Küberjulgeolek kui välis- ja julgeolekupoliitika küsimus
Julgeolekuolukorra halvenemine Euroopas ei ole jätnud puutumata küberruumi. Allolev mõtteharjutus püüab vaagida Eesti võimalusi küberjulgeoleku tugevdamiseks välis- ja julgeolekupoliitika raames.
Võrreldes suurriikidega on väikeriik küberohtudele haavatavam, kuna inim- ja materiaalne vara on kordades piiratum. Kuid mõnikord on väikesed mastaabid hoopis eeliseks ja küberruumis on Eestil õnnestunud seda edukalt ära kasutada. Välispoliitiliselt oleme suutnud mängida kõrgemas liigas, kui kaal lubaks. Sarnaselt Soomele ja Hollandile on Eesti eelis avaliku ja erasektori edukas koostöö e-eluviisi arendamiseks ning küberruumi turvaliseks kasutamiseks (näiteks Kaitseliidu küberkaitseüksuse loomine, mille eeskuju on järginud mitmed teised riigid). Välispoliitiliselt oleme kujundanud endale kompetentse, usaldusväärse digitaalse arengu ja küberjulgeoleku eestkõneleja maine. Hea reputatsioon on kindlasti kasuks tulnud Eesti algatustele rahvusvahelise toetuse saamisel (näiteks tegi Eesti ettepaneku NATO küberõppekeskkonna rajamiseks Eestisse). Ka kvantitatiivsed näitajad kinnitavad meie edumaad. Näiteks Rahvusvahelise Telekommunikatsiooni Liidu (ITU) indeksi alusel oleme infoühiskonna arengu poolest maailmas 21. kohal,1 Euroopa Komisjoni indeksi alusel digitaalse konkurentsivõime poolest ELis seitsmendal kohal2 ja ITU indeksi alusel küberturvalisuse poolest maailmas top-14 riigi seas viiendal kohal.3 Lisaks on Eesti ka küberjulgeoleku doonor, jagades avatud infoühiskonna, e-valitsemise, e-demokraatia, küberturvalisuse ja IKT-lahenduste alaseid teadmisi nii Euroopa idanaabruse riikides kui kaugemal. Teisalt, mida digitaalsem on riik ja ühiskond, seda haavatavamad oleme ja seda enam peame muretsema küberturvalisuse ja julgeoleku pärast. Et tehnoloogia ja küberründeviiside kiiret arengut on võimatu prognoosida,4 tuleb valmis olla ka kõige ebatõenäolisemateks stsenaariumiteks. Kübereksperdid rõhutavad, et praegu rullub lahti käsikiri, millele riigid kirjutavad, kuidas tulevikus kübervahendeid kasutama hakatakse, vaadakem kasvõi Venemaa, Hiina, USA tegevusi.
Kuid mõnikord on väikesed mastaabid hoopis eeliseks ja küberruumis on Eestil õnnestunud seda edukalt ära kasutada. Välispoliitiliselt oleme suutnud mängida kõrgemas liigas, kui kaal lubaks.
Poliitiliselt motiveeritud küberohud
Kuigi Eesti-vastaste küberintsidentide koguhulk möödunud aastal ei kasvanud, olid intsidendid olulisema mõjuga (tõsiselt kriitilised olid 20 protsenti intsidentidest). Riigiasutused teavitasid intsidentidest neli korda rohkem kui aasta varem, mis Riigi Infosüsteemi Ameti hinnangul näitab nii suuremat arvu rünnakuid ja katkestusi kui ka aktiivsemat infosüsteemide kasutamist ja intsidentidest teavitamist riigiasutuste poolt. Lisaks kasvas ka välisjulgeolekuteenistustega seotud intsidentide hulk.5 Kui üleilmselt põhjustavad suurimat majanduslikku kahju küberkuritegevus ning riikide majanduslik ja tööstusluure, sealhulgas intellektuaalse omandi vargus, siis meie regioonis on levinud eelkõige poliitiliselt motiveeritud rünnakud.6 Tõsiseks ohuks peetakse riikide poolt üha enam ka andmete terviklikkuse (integrity) kahjustamist, mis tähendab, et ei saa kindel olla, et andmeid pole volituseta muudetud.
