Küberjulgeolek tehniliste probleemide ja poliitiliste prioriteetide labürindis
Me oleme astunud uute, nähtamatute ja piirjoonteta konfliktide ajastusse.
Ma usun, et teil kõigil on avanenud viimasel ajal võimalus näha mõnd filmi, milles uusim arvutitehnika viib mõne maa või terve maailma huku äärele. Viimasel ajal on ohtralt arutatud küberohtude ja küberjulgeoleku tehniliste aspektide üle. Minu meelest ongi see absoluutselt hädavajalik, sest me kõik osaleme praegu digitaalses revolutsioonis, mis muudab põhjalikult kõiki meie elu tahke.
Faktid räägivad enda eest: üle 2,5 miljardi aktiivse internetikasutaja, kusjuures nende hulk võib kõigest mõne aastaga jõuda üle kolme miljardi; üsna tavaliste ja tagasihoidlike esemete ja teenuste täielik digiteerimine: juba täna võime põhimõtteliselt juhtida oma autot, kodu ja seadmeid interneti kaudu; avaliku sektori kiire digiteerumine.
Samal ajal oleme viimasel kümnendil võinud näha füüsilise maailma ja küberruumi üha kiiremat ühtelangemist. Tänapäeval on piirjoon “reaalse maailma” ja “kübermaailma” vahel sageli juba äärmiselt õhuke, peaaegu olematu. See on muu hulgas omavahel väga sügavalt ja tihedalt sidunud globaalse julgeoleku ja küberjulgeoleku.
Kümne aasta eest oli küberjulgeolek eelkõige tehniline probleem. Tänapäeval on tänu üleilmastumisele ning arvutitehnika väga laialdasele kasutamisele majanduses ja isegi igapäevaelus küberruum tunginud sügavale poliitikamaastikule nii riiklikul kui ka Euroopa tasandil. Kübermeetoditega tegutseb globaalmajandus, kübermeetoditega jõutakse väga paljude inimesteni nii konkreetsetes riikides, Euroopas või isegi üleilmselt. Samal ajal saab küberruumi tarvitada kuritegelikul eesmärgil ja seda on võimalik muuta relvaks. Niisiis mõjutab küberruum tänapäeval selgelt kõige sügavamalt ka riiklikku julgeolekut. Sel on otsene mõju avalikule huvile, mistõttu küberruum on pälvinud poliitilist tähelepanu.
Küberohtude arenemise praeguse seisu ja tulevikuväljavaadete paremaks mõistmiseks tuleb meil haaret laiendada, vaadata tehniliste detailide taga avanevat laiemat pilti. Heita pilk senisele evolutsioonile, praegusele poliitikale ning suundumustele vähemalt riiklikul ja Euroopa tasandil.
Üks ilmekamaid näiteid väe kohta, mida küberruum pakub sõltumatu riigi poliitikasse ja siseasjadesse sekkumise ja mõjutamise platvormina, on see, mis toimus 2007. aastal Eestis. Riigi tehniline ja infotaristu langes küberrünnakute ohvriks, mille siht oli destabiliseerida riiklikke institutsioone ja tekitada kogu riigis kaost.
19. sajandil pani tööstusrevolutsioon aluse protsessile, mis tõi Euroopas kaasa tohutu progressi, võimaldades sel maailmajaol hõivata majanduslikult, tehniliselt ja poliitiliselt kogu ülejäänud maailma. Ent sellesama progressi tulemus oli ka keeruline sõjatehnika ja -tehnoloogia, mida kasutati edukalt nii Esimeses kui ka Teises maailmasõjas. Sama loogikat saab kasutada tänase interneti ja küberruumi kohta. Toodud näitest johtub selgelt, et sõltumata algsest eesmärgist on igasugusel tehnikal ja tehnoloogial strateegiline, poliitiline ja kõlbeline aspekt, millega tuleb tingimata arvestada. See kehtib eriti tänapäeva üleilmastunud maailma tingimustes. Mainitud aspektid on eriti olulised siis, kui me käsitleme riiklikku ja globaalset poliitikat küberruumi ja selle edasise arengu suhtes.
