Admiral Coustillière: Prantsusmaa ei istu küberründe puhul passiivselt käed rüpes

Kontradmiral Arnaud Coustillière, Prantsuse kaitsejõudude peastaabi küberkaitse osakonna juht, nendib Diplomaatiale antud intervjuus, et küberrünnakud võivad halvemal juhul segadikku paisata terveid ühiskondi – ning et teatud tingimustel võib Prantsusmaa küberruumis toimunud rünnet käsitleda sõjategevuse alustamisena.

Millised küberohud on lähema viie kuni kümne aasta perspektiivis kõige suurema mõjuga? Ning millised teemad ja probleemid selles valdkonnas on kõige olulisemad riigi vaatepunktist?

Infosüsteemid on tänapäeval omavahel läbi põimunud ja ligipääs küberruumile pea üleüldine – ning märkimisväärse kasu kõrval on see asjaolu ka allikaks uuele, tõsisele  haavatavusele.

Küberrünnakud võivad rabava tõhususega tabada riigi ja kogukonna kõiki valdkondi ning põhjustada ühiskonna jõhkra, sügava ja vahest isegi püsiva destabiliseerimise.

Argipäevaste massiliste rünnete kõrval, millele peavoolumeedia tavaliselt tähelepanu ei pööra, on mitmed välismaised näited jõudnud ka leheveergudele: Eesti halvamine aastal 2007 demonstreeris infoühiskondade äärmist haavatavust, samas kui Gruusia sõda 2008. aastal tegi selgeks küberruumi olulisuse sõjaliste operatsioonide vaatevinklist.

Praegu on meie peamiseks mureks eraõiguslike infovõrkude julgeolek, eriti mis puudutab kriitilise taristuga seotud võrke.

Küberrünnakud võivad rabava tõhususega tabada riigi ja kogukonna kõiki valdkondi ning põhjustada ühiskonna jõhkra, sügava ja vahest isegi püsiva destabiliseerimise.

Ühest küljest varastatakse suurtes kogustes informatsiooni – ja seda tihti ilma, et omanikud vargust isegi märkaksid – , millel on ka suur strateegiline, tööstuslik, majanduslik või rahaline väärtus. Teisest küljest võivad kriitilist taristut tabavad küberrünnakud väga kergesti paralüseerida terveid elualasid, tekitada tööstuslikke või ökoloogilisi katastroofe ning lõppeda arvukate inimohvritega.

Kuna suutlikkus küberrünnakuid tuvastada, ennast nende vastu kaitsta ja selgitada välja rünnakute eest vastutavad isikud on muutunud riikliku suveräänsuse osaks, siis on ka üheks meie kõige olulisemaks väljakutseks säilitada olukord, kus me suudaksime ise ja teistest täiesti sõltumatult toota turvasüsteeme. Eriti puudutab see selliseid valdkondi nagu krüptoloogia ja ründetuvastus.

Riigiasutuste ja erasektori vahelises infovahetuses tuleb tihti mängu usalduse küsimus. Kuidas saaks teie hinnangul parandada info liikumist riigi ja erasektori vahel? Kuidas jagada infot lairibakiirusel?

Ma keskenduksin oma vastuses ennekõike sellele, mis puudutab koostööd riigikaitse- ja erasektori vahel.

Kaitsetööstus on Prantsusmaa strateegilist sõltumatust silmas pidades võtmetähtsusega. Tal on anda oma panus ka poliitiliste, diplomaatiliste ja majanduslike eesmärkide saavutamisel. Ainult meie kaitsetööstus suudab tagada tarnete turvalisuse, kui jutt käib meie suveräänsust toetavast varustusest või elulise tähtsusega relvasüsteemidest, ning tagada, et tarnitu vastab meie kaitseministeeriumi poolt paika pandud nõuetele ja vajadustele.

Vaatamata Prantsuse kaitse-eelarve kärpimisele peame me säilitama tehnoloogilise võimekuse võtmetähtsusega valdkondades, mis on aluseks meie strateegilisele sõltumatusele. Ning küberkaitse on üks nendest valdkondadest.

Koostöö kaitseministeeriumi ja kaitsetööstuse vahel selles valdkonnas on väga tihe näiteks innovaatilise uurimis- ja arendustöö ning süsteemiarenduse osas. Kaitseministeerium aitab tagada ka kõige olulisemate kaitsetööstusettevõtete küberturvalisust.

Enamikus riikides kehtib põhimõte, mille kohaselt valitsuse koostatud küberturvareeglite järgimine on eraettevõtetele vabatahtlik. Millised volitused ja õigused on Prantsuse valitsusel turvareeglite kehtestamiseks erafirmades?

Tõenäoliselt on ebapiisav jääda lootma ainult asjaosaliste heale tahtele.

Kuigi meil on kriitilise taristuga seotud ettevõtete kaitsmiseks olemas tugev üldine raamistik, siis praktilises küberkaitses esineb endiselt auke. Sestap tuleks kõnealust üldist raamistikku tugevdada ning kehtestada teatavad piirangud, mis oleksid samas vastuvõetavad ka toimijatele.