Küberohud Venemaalt
Võrreldes 2007. aastaga, mil Eesti valitsusasutusi, uudisportaale, panku ja Elioni nimeservereid ja ruutereid tabasid suhteliselt lihtsad ründed (peamiselt teenustõkestusründed ja hajusad teenustõkestusründed), on küberünnete intensiivsus, keerukus ja läbiviimise sagedus kasvanud kogu maailmas.
Kuigi puuduvad täpsemad andmed Venemaa kübervõimete arendamise kohta, on teada, et Venemaa loob sõjalist küberväejuhatust (Cyber Command), mille ülesanneteks on nii küberründe- ja propagandaoperatsioonid7 kui ka vastase juhtimissüsteemide nakatamine pahavaraga.8 Küberturvafirmade hinnangul arendab Venemaa ka pahavara (Remote Access Trojan) kaugligipääsu saavutamiseks kriitilise infrastruktuuri juhtimissüsteemidele (SCADA).9 Paljud eksperdid arvavad, et riik on siirdanud nullpäeva turvaauke lääneriikide kriitilisse infrastruktuuri ja relvasüsteemidesse, mida saab kriisi puhkedes aktiveerida. Igatahes peab USA luure Venemaad Hiinast tõsisemaks ohuks (neile kahele riigile järgnevad Iraan ja Põhja-Korea) ning küberohte kõige tõsisemaks rahvusliku julgeoleku ohuks riigile. USA avalikustas sel aastal, et Venemaa toetatud häkkerid on saavutanud korduvalt juurdepääsu Pentagoni ja Valge Maja – mis, arvestades USA liidripositsiooni küberjulgeolekus, peaksid olema ühed maailma enim turvatud infosüsteemid – klassifitseerimata arvutivõrkudele.10 Küberturvafirmade uuringute kohaselt on Venemaa toetatud häkkerite autorsusega suure tõenäolisusega paljud pahavarad, mille eesmärk on kahjustada SCADA süsteeme.11 Veelgi rohkem on need raportid heitnud valgust Venemaa kinnisründeohu rühmituste (Advanced Persistent Threat) kõrgelt arenenud küberluurevõimetele.12
Kuigi Eesti-vastaste küberintsidentide koguhulk möödunud aastal ei kasvanud, olid intsidendid olulisema mõjuga (tõsiselt kriitilised oli 20 protsenti intsidentidest).
Teatavasti oli Venemaa esimene riik, kes kasutas kübervahendeid sünkroniseeritult koos sõjalise rünnakuga Gruusias 2008. aastal ja osana nn hübriidsõjast Ukrainas 2014. aastal.13 Küberruum on hea näide, kuidas Venemaa rakendab oma poliitiliste ja sõjaliste eesmärkide saavutamiseks äraspidist kõikehõlmavat lähenemist (comprehensive approach), kasutades ära riigi heakskiidul või toetusel tegutsevate kõrgetasemeliste küberkurjategijate ja nn patriootlike häkkerite teenuseid.
Küberjulgeolek kui välis- ja julgeolekupoliitiline küsimus
Riikide poliitilised ja sõjalised juhid on tõdenud tõsiasju, mis võivad tunduda triviaalsed. Esiteks, küberjulgeolek pole tehniline probleem, mille peab lahendama turvaintsidentide käsitlemise (CERT/CSIRT) osakond. Küberjulgeolek on strateegilise tasandi küsimus, mida tuleb regulaarselt arutada kõrgemal juhtimistasandil. Teiseks pole üheski arvutisüsteemis võimalik tagada täielikku turvalisust, mistõttu turvaintsidentide ennetamisest ei piisa, vaid fookus peab olema nende avastamisel, nendele reageerimisel ja toimunud turvaintsidentide tagajärgede leevendamisel (teatavasti saadakse intsidendi toimumisest teada 200 päeva pärast selle toimumist, kuid sageli üldse mitte).14 Eeldada tuleb, et infosüsteemid on juba kompromiteeritud. Vaja pole ehitada läbimatut kaitsemüüri välisvaenlase vastu, vaid tuleb parandada toimepidevuse- või vastupanuvõimet (resilience) nõnda, et tagada tegutsemisvõime või teenus igas olukorras.
