17 December 2018

Riskianalüüsil põhinev turvalisus

Hetkel on RIA poolt tugev plaan muuta kogu info- ja küberturve riskihinnangutel põhinevaks. Seega jätkame sealt, kus pooleli jäime: a) Küberturvalisuse seadus ja b) ISKE.

Riskianalüüsi metoodika väga lühidalt kirja panduna oleks selline:

  1. Kirjelda riskianalüüsi aluseks olev objekt (IT-seadmed, varad, protsessid vms);
  2. Pane kirja sellele objektile võimalikult mõjuvad ohud;
  3. Pane kirja selle objekti ohtudele vastavad nõrkused;
  4. Hinda iga ohu realiseerumise tõenäosust;
  5. Hinda iga ohu realiseerumise mõju;
  6. Funktsioon tõenäosusest ja mõjust annab võimaliku riski suuruse (funktsioon võib olla korrutis või summa või midagi muud, näiteks vastavustabel).
Sealt edasi tuleks juba hakata nende riskidega tegelema. Võimalikke tegutsemismeetodeid on neli:
  1. Riski ei võeta (vastavaid seadmeid ei soetata, protsesse ei juurutata jne);
  2. Risk jagatakse (kindlustus, leppetrahvid vms);
  3. Võetakse kasutusele turvameetmed;
  4. Risk aktsepteeritakse.
Küberturvalisuse seadus näeb ette, et iga teenuse pakkuja või KOV või arstiteenuse pakkuja peaks tegema riskianalüüsi. Vastava metoodika on Ettevõtlus- ja tehnoloogiaminister kehtestanud oma määrusega

Iseenesest on lahendus olemas aga mis selle juures on nõrgad kohad? Eestis ei ole just väga palju inimesi, kes igapäevaselt riskihaldusega tegelevad. Kehvemal juhul juhtub nii, et mõni direktor või vallavanem viskab selle oma töökeskkonna voliniku lauale ja laseb tollel riskianalüüsi valmis teha. Loogika on siin lihtne - töökeskkonna volinik teeb töökeskkonna riskianalüüse, asi siis veel üks riskianalüüs valmis teha.

Kui nüüd loota, et riskianalüüsi võetakse tõsiselt, siis satume järgmiste probleemide otsa:
  1. Kuskohast võtta võimalike ohtude loend? Kui hakata ise välja mõtlema, siis võib mõni oht lihtsalt teadmatusest või mis iganes muul põhjusel ununeda.
  2. Kuskohast võtta nõrkuste loend? Hetkel on ISKE mitterakendamise põhjenduseks toodud selle keerukus. Isiklikult minu arvates on tegelikult eksisteerivate nõrkuste hindamine veelgi keerulisem.
  3. Kuskohast võtta realiseerumise tõenäosus? USA-s, Brittidel, Kanadas ja veel mõnes kohas on olemas vastavad tabelid aga Eestis on nendega natuke keeruline hakkama saada - seal pole kõiki ohte (n. ID-kaardiga seonduvad) ja samuti kipuvad riski tasemed olema riigiti üsna spetsiifilised. 
Kõige lihtsam lahendus oleks, kui RIA hakkab avaldama vastavaid loendeid ning riski realiseerumis statistikat. Samas ei muudaks see lõppkokkuvõttes kogu süsteemi haldust või rakendamist lihtsamaks. Lisaks pole küberintsidentide registrist lubatud statistikat välja anda, vähemalt ei ole küberturvalisuse seaduses selle kohta midagi öeldud ning registri põhimäärus on jätkuvalt kehtestamata...

Üldiselt arvaks ma hetkel nii, et kui hetkel peaks hakkama riskipõhiselt lähenema (küberturvalisuse seadus seda võimaldab), siis ülima tõenäosusega hinnatakse riskid nii alla kui võimalik, peaasi et mingeid lisategevusi ei peaks tegema. 

Vaatame, kuidas edasi hakkab minema :) 

15 October 2018

ISKE valud ja võlud



Tänase seisuga on Eesti etalonturve (vahel nimetatakse ka tüüpturve või baasturve) umbes 20 aastat vana. Esimene Infosüsteemide Kolmeastmelise Etalonturbe (ISKE) käskkiri anti välja 16 aastat tagasi. Turvameetmete auditeerimine tehti kohustuslikuks 12 aastat tagasi... aga tänaseni veel kuuleme, kuidas ISKE on paha ja ka sellest, kuidas elementaarsetest asjadest mööda vaatamise tõttu jälle mõni suurem või väiksem turvaintsident juhtub. Aga... Vaatame siis, mis on taolise etalonturbe valud ja võlud...

Etalonturve (baasturve) pole midagi uut ega haruldast. Eesti enda süsteem on koopia sakslaste BSI-st. Sarnased süsteemid on olemas pea kõikides arenenud infoturbega riikides, näitena: Katakri Soomes; NIST 800-53 Ühendriikides; InformationSecurity Manual (ISM) Austraalias.

Põhjus, miks etalonturbe teed minnakse on ilmne – ta on hästi lihtne. Pole vaja tegeleda riskianalüüsidega, samuti pole vaja hakata ise välja mõtlema turvatasemele sobivaid turvameetmeid – nimekiri on ees, vaatad üle, rakendad ära ja valmis. Samuti on hästi lihtne selle auditeerimine – vaatad nimekirja üle, kontrollid, kas kõik vajalikud meetmed on rakendatud ning ongi korras. Tulemus – omavahel ühendatud süsteemidel on sarnastel alustel turvatase ning selle kohta on olemas kolmanda osapoole kinnitus.

Miks siis ikkagi asju tehtud ei saa või miks rahul ei olda või mida muuta, et asi parem oleks? Üldiselt võib selle kokku võtta kolme sõnaga – teadlikkus, teadlikkus, teadlikkus.

Üldine teadlikkus – etalonturbe meetmete kataloogid on väga mahukad ja kui turvateadlikkuse baas on nõrk, siis ollakse koheselt segaduses. ISKE tüüpiline rakendamine nägi välja nii, et asutuse juht avastas, et ta peab rakendama ISKE-t, vaatas sellele korra otsa, sattus masendusse, printis kõik 3500 lehekülge välja, tõstis selle paki IT-kuli lauale ja ütles: „rakendatagu”. IT-kuli lappas seda pakki, avastas et kõvasti üle poole on selline, mis üldse ei seostu IT-ga ja muutus õnnetuks.
Sarnane muster joonistub kahetsusväärselt sageli välja ka ISKE rakendamise teenuse sisseostmisel. Hangitakse sertide ja teadmistega tüüpe ning öeldakse neile: „rakendatagu”. See, et tegelikult on tegemist organisatsiooni arendamisega, jääb tellijatele mõistmatuks.

