Küberkaitsest, terviklikult
Küberründed on saanud rahvusvahelise konflikti osaks.
Arenev tehnoloogia ja kasvav sõltuvus
Küberkaitse arengut tõukab viimastel aastatel tagant kaks suuremat trendi. Esimene tuleneb tehnoloogiast ja selle rollist tänases ühiskonnas. Kiire ja hulgisuunalise tehnoloogilise arenguga on kasvanud digitaalse keskkonna keerukus, mis muudab mitmekesisemaks ka küberohtude vektorid ja sihtmärgid. Uued tehnoloogiad ja lahendused – mobiilsed seadmed ja asjade internet, pilvandmetöötlus, biomeetria, masinõpe ja tehisintellekt, iseliikuvad sõidukid, kvantarvutuse tulek – loovad uusi võimalusi. Aga tehnoloogia pole kunagi täiuslik, igasugune tehnoloogiline süsteem, teenus ja innovatsioon on haavatav ja rünnatav. Kellelgi pole täit arusaama riskidest, mis digitaalsete toodete, teenuste ja ettevõtlusvormidega kaasnevad.
Üleilmne avatus lisab tehnoloogiasõltuvusele omakorda mahulise mõõtme. Sama tarkvara, sama riistvara ja samu platvorme kasutatakse üle maailma. Sama turvanõrkus mõjutab miljoneid, vahel ka miljardeid seadmeid ja kasutajaid. Selline massturg pakub ahvatlevat võimalust kurjategijatele, aga ka vaenulikele riikidele nõrkusi leida ja ära kasutada.1 2017. aasta WannaCry ja NotPetya küberründekampaaniad – millest viimases said kahju ka mõned Eesti ettevõtted – olid just sellised, valimatult suunatud turvapaikamata seadmete vastu. Mõlema põhjustatud üleilmne kahju ulatus miljarditesse, ohvriks langesid nii tervishoiuasutused, elutähtis taristu kui ka rida tuntud tööstusettevõtteid üle maailma.2
Samamoodi puudutas Eesti ID-kaarti ohustanud turvanõrkus üle maailma vähemalt miljardit kiipi, mis on käigus arvutite turvamoodulites, e-posti turbeks ja virtuaalse privaatvõrgu (VPN) juurdepääsuks kasutatavates krüptovahendites, riiklikes isikut tõendavates dokumentides, maksekaartides. ID-kaardi turvariski kaasus näitas meile ilmekalt ja lähedalt, kui ulatuslik on võimaliku küberintsidendi mõju tehnoloogiast sõltuva ühiskonna toimimisele.
Sama tarkvara, sama riistvara ja samu platvorme kasutatakse üle maailma. Sama turvanõrkus mõjutab miljoneid, vahel ka miljardeid seadmeid ja kasutajaid.
Sedavõrd digitaalse ühiskonnana pole meil võimalust poolt rehkendust teha ja võtta digitaliseerimisest üksnes hüved ja kokkuhoid. Ohud ei ole digitaliseerimise varjukülg, need on orgaaniline osa paketist. Tehnoloogia roll ühiskonna igapäevaelu toimimisele on jõudnud määrani, kus küberturvalisus ei ole enam lihtsalt tehnoloogiliste lahenduste kaitsmise summa, Eesti jaoks tähendab küberturvalisus digitaalse ühiskonna ja eluviisi kaitsmist tervikuna.
Mõttemängud digiühiskonna alternatiividest on intellektuaalselt huvitavad, aga reaalsuses viljatud. Eestis aastatuhande vahetusel sündinud ja vastselt täisealiseks saanud põlvkonnal puudub „analoogühiskonna“ kogemus sootuks. Meil ei ole digiühiskonnale head alternatiivi. Seega ei ole alternatiivi ka turvalisusse investeerimisele: tuleb leida raha, arendada talenti, keskenduda juhtimisele ja sõnastada pikaajaline siht. Küsimused, kuidas meie harjumuspärast elustiili kaitsta, ei kao kuhugi ning vastused nendele arenevad koos sellega, kuidas ja kuhu areneb inimeste leidlikkus.
Riiklikult toetatud küberründed
Teine viimaste aastate selge suundumus on Lääne liberaalsele demokraatiale oponeerivate riikide, nagu Venemaa, Hiina, Põhja-Korea, Iraan, valmidus ja vilumus kasutada küberründeid poliitilistel eesmärkidel. Seda nii demokraatlike protsesside – eeskätt valimiskampaaniate – ründamise kui tehnoloogilise kontrolli püüdlemise kaudu välisriikide energiataristu või sidevõrkude üle – selle üle, mida võib pidada ühiskondade majanduslikuks ja sotsiaalseks „selgrooks“.3 Üha enam – ja seda näitavad ka WannaCry ja NotPetya juhtumid – on tõsiste küberrünnete taga just riigid, kellel on küberrünnete jaoks vajalikku võimekust, motivatsiooni, järjepidevust ja aega.