Laialt teada on ka, et enamik intsidente on põhjustatud vähesest küberhügieenist ja inimlikust veast ning enamik küberründeid ei küündi tõsiste ohtude lävendini. Ka enamik poliitiliselt motiveeritud küberrünnakuid ei ole põhjustanud kineetilise jõu kasutamisega sarnaseid tagajärgi. Rahvusvahelist konsensust küsimuses, millised kübertegevused on sõjalise jõu kasutamine või sõjaline rünnak, ei ole. Venemaa ja Hiina ei soovi, et jõu kasutamist defineeritakse rünnete ulatuse ja tagajärgede alusel, mis on demokraatlikes riikides levinud seisukoht.15 Ka on nende riikide käsitluses psühholoogilised operatsioonid ja infosõda osa kübersõjast ehk need ületavad sõjalise rünnaku läve. Võib arvata, et nende huvides pole jõuda kokkuleppele, et rahvusvahelises õiguses legitimeeritakse vastumeetmete kasutamine küberrünnetele, mis piiraks nende tegevust või vähemalt sunniks neid oma tegevust õigustama. Seni kuni väärtuste lõhe demokraatlike ja autoritaarsete riikide vahel ning riikide kokkusobimatud rahvuslikud huvid takistavad globaalse kokkuleppe saavutamist riikide vastutustundliku käitumise kohta küberruumis,16 on siiski võimalik jõuda üksmeelele samameelsete riikide seas.
Riigid rakendavad võimu, lähtudes väärtustest ja rahvuslikest huvidest, ning kübervõim pole erand. Hoolimata sellest, kas käsitleme küberruumi sõjapidamise viienda domeenina või substraadina, millel põhinevad ja millest sõltuvad sõja kõik tahud, on küberruum inimtegevuse uus sfäär, mis annab riigile lisavõimaluse oma suveräänse võimumonopoli teostamiseks nii oma jurisdiktsioonis kui ka rahvusvaheliselt. Kübervahendid võimaldavad mõjutada või sundida sihtmärki mittevägivaldsel viisil. Riigi arsenalis on nii ründevahendid, informatsioonilise võimu tööriistad (näiteks seadused andmete lokaliseerimiseks ja interneti sisu kontrollimiseks) kui ka meetmed füüsilise ja tehnilise kontrolli saavutamiseks (näiteks seadused, mis kohustavad teenusepakkujaid identifitseerima kõik kasutajad, registreerima sotsiaalmeediaportaalid, kontroll riist- ja tarkavara üle, julgeolekuasutuste jälitustegevus). Riikide küberrünnakute eesmärgid võivad olla näiteks andmete kättesaadavuse või teenuste katkestamine, arvutivõrkude, arvutite ja tarkvara kahjustamine, ühiskonnas segaduse tekitamine ja usaldatavuse õõnestamine, sihtrühmade psühholoogiline ja poliitiline mõjutamine, info- ja luureoperatsioonid. Küberjulgeolek on seega mitmetahuline, piir sõja ja rahu ning sisese ja välise vahel on hägustunud. Küberjulgeolek on ühtlasi välis- ja julgeolekupoliitika küsimus ning osa riigikaitse laiast käsitlusest.
Vaja pole ehitada läbimatut kaitsemüüri välisvaenlase vastu, vaid tuleb parandada toimepidevuse või vastupanuvõimet (resilience) nõnda, et tagada tegutsemisvõime või teenus igas olukorras.