Küberruumi iseärasuseks on asjaolu, et see on avalikult kättesaadav ressurss. Praegu ei ole selle kasutamine kuidagi piiratud. Seepärast söandaksin öelda, et küberruum on kaheotstarbeline ressurss. Ühelt poolt on see majandusarengu, turu laiendamise ning ideede ja teabe vahetamise platvorm. Teiselt poolt saab küberruumi kasutada ka vähem väärikatel eesmärkidel. See on näiteks terroriorganisatsioonide abivahend oma tegevuse koordineerimiseks ja uute poolehoidjate ligimeelitamiseks. ISISe viimase aja tegevus on selle ilmekas näide. Ebademokraatlikud režiimid pruugivad küberruumi teabe hankimiseks muu maailma, tehnoloogia ja teadmiste kohta või ka platvormina üksikute ettevõtete või lausa tervete riikide ründamiseks. Üks ilmekamaid näiteid väe kohta, mida küberruum pakub sõltumatu riigi poliitikasse ja siseasjadesse sekkumise ja mõjutamise platvormina, on see, mis toimus 2007. aastal Eestis. Riigi tehniline ja infotaristu langes küberrünnakute ohvriks, mille siht oli destabiliseerida riiklikke institutsioone ja tekitada kogu riigis kaost. Teine sama äärmuslik näide on üks ettevõte, mis investeeris sadu miljoneid uue toote arendusse ning kaotas investeeringud ühe hetkega varguse tõttu, mille panid toime konkurendi kasuks töötavad küberkurjategijad.
Järeldused on ilmselged. Oleme me valmis või mitte, meeldib see meile või mitte, oleme nüüdseks astunud uude vastanduvate majandussüsteemide, riikide ja sõjaliste alliansside ajajärku. Kokkupõrgete piirjooned on nähtamatu, konfliktid vaiksed. Mis ei ole muutunud, on kokkupõrkejoon. Vastased on põhimõtteliselt samad: ühel pool tänapäeva demokraatiad, teisel pool autoritaarsed režiimid ja terroriorganisatsioonid. Muutunud on ainult kokkupõrgete koht: see on kandunud füüsilisest maailmast kübermaailma.
Ilmne on seegi, et tänase küberjulgeoleku haare ulatub tunduvalt kaugemale tavalisest IT-taristu kaitsmisest või tundliku riikliku taristu teatavate objektide kaitsmisest. Sel on oma spetsiifilised majanduslikud ja poliitilised aspektid, sest tänapäeva ühiskond tugineb ja seda viib edasi teadmus ja teave, samuti teadus- ja arendustegevus. Juba seepärast ei saa küberohte eirata ega tähelepanuta jätta. Seisukoht “seda ei saa meiega juhtuda” on tänapäeval täiesti kõlbmatu: küberohud on globaalsed, nende eest ei ole kaitstud ükski riik ja ükski riik ei suuda neile ka üksinda adekvaatselt vastata.
17. sajandil määratles Thomas Hobbes anarhiat “kõigi sõjana kõigi vastu”. Kõige hullemal kujul vastab tänapäeval sellele definitsioonile küberruum, sest riiklikud ja rahvusvahelised institutsioonid ei suuda tõkestada kuritegevuse (nii organiseeritud kui muusuguse), terrorismi ja piiriüleste rünnakute aina ulatuslikumat kolimist kübermaailma. Sisuliselt valitseb tänases küberruumis võimuvaakum. Sellel on oma loogiline seletus. Küberruumil puuduvad füüsilised piirid, seal ei ole ressursside kasutamise piiranguid. See tekitab täiesti loogilise konflikti riigi klassikalise definitsiooniga, mida teatavasti juhivad kindlad reeglid ja seadused ning kus on loodud sõjavägi vastuvõetamatute ja vaenulike sammude takistamiseks. Seepärast ei suudagi ükski riik üksi toime tulla küberjulgeoleku probleemidega, mis on tänapäeval loomu poolest ülemaailmsed. Kui proovida tuua paralleele, siis võib nüüdset vajadust kaitsta tundlikke süsteeme ja teavet kuritahtliku tegevuse eest võrrelda kunagiste pingutustega kindlustada liikumisvabadus kogu maailma ookeanidel. Nii nagu kogu maailm koondus kaitsma merd, nii peaksid nad nüüd koonduma küberruumi turvalisuse kaitsele.
