Möödunud aprillis eesti rahvast ja riiki raputanud aprillirahutuste põhjuseid pikemalt analüüsimata võib öelda, et eri arvajate läbiv seisukoht on, et Eesti riik sai tervikuna rahutuste kontrollimisega hakkama. Veelgi enam, avalike suhete seisukohast õnnestus meil kolmanda osapoole valearvestuste ja taktikaliste vigade tõttu saavutada edu ja teenida tekkinud olukorrast ka positiivset lisaväärtust – küberrünnakud õnnestus edukalt tõrjuda ja kübersõda kui tüüpiline XXI sajandi asümmeetriline oht teadvustus rahvusvahelises julgeoleku- ja kaitsepoliitilises diskursuses. Samas on kõlanud ka skeptilisemaid arvamusi, just nagu oleks kübersõja teemal rohkem suhtekorralduslikku plusspunktide teenimist ja vähem praktilise väärtusega sisu. Tegelikkus on siiski vastupidine – oleme Eesti vastu tehtud küberründed fikseerinud ja kaardistanud, oleme jaganud oma kogemusi partneritega, NATO-s on teema tähtsus tõusnud niivõrd, et see oli päevakorras Bukaresti tippkohtumisel ning Eesti valitsus arutab peatselt küberjulgeoleku strateegiat aastateks 2008–2013. Selles valguses on tark astuda paar sammu tagasi ning teha kokkuvõte sellest, mis tehtud ja mis teoksil.
Täna ei ole meil ega meie partneritel kahtlust selles, et nii Eesti riigile kui ka erasektorile kuuluva IT-infrastruktuuri vastu suunatud küberrünnakud olid organiseeritud ja koordineeritud. Sellele viitavad rünnakute maht, ulatus, kestus ja arhitektuur. Selle teadmise valguses ei ole Eesti täitevvõimu olulisim ülesanne tegelda süüdlaste otsimisega – see on prokuratuuri töö, kuivõrd süüdlaste leidmist võib üldse realistlikuks pidada. Valitsuse jaoks on olulisim teha adekvaatsed järeldused meie suutlikkuse kohta nüüd ja edaspidi sarnaste ja veelgi võimsamate rünnakute tõrjumiseks ning planeerida koos oma liitlastega NATOs vajalikke meetmeid selleks, et meie ühine julgeolek oleks edaspidi tagatud.
Küllap on paljudele jäänud mulje, et Eestisse NATO küberkaitse kompetentsikeskuse rajamine on uus projekt, mis sündis küberrünnakute tõttu. Tegelikult algasid põhimõttelised pingutused Eestisse sellise keskuse rajamiseks juba 2004. aastal ning muidu rutiinse töö korras juhitud projekt sai möödunud aprilli ja mai sündmustest lihtsalt tuult tiibadesse. Küberrünnakud sisustasid seni abstraktse teema väga praktiliste ja akuutsete probleemidega, mille olulisust ruttasid kiiresti möönma ka kõik teised NATO liikmesriigid. See koondas meile vajaliku rahvusvahelise tähelepanu, mis võimaldas kiiresti edasi liikuda. Nüüd on keskuse ametlik asutamine vaid nädalate küsimus. Projekti juhtriik on Eesti ning teised liitlased/doonorriigid allkirjastavad vastava ühiste arusaamade memorandumi.
Küberkaitsekeskuse asutamine on Eestile suur väljakutse ja võimalus. Asjaolu, et Eestis hakkab füüsiliselt asuma NATO rahvusvaheline sõjaline organisatsioon, on Eesti julgeolekupoliitika seisukohalt juba piisavalt oluline. Samavõrd märkimisväärsed on võimalused, mida keskuse asutamine pakub Eestile asjaomast teaduslikku kompetentsi koondades – siin hakkavad töötama nii Eesti teadlased kui ka teiste doonorriikide parimad pead. Sellega seoses peame kujundama oma nägemuse ja plaani küberkaitsealase akadeemilise hariduse arendamise küsimuses. Selle üheks oluliseks komponendiks on küberkaitsesuunitlusega magistriõppemooduli käivitamine koostöös ülikoolidega.