Riikidevahelisel vastasseisul küberruumis on hulk eri vorme demokraatlike protsesside ja komplitseeritud juhtimissüsteemide ründamisest või andmesideliikluse kaaperdamisest kuni lihtsasse meilivahetusse häkkimiseni. Puhast jõudemonstratsiooni küberrünnaku abil kasutatakse harva4, enamasti kombineeritakse küberründeid – võimaldaja või võimendajana – muude vahenditega, nagu luure- või infooperatsioonid, laiema eesmärgi nimel.5
Küberründed on tulnud, et jääda rahvusvahelise konflikti osaks.
Küberjulgeoleku süvenev tähtsus NATOs
Seda, et riikidevahelisel vastasseisul saab olla ka kübermõõde, möönis NATO juba kümme aastat tagasi, hakates pärast 2007. aastal Eestit tabanud küberrünnakuid alliansi küberkaitsepoliitikat välja töötama. 2010. aastal tunnistas NATO oma uues strateegilises kontseptsioonis, et küberründed kujutavad endast julgeolekuohtu kaasaja ühiskonnale.6
2014. aasta Walesi tippkohtumisel tunnustas NATO rahvusvahelise õiguse kehtivust küberruumis ning deklareeris, et kuivõrd küberründe mõju kaasaegsele ühiskonnale võib olla võrreldav konventsionaalse ründega, on küberkaitse osa NATO kollektiivkaitse mandaadist.7
Märgilise tähtsusega oli 2016. aasta NATO Varssavi tippkohtumisel küberkaitse tunnustamine eraldiseisva sõjaliste operatsioonide domeenina, kus allianss „peab end kaitsma sama tõhusalt kui õhus, maal ja vees“.8 Edasiste sammude jaoks lepiti kokku tegevuskavas, mis näeb ette nii NATO küberoperatsioonide doktriini kirjutamise kui ka sõjalise kübervõime loomise. Tänavu talvel otsustasid NATO kaitseministrid luua eraldi küberoperatsioonide keskuse NATO SHAPE sõjalises väejuhatuses, eesmärgiga lõimida liitlaste kübervõimed NATO sõjaliste operatsioonide planeerimisse. Luuakse protseduurid, et liitlased saaksid vabatahtlikult panustada NATO küberoperatsioonidesse.
Viimati juulis toimunud NATO viimase tippkohtumise otsuste seast tasub esile tõsta, et esmakordselt deklareeriti avalikult NATO valmisolekut kasutada kaitsel küberrünnete vastu kogu võimespektrit. „Kogu kübervõimete spekter“ tähendab, et NATO on valmis kasutama nii küberkaitset kui küberründeid, et kaitsta enda liitlasi.
Mida teevad meile olulisemad küberriigid?
Arusaamas, et ühiskond on läbini seotud digitaalse keskkonna toimimisega, ei ole Eesti enam üksildane kanaarilind kaevanduses. USA on üliriigina kübervõimete arengus teistest kaugel ees, olles jõustruktuuride tasandil juba ammu mõistnud küberoperatsioonide tähtsust. Küberkaitse on orgaaniline osa üldisest julgeolekust, kuhu USA kõhklematult investeerib – nii raha kui ka tähelepanuga sõjalistele võimetele, ohupildi detailsele täpsusele ja strateegiate arendamisele. President Trumpi 2017. aasta küberkorraldusega sätestati föderaalvõrkude ja IKT-taristu moderniseerimine, kriitilise infrastruktuuri kaitse, riiklik heidutuse strateegia ja tööjõu arendamine, et „säilitada [USA] pikaajaline edumaa küberturvalisuse valdkonnas“.9 Tänaseks on esmased ülesanded sooritatud. Nagu Trump hiljuti kinnitas, ei kõhkle USA vajadusel ka küberrelvi kasutamast.10
Ühendkuningriik on alates 2016. aastast küberturvalisuse juhtimise koondanud Briti riiklikku küberjulgeolekukeskusesse. Sealt juhitakse Briti valitsuse vastusamme küberalastele vahejuhtumitele. Küberrünnete omistamises ning riikliku seisukoha võtmises küberruumis lubatud ja lubamatu käitumise osas on Ühendkuningriik viimase aasta jooksul selgelt Euroopas liidrirolli võtmas.11
Prantsusmaa suhtumist küberohtude tõsiseltvõetavusse on mõjutanud Emmanuel Macroni valimiskampaaniaaegne isiklik kogemus küberrünnaku ohvriks langemisest. Macroni valmiskampaania digitaalse poole eest vastutanud Mounir Mahjoubi on nüüd digimajandusministrina astunud jõulisi samme valdkonna terviklikus juhtimises, sealhulgas küberkaitse vallas. Talvel vaadati üle Prantsuse küberkaitse strateegia, millega seati selge visioon edasiseks, kirjeldati, kuidas riik end küberrünnakute vastu kaitseb, ning täpsustati Prantsusmaa seisukohad rahvusvahelise õiguse küsimustes.12 Prantsusmaale on oluline riigi strateegiline autonoomia julgeoleku- ja kaitseküsimustes, mis tähendab ka investeeringuid enda kübervõime arendusse.
