Kübersõja küsimärgid ja eripärad
Uute tehnoloogiate või taktikate tekkimisega kaasneb alati vaidlus, kas ja kuidas need sobituvad olemasolevasse reeglistikku.
Mõiste „kübersõda“ on viimastel aastatel muutunud peaaegu igapäevaseks, eriti ajakirjanduses. Vähegi teemasse süvenedes saab selgeks, et selle mõiste sisu varieerub oluliselt, mis paratamatult toob kaasa möödarääkimised erinevate ekspertide, ajakirjanike ja n-ö tavakodanike vahel. Olles ise seda valdkonda mitmeid aastaid uurinud, proovin siin asjasse natuke selgust luua. Toon välja kolm üldistatud käsitlusviisi: kübersõda rahvusvahelise õiguse kontekstis, kübersõjapidamine kui sõjaline võime ja lõpuks kübersõda kui (liigselt ekspluateeritud) laiatarbemõiste. Arvestades Diplomaatia eripära, keskendun eelkõige esimesele käsitlusviisile.
Kübersõda rahvusvahelise õiguse kontekstis
On huvitav, et rahvusvahelise õiguse alamosa, mis käsitleb sõda ja sõjapidamisega kaasnevat (sõjaõigus), väldib mõiste „sõda“ kasutamist. Selle asemel räägivad rahvusvahelised lepped relvakonfliktidest (ingl k: armed conflict), relvastatud ründest (ingl k: armed attack), jõu kasutamisest (ingl k: use of force) või nendega ähvardamisest. Sellest tulenevalt kasutangi käesolevas osas just neid mõisteid, et kübersõjaga seonduvat lahti seletada.
Teine oluline aspekt sõjaõiguses kasutatavate mõistete juures on asjaolu, et need on lepetes jäetud lõpuni defineerimata. Ühest küljest on see hea, kuna annab võimaluse tehnoloogia arenguga kaasas käia ilma lepete teksti muutmata. Teisest küljest aga tähendab see, et uute tehnoloogiate või taktikate tekkimisega kaasneb alati vaidlus, kas ja kuidas need sobituvad olemasolevasse reeglistikku. See vaidlus on hetkel käimas ka nn kübersõja võimalikkuse, piirangute ja olemuse ümber.
Kas tsiviilisik, kes saadab pahavaraga nakatatud e-kirju vastaspoole sõjalisele juhtkonnale, võtab otseselt osa vaenutegevusest või mitte?
Kas kübersõda on üldse juriidilise kontseptsioonina võimalik, kui sõjaõiguses ei mainita kordagi sõna „küber“ või isegi arvutit kui sellist? Samas, lepetes ei mainita ka automaati AK-47, ülehelikiirusega hävitajaid ega õhudessantüksusi, mis on kahtlemata olnud mitmete relvakonfliktide osaks. Seega tuleb leida teine lähenemisviis. Tõstaksin paljude küsimuste seast esile kaks, mis minu jaoks olukorda kõige paremini selgitavad.
Esiteks, kas küberoperatsioon (küberrünne) võib osutuda relvastatud ründeks rahvusvahelise õiguse kontekstis (see tähendab, kas küberrünne võib olla n-ö casus belli)? Teiseks, kas relvakonfliktis on lubatud kasutada küberoperatsioone, sealhulgas küberründeid, hoolimata relvakonflikti alguse (n-ö esimese lasu) iseloomust.
Esimene küsimus on tähtis, sest kui küberoperatsioon (küberrünne) võib osutuda relvastatud ründeks, siis võib ohver enda kaitseks (kollektiivselt) jõudu kasutada. Seejuures jõu kasutamine ei pea olema sümmeetriline (küber vs. küber), vaid võib sisaldada erinevaid sõjalise jõu vorme (nt raketirünnak vs. küber), kui see tegevus ei eksi mõne teise reegli vastu (nt proportsionaalsus). Relvastatud ründe puhul saab rakendada ka näiteks NATO aluslepingu viiendat artiklit (kollektiivne enesekaitse). Niisiis, kui vastus esimesele küsimusele on jaatav, siis on sõda (relvakonflikt) küberruumi kaudu või kübervahenditega juriidilise kontseptsioonina olemas.
