Kui küberturvet kirjeldatakse geopoliitika osana, tekib kergesti pilt ühest suurest mustast päevast: elekter kaob, side kukub, riik tardub. Tegelikkuses on küberruum kujunenud püsivaks halliks tsooniks, kus rünnakud ei ole enam erandid, vaid igapäevane taustamüra.

Hall tsoon kirjeldab tegevust, mis on koordineeritud ja vaenulik, aga jääb sõja läve alla. Selle eesmärk ei ole riiki purustada, vaid väsitada ehk sundida kulutama ressurssi kaitsele, tekitada kahtlust süsteemide töökindluses ning luua muljet, et surve on pidev. Kuna otsest tõendit riikliku tellija kohta ei ole, siis saab tegevust esitada aktivismina või kuritegevusena. Euroopa Liidu küberturvalisuse agentuuri ENISA 2025. aasta ohuhinnang kirjeldab keskkonda, kus sellised intsidendid ei koondu enam üksikuteks šokkideks, vaid tekivad lainetena.

Väsitamise majandus

Halli tsooni kõige nähtavam tööriist on teenusetõkestusrünnak ehk DDoS, mille eesmärk on uputada teenus päringutega üle. Sellised rünnakud moodustavad ENISA andmetel ligi kolm neljandikku kõigist Euroopa küberintsidentidest. Enamik on tehniliselt lihtsad, aga poliitiliselt sihitud: rünnatakse riigiasutusi, meediat ning ettevõtteid, mille töö on avalikkusele nähtav.

DDoS-i eesmärk on tekitada segadust ja raisata ressursse. Ka Eestis registreeriti küll ligi 750 DDos rünnakut, kuid vaid alla sajal oli teenusele mõju. RIA toob välja, et see on märkimisväärne areng võrreldes varasemaga, mil ründajate vaatest oli edukas pea iga viies rünnak. 

Kuid kes on selliste rünnakute taga on? Ajastus ja sihtmärgid räägivad enda eest: maailmas toimuv mõjutab otseselt rünnakute laineid. Näiteks kui Eesti vastu suunatud DDoS-rünnakute taga on tavaliselt olnud Vene häktivistid, keda vallandavad NATO otsused, sanktsioonid või Ukraina toetuseks tehtud deklaratsioonid, siis 2025. aastal võtsid Eesti sihikule ka Gaza konflikti tõttu aktiveerunud palestiinameelsed rühmitused Lähis-Idast ja Põhja-Aafrikast. Eestit käsitletakse osana laiemast lääneriikide koalitsioonist ning erinevate fookustega häktivistid teevad omavahel koostööd. 

Andmeturg kui kübergeopoliitika taristu

DDoS on nähtav surve, aga halli tsooni teine pool on vaiksem ja keerulisem ning hõlmab andmeid ja ligipääse. Europoli Internet Organised Crime Threat Assessment 2025, lühidalt IOCTA 2025, kirjeldab kompromiteeritud andmeid kui küberkuritegevuse majanduse keskset kaupa. Andmeid varastatakse sihilikult selleks, et neid saaks edasi müüa, kombineerida ja kasutada uute rünnakute sisendina.

Sama väärtuslik on sissepääs süsteemi endasse. Selleks võib olla ettevõtte e-posti konto, VPN-ühendus, pilveteenuse halduskeskkond või töötaja arvuti. Selline ligipääs on raha eest edasi müüdav kaup. Üks osaline hangib sissepääsu ning teine kasutab seda lunavararündeks, andmevarguseks või pettuseks. Rünnaku eri etapid on lahutatud, vastutus hajutatud ja seoste tõendamine muutub keeruliseks. Lisaks, kui andmed ja ligipääsud liiguvad vabalt turul, saab sama taristut kasutada nii kuritegevuseks kui ka riiklike huvide teenimiseks.

Inimene on süsteemi nõrgim lüli

Suur osa küberjulgeoleku probleemist peitub endiselt inimestes. ENISA andmetel algab ligi 60% edukatest küberrünnakutest õngitsusest: keegi klikib lingile, laeb alla faili või sisestab parooli petlikule veebilehele. Õngitsus on suunatud eraisikutele ja organisatsioonide töötajatele ehk igale inimesele, kellel on ligipääs süsteemile, mida saaks ära kasutada.

Tehisintellekt on seda omakorda võimendanud. Tehisaru toel saab rünnakuid kiiremini kohandada ja automatiseerida. Kuigi ajas muutuvad ka kaitsesüsteemid paremaks, siis on rünnakute suur mass koormav. See omakorda toetab halli tsooni skaleeritavust ehk võimalust tekitada survet pidevalt, ilma et igat rünnakut peaks käsitööna viimistlema.

Eesti dilemma: sidusus on tugevus ja haavatavus

Eelmisel aastal ületas Eestis mõjuga küberintsidentide arv Riigi Infosüsteemi Ameti andmetel 10 000 piiri, seejuures on kasv olnud aastast aastasse hüppeline. Seda on lihtne lugeda kui haavatavuse kasvu, aga Eesti puhul on sama number sageli ka edukuse mõõdik. Kuna seire ja teavitused töötavad hästi, siis jõuavad juhtumid statistikasse. 

Oluline on ka see, et enamik teenusekatkestusi ei olnud üldse rünnakud. Cloudflare'i tehnilised rikked katkestasid kaks korda uudisteportaalide ja e-teenuste töö. Hooldustööde käigus tekkis tõrge terviseteenustes, mitmel korral tõrkusid mobiil-ID ja Smart-ID. Need olid tehnilised vead, mitte vaenulik tegevus. 

Eesti tegelik eripära on teenuste sidusus. Meie digiriik ei koosne üksikutest IT-projektidest, vaid omavahel seotud teenustest, identiteedikihtidest, andmevoogudest ja partneritest, mis on taganud meile kiire ja mugava kasutajakogenuse. Samas tähendab see, et ühe lüli häire kandub kiiresti järgmisele edasi. 

Sellepärast võib Eesti olla halli tsooni loogikale atraktiivne sihtmärk. Kõrge digitaliseeritus tähendab, et isegi väike häire muutub kiiresti avalikuks probleemiks. Kui tavapärane teenus ajutiselt tõrkub või lehekülg aeglustub, jõuab uudis sotsiaalmeedias levida kiiremini kui ametlik selgitus järgi jõuab.

Teenuste sidusus võimendab seda efekti. Kui üks element katkeb, hakkavad inimesed küsima, kas ka teised on ohus? Kas e-teenused toimivad? Kas ID-kaart töötab? Kas pank on kättesaadav? Ründaja ei peagi kõike korraga ründama, vaid piisab, kui tekitada küsimus, kas süsteem on kontrolli all. Just sellise küsimuse tekitamine on halli tsooni kõige suurem relv, kuna see tekitab kahtlust ja segadust. 


Tele2 ärikliendi üksuse juht Jürgen Jalakas