Meie mure on, et olukorras, kus küberturvalisuse puhul – rohkem kui ühegi muu valdkonna puhul – kehtib põhimõte „kett on nii tugev, kui selle nõrgim lüli“, ei kohelda Eesti küberjulgeolekut tervikuna.
Holland on võtnud aktiivse rolli rahvusvahelise õiguse teema vedamisel küberruumis ja on selles vallas ka ise näide edumeelsusest. Juba 2011. aastal toetas Holland seisukohta, mis võrdsustas küberründe relvastatud ründega, kui selle tulemuseks on riigi oluliste funktsioonide tõsine tõrge, ja rõhutas valmidust end kaitsta, vajadusel relvastatud jõuga.13 Visiooni taga on ka konkreetsed plaanid: järgmise nelja aasta jooksul plaanib Holland investeerida 95 miljonit eurot asjade interneti turvalisusesse, riikliku küberjulgeolekukeskuse laiendamisse ja avaliku teavituse kampaaniatesse.14 Muuhulgas väärtustab Holland kübersuhetealast diplomaatiat ja lähetab juba sel aastal küberdiplomaate Washingtoni, Pekingisse, Moskvasse, Brüsselisse ja Genfi.
Tšehhi on viimastel aastatel kübervaldkonda tõhusalt arendanud. Nende küberturvalisuse keskus toodi 2017. aastal tugevdatud mandaadiga peaministri alluvusse, aastaks 2025 on plaanis kümnekordistada personali hulka 400 töötajani.15 Lisaks investeeritakse teadus- ja arendustegevusesse. Et sellel on konkreetsed tulemused ja kasu, annab märku kasvõi asjaolu, et ka Eesti ID-kaarti puudutanud turvanõrkuse avastas Tšehhi ülikooli uurimisgrupp.
Mure Eesti pärast
Eesti on pikalt olnud innovaator – uudsete küberturvalisuse kontseptsioonide tutvustaja ja esmarakendaja – ning sellega rahvusvaheline suunanäitaja. Eesti rahvusvahelise positsiooni indikaatoriks on koht Rahvusvahelise Telekommunikatsiooni Liidu (ITU) globaalse küberturvalisuse indeksi esiviisikus. Meie liitlased respekteerivad ja hindavad RIA ja julgeolekuasutuste kompetentsi. Rahvusvaheliselt tuntakse ja tunnustatakse Tallinnas asuvat NATO küberkaitsekoostöö keskust.
See kõik ei ole lihtsalt maine või atraktiivse ärikeskkonna küsimus. Sellel on Eesti jaoks konkreetne sisu ja otsene julgeolekumõõde. Meie küberjulgeolek on ka meie partnersuhted kübervaldkonna tippriikidega. Need suhted tuginevad kompetentsile, mida meil on pakkuda. Selle tõttu saame ka vastu tipptasemel kompetentsi ja infot. Küberjulgeolekus on infovahetus A ja O ning ka kõik vahepealne.
Eestil on mitu põhjust just nüüd oma küberturvalisuse ja -julgeoleku edasine siht kriitiliselt üle hinnata. Meil on värskelt meeles mulluse ID-kaardi kriisi kogemused ja õppetunnid.
