Rahvusvaheline koostöö küberjulgeoleku tagamisel

Eesti 2007. aaasta küberrünnakute tõrjumise üheks oluliseks osaks oli Eesti CERTi rahvusvaheline koostöö teiste riikide CERTide ja infoturbe spetsialistide võrgustikega. (CERT – Computer Emergency Response Team; Eesti riigi tasemel täidab CERTi ülesandeid Riigi infosüsteemide arenduskeskuse infoturbe-intsidentide käsitlemise osakond – Toim.). 2008. a valminud “Küberjulgeoleku strateegia” üks peamisi eesmärke on rahvusvahelise koostöö soodustamine globaalse küberjulgeoleku tugevdamiseks. Kuni tänaseni on Eesti olnud maailmas üheks aktiivsemaks küberjulgeoleku teema eestkõnelejaks. Viimase kolme-nelja aasta jooksul oleme osalised olnud paljude algatuste ellukutsumisel, mida erinevad rahvusvahelised organisatsioonid on praeguseks küberjulgeoleku vallas ka omaks võtnud.

Olulisemateks küberjulgeoleku organisatsioonideks on Euroopa Liit, Euroopa Nõukogu, NATO, ÜRO ja OECD. Küberjulgeoleku tagamise kõige mahukam komponent on riigi tsiviilinfrastruktuuri kaitse, mis on demokraatliku riigi ülesehitusliku loogika järgi rahuajal peamiselt sisejulgeoleku ja majandusjulgeoleku sfääri kuuluv teema. Riigikaitse valdkonda kuuluvad küberjulgeolekust rahuajal sõjalise infrastruktuuri kaitse ning valmisolek tegutsemiseks sõjalistel missioonidel ning kriisiolukordades.

Tsiviilotstarbeliste infosüsteemide kaitsel on Euroopa Liit (EL) peamiseks organisatsiooniks, millel on nii juriidiline mandaat kui ka võimekus tugevdada tsiviilinfrastruktuuri kaitset liikmesriikides. 2009. aasta aprillis korraldas Eesti majandus- ja kommunikatsiooniministeerium Euroopa Liidu ministrite kohtumise, et ellu kutsuda ELi kriitilise informatsiooni infrastruktuuri kaitse poliitika. Selle poliitika elluviimise tulemusel on tugevnenud ELi riikidevaheline koostöö ja infovahetus, tekkinud mitmed uued koostööfoorumid üleeuroopalise küberinfrastruktuuri kaitseks ning on välja töötatud tegevused küberkriisideks valmistumisel. ELi poliitika kõige olulisemaks tulemuseks on 2010. aasta novembris toimuv esimene üleeuroopaline küberõppus. Eesti poolt on ELi õppusel koordineerivaks juhtasutusteks majandus- ja kommunikatsiooniministeerium ning riigi infosüsteemide arenduskeskus.

ELi poliitika kõige olulisemaks tulemuseks on 2010. aasta novembris toimuv esimene üleeuroopaline küberõppus.

Euroopa Liidu tegevusvälja kuulub peale küberinfrastruktuuri kaitsepoliitika elluviimise veel teine väga oluline valdkond – korrakaitsestruktuuride koostöö tugevdamine võitluses küberkuritegevusega. Üle 90 protsendi kõigist igapäevastest probleemidest küberruumis on seotud majandusliku kasu eesmärgil toime pandud arvutikuritegevusega. Küberruumi eripärade tõttu on ründemeetodid väga sarnased nii kuritegevuse, terrorismi kui kübersõja eesmärgil toime pandud rünnakutes. Mitmed riikide vastu suunatud küberrünnakud on korraldatud vilunud kurjategijate poolt, kelle jaoks küberkuritegevus on tavapärane tegevusvaldkond. Kuna rünnakute algataja tuvastamine ja tõestamine on küberruumis väga keeruline, siis on oma ala tippkurjategijaid võimalik raha eest “sisse osta” korraldamaks rünnakuid kas terroristlikel või muudel eesmärkidel. Sestap peavad maailma juhtivad küberjulgeolekupoliitika kujundajad äärmiselt tähtsaks riikide võimekust küberkuritegevusega võitlemisel.