Teadlikkus konkreetsete meetmete osas. Meetmete hulgaga seondub servast ka nende ajakohasus ning kirjelduse kvaliteet. Nimelt on meetmete loendi aluseks, nagu varasemalt juba märgitud, sakslaste BSI. Sakslastel endil on uuendamise tsükkel 18 kuud. Kui raha maksta ei taheta, siis tasuta on võimalik kasutada eelmist versiooni. Teisisõnu – lisandub veel 18 kuud. Siseriiklikult lisandub aeg tõlkimisele ja kehtestamise bürokraatiale – veel aasta. Tulemus on see, et turvameetmete loendis on vähemalt neli aastat vanad asjad ning puuduvad hetkel aktuaalsed turvameetmed.

Tõlkija ja toimetaja teadlikkus, ehk teisisõnu – meetmete kirjelduse sisu. Hetkel on kirjelduste sisu väga ebaühtlane. Kohati on see väga detailne aga ei sobi väga Eesti konteksti, kohati on mitu lehekülge väga udust teksti, millest võib välja lugeda mida iganes.

Siia juurde tuleks muidugi nimetada ka veel neljas probleem – Saksa Infoturbeamet tahab oma baasturbemeetmetele teha täieliku restardi. Hetkel pole veel väga kindel, mis toimuma hakkab, kuid selge on see, et midagi muutub. Ühe märgina muudatustest on see, et nad on vana BSI suures osas integreerinud oma IS Security Manuali sisse.

Hüva, siin me nüüd oleme aga kuidas edasi? Kui mitte hakata laiemalt lahkama infoturvet käsitlevat õigusruumi, siis põhimõtteliselt on kolm teed:
    1. Oodata, kuni sakslased oma mõtete ja tegudega on kuhugi jõudnud ja siis koos nendega edasi minna;
    2. Hakata ise ISKE-t püsti hoidma;
    3. Valida mingi teine standard uueks põhjaks ja sellega edasi minna.
Igal neist valikutest on oma head ja vead ning pikemalt neid võibolla ei lahkaks aga... kui tsiteerida klassikuid: „ I have dream...”
Isiklikult minu arvates võiks edasi minna mingi teise standardiga. Aluseks võib võtta ühe kolmest loo alguses nimetatust, kusjuures hetkel oleks arvatavasti kõige lihtsam, kui valida soomlaste KATAKRI ning selle kasutamise eest panustada selle arendamisse. Lisaks tuleks meil ümber kirjutada hetkel kehtivad ISKE rakendusjuhend ja auditi juhend. Kogu töö võiks olla enam-vähem aastaga tehtud.

Sedasi saaks rahuldatud küberturvalisuse seaduse riskianalüüsi nõue ning ühtlasi ka oleks olemas elementaarne meetmete loend, mida on lihtne rakendada ja auditeerida. Pikemas perspektiivis oleks kasulik siia juurde tekitada ka mingi tööriist, kuid see on juba järgmise jutu teema.

Disclaimer: käesoleva loo autor ei kavatse kandideerida RIA osakonnajuhataja ametikohale. Lugu on kirjutatud ISKE rakendaja ja audiitori seisukohalt, puhtalt isikliku arvamuse avaldamiseks ning loodetavasti üldiseks hüvanguks.

18 May 2018

Küberturvalisuse seadus


Oma kursusel „Sissejuhatus infoturbesse“ pean ühe loengu ka infoturvet reguleerivate õigusaktide teemal. Kuna konkreetne loeng on ülevaatlik ja käsitletavaid õigusakte päris mitu, siis vaatleme ainult väga põhilisi asju – mida reguleerib, kuidas reguleerib, keda puudutab ja keda mitte ning seosed või vastuolud teiste õigusaktidega. Kuna ma ise olen eelkõige praktik, siis analüüsime õigusakte justnimelt praktiku seisukohast. Juhul, kui on vaja põhjalikumalt süveneda siis on minu soovitus alati olnud, et abi tuleks otsida juriidilise haridusega isiku käest.

Küberturvalisuse seadus võeti vastu 14.05.2018 ning praeguse plaani järgi peaks see alustama kehtimist 23.05.2018. RIA, kui selle õigusakti põhiline eestvedaja, esitles seda, kui suurt töövõitu. Kahjuks on see õigusakt üks suur pettumus. Olen kunagi detsembris riigikogusse läinud versiooni kohta kasutanud väljendit: „paras rulli keerata ja sisse istuda“ ja… no ei ole vahepeal oluliselt paremaks läinud… Aga võtame järjest.

Mida reguleerib

Paragrahv 1 lõige 1 ütleb: „Käesolev seadus sätestab ühiskonna toimimise seisukohast oluliste ning riigi ja kohaliku omavalitsuse üksuse võrgu- ja infosüsteemide pidamise nõuded, vastutuse ja järelevalve ning küberintsidentide ennetamise ja lahendamise alused.“

Teisisõnu – reguleeritakse ainult võrguturvet ja infosüsteeme. Seadusega kehtestatav termin „võrgu- ja infosüsteem“ (§2 lg 1) määratleb väga täpselt ära millest jutt käib ja küberist on asi ikka väga kaugel. Antud juhul on probleem selles, et juhul, kui keegi nüüd soovib hakata ka päriselt küberiga tegelema, siis on tal teed kinni. Ainuke võimalus on selle sama seaduse muutmine.

Kuidas reguleerib

Võrgu- ja infosüsteemide puhul on paika pandud põhimõtted ja turvameetmete rakendamise nõue ning järelevalve nende nõuete täitmise üle.

Küberturvalisuse põhimõtted on: isiklikkuse põhimõte; tervikliku kaitse põhimõte; kahjuliku mõju vähendamise põhimõte; ja koostööpõhimõte.
Kommentaariks: kõik need põhimõtted on väga head aga tõlgendamise ruumi on päris palju. Ma ütleks isegi, et liiga palju. Tõlgendamise ruumi vähendavad natukene turvameetmete rakendamise punktid, kuid vaatame lähemalt…

Turvameetmed tuleb rakendada intsidendi ennetamiseks, lahendamiseks ja mõju leevendamiseks. Meetmete rakendamisel tuleb koostada riskianalüüs, koostada turvaeeskirjad, rakendada turvameetmed ning kõik see ära dokumenteerida (§7 lg2 pp1-2).
Kommentaariks: riskianalüüsi nõue on hea ja vajalik, kuid sellises sõnastuses laseb see veega alla ISKE ja selle rakendamise. Kusjuures on see põhimõtteline teema – tüüpturve ei eelda riskianalüüsi ning riskianalüüsile põhinevale turbe rakendamisele järgnevalt veel tüüpturvet rakendama hakata on täiesti mõttetu.

Huvitav on punkt, mis käsib üles seada seiresüsteemi ning tulemusi edastama RIA-le (§7 lg2 p3).
Kommentaariks: Punktist ei selgu küll täpselt, mida mõeldakse, kuid sõnastuse põhjal oletaksin, et mõeldud on IDS-i (Intrusion Detection System). Iseenesest ei ole seiresüsteemi ülesseadmine midagi keerulist, küll aga hakkab see hilisemas ekspluatatsioonis nõudma üsna suurt ressurssi nii tehnilises kui ka inimeste mõttes. Väiksemale ettevõttele või asutusele ei ole selline asi üldsegi jõukohane. Omaette huvitav küsimus saab olema informatsiooni edastamine RIA-le – kuidas see peaks välja nägema, kas tuleb see seiresüsteem teha väljast juurdepääsetavaks ja anda RIA tüüpidele ligipääsuõigused, või tuleb korra nädalas/päevas esitada mingi raport.

