Üks esimesi küberrünnakuid, mis avaldas mõju ühe riigi kogu ühiskonnale, leidis aset meil, Eestis, 2007. aasta aprillirahutuste ajal. Seni polnud enamik küberrünnakuid isegi uudiskünnist ületanud. Nüüd võib pea iga päev lugeda suurema ja väiksema mastaabiga küberintsidentidest, mis on suunatud nii riigi- ja erasektori kui ka lihtsalt interneti tavakasutajate vastu. Sealjuures moodustavad need intsidendid vaid jäämäe tipu võrreldes sellega, mis toimub pinna all ja mida peale küberturbeekspertide vähesed endale teadvustavad. Suurele enamikule tundub kübervaldkond pigem raketiteadusena või siis ulmelise tulevikuprobleemina. Näiteks nii lihtsat asja nagu arvutiviirust nähakse pigem arvuti külmetushaigusena, mis kaob kas nädala jooksul ise või halvemal juhul uue arvuti või moodsamate viirusetõrje mehhanismide soetamisega. Asjaolu, et ka mõni täiesti algeline arvutiviirus võiks põhjustada tuumakatastroofi, lennukiõnnetusi jne, ei tundu reaalsena.
Eesti ponnistused teadvustada vajadust kõikehõlmava küberjulgeoleku poliitika järele võisid alguses kõlada pigem hüüdja häälena kõrbes, aga mõne aasta möödudes on Eesti leidnud end juhtivate küberekspertide hulgast.
Euroopa Liidu institutsioonide tasandil on olnud ja on veel praegugi keerukas saavutada läbimurret probleemi koheseks teadvustamiseks, rääkimata koordineeritud aktsioonidest. Euroopa Komisjonis tegeleb digimaailma ning sellest tulenevalt ka kübermaailma eri aspektidega väga palju ametkondi, kelle lähtepunktid ning ka volitused on erinevad. Sarnaselt riikide ametkondadega ei olda väga varmad tegema üksteisega koostööd, mille hinnaks arvatakse pahatihti olevat tüki loovutamine omaenda pirukast. Tõsine probleem seisneb ka selles, et on väga vähe eksperte, kel oleks tervikülevaade kogu ELi tegevusest kübervaldkonnas ning kes oskaksid sellest konstrueerida raamistiku oodatavale ELi küberstrateegiale.
Sarnaselt ebaülevaatlikule olukorrale Euroopa Komisjonis puudub ka Euroopa Parlamendis ühtne, töökomisjonideülene lähenemine küberproblemaatikale. Ehkki on tegeldud infosüsteemide vastu suunatud rünnakutega, samuti ELi sisejulgeoleku küberaspektidega, on eri komisjonide algatusi ning raporteid käsitletud siiski eraldiseisvate üksustena. Selline olukord põhjustab ühelt poolt täiendavaid raskusi, et teadvustada, mida on juba tehtud ja kuidas formuleeritud, ning tekitab teiselt poolt lisasurvet mahutada parajasti töös olevasse raportisse kõiki võimalikke küberproblemaatika aspekte.
Alles 2012. aasta alguses jõuti otsuseni, et julgeoleku- ja kaitse allkomisjon peaks koostama tervikliku raporti ELi küberjulgeoleku ja -kaitse teemadel, tuginedes ühtse julgeoleku- ja kaitsepoliitika raamistikule. Arvestades minu mitme aasta pikkust panust rõhutamaks kübervaldkonna olulisust tänapäeva maailmas ning vajadust arendada välja ELi vastused kübermaailmaga seonduvale, usaldati raporti koostamine minu hooleks.