Oleme sisulised ja usutavad neis asjus, kus meil on kodutöö korralikult ära tehtud. Loosungitega kaugele ei purjeta, sest kompetentne partner tunneb selle ära ja kaotab usalduse. Sisuline lähenemine küberkaitsele on siiani andnud Eesti häälele suure kaalu. Aga selle jätkumine ei toimu inertsist, ilma täiendava pingutuse ja ressurssideta. Eesti usaldusväärsus ja atraktiivsus rahvusvahelise partnerina ei ole iseenesestmõistetav ega igavesti garanteeritud. Aeg on ausalt peeglisse vaadata. Nagu hiljuti arvas Kaitseuuringute Keskuse direktor Sven Sakkov: „Ilmne ja selge on karjuv vahe selle tähelepanu vahel, mida poliitika kujundamise tasandil osutame põllumajandusele ja mida osutame IT-valdkonnale.“16
Ajastus on sobiv. Eestil on mitu põhjust just nüüd oma küberturvalisuse ja -julgeoleku edasine siht kriitiliselt üle hinnata. Meil on värskelt meeles mulluse ID-kaardi kriisi kogemused ja õppetunnid.17 Kohe on valmimas uus küberjulgeoleku strateegia. Erakonnad koostavad kevadeks valimisprogramme. Ees ootavad ka europarlamendi valimised. Seega on õige hetk teha maailmas toimuvatest arengutest enda jaoks pädevaid järeldusi ning julgelt digitaalvaldkonna edasist visiooni kavandada.
Meie mure on, et olukorras, kus küberturvalisuse puhul – rohkem kui ühegi muu valdkonna puhul – kehtib põhimõte „kett on nii tugev, kui selle nõrgim lüli“, ei kohelda Eesti küberjulgeolekut tervikuna. On erineva valmisolekuastmega tükid, ent tervikul puudub omanik, juhtimine ja vastutus. Majandus- ja kommunikatsiooniministeeriumi mandaat valdkonna koordinaatorina – ühena võrdsete seas – ei ole selleks piisav. Regulaarselt käib koos küberjulgeoleku nõukogu, kus kantakse ette edusammudest ja arutatakse kitsaskohti. Aga keda pole, on selge mandaadiga valdkonna juht. Mida pole, on riigiüleselt võetud vastutus võtta küberturvalisust tõsiselt, ilma et seda asutuste esimese ressursikitsikuse (puudutagu see raha või inimesi) peale omal äranägemisel aknast välja heidetaks. See „keegi” peab olema mõjukas poliitilisel otsustustasandil. Küber- ja digiasjade valdkond peaks olema tugeva poliitilise häälega esindatud valitsuses. See hääl peaks sisuliselt täitma ka lünka rahvusvahelisel tasandil, mida varasemalt täitsid Marina Kaljurand ja Toomas Hendrik Ilves. Eestil on vaja digitaalse arhitektuuri terviklikku juhtimist ja arendamist, turvalisus sealhulgas.
NATO küberkaitsekoostöö keskuse väärtus Eestile
Tallinnas asuv NATO küberkaitsekoostöö keskus (NATO Cooperative Cyber Defence Centre of Excellence ehk CCDCOE) on rahvusvaheline NATO akrediteeringuga oivakeskus, mis tegeleb küberkaitsealase teadustöö, väljaõppe ja õppustega. Oma kümneaastase tegutsemisaja jooksul on see paik kasvanud esialgsest seitsmest riigist kahekümne üheni, teiste hulgas on peagi liitumas Austraalia ja Jaapan. Nõnda ühendab keskus riike, kelle vahel on usaldus ja soov küberalast infot jagada.
Keskuses töötab ligikaudu viiskümmend inimest, umbes pooled neist on eestlased. Ekspertide seas on nii tehnoloogilise, sõjalise kui sotsiaalharidusega inimesi. Kes kannab kleiti, kes sõjaväevormi, kes teksaseid. Rahvusvahelises ja multidistsiplinaarses lähenemises seisnebki keskuse tugevus ja eripära.
Keskuses töötab ligikaudu viiskümmend inimest, umbes pooled neist on eestlased. Ekspertide seas on nii tehnoloogilise, sõjalise kui sotsiaalharidusega inimesi. Kes kannab kleiti, kes sõjaväevormi, kes teksaseid.
NATO küberkeskuse tuntumad projektid on maailma suurim ja mitmekihilisem küberõppus Locked Shields, iga-aastane küberkonverents CyCon ja küberoperatsioone rahvusvahelise õiguse kontekstis analüüsiv „Tallinna käsiraamat“.18 Keskus pakub NATOle tuge küberjulgeoleku trendide ja ohupildi analüüsidest kuni väljaõppe ja doktriinideni. Keskuse antud nõu NATOle arvestatakse ja hinnatakse. Nõnda on CCDCOEst kujunenud oluline küberteadmist ja rahvusvahelist küberjulgeoleku diskussiooni koondav sõlmpunkt.