Paragrahv 7 punkt 4 käsib kasutusele võtta intsidendi mõju ja leviku vähendamise abinõud – intsidendihalduse protseduurid.
Kommentaariks: Iseenesest pole midagi üle mõistuse – kehvemal juhul tuleb lihtsalt juhe seinast välja sikutada ja ongi kogu lugu. Samas, keerulisemal juhul eeldab see eriettevalmistusega seltskonda (CSIRT) ning sellise võimekuse hankimine ei pruugi väiksemates kohtades olla üldse mõttekas.

Seaduse paragrahv 8 ütleb, et turvaintsidendist tuleb teavitada ning paneb üsna täpselt paika, millistel tingimusetel ning kuidas see käib.
Kommentaariks: Nõue, kui selline on positiivne, kuid koosmõjus teiste õigusaktidega (eelkõige GDPR aga ka valdkondlikud regulatsioonid) tekib olukord, kus teavitada tuleb heal juhul kolme, kehvemal juhul kuni viite osapoolt. Näiteks peab pank oma infosüsteemi rikke puhul teavitama Finantsinspektsiooni, RIA-t ja AKI-t ning lisaks välja saatma ka veel pressiteate.

Keda puudutab

Alustame sellest, keda ei puuduta. Regulatsioon ei kohaldu digitaalteenuse osutajale, kellel on alla 50 töötaja ja kelle aastakäive on alla 10 miljoni EUR-i. Sisuliselt välistab see enamiku Eesti internetiteenuse pakkujatest, sealhulgas Eesti suurima domeenide registripidaja.

Minu lemmiknäide oleks siin „osta.ee“. Neil on ~300tuhat registreeritud kasutajat ja ~200tuhat unikaalset külastust päevas ning kui mõni neist laseb seal keskkonnas kogemata mõne pahavara lahti, siis on kõik hästi – antud regulatsioon osta.ee-d ei puuduta.

Puudutab see õigusakt kindlasti kolme suuremat telkot, kõiki elutähtsa teenuse osutajaid, kõiki riigiasutusi ja kohalikke omavalitsusi. Kurioosumina tuleks märkida, et see õigusakt puudutab kõiki perearste (§28 lg1) ning samuti ka suuremaid muuseume. Muuseumitega on see huvitav lugu, et vastavalt §4 lg1 p1 on digitaalse teenuse osutaja see, kes pakub internetipõhist kauplemiskohta ning paljudel muuseumitel on olemas oma veebipood. Näiteks https://pood.ekm.ee/

Järelevalve

Kõige rohkem furoori on kahtlemata tekitanud RIA-le antud õigus infosüsteemil juhe seinast välja tõmmata. Kuna konkreetsete punktide sõnastus on pehmelt öeldes sant, siis on ka täiesti arusaadav, miks selline õiguste andmine poleemikat tekitab.

Samas on tähelepanuta jäänud, et RIA on saanud õigused küsitlemiseks ja dokumentide nõudmiseks; Kutsumiseks ja sundtoomiseks; Isikusamasuse tuvastamiseks; Vallasasja läbivaatuseks ja selle hoiule võtmiseks; ning Valdusesse sisenemiseks ja selle läbivaatuseks.

Õnneks (või kahjuks) pole sanktsioonid just väga suured – turvameetmete rakendamata jätmise eest saab eraisikut karistada kuni 200 trahviühikuga ning juriidilist isikut kuni 20tuhande euroga.

Seosed teiste õigusaktidega

Küberturvalisuse seadus tekitab teatava vaakumi (või siis ülekatte) eelkõige just riigiasutustes ja KOV-des, kuna need peavad rakendama nii AvTS-ist tulenevaid nõudeid – ISKE, kui ka käesolevast seadusest tulenevaid nõudeid – tegema riskianalüüsi. Nagu eelnevalt sai mainitud, muudab see ISKE mõttetuks või siis tekitab tohutu ülekulu.

Teine asi, mis isiklikult minu jaoks tekitas suure hämmingu, oli seaduse koostajate väide, et seos Isikuandmete kaitse üldmäärusega puudub. Tuletame meelde varasemas loengus käsitletud infoturbe definitsiooni: Infoturve on riskihalduslik tegevus teabe turvalisuse säilitamiseks vastavalt organisatsiooni tegevuse eesmärkidele, sealhulgas ka andmekaitse realiseerimise vahendina. [https://akit.cyber.ee/term/513-infoturve ]

Siia juurde peaks lisama, et EU-s tulid nad välja ühise paketina ning kui neid nüüd omavahel võrrelda, siis on seal väga palju ühiseid tegevusi: riskianalüüs, turvameetmete rakendamine, turvameetmete rakendatuse kontroll, intsidendist teavitamine jne.

Kui me nüüd vaatame Küberturvalisuse seaduse aluseks olevat EU võrguturbe direktiivi, siis seal on mitmes kohas vähendatud halduskoormust sellega, et kui turvameetmed või teavitamine on sätestatud mõne teise õigusaktiga, siis mingeid täiendavaid tegevusi enam teha pole vaja.

Viited

Siia juurde lihtsalt informatiivsetel eesmärkidel üks pildike standardist EVS-ISO/IEC 27032:2018 – Infotehnoloogia Turbe meetodid Küberturbe juhised

Jutt isikuandmete kaitse üldmääruse kohta http://www.aki.ee/et/andmekaitse-reform/isikuandmete-kaitse-uldmaarus
RIA poolne reklaamjutt seaduse kohta https://www.ria.ee/ee/kuberturvalisuse-seadus.html

04 May 2018

Küberründed on juba inimelusid nõudnud

Tänases Äripäevas arvab küberturvalisuse ekspert Karen K. Burns, et ilmselt on küberrünnakute tagajärjed juba inimohvriteni viinud. Ega siin arvata pole suurt midagi - jah on. Esimene teada olev juhtum pärineb juba 15 aasta tagusest ajast. Asjatundjad on arvamusel, et põhjuseks oli SQL Slammer.

30 April 2018

Kübermõistete selgitusi


Eesliite „küber-“ definitsiooni, sisu ja etümoloogia üle on olnud palju vaidlusi ja jätkuvalt on igal veel oma arusaam. Arvatavasti on oma osa siin ka sellel, et tegemist on „seksika“ sõnaga, mis on põhjustanud termini väär- ja ülekasutust. Praktilisest vajadusest lähtuvalt olen olnud sunnitud infoturbe lektorina neid mõisteid defineerima ning omavahel seostama. Alljärgnevalt esitan küber-mõistete definitsioonid ja nende omavahelised seosed, nii nagu mina neid näen ja oma loengutes selgitan.

