Diplomaat: küberjulgeolek ja keskkonnakaitse on kõigi ühine asi

Meil on küberkaitse keskus, küberväejuhatus, küberkaitseliit – mille poolest teie tegevus küberjulgeoleku diplomaadina nendest eristub?

Diplomaadid selles uues valdkonnas tegelevad teemadega, kuidas riigid küberruumis käituma peaksid. Nende käitumisreeglite kehtestamine on praegu päevakorral. Kui me mõtleme tuumadesarmeerimise või teiste taoliste suurte valdkondade peale, siis kõikides nendes valdkondades on riigid kokku leppinud mingisugustes reeglites. Küberruumis see kokkuleppimise protsess praegu veel käib. Me oleme ÜROs kokku leppinud mõned normid, me oleme kokku leppinud, et piirkondlikes organisatsioonides peaksid kehtima usaldusmeetmed. Lääneriigid arvavad, et kehtiv rahvusvaheline õigus peaks kehtima ka küberruumis. Selle arvamusega ei lähe kõik riigid kaasa, autoritaarsed riigid tahaksid küberruumis mingisugust uut instrumenti, millega nad näiteks saaksid oma inimesi lihtsamini jälgida. Meie sõnum on, et rahvusvaheline õigus peab kehtima ka küberruumis, kuna me ei saa ju seal riikidele välja mõelda mingeid uusi põhimõtteid.

Esimese sammuna te üritate siis saavutada küberruumis mingisugust ühesugust käitumismustrit või arusaama ja õiguslikku alust eelkõige Euroopa Liidus ja NATOs?

NATOs ja Euroopa Liidus on see juba üsna ühesugune. Praegu me räägime ikkagi üleilmsest kokkuleppest, mida hetkel on mõnes küsimuses vähe. Ja sellepärast käivadki diplomaadid koos Genfis ja ÜRO peakorteris New Yorgis, et aru saada, kuhu see üleilmne protsess liigub ja kas on lootustki globaalsetes käitumisnormides kokku leppida.

Mainisite, et küberkäitumise reeglid peaksid olema ühtlaselt arusaadavamad kõigile. See on võimatu missioon! Maailma parimad häkkerid töötavad maailma võimsamates luureasutustes ja need asutused üldiselt vilistavad käitumisreeglitele!

Mina jälle ütleksin, et salateenistused peavad järgima neid juhiseid, mida nende poliitilised juhid neile annavad. Ja kui poliitilised juhid annavad korralduse, et salateenistused peavad käituma vastavalt reeglitele, siis nad peavad seda ka järgima.

Suurbritannia välisminister Jeremy Hunt süüdistas Venemaa luureteenistusi vastutustundetu ja valimatu küberrünnakute kampaanias poliitiliste institutsioonide, äriettevõtete ja meediakanalite vastu kogu maailmas.

Sellepärast me räägimegi vajadusest saavutada üleilmsed kokkulepped, mis on küberruumis lubatud ja mis mitte. Mis on riikidele lubatud ja mis mitte. Seetõttu on küberdiplomaatide tegevus kogu maailmas väga oluline ja me üritame nii Venemaaga kui Hiinaga ja teiste riikidega, keda on tabatud reeglite rikkumiselt, jõuda mingisuguse ühise arusaamani, mis on lubatud ja mis mitte. Aga mõnikord tuleb teha ka midagi konkreetsemat, mitte ainult normidest ja kokkulepetest rääkida, vaid vähemalt teha mingisuguseid avaldusi. Reeglite rikkujad peavad kasvõi aru saama, et nad ei jää märkamatuks.

Eesti on teinud mitmeid küberjulgeoleku strateegiaid eri perioodideks, ka teie olete olnud nende kaasautor. Nüüd on valmimas uus, tulevikku vaatav küberjulgeoleku strateegia. Nimetage paar olulist asja, mida see strateegia rõhutab.