Ehkki rahvusvahelisel tasandil pole siin täielikku üksmeelt ja ka NATO on mõneti äraootaval seisukohal, on mitmed riigid mõista andnud, et nad jätavad endale sellise tõlgendamise võimaluse, kui vastava taseme rünnak peaks aset leidma. Sama on leitud ka rahvusvahelise ekspertgrupi poolt koostatud Tallinna käsiraamatus 1, kus relvastatud ründe taseme saavutamiseks eeldatakse, et küberründe otseseks tulemuseks on vähemalt inimeste või füüsilise vara vigastamine või hävitamine olulisel määral.
Seni pole ühtegi sellise taseme küberrünnet (teadaolevalt) toimunud, mistõttu on praegu tegemist hüpoteetilise stsenaariumiga. Samas, kui küberrünne võib kvalifitseeruda relvastatud ründeks, siis on teoreetiliselt võimalik relvakonflikt, mis toimubki ainult küberoperatsioonide kujul, n-ö konventsionaalseid sõjalisi võimeid kaasamata. See on siiski ebatõenäoline, kuna vähemalt nõrgemal poolel on motivatsioon kasutada kõiki olemasolevaid võimalusi kaotuse vältimiseks.
Teine küsimus on tähtis, sest kui küberoperatsioonid ei ole lubatud, siis edaspidine arutelu jääb väga piiratud raamidesse. Rahvusvahelise õiguse seisukohalt on mingi sõjapidamisviisi (tehnoloogia, taktika) kasutamine lubamatu, kui see rikub teatud põhimõtteid (nt relv, mis põhjustab ülemääraseid kannatusi, või taktika, kus teeseldakse allaandmist, et vastast üllatada) või on keelatud konkreetse leppega (nt keemiarelvad). Hetkel pole küberrelvade või küberoperatsioonide piiramise või keelustamise kohta eraldi leppeid tehtud ning puudub ka rahvusvaheline kohtupraktika. Niisiis on põhiküsimuseks, kas konkreetne küberrelv või küberoperatsioon rikub sõjaõiguse (rahvusvahelise humanitaarõiguse) põhimõtteid. Tallinna käsiraamat annab ülevaate asjakohastest piirangutest ning toob näiteid nii eeldatavalt lubatud kui lubamatute küberoperatsioonide kohta. Asjast huvitatud saavad Tallinna käsiraamatu reeglite kommentaaridest lugeda ka detailsemaid arutluskäike ja juriidilisi põhjendusi, kuid antud arutluskäigu puhul on tähtis, et küberoperatsioonid on lubatud, kui nad vastavad teatud nõuetele.
Kas kübersõda on üldse juriidilise kontseptsioonina võimalik, kui sõjaõiguses ei mainita kordagi sõna „küber” või isegi arvutit kui sellist?
Kahjuks ei ole küberoperatsioonide seaduslikkuse määratlemine sama lihtne kui manuaalist reeglite lugemine. Ehkki Tallinna käsiraamatu reeglid on teada, on nende rakendamine keeruline, kuna see nõuab olukorra tõlgendamist. Näiteks ei ole lubatud rünnata tsiviilisikuid, välja arvatud juhul, kui nad otseselt vaenutegevuses osalevad.
Kas tsiviilisik, kes saadab pahavaraga nakatatud e-kirju vastaspoole sõjalisele juhtkonnale, võtab otseselt osa vaenutegevusest või mitte? Kas ta teeb seda teadlikult või on tema arvuti kellegi teise kontrolli all? Kuidas kindlaks teha, et tegemist on tsiviilisikuga? Mis oleks proportsionaalne vastumeede? Seda küsimuste loetelu võiks veelgi jätkata. See on valdkond, kus reeglid ja normid kujunevad praktika käigus, kusjuures üha rohkem tuleb avalikkuse ette näiteid, kus on relvakonflikti osana küberoperatsioone kasutatud või vähemalt nende kasutamist kaalutud.
