2015. aastal kaotasid eraisikud üle maailma küberkuritegevuse tõttu ligi 150 miljardit dollarit. Kahju kannatas ligi 600 miljonit inimest. Ettevõtete kahjud ulatusid tõenäoliselt triljonitesse dollaritesse. See näitab hästi, kui tõsine on probleem. Hiljutisel maailma majandusfoorumil teatasid kaheksa riiki, et küberkuritegevus on maailma probleem number üks. Isegi suurem kui migratsioon, näljahäda ja terrorism. Need riigid olid USA, Saksamaa, Jaapan, Šveits, Holland, Malaisia, Singapur ja Eesti.

Joseph Carsonile teeb see heameelt, sest ta näeb oma silmaga, kui tõsiseks on olukord muutunud.

Te olete eetiline häkker. Kas olete kunagi ka kurjategijate poolel olnud?

Ei ole. Minu töö on alati olnud preventsioon, halva ärahoidmine. Eetilise häkkeri ülesanne on nõrgad kohad tuvastada enne halbade kavatsustega inimeste rünnakut.

Kui paljud ettevõtted pöörduvad teie poole palvega end turvalisemaks muuta?

Just selles küsimuses ongi tõsine probleem. Valdav osa firmasid tuleb alles siis meie juurde, kui midagi halba on juba juhtunud. Alles siis hakatakse riske välja selgitama. Tavaliselt tegeleb ettevõttes küberturvalisuse teemaga ainult IT-osakond, kuid tegelikult on see juhtkonna rida. Turvalisus mõjutab äritegevust tuntavalt.

Millised on peamised vead, mida ettevõtted teevad?

Ettevõttes peavad kehtima IT reeglid. Ei saa loota, et inimesed käituvad õigesti. Kõik, kes kasutavad tehnoloogiaid, peavad reegleid järgima. Tarvis on mõelda, mis taseme kaitset konkreetsed inimesed vajavad. Tavaliselt rahuldutakse tulemüüri ja viirusetõrjega. See on vale. Ei tohi eeldada, et sind ei rünnata kunagi. Tuleb mõelda, et sind rünnatakse kogu aeg.

Levinud arvamus on, et rünnatakse suuri ja rahakaid ettevõtteid. Väikestel ja keskmistel ei pruugi enda kaitsmiseks aga raha olla.

Kuritegelikke häkkerirühmitusi on palju. Nendega teevad koostööd näiteks ravimi- ja relvatööstused.

Esiteks rünnatakse väga tihti just väikseid ja keskmise suurusega ettevõtteid. Suuremad ründed ongi nende pihta. Aga see on hüppelaud suuremate ründamiseks. Praegu on keskmise küberrünnaku kahju ettevõttele kolm miljonit eurot. Pead mõistma, milline on sinu vastu suunatud rünnaku võimalik mõju. Riske tuleb mõista. Rünnaku korral võid kaotada raha või usalduse. Partnerid ja kliendid võivad kaduda. Muide, arenev valdkond on küberkindlustus, mida ettevõtted üha enam kasutavad. Selle jaoks peab aga täitma turvalisusreegleid.

Kas rohkem on üksiküritajaid või jõuke?

Eks üksikuid häkkereid ole ikka ja nende arv on püsinud üsna stabiilsena. Nemad tihti lihtsalt katsetavad. Sest põnev on. Kuritegelikke rühmitusi on aga palju. Nendega teevad koostööd näiteks ravimi- ja relvatööstused. Nad palkavad häkkereid või sõlmivad nendega lepinguid, et nad aitaksid kaupa üle piiri saada. Somaa-lia piraadid häkivad laevadesse või lasevad seda teistel teha. On riike, kus seadustik on küberkuritegude vastu väga leebe, ja sealt tuleb ka lõviosa rünnakuid.

Kas küberkuritegevuses saab ka trendidest rääkida?