Keskne probleem niihästi Euroopa Liidus kui ka maailmas üldse on ühtsete definitsioonide puudumine. See tähendab, et praktilises tegevuses määratleb iga riik kübermaailmaga seonduvaid mõisteid erinevalt, omistades neile erinevaid kaalukategooriaid. Nii leiab ELi välisteenistus end silmitsi probleemiga, kus suhetes kolmandate riikidega oleks väga tarvis arutada ka küberjulgeoleku küsimusi, aga kuivõrd ELil puudub ühine terminoloogia ja arusaam, ei saa seda diplomaatilisel tasandil teha. Sama puudutab suhteid NATO ja USAga. Kui praktikas, näiteks võitluses organiseeritud küberkuritegevusega, on ühiste pidepunktide leidmine lihtsam, siis suuremate kokkulepete puhul takerduvad otsused pahatihti puuduvate definitsioonide taha. Põhjust võib otsida temaatika keerukuses, aga ka liikmesriikide erinevates arusaamades kübermaailmast. Peamiselt jaotuvad liikmesriigid kahte gruppi: esimeses kuuluvad küberprobleemid siseministeeriumi, teises aga kaitseministeeriumi haldusalasse. On nähtavasti ka neid riike, kus ei olegi jõutud konkreetselt otsuseni, kes ja millisel määral peaks nende küsimustega tegelema. Euroopa Kaitseagentuur esitleb 2012. aasta sügisel uuringut, mis pakub ülevaate küberjulgeoleku probleemide olukorrast ja haldamisest eri liikmesriikides.
Tänaseks on kõigis 27 liikmesriigis loodud riiklikud infoturbeintsidentidega tegelevad rühmad, sarnane rühm on loodud ka ELi tasandil. Oluline on tagada nende rühmade kiire reageerimisvõime, et võimalikult lühikese ajaga tõrjuda võimalikke ohte ja rünnakuid või neid isegi ennetada.
Muret tekitab see, et vaatamata Euroopa Komisjoni tungivatele soovitustele on 2012. aasta sügiseks riiklikud küberjulgeoleku strateegiad välja arendatud vaid kümnes liikmesriigis. Selline olukord peegeldab üsna dramaatiliselt puudlikku ning ebaühtlast arusaama küberohtude ja nendega seonduvate probleemide tõsidusest ja ulatusest. Üha jätkuv majanduslik surutis lisab pessimismi – pole eriti loota, et liikmesriigid investeeriksid senisest suuremaid summasid kõnealuse teemaga seotud kõrgtehnoloogilistesse uuringutesse.
Selles olukorras on ülioluline, et ELi tasandil eksisteeriks kõikehõlmav küberjulgeoleku ja -kaitse strateegia. Nii ELi institutsioonid kui ka liikmesriigid peavad aru saama, et küberprobleemid ei ole tulevik, vaid olevik ning et me peame olema valmis murdosasekundi vältel tekkinud probleeme lahendama sama kiiresti. ELi tasandil on peamine küsimus definitsioonide ühtlustamises, kooskõlastamises ja kübervaldkonda puudutavate ühtsete lahenduste ja poliitikate väljatöötamises. Ka praktikas tuleb ELi institutsioonidel olla tunduvalt paremini valmis. See tähendab lisaks küberjulgeolekustrateegiate väljatöötamisele eelkõige küberaspekti integreerimist riskianalüüsidesse ja kriisiohjekavadesse.
Eesti ponnistused teadvustada vajadust kõikehõlmava küberjulgeoleku poliitika järele võisid alguses kõlada pigem hüüdja häälena kõrbes, aga mõne aasta möödudes on Eesti leidnud end juhtivate küberekspertide hulgast.
Euroopa Liidu institutsioonide tasandil on olnud ja on veel praegugi keerukas saavutada läbimurret probleemi koheseks teadvustamiseks, rääkimata koordineeritud aktsioonidest. Euroopa Komisjonis tegeleb digimaailma ning sellest tulenevalt ka kübermaailma eri aspektidega väga palju ametkondi, kelle lähtepunktid ning ka volitused on erinevad. Sarnaselt riikide ametkondadega ei olda väga varmad tegema üksteisega koostööd, mille hinnaks arvatakse pahatihti olevat tüki loovutamine omaenda pirukast. Tõsine probleem seisneb ka selles, et on väga vähe eksperte, kel oleks tervikülevaade kogu ELi tegevusest kübervaldkonnas ning kes oskaksid sellest konstrueerida raamistiku oodatavale ELi küberstrateegiale.