Mõistete selgitamisel alustan ma tavaliselt veidi kaugemalt – eesliite etümoloogiast. Eesliide „küber-“ tuleneb mõistest „küberneetika“ ning vaadelgem, kuidas seda defineerib andmekaitse ja infoturbe sõnastik (AKIT).

Küberneetika

Küberneetika ( < krk κυβερνητική, "laevajuhtimiskunst") - Norbert Wiener võttis termini süsteemide isereguleerimise tähenduses kasutusele raamatus „Cybernetics: Or Control and Communication in the Animal and the Machine“ (1948, teine trükk 1961); eesti keeles: "Küberneetika ehk juhtimine ja side loomas ning masinas" (1961).

Küberneetika, kui termini olemus - teadus informatsiooni saamise, talletuse, edastuse ja muundamise kohta. Küberneetika uurib
- Informatsiooni ja selle töötlemise liikumise üldisi seaduspärasusi, struktuure, võimalusi ja kitsendusi;
- Informatsiooni töötlemist keerukates tehnilistes, bioloogilistes või sotsiaalsetes juhtimissüsteemides;
Sageli kasutatakse terminit lihtsalt suvalise süsteemi tehnika abil juhtimise mõistes.

Nagu näeme, mõeldakse küberneetika all eelkõige juhtimissüsteeme. Kõige lihtsamal juhul on selleks tavaline käsk-tagasiside, keerulisematel juhtudel räägime mõjutamisest või motiveerimisest.
Siit edasi vaatleme kõige mahukamat küberiga seotud mõistet

Küberruum

Ehkki vahel peetakse sõna algallikaks küberpunki klassiku William Gibsoni 1984 avaldatud raamatut "Neuromancer" (Neuromant) ning peaks see tähendama meelelahutuslikku virtuaalset keskkonda internetis, ei saa sellist käsitlust pidada päris korrektseks. Kui vaadata raamatu sisu, siis räägib see loo, kus inimesele on juurde liidestatud integreeritud süsteem (ik embedded system), mida inimene pole (enam) suuteline juhtima.

Käesoleva teksti autori defineerib küberruumi nii:
Küberruum on info- ja kommunikatsioonitehnoloogia seadmete võrk, mis võib sisaldada Internetti, erinevaid telekommunikatsiooni võrke ja arvutisüsteeme ning integreeritud protsessoreid või -kontrollereid ning on mõeldud juhtimiseks. Küberruum koosneb füüsilise võrgu kihist, loogilise võrgu kihist ja kübertegelaste kihist ning füüsilisest, informatsioonilisest ja kognitiivsest dimensioonist.
Selline sõnastus annaks vast ehk kõige paremini ettekujutuse kübertemaatika keerukusest, mitmekihilisusest, multidimensionaalsusest ning ka omavahelistest seostest.

Nagu näeme, on küberruumi põhiliseks komponendiks „juhtimine“. Samuti tasub tähele panna, et küber pole asi iseeneses, vaid põhineb füüsiliselt eksisteerivatel persoonidel ja seadmetel ning selle süsteemi omavahelistel ühendustel.

Ameeriklased on terminit veel natukese laiendanud ning ära kirjeldanud operatsioonid küberruumis. Ehkki tegemist on sõjalise dokumendiga, tasub ka tsivilistidel sellest lähtuda, kuna esiteks on küberruum üks ja ühine ning teiseks on sõjalistes operatsioonides kõige suuremaks kannatajaks tsiviiltaristu ning rahulik elanikkond.

Kui me räägime küberruumist, siis me räägime interdistsiplinaarsest ja multidimensionaalsest keskkonnast. Erinevatest distsipliinidest on kaasatud informatsiooni- ja kommunikatsiooniteooria, infohaldus, psühholoogia, juriidika aga ka info- ja kommunikatsioonitehnoloogia, kui nimetada mõned.

Kui me räägime dimensioonidest, siis võib küberruumi kirjeldada kui kolme eraldi seisvat kihti: füüsilise võrgu kiht, loogilise võrgu kiht ja küber-tegelaste (ik cyber-persona) kiht.

Nende distsipliinide ja dimensioonide piirid on kohati üsna hägused ning pole harvad juhud, kus ühe sees või kattevarjus kasutatakse teist või kui üks läheb orgaaniliselt üle teiseks. Aga püüdes natuke lahti seletada erinevaid kihte:

  1. Füüsilise võrgu kiht koosneb geograafilisest komponendist ja võrgu komponentidest - see on meedium, kus andmed liiguvad. Geograafilise komponendi all mõeldakse asukohta maal, meres, õhus või kosmoses – võrgu komponentide füüsilisi asukohti. Võrgu komponentide all mõeldakse riistvara, tarkvara ja infrastruktuuri (vask ja optilised kaablid, wifi, satelliitside jne). Siinjuures tuleb tähelepanu juhtida sellele, et võrgu all ei mõelda ainult Internetti, vaid suvalist ühendust. Lihtne näide oleks tavaline katlamaja, kus juhtimissüsteem on ehitatud mingi väga lihtsa protsessori peale ning täiturmehhanismid võivad olla analoogühendusega. Samas tuleks tähele panna, et küberruumis on geopoliitilisi piire väga lihtne ületada ning et andmete liikumise kiirus on väga suur (läheneb valguse kiirusele). Tulenevalt on näiteks juhul, kui see sama katlamaja juhtimissüsteem on ühendatud Internetiga, selle juhtimine (ka pahatahtlik juhtimine ehk rünne) võimalik suvalisest maailma punktist.
  2. Loogilise võrgu kiht on füüsilise võrgu kihi abstraktsioon ning see kirjeldab, kuidas erinevad andmeedastuse teed võivad omavahel olla seotud. Näiteks käib siia alla VPN, aga samuti näiteks pilveteenus, kus ühele ja samale URI-le võib vastata mitu erinevat füüsilist serverit mitmes erinevas asukohas (n. Google).
  3. Küber-tegelaste kiht on veel kõrgem abstraktsioonitase. Küber-tegelase all mõeldakse ruumis olevat isikut või olemit, millel on kõik või peaaegu kõik seda isikustavad tunnused. Küber-tegelane võib olla konkreetne inimene aga ka ettevõte või asutus ning samuti ka mingi ühiselt tegutsev grupp. Isikustavate tunnuste all tuleb mõista nii identifitseerivaid andmeid kui ka muljet, mille see tegelane on küber-ruumis endast jätnud.
Siinjuures tuleb ära märkida, et üks konkreetne isik võib küberruumis evida mitut erinevat küber-tegelast, samuti võib ühe küber-tegelase taga olla terve grupp füüsilisi isikuid.

Kui jätkata kihtide, keskkondade ja dimensioonide selgitusega, siis tuleks kindlasti ära märkida informatsiooniline keskkond. Infokeskkond on agregatsioon isikutest, organisatsioonidest ja süsteemidest, mis koguvad, töötlevad või jagavad informatsiooni või tegutsevad vastavalt informatsioonile. Infokeskkond jaguneb füüsiliseks, informatsiooniliseks ja kognitiivseks dimensiooniks.