Kaitsetööstus on Prantsusmaa strateegilist sõltumatust silmas pidades võtmetähtsusega.

Kui konkreetselt rääkida, siis on otsustava tähtsusega, et sihtmärgiks sattunud ettevõtted oleksid kaardistanud oma olulised IT-süsteemid – nii saab kiirelt reageerida ning olukorra kontrolli alla võtta enne, kui see areneb täiemõõtmeliseks kriisiks.

Olulise tähtsusega ettevõtetele tuleks teha kohustuslikuks korrapärased IT-süsteemide ja -võrkude auditid; küberintsidentidest teavitamine tuleks muuta kohustuslikuks – praegu neid tihtilugu varjatakse.

Seetõttu rõhutabki Prantsuse 2013. aasta valge raamat (pr k: – Livre blanc 2013 sur la défense et la sécurité nationale) seda, kui oluline on parendada kriitilise taristu ettevõtetes kehtivaid norme küberohtudega tegelemisel.

Millised on olulisemad küberjulgeolekut puudutavad muudatused Prantsuse 2013. aasta valges raamatus, võrreldes selle dokumendi varasema, aastast 2008 pärineva redaktsiooniga?

Värske valge raamatu järeldustes seisab, et me vastame suure IT-rünnakule üleilmselt ja sellega seondub kaks teineteist täiendavat seika. Esiteks riigi, kriitilise taristu haldajate ning strateegiliste tööstusettevõtete IT-süsteemide jõuline ning sitke kaitsmine. Teiseks valitsuse võime vastata erineva loomu ja ulatusega küberrünnetele üleilmsel tasandil, kasutades selleks alguses diplomaatilisi, õiguslikke ning politseilisi võimalusi – kuid välistamata samas meie kaitseministeeriumi võimekuse järkjärgulist rakendamist juhul, kui ohtu on sattunud riigi strateegilised huvid.

Selle tarvis tuleb Prantsusmaal välja töötada lähenemine, mis põhineks relvajõududega tihedalt lõimitud küberkaitseorganisatsioonil, mille käsutuses oleksid nii kaitse- kui ründevahendid.

Milline roll peaks riigi küberkaitsmisel olema sõjaväel, võrreldes teiste valitsusasutustega? Kas teie relvajõududel on näiteks piisavalt laiad volitused ka küberrünnakute korraldamiseks?

Nagu ma ka varem märkisin, siis on kaitseministeeriumi esmane ülesanne omaenese võrkude kaitsmine. Aga suurte kriiside puhkedes peab meie relvajõududel loomulikult olema suutlikkus kiiresti reageerida ning teha teiste valitsusasutustega koostööd kaitsmaks riiki ning majanduslikult ja ühiskondlikult olulist taristut.

Kaitseministeeriumil on ANSSIga (pr k: Agence Nationale de la Sécurité des Systèmes d’Information, ANSSI – Prantsuse riiklik infosüsteemide kaitse amet – toim) ka hea igapäevane koostöö, mis puudutab infovahetust võimalike ohtude ja käitumisnormide osas, meie kaitsehangete agentuur aitab oma oskusteabega ning koostöö käib ka küberkaitsevarustuse arendamise alal.

Ründeoperatsioonid küberruumis peavad olema sõjalise planeerimise osa kõigis lahingoperatsiooni faasides.

ANSSI ja kaitseministeeriumi tihedale koostööle aitab kaasa ka asjaolu, et meie kaks CERTi  – riiklik tsiviil-CERT ja relvajõudude CERT – paiknevad füüsiliselt ühes ja samas kohas (ingl k: Computer Emergency Response Team, CERT – toim).

2013. aasta valge raamat märgib ära edusammud, mis on tehtud pärast seda, kui 2008. aasta valge raamat kutsus üles looma küberründevõimekust. Prantsuse seisukoht ja organisatsioonimudel on seal väga selgelt lahti kirjutatud.

Operatiivtasandil tuleb relvajõududel vastase suhtes saavutada ülekaal ning seejärel seda ülekaalu säilitada kõigis viies operatsioonikeskkonnas (maismaa, õhuruum, meri, kosmos ning küberruum). Ründeoperatsioonid küberruumis peavad olema sõjalise planeerimise osa kõigis lahingoperatsiooni faasides. Sestap olen ka mina ühes oma meeskonnaga täiel määral lõimitud Prantsuse ühendväejuhatuse operatiivplaneerimiskeskuse (pr k: Centre de planification et de conduite des opérations – toim) koosseisu.

Ja nagu te teate, siis terminit „heidutus“ mõistetakse Prantsusmaal tihti tuumaheidutuse tähenduses. Kuid viimane valge raamat sisaldab ka küberheidutuse põhimõtet. Selle aluseks on võime küberrünnete allikaid tuvastada ja määratleda saamaks teada, kes on rünnete taga seisev tegelik vastane. Sellel otstarbel kasutatakse nii kübervahendeid kui ka kõiki teisi olemasolevaid sensoreid ning luurevõimekust.