Sarnaselt ebaülevaatlikule olukorrale Euroopa Komisjonis puudub ka Euroopa Parlamendis ühtne, töökomisjonideülene lähenemine küberproblemaatikale. Ehkki on tegeldud infosüsteemide vastu suunatud rünnakutega, samuti ELi sisejulgeoleku küberaspektidega, on eri komisjonide algatusi ning raporteid käsitletud siiski eraldiseisvate üksustena. Selline olukord põhjustab ühelt poolt täiendavaid raskusi, et teadvustada, mida on juba tehtud ja kuidas formuleeritud, ning tekitab teiselt poolt lisasurvet mahutada parajasti töös olevasse raportisse kõiki võimalikke küberproblemaatika aspekte.
Alles 2012. aasta alguses jõuti otsuseni, et julgeoleku- ja kaitse allkomisjon peaks koostama tervikliku raporti ELi küberjulgeoleku ja -kaitse teemadel, tuginedes ühtse julgeoleku- ja kaitsepoliitika raamistikule. Arvestades minu mitme aasta pikkust panust rõhutamaks kübervaldkonna olulisust tänapäeva maailmas ning vajadust arendada välja ELi vastused kübermaailmaga seonduvale, usaldati raporti koostamine minu hooleks.
Keskne probleem niihästi Euroopa Liidus kui ka maailmas üldse on ühtsete definitsioonide puudumine. See tähendab, et praktilises tegevuses määratleb iga riik kübermaailmaga seonduvaid mõisteid erinevalt, omistades neile erinevaid kaalukategooriaid. Nii leiab ELi välisteenistus end silmitsi probleemiga, kus suhetes kolmandate riikidega oleks väga tarvis arutada ka küberjulgeoleku küsimusi, aga kuivõrd ELil puudub ühine terminoloogia ja arusaam, ei saa seda diplomaatilisel tasandil teha. Sama puudutab suhteid NATO ja USAga. Kui praktikas, näiteks võitluses organiseeritud küberkuritegevusega, on ühiste pidepunktide leidmine lihtsam, siis suuremate kokkulepete puhul takerduvad otsused pahatihti puuduvate definitsioonide taha. Põhjust võib otsida temaatika keerukuses, aga ka liikmesriikide erinevates arusaamades kübermaailmast. Peamiselt jaotuvad liikmesriigid kahte gruppi: esimeses kuuluvad küberprobleemid siseministeeriumi, teises aga kaitseministeeriumi haldusalasse. On nähtavasti ka neid riike, kus ei olegi jõutud konkreetselt otsuseni, kes ja millisel määral peaks nende küsimustega tegelema. Euroopa Kaitseagentuur esitleb 2012. aasta sügisel uuringut, mis pakub ülevaate küberjulgeoleku probleemide olukorrast ja haldamisest eri liikmesriikides.
Tänaseks on kõigis 27 liikmesriigis loodud riiklikud infoturbeintsidentidega tegelevad rühmad, sarnane rühm on loodud ka ELi tasandil. Oluline on tagada nende rühmade kiire reageerimisvõime, et võimalikult lühikese ajaga tõrjuda võimalikke ohte ja rünnakuid või neid isegi ennetada.
Muret tekitab see, et vaatamata Euroopa Komisjoni tungivatele soovitustele on 2012. aasta sügiseks riiklikud küberjulgeoleku strateegiad välja arendatud vaid kümnes liikmesriigis. Selline olukord peegeldab üsna dramaatiliselt puudlikku ning ebaühtlast arusaama küberohtude ja nendega seonduvate probleemide tõsidusest ja ulatusest. Üha jätkuv majanduslik surutis lisab pessimismi – pole eriti loota, et liikmesriigid investeeriksid senisest suuremaid summasid kõnealuse teemaga seotud kõrgtehnoloogilistesse uuringutesse.