  1. Füüsiline dimensioon koosneb juht- ja kontrollsüsteemidest (ik command and control), võtmeisikutest ja toetavast infrastruktuurist, mis võimaldab üksikisikutel ja organisatsioonidel tegutseda. Füüsiline dimensioon sisaldab muu hulgas inimesi, ruume, ajalehti, arvuteid, nutitelefone vms, mida saab füüsiliselt piiritleda.
  2. Informatsioonilises dimensioonis toimub informatsiooni kogumine, töötlemine, hoiustamine ja jagamine.
  3. Kognitiivne dimensioon hõlmab inimeste mõistust, mis informatsiooni edastab, võtab vastu, sellele reageerib või siis tegutseb vastavalt. Selles dimensioonis inimesed mõtlevad, tajuvad, visualiseerivad, mõistavad ja otsustavad.
Küberruumi kontekstis tuleb seda viimast – kognitiivset dimensiooni – pidada kõige olulisemaks ning klassikalised küberründed on mõeldud just nimelt juhtimisotsuste vääramiseks. Selle kaitseks on loodud terve turbeharu, mille eesmärgiks on saavutada kübervastupidavus (ik cyber resilience).

Küber üldises kontekstis

Et paigutada erinevad küber-liitelised sõnad konteksti ja teha erinevatel terminitel vahet, siis mõned näited turbega seonduvalt.

Infoturve

Infoturve (INFOSEC) on teabe konfidentsiaalsuse, tervikluse ja käideldavuse säilitamine; täiendavad tervikluse meetmed võivad hõlmata näiteks autentsuse, jälitatavuse, salgamatuse ja usaldatavuse tagamist. Infoturve peab tagama et informatsiooni – nii füüsiliste kui ka digitaalse – kaitseks on kasutusele võetud kõik meetmed, vältimaks autoriseerimata juurdepääsu, kasutust, modifitseerimist, salvestamist või hävitamist.

Küberturve

Küberturve (CYBERSEC) on kogu eelpool kirjeldatud küberruumi kaitseks kasutusele võetud kõik vahendid, protseduurid ja muud turvameetmed. Suurem osa turvameetmeid on „laenatud“ infoturbest, kuid on mõningaid lisandusi, kuna küberturve on eelkõige mõeldud küber-tegelaste juhtimisotsuste adekvaatsuse tagamiseks.

Erinevused: INFOSEC vs. CYBERSEC

Tihti käib ka diskussioon selle üle, et kumb on kumma alamhulk. Isiklikult minu käsitluses evivad infoturve (INFOSEC) ja küberturve (CYBERSEC) mingit ühisosa, kuid lisaks on mõlemal omad asjad, millega teine ei tegele.
  • INFOSEC tegeleb ka näiteks paberkandjatel informatsiooni kaitsega, CYBERSEC sellega ei tegele.
  • INFOSEC ei tegele:
    • Kübersõja tegevustega;
    •  Infosõja tegevustega;
    • Inimeste, tarkvara ja teenuste omavaheliste negatiivsete sotsiaalsete mõjudega Internetis, nagu näiteks:
      • Alaealiste seksuaalne ärakasutamine Internetis;
      • Küber-radikaliseerumisega;
      • Küber-jälitamisega;
    • Kriitilise infrastruktuuri kaitsega;
    • Osaliselt ka asjade interneti turbega – osas, kus ei kasutata protsessoreid (mõned kontrollerid, passiivne RFID jne).

Erisusi on võimalik esitada ka järgneva tabeli kujul:
INFOSEC
CYBERSEC
Tegeletakse infoturbe baastasemega, mis hõlmab infoturbe strateegiaid, standardeid, poliitikaid, riskihaldust, sissetungi avastamise lahendusi ja infoturbe teadlikkuse tõstmisega
Intsidentide uurimine, mis sisaldab digitaaltõendite käsitlemist (forensics), andmete taastamist, turvamõõdikute aruandlust ning tõmmiste tegemist.
Pahavara uurijad, mis sisaldab andmete kaitsmist pahavara, robotite ja 0-päeva rünnete eest ning uute pahavaratuvastuse signatuuride arendamist.
INFOSEC tegeleb ainult informatsiooniga, sõltumata selle asukohast või vormist
CYBERSEC tegeleb kõigega, mis asub küberruumis
INFOSEC tegeleb paberkandjal oleva informatsiooniga
CYBERSEC ei tegele paberkandjatel olevate asjadega.
INFOSEC tegeleb andmete kaitsega igat sorti ohtude eest
CYBERSEC tegeleb ainult küberruumi ohtudega
INFOSEC peab tagama et informatsiooni – nii füüsiliste kui ka digitaalse – kaitseks on kasutusele võetud kõik meetmed, vältimaks autoriseerimata juurdepääsu, kasutust, modifitseerimist, salvestamist või hävitamist.
CYBERSEC tegeleb küberkuritegevusega, küberohtudega ning rünnetega juhtimisotsuste vastu, sealhulgas ka sotsiaalsete mõjutustegevustega

Küberturvalisuse näiteid

Juhtimisotsuseid tehakse väga erinevatel tasemetel – inimeste poolt tehtavatele juhtimisotsusele oleme korra vihjanud.

Konkreetne lihtne näide võiks olla selline – keegi tuleb maja välisukse juurde, helistab mõnda korterisse ja palub enda sisse laskmist. Korteris olev inimene peab nüüd kindlaks tegema, kellega on tegemist ja kas tal on põhjust majja sisenemiseks. IT-maailmas vastaks sellele autentimine ja autoriseerimine. Kui siin nüüd rääkida küberründest (suhtlus toimub elektriliste signaalide vahendusel), siis juhul, kui ukse taga on ründaja, on tema eesmärk väärata korteris olija otsustuse adekvaatsust. Selleks on tal mitmeid erinevaid võimalusi, millest kõige lihtsam oleks enda esitlemine kellegi teisena (identiteedivargus).

Samas tehakse juhtimisotsuseid ka oluliselt madalamal tasemel, näiteks teiste masinate poolt. Konkreetne lihtne näide võiks olla mingi temperatuuri reguleerimise automaatika. Kui siin nüüd rääkida küberründest, siis võib näitena tuua Iraani tuumaprogrammi ja pahavara nimega Stuxnet. Pahavara võltsis süsteemis olnud andurite näite nii, et kõige halvemal juhul oleks kogu rikastustehas õhku lennanud.

Allikad

Norbert Wiener Cybernetics
AKIT termin Küberneetika https://akit.cyber.ee/term/10183
Britannica artikkel Küberneetika kohta https://www.britannica.com/science/cybernetics
NIST termin Cyberspace (ja sealt edasised viited) https://csrc.nist.gov/Glossary/?term=3818
What's the difference between cyber security and information security?
Cyber Security Vs Information Security

30 March 2018

Mõned mõtted riskihalduse kohta

Aastal 2009 olen kirjutanud sellise jutu
====
Käesolev kirjatükk sai tegelikult alguse sellest, et ma lugesin Cyberi raamatut "Infosüsteemide turve - Turvarisk". Kirjutasin selle kohta ka lugemissoovituse, kuid ma lubasin, et ei avalda seda enne, kui raamatu autorid on seda näinud ja mingi tagasiside andnud. Samas ei takista see mul avaldamast mõningaid omi mõtteid selle kohta.