Ikka. Viimastel aastatel on suur teema olnud deebet- ja krediitkaar-dipettused. Finantssektor on aga teinud väga head tööd ja see ei ole enam nii isuäratav. Kasvu on näha meditsiinisektoris – nii tööstuses üldiselt kui ka konkreetselt raviandmete puhul. Seal on regulatsioon ja kontroll tihti nõrgad. Neid hakatakse üha enam ründama. Samamoodi on üha suurema löögi all kõik ettevõtted, kes hoiavad salajasi andmeid. Seal tekib kurjategijatel võimalus raha välja pressida.

Ei tohi eeldada, et sind ei rünnata kunagi. Tuleb mõelda, et sind rünnatakse kogu aeg.

Me näeme kindlasti ka rohkem väljapressimisviirusi, mida seadmetesse saadetakse. Need krüpteerivad ohvri andmed. Lahtikodeerimiseks peab ettevõte või inimene maksma kena summa. Nutiseadmed, mille küljes on kaamerad ja mikrofonid, on rünnakutele avatud.

Hiljuti jahmatas maailma Ukraina juhtum, kus häkkerid suutsid ajutiselt välja lülitada suure piirkonna elektrivarustuse. Võib see juhtuda ka mujal?

Ukraina juhtum ei olnud valdkonna inimestele uudis. Oli vaid küsimus, millal ja kus midagi sellist juhtub. Kriitilise tähtsusega infrastruktuur on alati löögi all. Kui on tarvidus, siis on võimalik mis tahes riik pimedaks teha. Mõne riigi puhul on see siiski väga keeruline.

Ma kaitsen ennast ja oma peret. Ma ei kasuta oma seadmetes vaid üht sisselogimist.

Aga kui tahtmist on, võib teha palju kahju. Eelmise aasta septembris avaldas USA energeetikaministeerium raporti, kust oli näha, millised küberrünnakud olid viimastel aastatel toimunud. Sealt on näha, millised katastroofid oleksid võinud juhtuda. Neid ei juhtunud, sest ründajal olid teised eesmärgid: koguda andmeid, uurida haavatust jne. Valedes kätes aga oleks kõik võinud teisiti minna.

Just seetõttu on väga oluline, et kaheksa riiki, sh Eesti, majandusfoorumil sellise avalduse tegid, et küberkuritegevus on praegu maailma suurim oht.

Mida teie valdkonnas järgmisena oodatakse? Mida rünnatakse?

Näiteks autonoomsed sõidukid – isesõitvad autod ja rongid. On küsimus, kui turvalised on lennukid ja meie kodud. Mida rohkem seadmeid ühendame, seda ohtlikum. Elame algoritmide maailmas, aga kui me neid petta suudame, siis võidame. Kriitilise tähtsusega infrastruktuurid, energeetika ja andmed on löögi all. Euroopa Liit astub õnneks olulisi samme. Ennustan siiski, et tulevik toob suuri segadusi, mida põhjustavad küberrünnakud. Olulised teenused peatatakse. See on vaid aja küsimus.

Te ise olete kindlasti hästi kaitstud?

Ma kaitsen ennast ja oma peret. Ma ei kasuta oma seadmetes vaid üht sisselogimist. Eri kanalites on mul parimad turvaseadistused. Eri teenuste jaoks on mul erinevad ja keerukad salasõnad. Ma krüpteerin oma seadmeid ega kasuta avalikku wifit. Siiski tean, et ma ei ole kuulikindel. Kui vaatan oma seadmetega seotud logisid, siis näen, et mind püütakse kogu aeg rünnata.

Carson tegutseb internetiturvalisuse valdkonnas alates 1991. aastast. Alguses Põhja-Iirimaal, kus ta vastutas esmalt meditsiinisektori turvalisuse eest. Ta on töötanud panganduses, kus ta muu hulgas analüüsis turvalisust ja jälgis ning hoidis ära rünnakuid. Ta osales ka Maailma Kaubanduskeskuse kaksiktornide hävitamise tagajärgede likvideerimises, kui lakkas töötamast üleatlandiline võrk.

Tänaseks on ta võtnud endale missiooni aidata ettevõtetel turvalisemaks muutuda. Ta on eetiline häkker ja käib maailma eri paigus küberturvalisusest ja andmekaitse olulisusest rääkimas.