Küberkuritegevuse ohjeldamisel on oluline, et võimalikult palju riike liituks Euroopa Nõukogu küberkuritegevuse vastase võitluse konventsiooniga. See konventsioon on hetkel ainus rahvusvaheline instrument, millega liitunud riigid kohustuvad küberkuritegevuse oma seadusandluses kriminaliseerima ning küberkurjategijad teistele riikidele välja andma. Konventsiooniga on liitunud seni alla 50 riigi. Enamik seni liitunud riike on ELi liikmed, kuid liitunud on ka tehnoloogia arengus silma paistvad Ameerika Ühendriigid, Jaapan ja Kanada. Konventsioon on avatud küll kõikidele riikidele kõikidel kontinentidel, kuid väga paljud riigid pole sellega liitunud ning nende seadusandlused ei pruugi küberkuritegevust ka teiste õigusaktidega kriminaliseerida. Seetõttu on kurjategijatel üsna lihtne tegutseda, kui nad liiguvad neis jurisdiktsioonides, kus politsei võime küberkuritegevusega tegeleda on väike ja riiklik seadusandlus puudulik. Küberruumi asümmeetria tõttu saavad nad suure distantsi tagant rünnata keda või mida tahes ja olla tabamatud. Küberkuritegevuse puhul on väga oluline korrakaitseorganite kiire tegutsemine, et kurjategijatel ei õnnestuks hävitada asitõendeid või liikuda riiki, kus seadusandlus ei võimalda nende tabamist. Suurte juhtumite uurimisel sekkuvad nii Interpol, Europol kui teised küberkuritegevuse vastase võitlusega tegelevad organisatsioonid ning enamasti on need leidnud ka kohtuliku lahenduse. Samas väiksemate küberkurjategijate püüdmiseks pole riikide õiguskaitseorganitel tihti aega ega ressursse.

Kiiret operatiivkoostööd ja tegutsemist eeldavas küberkuritegevuse vastases võitluses on rahvusvaheline koostöö vältimatu. Osa küberkurjategijaid on koondunud suurtesse sündikaatidesse, mis tegutsevad üheaegselt eri kontinentidel. Tihti omavad nad suuremaid ressursse ja on paremini varustatud kui mõne vaesema riigi politseijõud.

Küberkuritegevuse vohamisel on ka otsene mõju riikide rahvuslikule julgeolekule. Esiteks valmistab riikidele peavalu, et küberkurjategijate kasutamine on väga lihtne viis küberrünnakute tegeliku korraldaja maskeerimiseks. Mõned küberkurjategijad tegutsevad nagu Sir Francis Drake, kes teenis esialgu elatist piraatlusega, ent sai teatud teenete eest kuningannalt rüütlitiitli ja oli hiljem Briti laevastiku asejuht. Teiseks nõrgestavad pidevad küberrünnakud riigi majandust ja heaolu. Tingimustes, kus mõned majandussektorid kulutavad suuri ressursse küberkuritegevuse tõrjumiseks, vähendab see firmade kasumit ja tootlikkust. Paljud riikide jaoks elutähtsad majandussektorid on pidevate kuritegelike küberrünnakute all. Näiteks pangandus on üks nendest majandusharudest, kus firmad peavad palkama tippspetsialiste, et ründeid ära tunda ja tõrjuda ning aidata õiguskaitseorganitel õigeaegselt tegutseda. Samuti on suuremate arenenud riikide firmadel üha rohkem tegemist majandusspionaažiga küberruumis, mida on keeruline tuvastada ning mille vastu võitlemine nõuab jällegi rohkelt lisaressursse.

Kolmas riikliku julgeoleku aspekt seondub kriitilise tsiviilinfrastruktuuri kaitsega -selle infrastruktuuri IT komponent on üha haavatavam küberkurjategijate poolt levitatavate viiruste ja pahavara tõttu.

Küberjulgeoleku tagamise kõige mahukam komponent on riigi tsiviilinfrastruktuuri kaitse.

Toetudes ülaltoodud arengutele ja küberruumi eripäradele on Euroopa Nõukogu küberkuritegevuse konventsiooni rahvusvaheliselt laiem levitamine olnud väga oluliseks Eesti välispoliitiliseks eesmärgiks. Eesti on nii rahaliselt kui poliitiliselt tugevalt panustanud selle olemasoleva rahvusvahelise instrumendi toetuseks. 2010. aastast alates juhib Eesti ka konventsiooni levikut koordineeriva töögrupi tööd – Eesti justiitsministeeriumi nõunik Markko Künnapu valiti Euroopa Nõukogu juures tegutseva vastava töögrupi presidendiks.