Nimelt olen ma üsna veendunud, et kogu riskihalduse temaatika algab ja lõppeb inimliku faktoriga. Minu esmane kokkupuude sellega oli kusagil 90-ndate esimeses pooles, kui ma töötasin ühes firmas turvamehena. Nimelt alahindasid nad (minu arvates) riske ja tulemuseks oli kolm tapetud müügimeest. Loomulikult huvitas mind, miks nii ja ma üritasin ettevaatlikult põhjuseid uurida. Põhjused sain ma küll teada, kuid seal juures teenisin firma töötajate hulgas välja hüüdnime "midagi enamat, kui turvamees" :)

Sellest ajast alates olen ma näinud sadu juhtumeid (mis enamasti õnneks küll nii traagiliselt ei lõppenud), kus peamiseks põhjuseks on ebapiisav või ebapädev riskihaldus. Nende juhtumite põhjal on mul tekkinud (ilmselt mitte täielik) nimekiri asjadest, mis põhjustavad seda ebapädevust või ebapiisavust. Kuid... Näitlikustamise huvides konstrueerin mingi väga lihtsa näite ja vaadakem seda koos.

Näide: Eksperdid prognoosivad, et tornaadode arv Kariibi mere ümbruses järgmisel suvel kolmekordistub.

Keskmine inimene (sh ka keskmine firmajuht) loeb ja teeb selle peale "ah-ah" ning sinna paika see asi jääb... Samas tekib küsimus - miks?

Teadmiste puudumine Eestimaisel inimesel puudub enamasti igasugune arusaam, mis on tornaado või miks teda kartma peaks. Siia juurde võiks muidugi kirjutada terve traktaadi Zeitgeisti olemusest ja sellest, miks igavene koolireform paha on või sellest, miks kooliõpilased ei peaks saama kaasa rääkida õppeainete sisus või nimekirjas, kuid jäägu see mõnele teisele teha...

Eelnevaga on väga tihedalt seotud
Taustateadmiste puudumine Mida antud juhul tähendab "suvi" - kas see on kolm kuud või hoopis üheksa kuud... Samuti on küsimus, mida võiks absoluutarvudes tähendada "kolmekordistub" - kes see on nüüd siis kolm või hoopis kolmkümmend...

Seostamisoskuse puudumine Isegi juhul, kui inimene saab aru, mis on tornaado ja millised on selle võimalikud tagajärjed, ei taju ta selle seoseid enda või oma firmaga. Eraisikuna on ju lihtne - mul ei ole järgmisel suvel plaanis Kariibi mere piirkonda reisida, järelikult see mind ei puuduta. Samas ettevõtte juht peab lisaks oma isiklikule positsioonile vaatama ka seoseid oma firma osas - millised tarnijad või kauba saajad asuvad selles piirkonnas, kuidas tarneahela katkemine minu firmat mõjutab...

Liigne optimism Isegi juhul, kui inimene mõistab, et ta on selle nähtusega seotud, arvab ta et "minuga seda ju ei juhtu"...

Tagajärgede mittemõistmine Hüva, tornaadod on, nad tekitavad kahju, võib juhtuda, et isegi tarneahelad katkevad... mis siis? Meil on ju kindlustus ja eks me siis ostame (või müüme) teises kohas. Ma olen selle loogikaga täiesti nõus. Samas kas kindlustus katab tarnija kadumise ja uue tarnija leidmisega seonduvad kulud? Pealegi ei ole kahjustatud tarnija ainult ühe firma tarnija - ka kõik teised hakkavad ju uusi tarnijaid otsima ning kas nende teiste tarnijate ressurss peab kasvavale nõudlusele vastu või millist hinda nad oma kauba eest küsima hakkavad...

Raha Raha või õigemini selle puudumine on on põhjenduseks liigagi paljudel juhtudel. Mingil määral on see kindlasti õigustatud põhjendus - riskianalüüs on töömahukas (ja palju raha tahtev) ettevõtmine. Samas ei ole ma sugugi kindel, kas ettevõtjate hinnang kuluva raha osas pole mitte üle pakutud. Samuti pole ma kindel, kas nad tajuvad seda ohtu, mis tekib riskianalüüsi tegemata jätmisel.

Samas võib see viidata ka puudulikule prioriteetide seadmisele Teisisõnu - esmaseks prioriteediks on millegi tegemine (raha teenimine) ja kõik muu jäetakse tahaplaanile. Probleemidega tegeletakse alles siis, kui nad näkku hüppavad... Põhimõtteliselt on see arusaadav käitumine, ainuke "aga" tekib siis, kui mingi probleem väga akuutseks muutub - siis järsku selgub, et sellise probleemi tekkimist oleks pidanud juba varem ette nägema ja praegusel hetkel sellega tegelemine on ülimalt kallis või ei anna üldse mingit tulemust.

Milleks rääkida arvutiturbe ja infosüsteemide riskihalduse kontekstis jumal teab kus ähvardavatest tornaadodest. Põhjus on tegelikult väga lihtne - arvutid ja infosüsteemid on kordades keerukamad ja täiesti gobaalsed. Infosüsteem koosneb tuhandetest või isegi miljonitest komponentidest. Kujutage ette, kui keerukaks muutub siin teadmiste hankimine, seoste loomine või tagajärgede tajumine. Ja kujutage ette, mida tähendab kõikide nende teadmiste, seoste ja tajude haldamine...  Asi muutub suurusjärkude võrra keerukamaks, kui see infosüsteem pannakse otsaga internetti. Siin on miljoneid osapooli ja... internet on ülemaailmne. Piltlikult öeldes tuuakse Kariibi meri koos tornaadodega koju kätte.

Mis siis teha, et asja paremaks muuta? Ega mul tegelikult väga head rohtu pakkuda ei ole. Aitab ainult lai silmaring ja mõõdukalt eluterve paranoia :) Just nimelt mõõdukas ja eluterve, et mitte teise äärmusesse - paanikaosakonna - hulka langeda.

Mis aga puudutab sissejuhatuses kõne all olnud raamatut, siis soovitan seda lugeda - eriti tema neljandat ja viiendat peatükki.

Kelle asi on internetipõlvkonna kasvatamine

Aastal 2007 olen kirjutanud sellise, veel tänagi kehtiva jutu...
====
Aeg-ajalt on püütud käima tõmmata arutelu teemal, kes peaks lapsi internetis käituma õpetama. Asi on teravaks jälle teravaks tõusnud seoses möödunud nädalal Eesti Ekspressi poolt avalikustatud nn „hispaanlanna“ juhtumiga. Loomulikult püütakse jälle tõsta ka kilbile teemat rate.ee rollist eesti ühiskonnas. Aga kas see asi on ikka nii lihtne, et keelame rate ära ja koheselt on kõik meie viruaalmaailma probleemid lahendatud.

