistikast. Samuti on Venemaa oma tegevustega sihtinud Balti riike ning kahe viimase kuu jooksul on sagenenud sarnased ründed arvutivõrkude vastu Taanis, Norras, Soomes, Rootsis ja Türgis. Oleme näinud ka senisest rohkem sarnast tegevust, mis on suunatud teiste NATO riikide välisministeeriumide vastu.

Venemaa on peamiselt sihtinud riigiaparaati, eriti NATO liikmesriikides. Kuid sihtmärkide hulgas on olnud ka mõttekodasid, humanitaarabiorganisatsioone, IT-ettevõtteid ning energia- ja muu kriitilise taristu teenusepakkujaid. Sõja algusest peale on meie tuvastatud Venemaa rünnetest edu saatnud 29% katsetest. Veerand neist edukatest sissetungikatsetest on viinud organisatsiooni andmete kinnitust leidnud väljasmugeldamiseni, ehkki nagu käesolevas raportis selgitatakse, on Venemaa tegelik edukus tõenäoliselt suurem.

Eriti palju teevad meile endiselt muret riigiasutuste arvutid, mis töötavad pilve asemel kohapealses keskkonnas. See peegeldab küberspionaažirünnete ja küberkaitse tegelikku praegust ja globaalset seisu. Nagu SolarWindsi intsident 18 kuud tagasi demonstreeris, on Venemaa luureteenistuste käsutuses erakordselt arenenud võimekus koodi võrku istutada ja tegutseda keeruka püsiohuna (APT), mis saab võrgust pidevalt tundlikku teavet hankida ja välja smugeldada. Sellest ajast peale on ka kaitsemeetmed teinud märgatavaid edusamme, kuid nende uuenduste reaalne kasutuselevõtt on Ameerika Ühendriikidega võrreldes Euroopa riigiametites üsna ebaühtlaselt kulgenud. Seetõttu on kollektiivkaitses endiselt hulk olulisi nõrku kohti.

Nendes operatsioonides kombineeritakse omavahel KGB poolt aastakümnete jooksul välja töötatud taktika ning uued digitehnoloogiad ja Internet, et välismõjuoperatsioonide geograafilist haaret laiendada, mahtu suurendada, sihtimistäpsust parendada ning teha seda kõike aina kiiremini ja paindlikumalt. Kahjuks on sellised kübermõjuoperatsioonid piisava planeerimise ja keerukuse korral suutelised ära kasutama demokraatlike ühiskondade harjumuspärast avatust ja praegust ajastut iseloomustavat polariseerumist.

Ukrainas peetava sõja edenedes on Venemaa ametkonnad oma kübermõjuoperatsioonides keskendunud eeskätt neljale konkreetsele sihtrühmale. Venemaa elanikkonnale suunatud tegevuse eesmärk on tagada sõja jätkuv toetamine. Ukraina elanike vastu sihitud tegevuse eesmärk on õõnestada usaldust ja kindlustunnet, et riik soovib ja suudab Venemaa rünnakutele vastu seista. Ameerika ja Euroopa inimestele suunatud tegevuse eesmärk on õõnestada Lääne ühtsust ning tõmmata tähelepanu Venemaa sõjakuritegudelt mujale. Ja lisaks on asutud sihikule võtma sõjas neutraalsel positsioonil olevate riikide elanikkonda, potentsiaalselt vähemalt osaliselt selleks, et tagada nende toetus Venemaale ÜRO-s ja teistes rahvusvahelistes organisatsioonides.

Venemaa kübermõjuoperatsioonid on rajatud teiste kübertegevuste jaoks välja töötatud taktikale ja erinevad tegevused on omavahel seotud. Sarnaselt Venemaa luureteenistustes töötavate APT meeskondadega tegutsevad ka Venemaa riigiametitega seotud keeruka püsimanipuleerimise (APM) meeskonnad sotsiaalmeedia ja digitaalplatvormide kaudu. Muu hulgas tegelevad nad valenarratiivide eelpaigutamisega viisidel, mis sarnanevad ründevara ja muu tarkvarakoodi eelpaigutamisega. Seejärel käivitatakse nende narratiivide ulatuslik ja samaaegne levitamine riiklikult hallatavatel ja mõjutatavatel veebisaitidel ning võimendamine sotsiaalmeediateenuste ärakasutamiseks välja töötatud tehnoloogiavahendite abil. Sõja esimetel kuudel olid selliste narratiivide hulgas näiteks laialdaselt levitatud väited, nagu tegutseksid Ukrainas salajased biolaborid, ja arvukad katsed tekitada segadust Ukraina tsiviilsihtmärke tabanud sõjaliste rünnakute ümber.

Uue algatuse raames oleme Microsoftis selle küberohu jälgimiseks ja prognoosimiseks appi võtnud tehisintellekti, uued analüüsiriistad, senisest laiemad andmehulgad ja rohkem eksperte. Need uued võimekused lubavad meil hinnata, et Venemaa kübermõjuoperatsioonid suurendasid Vene propaganda levikut pärast sõja algust Ukrainas 216% ja Ameerika Ühendriikides 82%.