Eesti agenda
Eesti arendab sõjalise kaitse kübervõimeid ja panustab aktiivselt rahvusvaheliste normide ja konfidentsiaalsuse ja usaldusmeetmete aruteludesse OSCEs ja ÜROs. Lisaks rahvusvahelise koostöö, liitlassuhete ja ELi küberpoliitika edendamisele, mis on Eesti küberjulgeoleku strateegia kohaselt ühed peamised eesmärgid aastani 2017,17 on vaja kindlustada end ka poliitiliselt motiveeritud küberrünnete vastu. Kaitse algab eelhoiatusest, olukorrateadlikkuse saavutamisest ja selle jagamisest teiste osapooltega. Välispoliitiliselt on oluline usalduslike kahepoolsete liitlassuhete arendamine ennekõike samameelsete küberluure ja -võimete arendajate eestvedajatega. Usutavaks heidutuseks tuleb seista selle eest, et NATO on võimeline rakendama kiiresti kollektiivkaitsemeetmeid tõsiste küberrünnete vastu. Kuigi deklaratsioonil, et NATO kollektiivkaitse hõlmab ka kaitset küberrünnakute vastu, on olnud stabiliseeriv mõju,18 eeldab tõhus heidutus, et lisaks selgele sõnumile rakendatakse intsidentidele vastumeetmeid (näiteks USA on suurendanud oma heidutust, esitades ametlikud süüdistused Hiina sõjaväelaste vastu ja legitimeerinud sanktsioonide rakendamise). Tõhus heidutus tähendab ka, et parandatakse toimepidevust ja rünnakute omistamise võimet ning arendatakse küberkaitsevõimeid rünnakute ärahoidmiseks (deterrence by denial) ja küberründevõimeid.19 Ja lõpetuseks, kuigi artiklis ei käsitletud põhjalikumalt info- ja psühholoogiliste operatsioonide teemat, on oluline, et EL töötab välja meetmed hübriidohtude, sealhulgas Venemaa infosõja vastu,20 ning et EL ja NATO annavad selge ühise strateegilise sõnumi. Vähemtähtis pole ka ühise sõnumi edastamine ja ühise agenda järgi tegutsemine Eesti riigiasutuste poolt.
Viited
- Infoühiskonna mõõtmise raport 2014 (Measuring the Information Society Report 2014). ITU 2014. ↩
- Eesti kuulub keskmiselt arenenud riikide gruppi koos Belgia, Ühendkuningriigi, Luksemburgi, Iirimaa, Saksamaa, Leedu, Hispaania, Austria, Prantsusmaa, Malta ja Portugaliga. Avaliku sektori e-teenuste arendamise poolest oleme ELis teisel kohal, interneti kasutajate arvu poolest oleme ELis neljandal kohal ja elanike digioskuste poolest seitsmendal kohal, kuid alles 22. kohal digitehnoloogia kasutuselevõtu poolest ärisektoris. Euroopa Komisjon. Juuni 2015. ↩
- ITU indeksis on esimesel viiel kohal 14 riiki; Eesti jagab viiendat kohta Brasiilia, India, Jaapani, Lõuna-Korea, Saksamaa ja Ühendkuningriigiga. Globaalne küberjulgeoleku indeks ja küberheaolu profiilide raport 2015 (Global Cybersecurity Index & Cyberwellness Profiles Report 2015). ITU 2015. ↩
- Nassim Talebi musta luige teooria järgi on majanduse, finantsturgude ja tehnoloogia arengut võimatu ette ennustada. Must luik on ootamatu sündmus, mis pole tõenäoline, kuid mil on ulatuslik mõju (nt Esimene maailmasõda, 9/11, interneti loomine ja Google’i esiletõus). Kaitset mustade luikede eest pakub antihapruse (antifragility) printsiip, mis võimaldab säilitada keset korratust kestvuse ja paranemise. Selmet toetuda ekspertide akadeemilistele teadmistele soovitab Taleb rakendada katse-eksituse meetodit. Vt Talem, Nassib, Õppides armastama muutlikkust (Learning to Love Volatility) – Wall Street Journal, 16.11.2012. http://www.wsj.com/articles/SB10001424127887324735104578120953311383448 ↩
- Avalike e-teenuste tõrkeid põhjustasid lisaks sageli ka elektri- ja andmesidekatkestused. RIA küberturvalisuse teenistuse 2014. aasta kokkuvõte. ↩