Nii nagu mina aru saan, on vähemalt kaks viisi muuta praegust küberruumi valitsemise “anarhilist” mudelit, et tulla toime praegusaja küberohtudega. Üks võimalus oleks kehtestada kõikehõlmavad reeglid, mis muudaksid täielikult küberruumi iseloomu. Põhimõtteliselt oleks küberruum seejärel klassikalise riikliku ja rahvusvahelise suhtlemise digitaalne peegeldus. Samal ajal kaoksid peaaegu täielikult kõik need ainulaadsed omadused ja eelised, mis on muutnud küberruumi üheks tänapäeva majandusliku ja sotsiaalse arengu suuremaks tõukejõuks.
Oleme me valmis või mitte, meeldib see meile või mitte, oleme nüüdseks astunud uude vastanduvate majandussüsteemide, riikide ja sõjaliste alliansside ajajärku. Kokkupõrgete piirjooned on nähtamatud, konfliktid vaiksed.
Teine võimalus on muuta meie maailma ja iseennast ning sedagi, kuidas me käsitleme küberruumi ja reageerime küberohtudele. Mina ise eelistaks seda varianti. Maailma ei vaja mitte rohkem võimu, vaid senise võimu mõistuspärasemat kasutamist.
Milline näeks see teine võimalus välja praktikas?
1. Küberjulgeoleku seadmine prioriteediks riiklikul ja Euroopa tasandil
Me peame tunnistama, et riik, nagu me seda seni olene tundnud – riik, mis tugineb paberile ja bürokraatiale -, on juba minevikku vajunud. Juba täna käib paljudes Euroopa riikides enamik suhtlemist ja kontakte avaliku võimuga võrgus. Küberruumi tarvitamine selleks otstarbeks tekitab uusi riske ja ohte. Nende neutraliseerimisega ei tule toime üksikud valitsused ega ka ainult valitsused. Tõhus reaktsioon nõuab avaliku ja erasektori koordineeritud pingutust, ühiste standardite, platvormide ja poliitika paikapanemist küberruumi kasutamiseks ja rünnakute eest kaitsmiseks. Selles osas peab Euroopa tugevdama oma küberturbe strateegiat seda põhjalikult läbi vaadates ja ellu viima asudes. Probleemid selle sihi saavutamisel ei ole tehnilised, vaid poliitilised ja majanduslikud.
2. Avaliku ja erasektori partnerluse süvendamine
Adekvaatne reaktsioon praegustele ja tulevastele küberohtudele ei nõua ainult riikide koostööd – see nõuab ka valitsuste ja erasektori tihedat koostööd. Leidub ju asjatundlikkust, mida on vaja küberohtudega võitlemisel, nii avalikus kui ka erasektoris, mistõttu maksimaalse kaitse kindlustamiseks peavad avalik ja erasektor astuma nende vastu tihedas koostöös.
3. Teabe ulatuslikum ja täielikum jagamine
Erasektori ja valitsuse, samuti erinevate majandusharude vahel on oma kindlad, hädavajalikud piirid. Kuid tänapäeva üleilmastunud maailmas, eriti küberruumi olemust silmas pidades, on igati ilmne, et reaktsioon küberohule on ebapiisav, kui sellega ei kaasne läbipaistvus ja teabe jagamine. Jagamine riigiasutuste ja eraettevõtete, ELi riikide ja ülejäänud maailma vahel.
Teabe jagamist võib pidada võtmeks, mis aitab välja töötada jõulise ja õigeaegse vastuse praegustele ja tulevastele küberohtudele. Näiteks Stuxneti hävitustöö mehhanismi üksikasjade väljaselgitamisest pole kuigi palju tulu, kui need tulemused tähistada märkega ERITI SALAJANE, nii et teised võimalikud sihtmärgid ei suuda ohtu tuvastada, enne kui on liiga hilja. Läbipaistvus on demokraatliku ühiskonna suurim jõud ja seda tuleb küberohtudele vastu astudes igakülgselt ära kasutada.