Küberruum on oma olemuselt väga muutlik keskkond ning „lahingusuits“ (ing k: fog of war – toim) on seal tihedam kui mujal. Väärtõlgendamise, valestimõistmiste või lihtsalt vigadega kaasnevad riskid võivad olla suured ja sestap on oluline reageerida ettevaatlikult. Kuid sellele vaatamata: kui meid rünnatakse, siis me ei jää passiivseks. Siinkohal tuleb arvesse võtta, et 2013. aasta valge raamat sedastab ametlikult, et küberrünnakut meie eluliste huvide vastu võib tõlgendada kui sõjategevuse alustamist.

Kuidas te iseloomustaksite vabatahtlike tsiviilreservi – Réserve citoyenne`i – eesmärki ja rolli küberkaitse arendamisel?

Prantsuse tsiviilreserv on osa klassikalisest reservväe formaadist. Vabatahtlik tsiviilreserv koosneb inimestest, kel on julgeoleku- ja riigikaitseküsimustes kõrgendatud teadlikkus ning on kes nõus omast vabast ajast relvajõude abistama. Tsiviilreservis kaasalööjad saavad kaitsesektori kogemusi ja oskusteavet levitada ka erasektoris.

Kuna suurte arvutivõrkude haldamine kriiside ajal on aja- ja ressursimahukas, siis tuleb meil tõhustada oma küberkaitsevõimet mastaapsete rünnete puhuks. Sestap mõtlemegi kõrgema valmidusastmega reservkomponendi loomisele, kuhu kuuluksid IT-  ja küberkaitsealaste oskustega inimesed.

Millised tegevused ja tegevusalad saavad olema relvajõududele võtmetähtsusega järgmise viie-kümne aasta lõikes: doktriinide kirjutamine, väljaõpe, reservväe arendamine, küberrelvade väljatöötamine?

Eelarve on muidugi alati võtmetähtsusega valdkond, kuid viimane valge raamat nimetab selles kontekstis küberkaitset strateegiliseks prioriteediks. Kaitse-eelarve kärpimisest hoolimata investeeringud küberkaitsesse sestap jätkuvad, seda läbi spetsiaalse sihtprogrammi.

Strateegiaid, doktriine ning käitumisjuhiseid tuleb meil samuti kohendada. Analüüs kaitseuuringute ja doktriiniarendusega tegelevates keskustes juba käib. Me jälgime ka seda, mida tehakse välismaistes uurimisasutustes – näiteks CCD COEs (Tallinnas asuv NATO küberkaitse oivakeskus – toim), millega meil oli heameel tänavu ühineda.

Mõtleme kõrgema valmidusastmega reservkomponendi loomisele, kuhu kuuluksid IT- ja küberkaitsealaste oskustega inimesed.

Kõige aktuaalsem mure puudutab inimkapitali. Kuna küberkaitse on veel suhteliselt uus valdkond, siis tuleb meil kohendada oma värbamismeetodeid, lahti kirjutada uute ametikohtadega seonduv, paika panna ametioskustega seonduvad nõuded ning luua väljaõppe- ja täiendkursused.

Mis laadi koostööst Eestiga oleks Prantsusmaa kübervaldkonnas enim huvitatud?

Eesti on juba pikka aega olnud väga digitaliseeritud ühiskond. 2007. aastal toimunud sündmuste tagajärjel on teist saanud suunanäitaja ka küberjulgeoleku osas. Et tegemist on võrdlemisi väikese maaga, on küberjulgeoleku vallas saavutatu vägagi muljetavaldav, eriti arvestades inimkapitali nappust. Eesti küberkaitse on üles ehitatud, järgides väga tõhusat mudelit,  mis pakub kokkuhoiuvõimalusi otsivale Prantsusmaale suurt huvi.

Ning lisaks teevad Põhja- ja Baltimaad küberkaitse osas tihedat koostööd, mille toimimispõhimõtted võiksid olla eeskujuks samalaadseks koostööks teistes Euroopa piirkondades või isegi terves Euroopa Liidus.

Kuidas rahvusvahelises koostöös usalduseni jõuda, kui selles koostöös on infovahetus piiratud isegi lähedaste liitlaste vahel?

Tõhusa küberkaitse rajamine eeldab lähedaste koostöösuhete rajamist üksteist usaldavate partnerite vahel. Aga kuna küberkaitse on seotud ka suveräänsuse mõistega, salajase tehnoloogia ja oskusteabega ning luuretegevusega, siis pole sellel teemal lihtne rääkida isegi liitlastega.

Ma ise arvan, et usaldus tekib ajaga ning ühes seda usaldust õigustavate kogemustega. Iga edastatud väärtuslik infokild ning abitegu küberkriiside lahendamise ajal sillutab teed tõelisele partnerlusele. Me peame olema kannatlikud ning meeles pidama, et ajapikku üles ehitatud tõhus partnerlus on palju väärtuslikum kui kiirelt loodud tühine juhuühendus.

Tõlge inglise keelest eesti keelde Kaarel Kaas.