Selles olukorras on ülioluline, et ELi tasandil eksisteeriks kõikehõlmav küberjulgeoleku ja -kaitse strateegia. Nii ELi institutsioonid kui ka liikmesriigid peavad aru saama, et küberprobleemid ei ole tulevik, vaid olevik ning et me peame olema valmis murdosasekundi vältel tekkinud probleeme lahendama sama kiiresti. ELi tasandil on peamine küsimus definitsioonide ühtlustamises, kooskõlastamises ja kübervaldkonda puudutavate ühtsete lahenduste ja poliitikate väljatöötamises. Ka praktikas tuleb ELi institutsioonidel olla tunduvalt paremini valmis. See tähendab lisaks küberjulgeolekustrateegiate väljatöötamisele eelkõige küberaspekti integreerimist riskianalüüsidesse ja kriisiohjekavadesse.
David Anselm, Microsofti digitaalsete kuritegude üksuse üks juhte 12. septembril 2012 Washingtoni osariigis Redmondis. Microsofti uutes küberkuritegevust käsitlevates dokumentides sedastatakse, et küberkurjategijad püüavad käesoleval ajal sokutada pahavara arvutitesse juba enne, kui need pakkimisele ja seejärel heausksete ostjate kodudesse jõuavad. Foto: Scanpix
Küberjulgeolekuga tegelemine viis mind mõnevõrra üllatuslikult, kuid täiesti loogiliselt ühiskonna põhialuste juurde – back to the basics. See tähendab, et kõrgtehnoloogiliste lahenduste, institutsioonide koordineerimise ning ohjamiskavade tõhustamise kõrval ei tohi unustada tavakodaniku rolli. See algab teadlikust „küberhügieenist”, millega tuleb juba maast madalast tegelema hakata. Niihästi koolinoorte, täiskasvanud internetikasutajate kui ka riigiametnike süstemaatiline koolitamine elementaarsete küberruumi ohtude teadvustamisel ja ennetava käitumise kujundamisel on sama vajalik kui kehahügieeni või tuletõrjereeglite omandamine. On selge, et Eesti-taolises tiigrihüppe riigis peaks koolide õppekavad sisaldama lisaks arvutiõpetuse tunnile ka küberhügieeni tunde, kus lapsed õpiksid vastutustundlikku käitumist küberruumis ning oskaksid end võimalike ohtude vastu kaitsta. Täiskasvanute osas peaksid kõik riigi-, era- või kolmanda sektori asutused oma töötajaid aktiivselt ja süstemaatiliselt koolitama. Eri ekspertidega konsulteerides jõudsime alati ühe ja sama lihtsa tõdemuseni: enamik praegustest küberintsidentsidest on väga primitiivsed ning teadliku käitumise ja korraliku viirusetõrje korral valdavalt ennetatavad.
Teine oluline vajadus on usalduse tõstmine, mis on igasuguse tõhusa koostöö eeldus küberjulgeoleku vallas. Usaldust on vaja riikide omavahelises suhtlemises, suhetes ELi kesksete institutsioonide ja liikmesriikide, aga ka avaliku ja erasektori vahel. Suur osa küberrünnakuist ja intsidentidest jäävad registreerimata. Erasektori puhul tuleneb see tavaliselt hirmust kaotada oma klientide ja konkurentide silmis usaldusväärsus. Samas on riigid kiivad varjama oma kalleid tehnoloogiaid ja luureandmeid. Selline olukord teeb väga keerukaks reaalsete ohtude hindamise, kuna hinnangu andmiseks vajalik informatsioon jääb napiks ja ebaühtlaseks. Euroopa Parlamendi raport peab vajalikuks meetmete väljaarendamist, mis võimaldaksid erasektoril kiiresti, kuid diskreetselt neid tabanud küberintsidentide kohta infot edastada ning abi saada. Kutsume Euroopa Komisjoni üles kohustama liikmesriike vähemalt mingil baastasandil omavahelist infot jagama, et nii kogemusi vahetada ja üksteiselt õppida. Siinkohal peab ideede saamiseks vaatama ka mujal maailmas leitud lahendusi.
Küberkeskkond on ülimalt dünaamilises arengus ja eilsed tehnilised lahendused ei pruugi homme hommikul enam probleemide eest kaitsta. Seega on äärmiselt oluline, et riigid panustaksid otsustavalt küberjulgeoleku ja -kaitsega seonduvasse uurimistegevusse. Liikmesriigid on kohustunud suurendama kaitse-eelarvest uurimistegevusele määratud osa kahele protsendile. Tänaseks on selleni jõudnud üksnes Rootsi, ent mitmes liikmesriigis on vastav kulutuste protsent null.