Küberruumi veresoonkonda moodustav globaalne telekommunikatsiooni infrastruktuur ja selle kaitse on järgmine oluline valdkond, mis vajab tähelepanu. Ka siin ei piisa üksikute riikide aktiivsusest, vaid vaja on nii regionaalset kui ka globaalset lähenemist. Mitmed erialavõrgustikud maailmas on pühendunud telekommunikatsiooni infrastruktuuris ja internetis toimuvate intsidentide ennetamisele ning nende haldamisele. Mainimist väärivad riiklikke CERTe koondavad erialafoorumid nagu näiteks FIRST ja riikide küberpoliitika kujundajaid koondav nn meridiaani protsess. Mõlemad foorumid on üleilmsed ning nendes toimuv ekspertide infovahetus, parimate praktikate jagamine ning kontaktide võrgustik, mida riigid saavad kriisiolukorras kasutada, on paljude intsidentide puhul olnud hindamatu väärtusega. Mainimist väärib fakt, et need mitteformaalsed usaldusel põhinevad ekspertide koostöövõrgustikud on seni toiminud väga efektiivselt ning riigid on hetkel ettevaatlikud nende võrgustike asendamisel ülalt-alla ellukutsutud koostööfoorumitega. Samas on küberruumis toimuvatest probleemidest parema ülevaate saamiseks vajalikud ka formaalsemad kahe- või mitmepoolsed riikidevahelised kokkulepped. Riigid püüavad siin leida seda õiget tasakaalupunkti, et mitte lõhkuda seni hästi toiminud isetoimivat süsteemi, kuid samas püüdes natuke organiseeritumalt küberjulgeoleku valdkonda riigi tasemel juhtida.

Kõikidel nendel rahvusvahelistel koostöömehhanismidel pole aga erilist lisaväärtust, kui riikidel endil pole oma küberruumi jälgimise ja analüüsi võimet ning võimet intsidentidega hakkamasaamiseks. Seetõttu on peaaegu igal rahvusvahelisel küberfoorumil peateemadeks eri riikide mudelid küberjulgeoleku süsteemi korraldusel ning kriitilise informatsiooni infrastruktuuri kaitsel. Valitseb arusaam, et globaalne küberjulgeolek on sama tugev nagu tema nõrgim lüli. Selles kontekstis on oluline üleilmne organisatsioon ÜRO, mis saab küberjulgeoleku alast teadlikkust ning valmisolekut just nendes nõrgemates riikides tõsta. 2009. aastal võeti USA juhtimisel ÜRO majandus- ja sotsiaalkomitees vastu globaalse küberkultuuri alane resolutsioon, mis rõhutab riikide vastutust küberruumi probleemidega tegelemisel ning annab ka juhiseid, kuidas riigid saaksid oma kübersüsteeme tugevdada. Eesti koos teiste ELi liikmesriikidega toetas aktiivselt selle resolutsiooni vastuvõtmist.

ÜRO relvastuskontrolli komitees on küberteema olnud üleval juba mitmeid aastaid ning mõned riigid on väljendanud soovi välja töötada kübersõjaalane relvastuskontrolli leping. ÜROs valmis 2010. aasta suvel ekspertide raport, mis ei soovita taolist lepingut, kuna küberrünnakute toimepanija tõestamine on väga keeruline ning selle lepingu jõustamine poleks reaalselt rakendatav. Siiski on oluline kokku leppida rahvusvahelistes normides, et riigid ei ründa üksteise tsiviilinfrastruktuuri, ning taolised rünnakud moraalselt hukka mõista. Ka Eesti osales raporti koostamisel.

Lisaks ÜROle on Eesti küberjulgeolekualast üldist teadlikkust püüdnud tõsta ka Euroopa Julgeoleku- ja Koostööorganisatsioonis (OSCE). Eesti juhtimisel on algatatud mõned küberjulgeolekuteemalised seminarid OSCEs. Nende seminaride tulemusel on organisatsioon osalisriikidele välja töötanud juhise, kuidas oma küberjulgeolekut tõhusamalt tagada.