Kaitse-eelarve kaudu on Eesti suunanud keskusesse suurel hulgal raha ja kompetentsi. Mis kasu Eesti sellest vastu saab? On levinud mõttekäik, et NATO küberkeskuse väärtus Eestile seisneb NATO inimeste kohalolus Eesti pinnal. See väärtus oli kahtlemata hinnalisem enne „päris“ NATO liitlasvägede saabumist Balti riikidesse 2014. aastal. Seega, kuidas saab keskus tänase seisuga Eesti jaoks paremat lisaväärtust luua?
Nagu me kõik teame, „raske õppustel, kerge lahingus“. CCDCOE on kasvavalt väärtustatud õppuste läbiviija. Keskusel on juba praegu parim teadmine, kuidas viia läbi suuremahulisi küberõppusi tehnilisest kuni strateegilise tasemeni ning kuidas neid kombineerida. NATO küberharjutusväljaku peamise rakendajana on keskuse kasutuses Eesti kaitseväe hallatav kaasaegne keskkond, kus õppusi korraldada, lisaks aitab keskuse kompetents kaasa harjutusväljaku arendamisele.
Augustis alustas Eesti kaitseväes tegevust küberväejuhatus, mille ülesanne on muuhulgas parandada kaitseväe olukorrateadlikkust ja arusaama küberruumist. Nagu nentis major Andre, on meil „kübersõja mõistes on veel palju vaja ära teha, et saavutada rahuldav tase sõjapidamises küberruumis.“19 Siin saab küberväejuhatus teha head koostööd küberkaitsekeskusega, et õppida ja analüüsida liikmesriikidelt nende kogemuste ja kaitsemeetmete kohta.
Keskus on tunnustatud strateegiliste diskussioonide suunaja – nii avalikult CyConi konverentsil kui ka kinniste uste taga NATO koridorides. Tänavu tõi CyConi konverents Eestisse koju kätte arutelud sotsiaalmeedia rünnakutest, tehisintellektist ja kvantarvutitest.20 Brüsseli tagatubades tutvustasid keskuse teadurid NATO suursaadikutele küberkaitse sõjalisi, tehnilisi ja strateegilisi nüansse juba paar aastat enne, kui allianss küberi eraldi domeeniks kuulutas. Keskuse juhtimisel koostatud „Tallinna käsiraamatut“ loetakse esimeseks terviklikuks käsitluseks sellest, mis raamid seab rahvusvaheline õigus riikide jaoks küberoperatsioonide kasutamisele. Sellise ambitsiooni elluviimine toob Eestisse üha enam küberalast teadmist ja oskusi ning aitab hoida Eesti kõrget küberalast mainet eelkõige just sisulise poole pealt.
NATO küberkaitsekoostöö keskus Tallinnas võimendab Eesti pingutust selle ühiste väärtustega küberkommuuni loomisel.
Keskus koostab riikidele perspektiiviga või sõltumatute uuringuid ja analüüse, mis eri põhjustel (Eesti puhul näiteks väike ja õhuke riik) vahetu poliitikakujundamise fookusse või hõivatud ametkondade tegevusplaani ei mahu. CCDCOE saab oma töös kasutada enda inimeste interdistsiplinaarset kompetentsi ja ligipääsu erinevate riikide ekspertidele.
Viimaks, aga mitte vähemtähtsana: NATO küberkaitsekoostöö keskuse näol koondub Tallinna maailmatasemel küberkaitsealane oskusteave. See võimaldab Eesti enda ekspertidel saada lai rahvusvaheline väljund ja kõlapind oma tegevusele. Küberkaitsekeskus on Eesti kontekstis unikaalne töökoht, mis võimaldab koduriigist lahkumata töötada rahvusvahelises keskkonnas ning kombineerida teaduslikku uurimistööd praktiliste küberkaitsealaste sõlmküsimuste lahendamisega. See on üks võimalik karjäärivalik neile kaitseväelastele ja tsivilistidele, kes soovivad küberkaitsealast tippkompetentsi arendada ja täiendada. Keskuse küberkaitsealase kompetentsi aktiivsem ärakasutamine toetab Eesti riigi laiapindse riigikaitse arendamist.