- Peterkop: „Meie regioonile on iseloomulikud poliitiliselt motiveeritud küberrünnakud“. Riigi Infosüsteemi Amet, 21.08.2015. https://www.ria.ee/meie-regioonile-on-iseloomulikud-poliitiliselt-motiveeritud-kuberrunnakud/ ↩
- Venemaa käsitluses kuuluvad sõjaliste kübervahendite arsenali ka psühholoogilised ja infooperatsioonid. ↩
- http://www.cbsnews.com/news/russia-tops-list-of-nation-state-cyber-threats-against-u-s/ ↩
- http://www.newsweek.com/2015/05/15/russias-greatest-weapon-may-be-its-hackers-328864.html ↩
- Nt augustis 2015 toimunud Pentagoni Ühendväestaabi (Joint Staff) meilisüsteemi tungijaks peetakse Venemaa häkkereid, keda USA on ka varem süüdistanud Pentagoni ja Valge Maja arvutivõrkudesse tungimises. http://edition.cnn.com/2015/08/05/politics/joint-staff-email-hack-vulnerability/. USA personaliameti andmeleke, mis puudutas 21,5 miljoni inimese andmeid, lähtus ekspertide arvates Hiinast. USA asekaitseministri sõnul otsivad nii vaenulikud riigid kui muud häkkerid USA kaitseministeeriumi arvutivõrkude haavatavusi miljoneid kordi päevas. Robert Work, USA asekaitseministri avasõnavõtt USA kongressi kaitsekomisjonis (armed services commitee). 20.09.2105. ↩
- Näiteks Venemaa kinnisründeohu rühmitus Dragonfly/Energetic Bear on rünnanud Lääne gaasi- ja naftafirmasid 2011. aastast. Russian Hackers Targeting Oil and Gas Companies – New York Times, 30.06.2014. ↩
- Vt näiteks Patrik Maldre, Vene küberspionaaži mitu palet, 28.08.2015. KK blogi. ↩
- Lisaks küberrünnetele kasutas Venemaa ka elektroonilise sõja vahendeid. ↩
- 2014. aastal avastati ründajad ohvri arvutisüsteemist 205 päevaga (mediaan). 2015 Internet Security Threat Report. Symantec 2015. https://www2.fireeye.com/WEB-2015RPTM-Trends.html ↩
- Vt Tallinna käsiraamatu reeglid 11 ja 30. Michael Schmitt (general editor), Tallinn Manual on the International Law Applicable to Cyber Warfare. Prepared by the International Group of Experts at the Invitation of the NATO Cooperative Cyber Defence Centre of Excellence, Cambridge University Press, 2013. ↩
- Rahvusvaheliste normide ning konfidentsiaalsus- ja usaldusmeetmete üle kokkuleppele jõudmises on viimastel aastatel tehtud edusamme nii OSCEs 11 CBMi kui ÜRO valitsusekspertide grupi informatsioonijulgeoleku küsimustes vabatahtlike ja juriidiliselt mittesiduvate meetmete kokkuleppimisega. ↩
- Eesti peamised eesmärgid küberjulgeoleku valdkonnas on muuhulgas küberkuritegevuse kasvu piiramine, elutähtsate teenuste ja taristu toimepidevusvõime (resilience) suurendamine, kuid ka samuti rahvusvahelise koostöö arendamine ja sõjalise küberkaitse, sealhulgas aktiivkaitse arendamine. Küberjulgeoleku strateegia 2014–2017. ↩
- James Lewis, Küberründeoperatsioonide roll NATO kollektiivkaitses (The Role of Offensive Cyber Operations in NATO’s collective defence). Tallinn Paper No. 8. CCD COE. ↩
- Robert Butler, sõnavõtt USA kongressi väliskomisjonis. 20.09.2015. Vaata ka James Lewis, Küberründeoperatsioonide roll NATO kollektiivkaitses (The Role of Offensive Cyber Operations in NATO’s collective defence). Tallinn Paper No. 8. CCD COE. ↩
- EL kavatseb 2015. aasta lõpuks võtta vastu ühise raamistiku hübriidohtude vastu. ELi uus välis- ja julgeolekupoliitika strateegia, mis on kavas vastu võtta juunis 2016. aastal, peab samuti käsitlema hübriidsõja aspekte. Ka NATOl on soovitatud koostada plaan hübriidohtude vastu. ↩