Samal ajal peame olema pragmaatilised ja õppima oma vigadest. Üks 11. septembri rünnakute tähtsamaid õppetunde oligi see, et ohule, olgu tegu terrorismi või küberohuga, on võimalik tõhusalt reageerida ainult asjaomaste organisatsioonide ja riikide ühise, fokuseeritud ja koordineeritud tegevusega. See eeldab ulatuslikku ja läbipaistvat teabe jagamist.
Reaalse maailma kogemuse ülekandmine küberruumi nõuab samuti uute organisatsioonide, poliitika ja struktuuride loomist (või olemasolevate vastavat muutmist) riiklikul ja Euroopa tasandil, millega kindlustada vajaliku asjatundlikkuse, praktiliste kogemuste ja oskuste olemasolu küberohtudega võitlemise koordineerimisel. Headeks näideteks selles vallas on Euroopa võrgu- ja infoturbeamet ENISA ning Euroopa küberkuritegude keskus EC3.
4. Rahvusvahelise koostöö süvendamine
Üks olulisemaid põhjusi, miks küberkurjategijad on viimastel aastatel nii suurt edu saavutanud, peitub selles, et nad saavad üle astuda riigipiirist ja tegutseda rahvusvahelises mastaabis. See suundumus edasistel aastatel ainult tugevneb. Täieliku kontrastina on adekvaatset reageerimist takistanud asjaomaste riikide koordineerimise puudulikkus.
Teataval määral on rahvusvahelise koostöö tõsist puudulikkust tinginud see, et enamik riike peab küberjulgeolekut pelgalt omaenda riikliku julgeoleku strateegia osaks. See ei ole tingimata vale arusaam, aga vaieldamatult tekitab see institutsioonide- ja rahvusvahelisele koostööle lisatõkkeid ja -piiranguid. Ometi on ilmselge, et et küberohud ja nende mõju ületab iga konkreetse riigi sõjalise doktriini kehtivusala ning neile saab kõige paremini reageerida just rahvusvahelisel tasandil.
Samal ajal ei tuleks rahvusvahelist koostööd jätta ainuüksi riikide valitsuste ega ka riikide ja ELi ametkondade hooleks. Tõhusa ja toimiva küberkaitse loomine nõuab igakülgset kodanikuühiskonna kaasamist. Selleks tuleb süvendada riiklikul ja Euroopa tasandil infoühiskonna arengut. Kõige tõhusam vastus küberohtudele peitub kodanike teadlikkuse ja reageerimisvõime suurendamises, sest küberrünnakute üks tähtsamaid sihte ongi just usalduse õõnestamine valitsuste vastu.
Rahvusvaheline koostöö, teabe jagamine, avaliku ja erasektori koostöö ei tohiks jääda pelgalt soovmõtlemise tasandile. Meie reageerimine tänapäeva küberohtudele peab tuginema tõelisele ja tugevale alusele, sest panused küberjulgeoleku tagamisel on enneolematult kõrged. Tingimustes, kus andmed koonduvad aina enam kaugel asuvatesse arvutikeskustesse, üha enam levib pilveteenuste tarvitamine, asjade internet laieneb üüratult ning küberkuritegevuse haare aina kasvab, saab küberjulgeolekut tagada ainult valitsuste, ettevõtete ja kodanikuühiskonna tihedas avatud koostöös. Meil tuleb kogu aeg meeles pidada, et kõik – jah, kõik! – tänapäeva riigid, kompaniid ja inimesed kuuluvad ulatuslikku võrku, mis tegutseb küberruumis, kasutades selleks füüsilisi infovõrke ja tarkvara. Seetõttu saab tänastele küberjulgeoleku ohtudele vastu astuda ainult uutmoodi koostöös, mis, tõsi, võib tunduda õige keeruline eelkõige usalduse puudumise tõttu tänapäeva julgeolekusüsteemis.
Lõpetuseks tahaksin toonitada, et kui me ei suuda tagada sellisel tasemel koostööd ja avatust ning püstitame jätkuvalt teabe jagamise teele barrikaade nii riikides kui ka Euroopa tasandil, anname vabatahtlikult käest ära meie kõige võimsama relva võitluses küberohtudega. Ja kui me seda teeme, siis me selle võitluse usutavasti ka kaotame.
Inglise keelest eesti keelde ümber pannud Marek Laane
Artikkel ilmub koostöös Euroopa Komisjoni Eesti esindusega.