Käimasolevad Venemaa operatsioonid toetuvad hiljutistele jõupingutustele levitada mitmes Lääne riigis valenarratiive COVID-19 kohta. Nende pingutuste seas olid näiteks 2021. aastal riiklikult toetatud kübermõjuoperatsioonid, mille eesmärk oli inimesi ingliskeelsetes Interneti-postitustes hirmutada vaktsiine mitte kasutama, julgustades samas vaktsiinide kasutamist venekeelsete saitide kaudu. Viimase kuue kuu jooksul on sarnased Venemaa kübermõjuoperatsioonid proovinud lõkkele puhuda avalikku vastuseisu Uus-Meremaa ja Kanada COVID-19 poliitikatele.

Meil on kavas eelseisvatel kuudel ja nädalatel Microsofti tööd selles valdkonnas veelgi laiendada. Lisaks ettevõttesisesele kasvule hõlmab see ka meie hiljuti välja kuulutatud kokkulepet Miburo Solutionsi hankimiseks. Tegemist on ühe juhtiva küberohtude analüüsimise ja uurimise ettevõttega, kes on spetsialiseerunud just välisriikide kübermõjuoperatsioonide tuvastamisele ja neile reageerimisele.

Oleme mures, et paljud Vene kübermõjuoperatsioonid saavad praegu kuude kaupa nii kesta, et neid ei suudeta õigesti tuvastada, analüüsida ega avalikult arutada. See mõjutab üha enam mitmesuguseid olulisi institutsioone nii avalikus kui ka erasektoris. Ja mida kauem sõda Ukrainas kestab, seda olulisemaks muutuvad need operatsioonid tõenäoliselt Ukraina enda jaoks. Pikema sõja korral on paratamatult oht, et inimesed lihtsalt väsivad, kuid vaja on avalikkuse toetust hoida. See teadmine peaks selgitama, kui oluline on Lääne kaitsemehhanisme seda tüüpi kübermõjuoperatsioonide tõrjumiseks tugevdada ja kui kiire sellega on.

Nagu sõda Ukrainas näitab, on need ohud küll oma olemuselt erinevad, kuid Venemaa valitsus ei käsitle neid omaette vahenditena ja seetõttu ei peaks ka meie neid analüüsimiseks üksteisest lahus hoidma. Lisaks tuleb kaitsestrateegiates arvesse võtta selliste küberoperatsioonide koordineerimist kineetiliste sõjaliste operatsioonidega, nagu oleme Ukrainas näinud.

Nende küberohtude tõkestamiseks on vaja välja töötada uusi tööriistu ning kaitse sõltub neljast ühisest põhimõttest ja – vähemalt kõige kõrgemal tasandil – ühisest strateegiast. Esimese kaitsepõhimõttena tuleks mõista, et Venemaa küberohte levitavad samad ründajad, kes töötavad Venemaa riigiasutustes või on nendega seotud ja kes kasutavad sarnaseid digitaalseid taktikaid. Seetõttu on nendega võitlemiseks vaja edasi arendada nii digitaalset tehnoloogiat, tehisintellekti kui ka andmeid. Seda arvesse võttes tuleks teise põhimõttena mõista, et erinevalt varasema aja traditsioonilistest ohtudest peab küberohtudele reageerimine sõltuma avaliku ja erasektori senisest tugevamale koostööle. Kolmanda põhimõttena tuleks omaks võtta arusaam, et avatud ja demokraatlike ühiskondade kaitseks peavad riikide valitsused tegema tihedat ja mitmepoolset koostööd. Ning lõpetuseks tuleb neljandaks kaitsepõhimõtteks võtta väljendusvabaduse toetamine ja tsensuuri vältimine demokraatlikes ühiskondades, võttes samas arvesse, et meil on vaja välja töötada uued meetodid astumaks vastu küberohtudele, mille seas on ka kübermõjuoperatsioonid.

Tõhusaks reageerimiseks tuleb strateegiliste tugisammastena aluseks võtta just need põhimõtted. Neile toetudes tuleb kollektiivseid võimekusi tõhustada, et saaksime võõrriikidest lähtuvaid küberohte paremini tuvastada, halvata ja tõkestada ning end nende eest kaitsta. See lähenemine kajastub juba praegu paljudes ühistes jõupingutustes hävitavaid küberründeid ja küberspionaaži peatada. Need põhimõtted kehtivad ka pidevalt käimasolevale kriitilise tähtsusega tööle lunavararünnete tõkestamiseks. Nüüd läheb meil vaja sarnast põhjalikku lähenemist koos uute võimekuste ja kaitsemehhanismidega, et edukalt võidelda Venemaa kübermõjuoperatsioonidega.

Nagu käesolevast aruandest näha, ei paku sõda Ukrainas meile üksnes olulisi õppetunde, vaid ka kutset tegevusele, ärgitades meid välja töötama tõhusaid meetmeid, millel on demokraatia tuleviku kaitsmisel eluliselt oluline roll. Ettevõttena kohustume andma endast parima, et seda tööd toetada – sealhulgas nii jooksvate kui ka uute investeeringute kaudu tehnoloogiasse, andmetesse ja partnerlustese, mis toetavad riigiasutusi, ettevõtteid, valitsusväliseid organisatsioone ja ülikoole.

Lisateavet leiate täielikust aruandest.