Ilma investeeringuteta ja teadusuuringuteta jääb Euroopa lootusetult arengule jalgu, muutub haavataks. Oleks tõeliselt irooniline, kui ametlik kava ELi majanduse teadmispõhiseks muutmisest ei laieneks kübervaldkonda. Need nõuded puudutavad ka Eestit. Reserviks on koostööpotentsiaal erasektoriga, kes samuti on huvitatud nii infrastruktuuride kui ka infosüsteemide turvalisuse arendamisest.
Viimase aspektina peatun suhetel kolmandate riikidega. On selge, et enamik ELile suunatud ohte on initsieeritud väljastpoolt, seega ei piisa ainult meie enda julgeoleku- ja kaitsevõime tõstmisest, vaid tuleb taotleda koostöö arendamist partneritega kolmandate riikide seas. Küberkuritegevuse ohjamiseks on äärmiselt oluline jõuda selleni, et kõik ELi liikmesriigid ning võimalikul palju kolmandaid riike ratifitseeriks Euroopa Nõukogus koostatud Budapesti konventsiooni, mis pea kümme aastat pärast eestlase Ivar Tallo juhtimisel vastuvõtmist püsib kõige olulisema küberkuritegevusega seonduvat reguleeriva dokumendina. Seejuures on tarvis, et EL kaasaks küberaspekti kõikidesse läbirääkimistesse ja kokkulepetesse kolmandad riigid. Samuti peab EL kandma tugevat sõnumit ning olema eestvedajaks kübervaldkonda puudutavatel aruteludel teistes rahvusvahelises organisatsioonides, eriti ÜROs. Heaks näiteks siinkohal on suhted USAga, kellega on loodud ühine kübertöögrupp infovahetuseks ja koostöövõimaluste arendamiseks.
Teine oluline vajadus on usalduse tõstmine, mis on igasuguse tõhusa koostöö eeldus küberjulgeoleku vallas. Usaldust on vaja riikide omavahelises suhtlemises, suhetes ELi kesksete institutsioonide ja liikmesriikide, aga ka avaliku ja erasektori vahel. Suur osa küberrünnakuist ja intsidentidest jäävad registreerimata. Erasektori puhul tuleneb see tavaliselt hirmust kaotada oma klientide ja konkurentide silmis usaldusväärsus. Samas on riigid kiivad varjama oma kalleid tehnoloogiaid ja luureandmeid. Selline olukord teeb väga keerukaks reaalsete ohtude hindamise, kuna hinnangu andmiseks vajalik informatsioon jääb napiks ja ebaühtlaseks. Euroopa Parlamendi raport peab vajalikuks meetmete väljaarendamist, mis võimaldaksid erasektoril kiiresti, kuid diskreetselt neid tabanud küberintsidentide kohta infot edastada ning abi saada. Kutsume Euroopa Komisjoni üles kohustama liikmesriike vähemalt mingil baastasandil omavahelist infot jagama, et nii kogemusi vahetada ja üksteiselt õppida. Siinkohal peab ideede saamiseks vaatama ka mujal maailmas leitud lahendusi.
Küberkeskkond on ülimalt dünaamilises arengus ja eilsed tehnilised lahendused ei pruugi homme hommikul enam probleemide eest kaitsta. Seega on äärmiselt oluline, et riigid panustaksid otsustavalt küberjulgeoleku ja -kaitsega seonduvasse uurimistegevusse. Liikmesriigid on kohustunud suurendama kaitse-eelarvest uurimistegevusele määratud osa kahele protsendile. Tänaseks on selleni jõudnud üksnes Rootsi, ent mitmes liikmesriigis on vastav kulutuste protsent null.
Ilma investeeringuteta ja teadusuuringuteta jääb Euroopa lootusetult arengule jalgu, muutub haavataks. Oleks tõeliselt irooniline, kui ametlik kava ELi majanduse teadmispõhiseks muutmisest ei laieneks kübervaldkonda. Need nõuded puudutavad ka Eestit. Reserviks on koostööpotentsiaal erasektoriga, kes samuti on huvitatud nii infrastruktuuride kui ka infosüsteemide turvalisuse arendamisest.
