Francis Maude: küberrünnak Eesti vastu oli maailmale suur äratuskell
Küberjulgeoleku eest vastutav Briti minister ütleb, et tuleb leida tasakaal küberjulgeoleku ja isikuvabaduste vahel.
Erkki Bahovski vestles Francis Maude’iga maikuus Tallinnas.
Eesti langes küberrünnaku alla viis aastat tagasi, 2007. aastal. Et te olete hetkel Eestis, olete siinse olukorraga kindlasti tuttav. Tõenäoliselt oli see esimene riiklikul tasemel küberrünnak. Missugune on olukord praegu? Mis on juhtunud vahepeal? Ja kui tõsiselt võtab maailm küberrünnaku väljakutset?
Esiteks, see teema on uus interneti tõttu, mis on suurepärane nähtus. Internet on kaasa aidanud majanduskasvule, jõukusele, parandanud inimeste elu. Seega on meil probleemid küberrünnakuga vaid millegi tõttu, mis on iseenesest uskumatult positiivne.
Olles seda öelnud, oli Eestis juhtunu ilmselt väga tõsine. Arvan, et see oli suur äratuskell maailmale. Eestile endale tähendas see, et Eesti valitsus ja Eesti äris tegevad inimesed on hakanud kaitset küberrünnaku vastu väga tõsiselt võtma. Arvan, et see on olnud hea areng. Sündmus, mis selle põhjustas, oli halb, kuid järgnes hea areng, mis näitlikustas haavatavuse probleemi. Arvan, et valitsused võtavad seda väga tõsiselt ja ettevõtted võtavad seda samuti üha tõsisemalt, kuid siiski leidub palju variatsioone – mõned ettevõtted on kõrges valmisolekus, samas kui teistel on pikk tee käia.
Kas kübersõda on tõeline sõda? Eestile meeldiks siduda kübersõda NATOga nii, et seda peetaks NATO kuulsa 5. artikli alla kuuluvaks. Missugune on teie arvamus – kuivõrd tuleb võtta kübersõda tõelise sõjana?
See on väga raske küsimus. Pole kahtlust, et on võimalik kasutada erinevat moodi pahavara, mis levib internetis kui ründerelv ning suudab tekitada riigile tõsist kahju: nii valitsusele kui ka majandusele.
Kas me tõesti teame, kust rünnakud pärinevad? Rünnakut Eesti vastu oli võimalik jälitada suure hulga kohtadeni. Mõni neist oli Ameerikas, mõned ütlevad, et tegelik allikas oli väga hajutatud. Olla rahul teadmisega, kust rünnak tuleb, rünnaku seostamine riigi, valitsuse või mingi erilise allikaga on tõepoolest väga raske.
Seega võib riik kasutada mitteriiklikke tegijaid, kui kavatseb küberrünnakut?
Jah, võib. Ning raskus peitub selles, kuidas olla veendunud, mis täpselt on juhtumas. Seda on väga keeruline teada. Me ei tea, millal toimunud rünnak on läbi. Mõnikord võib küberrünnak aset leida ilma, et keegi teaks, et see on juhtunud. Sel võib olla viivitusega mõju. Ning väga raske on seostada kindlat tegu kindla tegijaga.
Enamik rahvusvahelise õiguse dokumente on kirjutatud ajal, mil internetti polnud. Mis on teie arvamus praegu – kas kübersõjapidamise võimalus tuleks lisada rahvusvahelisse õigusse?
Need on keerulised küsimused. Rahvusvaheline õigus on ise keeruline õiguse ala ning internet on suhteliselt hiline nähtus ja, nagu ma ütlesin, suuresti positiivne nähtus. Võtab aega, et leida tee, kuidas rahvusvaheline õigus võib katta võimalusi internetirünnakuks.
Rünnakuid on mitmesuguseid. On rünnakuid, mis on kavandatud põhjustama kahju riigile või majandusele või teatud ärile või teatud valitusele. On rünnakuid, mis on kavandatud varastama intellektuaalset omandit spionaaži eesmärgil ning sel juhul läheb vaja vastavat seadust, mis ütleb, et need rünnakud on kuritegelikud. Need on pole lihtsalt tühised sündmused, need on tõsised asjad.
Võtab aega, et jõuda rahvusvahelises õiguses rahuldava tulemuseni seaduste õigete aluste leidmisel, kuid paljude riikide siseriiklikus seadustikus on need teod kriminaliseeritud.
Seega peab olema erinevus kübersõja ja küberkuriteo vahel?
Jah, see on olemas. Need võivad ka kattuda ja mõnel juhul on raske aru saada, mis on mis. Rünnakut riigi olulise taristu vastu, näiteks selle elektriliinide, transpordisüsteemi või peamiste naftatöötlemisjaamade vastu, võib rahvusvahelises õiguses ette kujutada millenagi, mis tähendab sõda.
See on kindlasti küberkuritegu, kui see põhjustab kahju era- või avalikele huvidele. Küberrünnakuid võib ette tulla ka riikide relvastuse vastu, mis on selgelt pigem sõda kui kuritegu. Kuid leidub ka palju kattuvusi.
Mainisite juba, et valitsused on muutunud küberrünnaku võimalustest teadlikumaks. See tõstatab ka küsimuse küberjulgeolekust, mis omakorda tõstatab küsimuse isikuvabadustest. Kui me räägime julgeolekust, siis kõik ei ole vaba. Kuidas näete teie olukorda arenevat, kui jutt käib küberjulgeolekust ja isikuvabadustest?