Selleks, et luua tõhusamat heidutust ja olla suutlik reageerima küberrünnakute vastu, on meil vaja tagada, et sarnaste väärtustega riigid omaksid küberjulgeolekust terviklikku ja ühtset olukorrahinnangut, suudaksid paremini kaitsta kodanikele osutatavaid digitaalseid teenuseid ja tagaksid toimivad kriisiohje protseduurid, mis hõlmavad tsiviil-militaarkoostööd. NATO küberkaitsekoostöö keskus Tallinnas võimendab Eesti pingutust selle ühiste väärtustega küberkommuuni loomisel.
Autorid avaldavad isiklikku arvamust.
Artikli autorid, küberjulgeoleku eksperdid, tunnevad muret selle üle, et Eestis puudub küberturvalisuse valdkonnas „omanik, juhtimine ja vastutus”. Nad leiavad, et majandus- ja kommunikatsiooniministeeriumile (MKM) pandud ülesanne seda valdkonda koordineerida ei ole piisav. Mure info- ja kommunikatsioonitehnoloogia (IKT) ja küberturvalisuse valdkondade kehva strateegilise planeerimise ja juhtimise, korraldamise ja plaanide elluviimise ning ka väheste rahaliste investeeringute pärast ei ole uus. Viis aastat tagasi leidsid Rahvusvahelise Kaitseuuringute Keskuse teadurid oma poliitikaanalüüsis, et küberturvalisuse valdkonna juhtimine ja koordineerimine on ebapiisav ning soovitasid tugevdada juhtimist ja koordineerimist, määrata kindaks osapoolte rollid ja ülesanded, prioriseerida küberturvalisust poliitilisel tasandil ja luua valdkonnale „omanik“.* Vahepeal on Eesti sõltuvus küberruumist veelgi kasvanud ja suuremad on ka küberohud ning riist- ja tarkvara haavatavus. Paljud Eesti eksperdid on leidnud, et riigi IKT-süsteemide arendamiseks ja turvalisemaks muutmiseks tuleb hüppeliselt suurendada nende valdkondade rahastamist – muu hulgas leitakse seda ka Riigi Infosüsteemi Ameti (RIA) kevadel ilmunud küberturvalisuse aastaraamatus. Kogu Euroopa Liit lähtub põhimõttest, et digiteenuste ja -toodete arendamisel tuleb koheselt arvestada turvalisus- ja privaatsusnõuetega. Kui turuloogika turvalisusse investeerimist ei toeta, peab riik regulatsioonide ja muude meetmetega sekkuma.
Poliitilised ja haldusstruktuurid kipuvad sõltuma ajaloolistest kultuurilisest väärtustest, kuid konkreetne institutsionaalne ülesehitus on seotud ka riigi vajadustega ja võimalustega – näiteks enamasti on suurriikidel väikeriikidest rohkem inimvara ja raha. Eestis on avaliku halduse korraldus olnud ajalooliselt detsentraliseeritud – iga ministeerium kujundab iseseisvalt oma poliitikat ja Riigikantseleil pole suuremat võimu kui teistel ministeeriumidel, küll aga on tal tugev mandaat poliitika koordineerimiseks. Nii toimetab iga valdkond omaette ja seda „tugevate silotornide“ probleemi Eesti avalikus halduses kritiseeriti juba OECD 2011. aasta analüüsis.** MKMile pole põhimääruse ega seadusega pandud ülesannet küberturvalisuse alase riikliku poliitika kujundamiseks.*** Kui üheselt ja selgelt ei ole määratud, milline asutus vastutab ehk valdkonnal pole kindlat omanikku, on terviklik juhtimine keeruline.
Vaadates küberturvalisuse juhtimist ja korraldamist teistest riikides, näeme, et institutsionaalne ülesehitus on erinev, kuid paljudes demokraatlikes riikides on peaministri või valitsuse juurde loodud digiasjade ja/või küberturvalisuse minister (näiteks Prantsusmaal) või keskus (Tšehhi Vabariigis, Iisraelis, Ühendkuningriigis) kellel võib olla nii poliitikakujundamise kui ka küberintsidentide ennetamise ja lahendamise koordineerimise ülesanne. Soome peaministri büroo koostas sel kevadel analüüsi Soome küberturvalisuse strateegilise juhtimise ja küberturvalisuse kohta osana laiapõhjalisest riigikaitsest.**** Analüüsis võrreldakse erinevaid küberturvalisuse valdkonna strateegilise juhtimise, korraldamise ja elluviimise mudeleid – nii praegust korraldust, kus küberturvalisuse alase poliitika kujundamist juhib rahandusministeerium, kui ka alternatiivseid lahendusi, nagu iseseisev valdkonna juht, üksus, keskus või valitsusasutus.***** Nii nagu Soomes on ka Eestis küberturvalisus üks osa laiapõhjalisest riigikaitsest. Ka Eestis tuleks riigivalitsemises rakendada teadmispõhist lähenemist ja enne uue haldusstruktuuri loomist analüüsida, kas IKT ja küberturvalisuse strateegiline juhtimine peaksid olema koondatud ühte asutusse või paiknema eraldi ning milline oleks parim juhtimismudel. Kui analüüsi tulemusel otsustatakse luua uus IKT ja küberturvalisuse ministeerium, tuleks pakkuda lahendused kompetentsete töötajate värbamiseks ja hoidmiseks, kuna nii avalikus sektoris kui ka erasektoris üha suureneb IKT ja küberturvalisuse ekspertide põud.