Alles loodavas, kuid praktikas juba tööd alustanud NATO küberkaitse kompetentsikeskuse ülesanded on väga ambitsioonikad. Keskuse peamised tegevussuunad on järgmised: arendada küberkaitsealast koostegutsemisvõimet NATO võrgupõhises keskkonnas, arendada välja NATO koostööpõhine küberkaitse doktriin ja panustada NATO küberkaitsepoliitika väljatöötamisse, arendada infosüsteemide turvalisuse ja küberkaitse alast väljaõpet ja teavitustööd, töötada välja küberkaitsealaseid simulatsioone, teste ja eksperimente ning analüüsida koostööpõhise küberkaitse juriidilisi aspekte. Keskuse tööd koordineeritakse NATO arenduse väejuhatuse kaudu.
ÜRO ametlik veebilehekülg, mis sattus augustis USA ja Iisraeli vastu protesteerivate häkkerite rünnaku alla. Rünnakud on veel üheks näiteks tänapäeva maailmas valitsevatest ohtudest küberruumis. Foto: Scanpix
Uus vana mure
Küberkuritegevus pole kindlasti uus nähtus. Interneti kommertsialiseerumine, sissehelistamise asendumine lairibaühendusega ning tehnoloogia ja veebiteenuste ülikiire areng on koondanud Interneti vastu märkimisväärse kuritegeliku tähelepanu, mida on võimalik ära kasutada ka neil, kellel puuduvad küll otsesed majanduslikud huvid, aga keda ajendab poliitiline motivatsioon. Nii on mitmed asjatundjad spekuleerinud selle üle – viimati USA Kongressile esitatud raportis – et ka möödunud aasta aprillis ja mais aset leidnud küberrünnakutes Eesti vastu kasutati kurjategijatelt ostetud (täpsemalt renditud) nakatunud arvutite võrku (nn robotvõrk, ingl k botnet). Kes olid teenuse ostjad, jäägu juba lugeja nuputada. Siia võib muidugi lisada, et selline rünnak Eesti vastu polnud esimene omalaadsete seas, kuid kindlasti oli tegemist esimese seda laadi rünnakuga riigi vastu. Selle rünnaku tõsidus oli meie õnneks piisav, et pälvida teiste riikide tähelepanu.
Eesti ega NATO ei ole küberkaitsepoliitika väljatöötamisega hiljaks jäänud. James Lewis Strateegiliste ja Rahvusvaheliste Uuringute Keskusest (ingl k Center for Strategic and International Studies) väidab, et viimase kümnendi jooksul on ainuüksi USAs aset leidnud sadu tuhandeid n-ö küberturvalisusintsidente. Ometi ei ole ühegi määratluse järgi võimalik väita, et oleksime näinud tõsist küberterrorirünnakut, sest ükski senistest rünnetest ei ole tekitanud paanikat ega terrorit, purustanud USA infrastruktuuri või põhjustanud kaotusi inimeludes. See ei tähenda aga muud kui seda, et tõenäoliselt on meil esimese sellise ründeni veel veidi aega, seejuures aega ettevalmistamiseks.
Võib juhtuda, et käesoleva artikli ilmumise ajaks on Eesti valitsus juba kinnitanud esimese riikliku küberjulgeoleku strateegia. Et aga iga kett on nii tugev kui selle nõrgim lüli, siis NATO küberkaitsepoliitika väljatöötamine ei saa asendada tööd, mis tuleb ära teha kõikides liikmesriikides. Lõpuks peame meie ise, oma inimeste ja Eesti maksumaksjate kroone investeerides tõstma oma valmisolekut küberrünnete tõrjumiseks. Laskumata siinkohal strateegia eeldatavasse sisusse võib siiski kirjeldada mõningaid põhimõtteid, millest strateegiat koostades oleme lähtunud.
Esiteks on strateegia koostamise eelduseks anda hinnang kogu riigi, nii era- kui ka avaliku sektori küberjulgeoleku olukorrale ning määratleda kaitset vajav kriitiline infrastruktuur. Küberjulgeoleku ohuhinnangu põhjal saab paika panna riikliku turva- ja vastumeetmete süsteemi, mis sisaldab nii riiklikku kriisijuhtimist küberrünnakute korral kui ka koordinatsioonimehhanisme erasektori ja eri ametkondade vahel. Möödunud aasta aprillis toimunud rünnetele tagasi vaadates võib öelda, et vastava koostööleppe olemasolu avaliku sektori ja olulisemate erasektori partnerite vahel võimaldas küberrünnakute eduka tõrjumise. Olemasolevas võrgustikus toimisid ka mitteformaalsed suhted tänu millele oli reaktsioon rünnetele kiire ja tõhus.