Kübersõda rahvusvahelise õiguse kontekstis on hetkel nii konkreetsete tehnoloogiate ja taktikate kui ka õigusaktide tõlgendamise mõttes arengufaasis. Lähiaastad ei pruugi tuua ühtegi näidet relvastatud ründe tasemeni küündivatest küberoperatsioonidest (ehkki see pole välistatav), kuid kahtlemata näeme me üha rohkem ja rohkem erineva intensiivsuse ja ulatusega küberründeid relvakonfliktide osana. Sellisel juhul tuleb hakata rääkima uuest sõjapidamise valdkonnast ning selle seostest olemasolevatega.
Kübersõjapidamine kui sõjaline võime
Hoolimata rahvusvahelise õiguse tõlgendamise võimalustest on fakt, et mitmete riikide sõjaväed on loonud või loomas kübersõjapidamise võimet. Siinkohal võib mõistest parema arusaamise jaoks tuua paralleeliks elektroonilise sõjapidamise võime, mis on juba suhteliselt hästi välja kujunenud ning muude sõjaliste võimetega integreeritud. Sarnaselt elektroonilise sõjapidamise võimega saab ka kübersõjapidamise jagada kaitse-, ründe- ja luuretegevuseks. Loomulikult on kübersõjapidamise võime puhul palju küsimusi ja probleeme, kuid siinkohal jõuan käsitleda vaid mõnda neist.
Sõjaajaloos on palju näiteid uutest tehnoloogiatest või taktikatest, mis on oluliselt mõjutanud sõjapidamist – näiteks tulirelvad, sisepõlemismootor ja õhust raskemad lennumasinad. Kahtlemata saab nende näidete juurde lisada arvutid ja arvutivõrgud, mis on eriti viimase kahe-kolme aastakümne jooksul väga oluliselt muutnud olukorda nii taktikalisel, operatiiv- kui strateegilisel tasandil. Modernse mittetriviaalse sõjalise operatsiooni planeerimist, logistikat ja läbiviimist on raske ette kujutada ilma arvutite ja arvutivõrkudeta.
Siit on lihtne järeldada, et kõik relvajõud peavad tegelema oma arvutisüsteemide (sh side- ja juhtimissüsteemid, sensorvõrgud, nn targad relvasüsteemid, logistikasüsteemid jne) kaitsega, kui nad soovivad ka konfliktiolukorras võitlusvõimeliseks jääda. Lisaks tuleks eraldi ära märkida, et mõned kaitseotstarbelised võimed on ründava iseloomuga. Näiteks oma süsteemide turvatestimine (ingl k: penetration testing) või õhutõrjeraketid.
On huvitav, et rahvusvahelise õiguse alamosa, mis käsitleb sõda ja sõjapidamisega kaasnevat (sõjaõigus), väldib mõiste „sõda” kasutamist.
Erinevalt küberkaitsest (millega peab tegelema) on küberründevõime arendamine poliitiliste valikute küsimus, nii nagu ka soomusvägede või ründelennuväe arendamine. Siinkohal on küberründevõimet mõeldud eelkõige relvajõudude osana ning sõjaliste sihtmärkide vastu suunatuna. Mitmed riigid (sh erinevad NATO liikmesriigid) on avalikult välja öelnud, et neil on see võime juba olemas ning on näiteid, kus seda võimet on ka relvakonfliktides kasutatud (seni küll suhteliselt tagasihoidlikul tasemel). Samas, konkreetse riigi kübersõjapidamise võime tegelikku tugevust on väga keeruline hinnata, kuna ekspertide arv ja eelarve (mida on lihtne arvestada) mängivad siin palju väiksemat rolli kui ekspertide kvaliteet.
Kübersõjapidamise kriitikud on välja toonud, et küberrünnetega on raske saavutada püsivaid tulemusi, seda eriti lahinguüksuste puhul. See väide on üldjoontes õige, kuid ebaoluline olukorras, kus küberoperatsioonid on integreeritud n-ö suuremasse mänguplaani. Kujutagem ette olukorda, kus veerand tunniks õnnestub küberrünnetega halvata vastase õhuseire- või õhutõrjesüsteemide töö. Selle veerand tunniga jõuab ründelennukite üksus päris palju kahju teha. On spekuleeritud, et midagi sellist (õhutõrjesüsteemi osaline halvamine elektroonilise ja/või küberründega) juhtus 2007. aasta sügisel, kui Iisraeli õhuvägi pommitas väidetavat Süüria tuumarajatist.