Mingil kummalisel põhjusel arvatakse, et arvuti ja internet ning kõik see mis seal toimub on kuidagi eriline ja allub mingitele teistele, hoopis isemoodi reeglitele. Jah, osaliselt vastab see arvamus tõele, nimelt on internet globaalne nähtus, mis liigub vabalt üle riikide piiride. Sellega kaasneb muidugi see, et erinevates riikides on erinevad seadused, tavad ja kombed, mis alati ei pruugi siin koduses eestis olla mõistetavad. Samas on olemas lihtsad ja universaalsed käitumisreeglid, mis kehtivad absoluutselt ja igal pool.

Oma igapäevases elus peame me loomulikuks, kui õpetame lapsele et „üksi kodus olles võõrastele ust ei avata“ või et „võõraste inimestega tänaval kaasa ei minda“. Oma igapäevases elus peame me loomulikuks lapse käest küsida „kus käid?“ või „kes on Su sõbrad?“. Samas kipuvad need igapäevased reeglid ununema, mängu tulevad arvutid ja internet. Näiteks ütlevad McAfee 22. oktoobril avalikustatud uuringu tulemused, et 52% teismelistest on avalikustanud isiklikku informatsiooni suhtluspartnerile, keda nad tunnevad ainult internetis. Kui palju aga me tegelikult teame sellest, kes on teisel pool ekraani?

Kuna arvuti vahendusel ei ole inimestel füüsilist kokkupuudet, siis on virtuaalmaailmas oluliselt kergem oma identiteeti muuta. Iseenesest pole sellistes trikkides midagi uut, ega ka taunitavat. Näiteks on käesoleva artikli autor, ilma ise seda teadmata, pikka aega suhelnud inimesega, kes päriselus on ratastoolis. Samas, kui internetis käitus ja väljendas ta ennast, kui moekas ja elu näinud daam. Tõenäoliselt ei saa keegi talle pahaks panna, et ta teostas internetis oma suurimat unistust – käia nagu normaalne inimene ning olla seksikas ja noormeeste poolt ihaldatud tütarlaps.

Asi muutub halvaks siis, kui teisel pool ekraani on inimene, kes valetab halbade kavatsustega. Siin peaks aga appi tulema lapsevanemad ise ja küsima just nimelt neid samu küsimusi: „kus Sa käid“, „mis Sa teed?“, „kellega Sa suhtled?“, „kes on Su sõbrad?“, kuid siia juurde tuleks ilmtingimata küsida ka „kas Sa neid suhtluspartnereid ja sõpru ka päriselus tunned?“. Jah, loomulikult võib lapesevanem siin öelda, et ta ei tunne arvutit ning ei suuda kontrollida, kas laps talle ka õigust räägib.

Näiteks seesama eelpool viidatud McAfee uuring ütleb, et 63% teismelistest oskavad oma tegevust varjata ning et 32% teevad seda ka tegelikkuses. Kuid selle vastu aitab ainult enese harimine. Lihtsamaid lahendusi leiab näiteks  www.arvutikaitse.ee lehekülgedel alajaotises „lapsed“. Sealsamas, teistes alajaotustes leiab ka viiteid veidi keerulisemate probleemide lahendamiseks.

Käesoleva artikli autor on seisukohal, et kõige olulisem on kasutajate harimine. Ilma teadmisteta või küllaldase hoolikuseta on internetis väga kerge sattuda pettuse ja ka kuriteo ohvriks. Samuti pakuks siinkohal välja mõned olulisemad soovitused:

Alusta varakult Niipea, kui laps muutub aktiivsemaks interneti kasutajaks, tuleb hakata teda harima internetiga kaasnevate ohtude osas.
Jälgi oma laste internetikasutust Vanemad arvavad, et nad teavad, millega nende laps internetis tegeleb. Sageli nad paraku eksivad, kuna lapsed on sageli arvuti kasutamise osas oluliselt targemad kui nende vanemad.
Arenda lapsega avatud dialoogi ning sea reeglid Me peame loomulikuks, et õpetame lapsi vastutustundlikult ja turvaliselt päriselus käituma. Samamoodi tuleb lapsi õpetada käituma ka virtuaalses maailmas.
Kontrolli regulaarselt oma lastega seotud sotsiaalse võrgustiku lehekülgi Õpeta neid käituma seal ettevaatlikult, eriti mis puudutab fotode või isikliku informatsiooni avaldamist sõpradele. Ei tasu unustada, et sotsiaalse võrgustiku lehed on avatud ka võrgukiskjatele.
Kindlusta oma arvuti turvalisus Kontrolli, et arvutis oleks installeeritud töökorras turvatarkvara (tulemüür ning viiruse- ja nuhkvaratõrje). Kontrolli, et see turvatarkvara oleks pidevalt uuendatud, kuna uued viirused ilmuvad iga päev. Vajadusel kasuta tarkvaras olevaid lapselukke.

Fakte küberkuritegevusest
  • Umbes iga neljas arvutikasutaja satub küberkuritegevuse ohvriks;
  • Internetiühendusega arvutit rünnatakse iga 39 sekundi tagant;
  • Kaitsmata internetiühendusega arvuti peab vastu umbes 4-6 minutit;
  • Küberkuritegevus on aastatel 2006-2007 kasvanud 264%, hinnanguliselt kasvab ta aastatel 2007-2008 veel 300%;
  • 80% küberrünnakutest on tehtud rahalise kasu saamise eesmärgil.

Kurrunurruvuti saar

Olen kunagi kaheksa aastat tagasi kirjutanud jutu Kurrunurruvuti saarest... Jutt ise kehtib veel tänagi (hoolimata sellest, et Pipi on rassistiks kuulutatud) :)
====
Kes meist poleks lapsepõlves lugenud Pipi Pikksukka ja unistanud viibida Kurrunurruvuti saarel. "Valge mehe seadused" seal ei kehti - igaüks võib teha, mida heaks arvab. Isegi "kaks-kord-kaks" annab seal teise (suurema) tulemuse, kuna kliima on teistsugune. Tõsi - vahel liiguvad seal röövlid, kuid siis tuleb sõjaprintsess... eee... vabandust, lihtsalt Pipi, kes pöörab ohtliku olukorra järjekordseks vahvaks seikluseks...

Mina ise olen hakanud arvutiturbe kontekstis kasutama terminit "Kurrunuruvuti saar" tähistamaks territooriume, kus "valge mehe seadus" ei kehti. Vajadus mingi üldistava nime järele tuleneb tegelikult sellest, et tegemist on just nimelt territooriumiga, mis võib, kuid ei pruugi, kattuda riigi piiridega. Asja vastu rohkem huvi tundvad inimesed võiksid ennast kurssi viia mõistega ASN. Siia juurde tuleb märkida, et loetelu sellistest territooriumitest on väga muutuv. Samuti tuleb mainida, et ka loetelu mittekehtivatest "valge mehe seadustest" on iga territooriumi kohta erinev.