Praegu on 80% võrgust erasektori halduses. Seepärast on koostöö erasektoriga äärmiselt oluline, sest tsiviilinfrastruktuuri küberjulgeoleku tagamisel on just nendel võtmeroll. Või olgem täpsemad – see roll on meie kõigi täita. Võib küsida, milline on üldse eraisiku vastutus ajal, mil meist igaühe käsutuses on potentsiaalne ründerelv, Internetti ühendatud arvuti. Kas ja kuidas erineb nakatunud arvuti pargipingile unustatud automaatrelvast?
Teiseks, selleks et oma vaegusi korvata, tuleb need kaardistada. Riigi puhul tähendab see eelkõige kriitilise informatsiooni infrastruktuuri fikseerimist ja adekvaatseid kaitsemeetmeid selle turvalisuse tagamiseks.
Kolmandaks rõhutaksin koolitust. Kui veel kümmekond aastat tagasi kasutati Eestis koduarvutites valdavalt piraattarkvara, siis tänaseks on karistusseadustiku ja teavituskampaaniate abil ilmselt enamiku kasutajate teadvusesse jõudnud arusaam, et see on kuritegelik ja ühiskondlikult mitteaktsepteeritav käitumine. Sellest samm edasi oleks mõista, et nakatunud koduarvutist võib saada ründerelv meie enda riigi vastu.
Viimasena, kuid mitte vähem tähtsana tuleb rääkida terminoloogilisest ja õiguslikust selgusest. Kuivõrd küberjulgeolek on nii riiklikus kui ka rahvusvahelises õiguses suhteliselt uus valdkond, siis on oluline küberjulgeoleku tagamiseks vajaliku õigusruumi kujundamine. Ühest vastust ootavad kriitilised küsimused, nagu mis on küberkuritegu, kas ja milliseid kohustusi oma arvuti turvalisuse tagamiseks saaks ja tuleks panna eraisikutele jpm.
On selge, et riigid, mis paistavad silma uute tehnoloogiate kiire kasutuselevõtuga, on ka küberohtude osas haavatavamad. Meie igapäevaelu on tehnoloogiaga niivõrd tihedasti seotud, et iga väiksemgi häire võib tähendada tõrkeid ja seisakuid tavalistes toimingutes. See tähendab omakorda, et õnnestunud küberrünne võib oluliselt mõjutada kogu riigi toimimist ja tegevust. Mida aga tähendab riigi jaoks arusaamine, et ühe suure erapanga IT-infrastruktuuri ründamise kaudu on võimalik nii psühholoogiliselt kui ka majanduslikult mõjutada suure osa elanikkonna käekäiku?
Möödunud aastal toimunu oli meie jaoks ohusignaal, mis osundas meie tegematajätmistele. Samas on tähtis säilitada selge pea ning riigile võetavad kohustused ja õigused hoolikalt läbi mõelda. Lähiajaloos on piisavalt näiteid, kuidas riigid uutele ohtudele reageerides enda vajadusi ja võimeid üle hindavad, krabades endale uusi õigusi, kuid piirates sellega eraisikute omi. Peatselt avastatakse, et selline reaktsioon pole mitte ainult proportsionaalne, vaid ei vii ka kavandatud eesmärkidele oluliselt lähemale. Samuti peame olema valmis ühel päeval vastama küsimusele, kas meie elanikkonna suur sõltuvus tehnoloogiast tähendab ka seda, et eksisteerib reaalne ootus täidesaatva võimu suutlikkuse suhtes seda sõltuvussuhet seirata ja kaitsta. Need on ohtlikud küsimused, millele pole lihtsaid vastuseid. Ent pidagem meeles, et viimase aasta arengute tõttu vaatab suur osa NATO liitlastest lahenduste otsimisel just meie poole.
AUTORIST
Andreas Kaju on kaitseministri nõunik