______
* Piret Pernik, Emmet Tuohy, Cyber Space in Estonia: Greater Security, Greater Challenges, http://icds-ee.vserver.zonevs.eu/cyber-space-in-estonia-greater-security-greater-challenges/
**OECD Public Governance Reviews, Estonia Towards a Single Government approach, lk 115, https://riigikantselei.ee/sites/default/files/content-editors/Failid/oecd_public_governance_review_estonia_full_report.pdf
***MKMi põhiülesanne küberturvalisuse valdkonnas on elutähtsate teenuste toimepidevuse korraldamine oma valitsemisalas. Majandus- ja Kommunikatsiooniministeeriumi põhimäärus. Vastu võetud 23.10.2002 nr 323, § 12, https://www.riigiteataja.ee/akt/12934222?leiaKehtiv
****Inglise keeles kasutatakse enamasti termineid “whole-of-government” (riik kui tervik lähenemine) ja “whole-of-nation” (ühiskond kui tervik lähenemine), kuid ka “comprehensive security and defence”.
*****Martti Lehto, jt Kyberturvallisuuden strateginen johtaminen Suomessa, Valtioneuvoston kanslia, 29. märts 2018, http://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/160717/28-2018-Kyberturvallisuuden%20strateginen%20johtaminen.pdf
Viited
- Sel teemal vaata Kaur Virunurme eleegiat monokultuuri tähendusest turvalisusele 2018 RIA küberturvalisuse aastaraamatus. https://www.ria.ee/sites/default/files/content-editors/kuberturve/ria-kuberturvalisus-2018.pdf, lk 39. ↩
- Kahe globaalse ründekampaania käigus kannatasid näiteks Ühendkuningriigi tervishoiusüsteem, Saksamaa riiklik raudtee, hulk Ukraina elutähtsaid taristuettevõtteid ja rida tuntud tööstusettevõtteid üle maailma – Renault’ autotööstus, Hispaania telekomihiid Telefonica, FedExi Euroopa haru TNT Express, Taani laevandusettevõte Maersk. Viimane pidi rünnakust taastumiseks uuesti paigaldama sisuliselt kogu ettevõtte infosüsteemi. https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/ ↩
- Märgiliseks said siin 2015. ja 2016. aasta detsembris aset leidnud küberründed Ukraina elektrijaamade vastu, mis seiskasid elektrivarustuse. Sarnastest rünnetest, mille tagajärjed jäid küll eri põhjustel vähem dramaatiliseks (parem arhitektuur, tõhusam kaitse, ründaja kavatsus), on teatanud Leedu, Norra, Ühendkuningriik, USA. Eesti oma Viru Keemia Grupi juhtum 2016. aastast, mida kajastas RIA mullune küberturvalisuse aastaraamat, on üks näide samas mustris. https://www.ria.ee/sites/default/files/content-editors/kuberturve/ria-kuberturbe-aastaraport-2016.pdf, lk 23. ↩
- Jõudemonstratsiooniks võib vahest pidada 2007. aasta Eesti-vastaseid küberründeid; hilisemate juhtumite puhul on küberründed üha järjekindlamalt komponent laiemas kampaanias: see kehtib nii 2008. aasta Gruusia sõjas kui alates 2013. aastast Ukraina vastu kasutatud erinevate küberrünnete kohta, rääkimata hilisematest nn valimisrünnetest. ↩
- Küberründed demokraatlike protsesside vastu on eraldi mahukas teema, mille kasvava hulga näidete sekka kuuluvad USA 2016. ja Prantsusmaa 2017. aasta presidendivalimised, 2016 Brexiti kampaania, Saksamaa 2017 üldvalimised ja sama aasta Kataloonia iseseisvusreferendum. Küberrünnetest ja -turvalisusest valimiste kontekstis kirjutab põhjalikumalt Liisa Past (https://www.ria.ee/public/RIA/ECJ_Volume3.Issue3_Extract_PAST.PDF). Hiljuti avaldati ka tema eestvedamisel valminud Euroopa Liidu valimisturvalisuse käsiraamat https://www.ria.ee/en/news/european-union-members-share-advice-cyber-security-elections.html. ↩