Viimase aspektina peatun suhetel kolmandate riikidega. On selge, et enamik ELile suunatud ohte on initsieeritud väljastpoolt, seega ei piisa ainult meie enda julgeoleku- ja kaitsevõime tõstmisest, vaid tuleb taotleda koostöö arendamist partneritega kolmandate riikide seas. Küberkuritegevuse ohjamiseks on äärmiselt oluline jõuda selleni, et kõik ELi liikmesriigid ning võimalikul palju kolmandaid riike ratifitseeriks Euroopa Nõukogus koostatud Budapesti konventsiooni, mis pea kümme aastat pärast eestlase Ivar Tallo juhtimisel vastuvõtmist püsib kõige olulisema küberkuritegevusega seonduvat reguleeriva dokumendina. Seejuures on tarvis, et EL kaasaks küberaspekti kõikidesse läbirääkimistesse ja kokkulepetesse kolmandad riigid. Samuti peab EL kandma tugevat sõnumit ning olema eestvedajaks kübervaldkonda puudutavatel aruteludel teistes rahvusvahelises organisatsioonides, eriti ÜROs. Heaks näiteks siinkohal on suhted USAga, kellega on loodud ühine kübertöögrupp infovahetuseks ja koostöövõimaluste arendamiseks.
USA õhujõudude kosmosevõrkude operatsioonide ja julgeoleku keskuse töötajad Petersoni õhujõudude baasis Colorado Springsis juulis 2010. Ameerika Kaitseministeerium avalikustas oma strateegia võitluses relvajõudude arvutisüsteeme ähvardavate häkkerite vastu 14. juulil 2011. Selles nimetati küberruumi USA relvajõudude operatsioonialaks, mille kaitsmist tuleb spetsiaalselt treenida. Foto: Scanpix
EL ja NATO kohati keerukais vahekordades pakub just kübervaldkond praktilisi võimalusi vastastikku täiendavaks koostööks. Tegelikkuses see koostöö mitmes valdkonnas juba toimib, aga seda on kindlasti vaja laiendada ja süvendada, lisades sellele ka poliitilist kaalu.
Eesti ja Eesti poliitikuid peaksid igati kaasa aitama ELi püüdlustele leida kiireid lahendusi võimalikele küberprobleemidele. Majanduskriis ja mitte kuigi roosilised tulevikuväljavaated sunnivad meid kõiki otsima koostööd ja ühendama jõudusid. Loodan, et kolme voliniku (Neelie Kroes, Viviane Reding ja Catherine Ashton) loodav küberjulgeoleku strateegia pakub ülaltoodud probleemistikule reaalseid lahendusi ning et nii ELi institutsioonid kui ka liikmesriigid teadvustavad aega viitmata endale kübermaailma olulisust ning asuvad tegutsema. Murdosasekundi jooksul tekkinud probleemile peab leidma vastuse sama kiiresti, et sellest ei saaks aastakümneid ja potentsiaalselt ka inimelusid nõudev probleem.
Eesti ja Eesti poliitikuid peaksid igati kaasa aitama ELi püüdlustele leida kiireid lahendusi võimalikele küberprobleemidele. Majanduskriis ja mitte kuigi roosilised tulevikuväljavaated sunnivad meid kõiki otsima koostööd ja ühendama jõudusid. Loodan, et kolme voliniku (Neelie Kroes, Viviane Reding ja Catherine Ashton) loodav küberjulgeoleku strateegia pakub ülaltoodud probleemistikule reaalseid lahendusi ning et nii ELi institutsioonid kui ka liikmesriigid teadvustavad aega viitmata endale kübermaailma olulisust ning asuvad tegutsema. Murdosasekundi jooksul tekkinud probleemile peab leidma vastuse sama kiiresti, et sellest ei saaks aastakümneid ja potentsiaalselt ka inimelusid nõudev probleem.
AUTORIST |  |