Üks küberruumis väga oluline komponent on alati väljaõpe. Arvatakse, et küber on ainult tehnoloogia, aga see ei ole tõsi. Küberjulgeolekus tehakse suuri investeeringuid haridusse ja koolitustesse. Küberturvaline on see riik, kus on kõige rohkem spetsialiste, kes suudavad kõiki asutusi ja organisatsioone turvata. Eesti uus strateegia üritab seda teha. Uueks suureks komponendiks on ka välispoliitilised tegevused. Eesti on maailma teistele väikestele riikidele huvitav näide sellest, kuidas väike riik väikeste ressurssidega on suutnud ennast üsna küberturvaliseks muuta. Meie vastu on suur huvi ja seetõttu on uues strateegias üks oluline punkt arengukoostöö.

Peamine ohuallikas on ikkagi küberrünnakud?

Küberrünnakuid on erinevaid, näiteks selliseid, mis on sooritatud kriminaalsel eesmärgil. Võib-olla ongi need kriminaalsed või majandusliku kasu saamiseks tehtud küberrünnakud kõige enam levinud. Muidugi on poliitiliste eesmärkidega rünnakuid, mille panevad toime pooleldi riiklikult tegutsejad. Ja siis on muidugi rünnakuid, mida korraldavad noored hakkajad häkkerid sooviga proovida, mida nad küberruumis teha suudavad. Kõik nad tegelevad nende rünnakutega oma tasandil ja riik peab muidugi olema valmis kõige sellega tegelemiseks.

Räägime suurtest rünnakutest. Igal riigil on õigus ja lausa kohustus ennast kaitsta. Mis tähendab, et kui keegi küberründab mõnda meie elutähtsat süsteemi, siis on meie riigi teenistuses olevatel häkkeritel – juhul kui nad ründepaiga või serveri tuvastavad – õigus see pahalane kübersodiks lasta?

Kui see kõik nii lihtne oleks, siis oleks küberjulgeolekuga vähem probleeme. Paraku on rünnakute omistamine küberruumis reaalajas keeruline. Oleks ainult nii, et üks server ja kõik oleks lineaarne, kust need rünnakud tulevad! Mõnikord niimoodi on ja mõnikord niimoodi ei ole ja rünnakud suunatakse väga kiiresti ümber ning siis me räägime järsku näiteks 75 riigist, kust rünnakud lähtuvad. On väga erinevaid meetodeid, kuidas saab rünnata ja kõigile neile meetoditele on ka erinevad vasturünnakud. Me alati ei ründa vastu, kuid me peame aru saama, kes seda tegi ja kust see rünnak tuli. Reaalajas me iga kord isegi ei tea, kas selle taga on kriminaalne organisatsioon või riiklik tegutseja. Tavaliselt me saame küberrünnaku lähtepunkti teada alles pärast analüüsi. See võime paraneb järjest kõikides riikides ja Eestis on nüüd plaan luua selline analüüsivõimekus kõikide asutuste baasil, et saada kiiremini ja täpsemalt aru, kust meid need rünnakud tabavad. 

Kui riik või mõni organisatsioon on seadnud eesmärgiks tagada oma inimeste küberjulgeolek, siis kuidas saab selle tegevusega tagada nendesamade inimeste põhiõiguste, isikuvabaduste, isikuandmete ja identiteedi kaitset?

Andmekaitse ja küberjulgeolek ei ole vastandid. Mida parem on küberjulgeolek, seda paremini on inimeste andmed kaitstud. Natukene riivas kõrva see teie väide, et riik kaitseb kõiki ja riik peab kõike tegema. See ole kaugeltki ainult riigi probleem, see on ka iga inimese enda probleem. Inimene peab ju suutma oma käsi ise pesta, riik ei tule seda tegema. Inimene peab suutma oma nutiseadmetes elementaarse turvataseme luua ja see on igaühe enda teha. Selles mõttes on küberjulgeolek natukene nagu keskkonnakaitse, milles igaühel on oma roll ja me keegi ei tohi saastada rohkem, kui me tohiksime.

Kas teoreetiliselt on võimalik, et küberrünnakutega keeratakse Eesti pangandussüsteem mitmeks päevaks nii untsu, et inimesed ei saa kaardiga maksta ja sularaha välja võtta?