- https://www.nato.int/cps/en/natohq/topics_82705.htm ↩
- https://www.nato.int/cps/en/natohq/official_texts_112964.htm, p72 ↩
- https://www.nato.int/cps/ic/natohq/official_texts_133169.htm, p 70 ↩
- https://www.whitehouse.gov/presidential-actions/presidential-executive-order-strengthening-cybersecurity-federal-networks-critical-infrastructure/ ↩
- https://www.wsj.com/articles/trump-move-to-loosen-u-s-use-of-cyber-weapons-prompts-intrigue-1534456712 ↩
- Siinkohal soovitame lugeda UK Attorney General kõnet Chatham House’is 23 mail 2018 https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century ↩
- https://www.cfr.org/blog/three-takeaways-french-cyber-defense-review ↩
- Hollandi välissuhete ja rahvusvahelise õiguse nõuandva komitee raport (“Cyber Warfare”, No 77, AIV / No 22, CAVV, detsember 2011, https://aiv-advies.nl/download/da5c7827-87f5-451a-a7fe-0aacb8d302c3.pdf ↩
- National Cyber Security Agenda. A cyber secure Netherlands. https://ccdcoe.org/sites/default/files/documents/NCSA.pdf ↩
- https://www.scmagazineuk.com/czechs-build-new-cyber-security-hq/article/1475590 ↩
- https://arvamus.postimees.ee/6134735/sven-sakkov-hundihupe-tulevikku ↩
- https://www.ria.ee/sites/default/files/content-editors/EID/id-kaardi_oppetunnid.pdf ↩
- Tallinn Manual on International Law Applicable to Cyber Operations. https://www.cambridge.org/core/books/tallinn-manual-on-the-international-law-applicable-to-cyber-warfare/50C5BFF166A7FED75B4EA643AC677DAE. Vt ka https://ccdcoe.org/tallinn-manual.html. ↩
- http://forte.delfi.ee/news/militaaria/ajakirjast-sodur-kubersojatandril-oleme-me-pideva-runnaku-all?id=80864415 ↩
- https://www.youtube.com/user/natoccdcoe/playlists ↩
RIA analüüsi- ja poliitikaosakonna juht
Kadri ja Merle on kirja pannud hea ülevaate sellest, mis kübermaailmas hetkel toimumas on, ning toonud esile oma kogemustest lähtuvalt arengud NATOs. Samas aga paistab siin silma see, et sõnagagi ei ole loos mainitud Euroopa Liitu, mis seda kindlasti väärinuks. Miks? Ennekõike seepärast, et kübermaailma tegelikkust arvestades on kindlasti oluline Euroopa Liidu regulatiivset, majanduslikku ja diplomaatilist potentsiaali NATO pakutava (küber)heidutuse eeltingimusena mitte alahinnata. Mis samas ei peaks kellegi jaoks NATO tähendust heidutuse pakkujana kuidagi vähendama.
Aus on kindlasti ka ridade vahelt joonistuv pilt Eestist kui riigist, mis ilmselt täna ei ole kübervaldkonnas enam maailmas selles positsioonis, kus olime 10 aastat tagasi, ja mis tegelikult on jätnud selle teema juba aastaid poliitilise tähelepanuta või siis lihtsalt ametkondliku kulgemise meelevalda. Pole vast vaja imestada: välismaalt Eesti suunas digi- ja küberteemadel aastate jooksul kõlanud kiitusel on meile kõigile olnud kindlasti teatud määral uinutav mõju. Siinjuures esitatakse meile väga õigustatud küsimus selle kohta, kas oleme riigina osanud enda jaoks ära kasutada kõike seda, mida NATO küberkaitsekeskuses olev asjatundlikkus meile pakkuda võiks. Näiteks teeme juba 10 aastat Tallinnas maailma ägedaimat live-fire küberõppust, mis toimub Eesti enda loodud NATO küberharjutusväljakul ning põhineb Eesti ettevõtete tööl ja oskustel. Kuid millal teeme ise oma riigile ja ainult omaenda teenusepakkujate küberturvalisuse tõstmisele suunatud samasuguse küberõppuse, kus kasutame ära kogu seda taristut ja oskusi, mis meil enda riigis olemas on?