Rikaste riikide klubi ehk Majandus- ja Koostööorganisatsiooni (OECD) lähenemine küberjulgeolekule lähtub pragmaatilisest kaalutlusest – kuna globaalne telekommunikatsiooni infrastruktuur on maailmamajanduse üheks alussambaks, siis arenenud riikidel lasub kohustus kaitsta seda infrastruktuuri. Nagu eespool mainitud, pole küberruumi asümmeetrilise olemuse tõttu rünnakute alguses võimalik aru saada, kas tegu on tavalise küberkuritegevusega, küberterrorismiga või kübersõjaga, ja ette näha, kui pikaajalised on rünnakud. Seega peab igasuguste kaitsemeetmete juurutamine algama kõige madalamast astmest, küberkuritegevuse ennetusest ja vastavate turvameetmete juurutamisest. See omakorda eeldab suutlikkuse arendamist OECD riikide ametkondades ja ka eraettevõtetes, sest kriitilised infosüsteemid on umbes 80 protsendi ulatuses erasektori omanduses arenenud riikides. Selleks, et riigi majanduse jaoks oluliste IT süsteemide toimepidevust tagada, nähakse OECDga liitumisel riikidele ette rida tegevusi, mis tugevdavad riigi üldist küberjulgeolekut.

Eesti meedias on seni ehk kõige enam tähelepanu pööratud meie küberkaitsealasele aktiivsusele NATOs. Kindlasti peab rõhutama, et NATO oli esimene rahvusvaheline organisatsioon, mis viivitamatult hakkas 2007. aastal Eestit tabanud küberrünnakute järel tegutsema alliansi küberkaitsepoliitika väljatöötamise suunas. Eesti oli üks aktiivsemaid selle poliitika väljatöötamisel osalevaid NATO riike. Juba 2007. a sügiseks valminud NATO küberkaitsepoliitika aitab tugevdada liikmesriikide sõjalist küberinfrastruktuuri ning NATO võimet tagada sensitiivsete sõjaliste infosüsteemide töö. Lisaks näeb NATO poliitika ette ka liikmesriikide ja alliansi tõhusama infovahetuse ning küberkaitsealased konsultatsioonid. Liikmesriikide jaoks ehk kõige olulisem aspekt NATO küberkaitse poliitikas on võimalus küberrünnaku korral kutsuda appi NATO kiirreageerimismeeskond. NATO peakorteris asuva küberintsidentide käsitlemise osakonna spetsialistid tuleksid liikmesriigile appi rünnakuid tõrjuma mõnetunnise etteteatamisega. Infovahetuse ja NATO ekspertide appikutsumise protseduuride paikapanekuks sõlmivad liikmesriigid NATOga vastastikuse mõistmise memorandumid. Eesti on selle memorandumi sõlminud.

Üle 90 protsendi kõigist igapäevastest probleemidest küberruumis on seotud majandusliku kasu eesmärgil toime pandud arvutikuritegevusega.

NATO kohaneb muutustega julgeolekupoliitilises ohukeskkonnas kiiresti ning küberkaitse peaks saama NATO uues strateegilises kontseptsioonis palju tähelepanu. Kontseptsiooni ettevalmistavas raportis on NATO riikide küberjulgeolek välja toodud ühe olulisema uue julgeolekuriskina alliansi jaoks.

NATO on läbimas ka mitmeid institutsionaalseid muutusi, et uutele ohtudele suuremat tähelepanu pöörata. Küberkaitse valdkonnas on loodud NATO peakorteri juures küberkaitse juhtimise nõukogu ning küberkaitse koordinatsioonikeskus. Samuti on NATO loonud uute ohtude osakonna, mille üks sektsioon hakkab tegelema nii NATO küberkaitse tehniliste kui poliitiliste küsimustega.

Eestis asuv NATO küberkaitsekeskus kui teadus- ja arenduskeskus omab keskset tähtsust NATO ja liikmesriikide poliitikakujundajate küberkaitsealase teadlikkuse tõstmisel. Keskuse peamised töövaldkonnad on teadus- ja arendustegevus, õigusküsimuste analüüs küberkaitses ja ekspertide koolitus. Kõik need valdkonnad on NATO liikmesriikidele uues julgeolekukeskkonnas tegutsemisel väga vajalikud. Keskuse poolt korraldatavad konverentsid ja seminarid on toonud mitme aasta jooksul Tallinnasse kokku maailma juhtivad küberkaitse eksperdid.

Kokkuvõtvalt võib öelda, et küberjulgeoleku alal on Eesti maailma riikide seas üks aktiivsemaid ning tihti imestavad teiste riikide esindajad, kes natuke kaugemalt pärit, et me polegi keskmise suurusega ja võimas riik, vaid väikerahvas. Kuigi 2007. aaasta küberrünnakud polnud meie jaoks meeldivaks etapiks ajaloos, siis osalt tänu sellele kogemusele oleme saanud arvestatava sõnaõiguse ühes olulises ja tõusvas globaalses tulevikuvaldkonnas.