Nagu eelnevast näitest lähtub, tuleks kübersõjapidamise võimet käsitleda pigem teisi sõjalisi võimeid toetava või võimendava, mitte iseseisva suutlikkusena. Ehkki piiratud ulatusega konflikti puhul võib ainult küberoperatsioonidele toetuv tegevus olla võimalik (eriti olukorras, kus konflikti osapooled on geograafiliselt üksteisest kaugel), ei piisa sellest enamiku stsenaariumite puhul.
Teisest küljest on levinud müüt, et eduka küberründe läbiviimiseks piisab vaid nupulevajutusest. Vähegi keerukama sihtmärgi ründamine aga nõuab korralikku eeltööd (sh luureinfo kogumine vastase süsteemide kohta, vajalike turvaaukude leidmine jms). See omakorda tähendab, et sõjaline küberrünne on pigem vahend strateegilise või operatiivtasandi efekti saavutamiseks (kus sihtmärk on pikalt ette teada), kuna taktikalisel tasandil võib olukord liiga kiiresti muutuda. Stuxneti-laadne rünne sõjalise infrastruktuuri vastu relvakonflikti kontekstis oleks siinkohal heaks näiteks.
Kõik relvajõud peavad tegelema oma arvutisüsteemide kaitsega, kui nad soovivad ka konfliktiolukorras võitlusvõimeliseks jääda.
Kübersõda kui laiatarbemõiste
Lisaks eelnevatele vaatepunktidele võib kübersõda käsitleda ka n-ö laiatarbe- või massimeedia vaatevinklist. Kahjuks on see käsitlusviis väga udune, kuna kübersõjaks või kübersõjapidamiseks nimetatakse tihtipeale igasuguseid küberründeid ja infosüsteemide väärkasutamist, sealhulgas luureandmete kogumist (nt PRISM), majanduslikult motiveeritud küberkuritegusid, isiklike poliitiliste või religioossete veendumuste näitamist küberrünnete kaudu (nt Hackers Anonymous ja nn patriotismist motiveeritud häkkerid) ja palju muud. Ehkki ka need asjad eksisteerivad ja on seejuures arvuliselt ülekaalus n-ö „päris“ kübersõjapidamise näidetega võrreldes, tuleks neid siiski käsitleda paremini sobivate mõistete kaudu (nt kuritegevus, spionaaž jne). Vastasel juhul tuleb aktsepteerida, et oleme kõik (individuaalselt, organisatsiooni ja riigi tasandil) pidevas sõjaseisukorras ja see ongi uus norm.
Kokkuvõte
Kübersõja mõiste elab oma elu. Ühes äärmuses on see niivõrd piiratud, et meil pole kogu arvutite olemasolu ajast tuua mitte ühtegi päris näidet (relvastatud ründe kriteerium). Teiselt poolt on see jälle niivõrd lai definitsioon, et hõlmab igapäevaseid (tüütuid) asju ja on sisuliselt mõttetu. Seetõttu tuleks antud mõiste kasutamisel alati ka vajalik kontekst avada. Isiklikult eelistan seisukohta, et sõda on viimane võimalus, kui kõik teised valikud on ammendatud ning seda mõistet tuleks liigsest devalveerumisest säästa.
Viited
-
Michael Schmitt (peatoimetaja), Tallinn Manual on the International Law Applicable to Cyber Warfare. Prepared by the International Group of Experts at the Invitation of the NATO Cooperative Cyber Defence Centre of Excellence, Cambridge University Press, 2013.
Tallinna manuaal iseenesest ei ole riikidele kohustuslik, kuid põhineb antud valdkonna ekspertide analüüsil riikidele kohalduvate õigusaktide ja õiguspraktika kohta. ↩