Valge mehe seadus
Üldiselt peetakse halvaks spämmi, viiruste valmistamist ja levitamist, küberründeid, lapspornot, illegaalseid õnnemänge, relvade ja narkootikumide vahendamist ning palju muud seesugust. Enam-vähem ühte moodi saavad sellest aru ning on vastavad tegevused kuulutanud illegaalseks Euroopa Liit, USA, Kanada, Lõuna-Aafrika Vabariik, Austraalia ja Uus-Meremaa. Nimetatud riikide vahel on toimivad õigusabilepingud ning kui vastava riigi mõne asutuse või ettevõtte poole pöörduda, siis on oodata, et mingi mõistliku aja jooksul sealt ka adekvaatne reaktsioon laekub. Nimetagem seda üldistatult territooriumiks, kus kehtib "valge mehe seadus".

Kurrunurruvuti saar
Nagu juba eelpool mainitud, on keelatud ja lubatud tegevuste nimekiri territooriumite kohta erinev. Näitena võib võtta lapsporno - maailmas lihtsalt ongi riike kus seksuaaleluga on lubatud alustada varem ning kõikvõimalikud süüdistused kõlavad kurtidele kõrvadele. Samuti on olemas riike, kus küberründed on lubatud või lausa soovitavad. Samas on nad lubatud ainult nii-öelda vaenlase vastu. Näitena võib siia tuua Hiina ja Venemaa. Pahavara ja spämmi levitaja osas võib siia näiteks tuua Transnistria (Moldova separatistlik regioon)

Põhimõtteliselt saan ma aru, et termin "Kurrunurruvuti saar" on pikk ja lohisev ning pole seetõttu suupärane, kuid pakkuge parem!

01 October 2016

Massiivse narkopropa tasakaalustamiseks

Ma pole ammu blogi pidanud - pole motivatsiooni olnud, kuid hetkel... Lühidalt - hetkel on käimas meeletu narkomaanide propaganda, et kanepi suhtes veidi lõdvemad reeglid kehtestataks. Lähemalt lugeda saab siit Minu jaoks isiklikult tundub see kampaania veidi kuritegelikuna. Asi polegi niivõrd selles, kas need lõdvemad reeglid kehtestatakse või mitte, vaid selles, et kampaanias kasutatakse argumentidena pooltõdesid ja vahel ka päris valet. Mis kõige kurvem - mingi osa inimestest usub seda. Selle propaganda tasakaalustamiseks sai kirjutatud ka käesolev jutt

Edasine jutt tuleneb minu isiklikest kogemustest - mingit teaduslikku tõendusmaterjali mul ei ole. Kuna inimesed, kellest jutt käib, on tänaseks suuremalt jaolt küll surnud, kuid nende omaksed on veel elus, siis nimesid ma ei nimeta. Jah, kogemused pärinevad reaalsest elust, ajavahemikust 80-ndate lõpp 90ndate teine pool. Ja ehkki toona oli viin odavam, kui kanep (toona nimetati seda hašiš), leidus ikka inimesi, kes seda erinevatel põhjustel suitsetasid.

Kõigepealt tõene väide
Kanep on valuvaigisti. On tõesti tugev valuvaigisti - olen näinud, kuidas lahtise jalaluu murruga narkomaan üsna mitu kilomeetrit maha kõnnib. Kui kanepiuimas narkari käed kinni siduda, võib ta rapsima hakates käed liigestest välja tõmmata.

Ja nüüd pooltõed ning valed
Kanep ei tekita sõltuvust. Tegelikult on tohtrite arvamused-hinnangud, et sõltuvus areneb välja 20...40% tarvitajatest. Isiklikult minu arvates on see protsent suurem, kuna - nii palju, kui ma näinud olen - on kõik tarvitajad sõltlased olnud. Tunnusteks on ärrituvus, käte (vahel ka pea) värisemine. Soe soovitus - kui kuulete, et teie kaaslane ütleb: "mul pole und - ma lähen teen ühe popsu", siis pakkige asjad ja tõmmake uks enda järel vaikselt kinni. Sellest punktist tagasiteed enam ei ole!

Kanep ei tee agressiivseks. Minu kogemus ütleb, et kanepinarkar muutub koheselt agressiivseks, kui keegi tema mõnulemist segada püüab. Ta ei pruugi sellest ise isegi aru saada aga ta võib teisi väga rängalt solvata, neid lükata või lüüa. Ütlen kohe ka ette ära, et kanepinarkari maharahustamine on põhimõtteliselt võimatu - jutust ei saa ta aru ning valu ta ei tunne (vt ka valuvaigisti juttu). Kui tema käed ja jalad kinni siduda, siis peab keegi raskem inimene talle otsa istuma. Vastasel korral hakkab ta siplema ja peksab ennast veriseks. Õnneks vajub narkar peale füüsilist pingutust üsna kähku ära ning peale paaritunnist und on ta natuke aega (enam-vähem) normaalne. Mõju täielikul lahtumisel muutub ta kergesti ärrituvaks ja võib üsna tühisel põhjusel solvama hakata või isegi rünnata.

Kanep ei tapa (erinevalt alkoholist). Kanepist üledoosi saamine on tõepoolest keeruline. Samas, ega ka alkoholi puhul pole põhjus üldjuhul üledoosis, vaid hoopiski kaasnevates haigustes (maksa ja neerude puudulikkusega seonduv) või hoopiski õnnetustes. Kanepi puhul me tegelikult ei tea, millised haigused sellega kaasneda võivad (tuvastatud on ainult kopsuvähi oht) aga et kanepi tarvitamisega õnnetused kaasnevad, on üsna tavaline. Olen näinud, kuidas kanepinarkar rongile vastu astub, arvates et rongi prožektor on päike. Olen näinud, kuidas kanepinarkar seitsmenda korruse rõdult alla tahab astuda, arvates, et tal on tiivad. Nende soovidele vastu astumine aga tähendab, et te segate nende nautimist ning edasine käib sarnaselt eelmisele punktile.

Kanep ei põhjusta kangematele narkootikumidele üleminekut. Tegelikult pole see teada. Nii palju, kui ma kõrvalt näinud olen, siis minu kogemus ütleb, et kanepisõltlasel on oluline oma mõnulaks kätte saada ning juhul, kui kanepit pole, kõlbab selleks ka mõni teine vahend. Sarnast juttu räägib üks endine narkomaan ka selles artiklis

Meditsiiniline kanep on keelatud. Tegelikult ei ole. Reeglid on täpselt samad, mis suvalise teise medikamendi puhul. Miks arstid kanepit välja ei kirjuta, ma ei tea. Arvan, et probleem on selles, et kanepi kõrvalmõjud on täiesti läbi uurimata. Juhul, kui nüüd arst selle preparaadi välja kirjutas ning selle tarvitamine toob kaasa mingid rasked kõrvalmõjud, siis see toob omakorda kaasa riski valeravi süüdistuseks, see aga on arsti puhul karistatav.

Sellised kogemused siis. Võib-olla aitavad need kellelgi otsust teha, kas toetada narkomaane või mitte. Võib-olla aitavad need mõnel oma sõltlasest kaaskondlasega toime tulla. Loodetavasti on abiks.