Arvan, et nende kahe vahel ei tohiks näha konflikti. Internet on andnud inimestele palju vabadust. Internet ja sotsiaalmeedia toetasid tekkivaid demokraatiaid araabia maailmas. Internet on väga suur vabaduse edendaja, see annab inimestele vabaduse, see vabastab nad ja inimestel on õigus internetivabaduse kaitsele.
Internetirünnaku vastu kaitsmise mõttes ei teki isikuvabaduste ja julgeoleku vahel ebakõla. Pinge tekib siis, kui valitsused ja seadused üritavad kaitsta intellektuaalset omandit internetis, kus ühe osalise õigus saada sissetulekut intellektuaalselt omandilt – filmidelt ja muusikalt, millelt iganes – võib segada teise osalise usku, et nemad on õigustatud sellest osa saama.
Tuleb leida tasakaal, sest tegelikkus on selline, et sanktsioonide kehtestamine nendele, kes kasutavad internetti seda kuritarvitamaks – ja üldse igasugustel sanktsioonidel – , võib olla disproportsionaalne mõju vabaduse piiramisel. Tasakaalu leidmine nende huvide – kaitse ja vabaduse – vahel saab olema väga raske, sest pinge nende vahel ei kao kuhugi.
Arenenud maailm toetub üha enam internetile ja see tekitab loomulikult mure küberrünnaku pärast. Eesti president Toomas Hendrik Ilves, kellega te siin ka kohtusite, on kõnelenud e-sõltuvusest. Me oleme sõna-sõnalt e-riik, kõik, mida me teeme, leiab aset võrgus. See tekitab olukorra, kus vähem arenenud riigid võivad rünnata riiki, mis on täiesti või peaaegu täiesti toetumas võrgule. Millisena näete teie olukorda praegu, missugused on kontrollmehhanismid?
Ma mõistan seda küsimust – selline riik nagu Eesti, kus e-valitsus, avalike teenuste digitaalne toimimine on läinud väga kaugele, kõige kaugemale üldse maailmas, on sellises olukorras juba olemuslikult haavatav.
Kuidas te sellega hakkama saate? Arvan, et kuidas iganes me otsustame osutada avalikke teenuseid, peab meil olema tegevuse jätkuplaan ja see peab olema tõsiseltvõetav. Me oleme viimastel nädalalõppudel olnud silmitsi aktivistide rünnakutega valitsuse kodulehekülgede vastu. Need kujutasid endast seda, et suur hulk arvuteid logis end teatud valitsuse kodulehekülgedele, põhjustades nende kokkukukkumise. Nüüd on meil tegevuse jätkuplaanid. Me teadsime, et rünnak leidis aset ja nad pole suutnud häkkida end fundamentaalsesse materjali. Niisiis, kui see tegelikult aset leiab ja te ei suuda leida absoluutset kaitset selle vastu, tekitate te midagi muud häkitud kodulehe asemele ja inimesed teavad, mis toimub ja see pole maailma lõpp. Arvan, et parim julgeolek rünnaku vastu on proportsionaalsed ettevalmistused ja tegevuse jätkuplaani olemasolu, kui rünnak on edukas. Seda tuleb teha proportsionaalselt.
Industriaalsõja ajastul mängisid suured riigid väga tähtsat rolli. Missugune on olukord kübermaailma ajastul? Missugune on suurte ja väikeste riikide roll?
Mõnes etapis on suured riigid haavatavamad, sest neil on rohkem punkte, mida rünnata. Läheb vaja kõrgel tasemel rahvusvahelist koostööd, mis on üks põhjusi, miks me võõrustasime läinud aasta novembris küberkonverentsi Londonis. Me ei toonud kokku mitte üksnes riigipeasid ja valitsusjuhte, kaasa arvatud Eesti presidenti, kes tuli ja kõneles väga elegantselt, ja meid ei huvita ainult valitsuste lähedasem koostöö, vaid me soovisime kokku tuua ka ärimaailma ja kodanikuühiskonna organisatsioone nende rolli pärast lähedase koostöö arendamisel. Arvan, et siin on veel võimalusi.
Kui hästi on Ühendkuningriik küberrünnakuks ette valmistunud?
Üha paremini. Vaatamata meie säästumeetmetele ja olles sunnitud vähendama riiklikke kulusid, andsime me lisaks senisele eelarvele 650 miljonit naela küberjulgeolekuks. See protsess on pooleli ja ma pean selle eest vastutama. Me üritame näidata, et raha on kasutatud nii hästi kui võimalik: me soovime edendada ruumi, kus avaliku ja erasektori kompaniid võivad suhelda ja jagada informatsiooni, teadmisi ja know-how’d ning aidata teistel ettevalmistusi teha. Käia on veel pikk tee ja see kõik liigub väga kiiresti. Leidub inimesi, arendajaid tervest maailmast, kes kulutavad selle aja uute internetirünnakute arendamiseks. On pahavara uued vormid ja me oleme sellest teadlikud ja peame sellega tegelema nii hästi, kui saame.
Eesti meedia võtab küberrünnaku ja kübersõja küsimust väga tõsiselt. Kui tõsiselt võtab seda Briti meedia?
Nad pole väga palju sellele keskendunud seni, kuni pole olnud rünnakut. Olid mõned aktivistide rünnakud valitsuse kodulehekülgede vastu, mis pälvisid mõningast tähelepanu. Need olid pigem edutud rünnakud, kuid see ei tähenda veel, et need ei võiks olla edukad. Meedia kipub reageerima siis, kui teemaga seostub mingi kõrge profiiliga lugu, kuid kui pidada silmas üldist teadlikkust ja vajadust mõistlike valmistuvate organisatsioonide järele, pole avaliku huvi tase veel väga kõrge.