Teoreetiliselt on paljud asjad võimalikud. Praktiliselt oleks see väga tõsine rünne kriitilise infrastruktuuri vastu, mis vastavalt rahvusvahelisele õigusele tooks ründajale tõsiseid tagajärgi.

Ilmselt sanktsioonid?

Loodetavasti jah.

Kas teoreetiliselt on võimalik, et keegi küberründab ja häkib Eesti presidendi ID-kaardi, annab sellest kogu maailmale teada ja teie peate siis e-Eesti diplomaadina tükk aega konverentsidel ja kohtumistel silmad maas käima?

ID-kaardi infrastruktuur on üsna hästi turvatud. Ma väga ei muretseks, et ühe konkreetse isiku ID-kaarti saaks lahti muukida. Teoreetiliselt on väga paljud asjad võimalikud, aga me ei peaks siin hakkama sellist ulmelist diskussiooni pidama teemal, mis kõik võiks olla võimalik. Te võiksite järgmisel korral kutsuda siia mõne tehnoloogiaguru, kes siis räägiks teile hirmujutte sellest, mis kõik on teoreetiliselt võimalik. Praktiliselt selliste ressursside omaja, kes võiks sellist asja teha, seda poliitiliste riskide tõttu ei teeks. Kui meil oli see ID-kaardi probleem, siis oli tegemist tootja tehnoloogilise probleemiga, mille taga ei olnud häkkerid või mõni üksiküritaja.

Vead tehnoloogilistes baasides on küberjulgeolekus väga tihti probleemiks. Tarkvara ja riistvara tootjatele ei ole praegu mingeid standardeid seatud. Kogu see tööstusharu toimib iseregulatsiooni kaudu, mis võib olla alguses hea, sest uuendused ja tehnoloogia areng toimivad iseregulatsioonis hästi. Aga nüüd on see küberruum muutunud meie jaoks nii kriitilise tähtsusega asjaks, et me ei saa lasta sellel isevoolu minna. Euroopa Liit hakkab tegema sertifitseerimissüsteemi kõigile nendele tehnoloogilistele komponentidele. Siis meil tekib tarbijatena teatud kindlus, et kui me läheme poodi ja ostame mingi kübervidina, siis on seal märge turvalisuse kohta. Nagu külmkappidel on märked «turvalisuse aste A» või «turvalisuse aste B».

Küberjulgeolekupoliitikat juhib Eestis majandusministeerium, aga sellega tegelevad veel kaitseministeerium, välisministeerium, justiitsministeerium, siseministeerium, haridusministeerium, ülikoolid, riigiametid, sõjavägi... Kui kõik tegelevad, siis juhtub sageli nii, et keegi süvitsi ei tegele?

Nagu ma juba ütlesin, siis küberjulgeolek on natukene nagu keskkonnakaitse, kõik peavadki sellega tegelema. Ei saa tekkida olukorda, kus ainult üks ametkond sellega tegeleb. Võib-olla üks asutus peab koordineerima teiste asutuste tegevust, aga kõik teised asutused peavad ise ka midagi tegema. Eestis on see süsteem, kes mida teeb, päris hästi paigas. Meil on küberjulgeoleku nõukogu, mis käib aeg-ajalt koos ja kõik annavad oma tegevusest aru ning räägivad probleemidest ja võtavad vastu edasised tegevussuunad. See ei ole halb, et me kõik tegeleme, see peabki nii olema. Ka erasektor peab tegelema ja ka tegeleb oma küberjulgeolekuga.

Hiljuti avaldatud Eesti välisteenistuste tugevdamise analüüsis tegid selle autorid ettepaneku luua välismajandusministri ametikoht, et äridiplomaatiat paremini ja ühest kohast juhtida. Teid kuulates oleks viimane aeg luua küberjulgeolekuministri amet.

See on poliitiline küsimus. Mina olen Eesti riigiametnik ning ei oska vastata eitavalt ega jaatavalt. Aga kindlasti jääks küberjulgeoleku ministeerium hätta, kui ta peaks üksinda tegelema kõikide julgeolekuprobleemidega. Näiteks nende IT-süsteemide turvamisega peab ikka tegelema igaüks, kelle valduses need on. Võib-olla oleks mingil hetkel vaja hoopis IT-ministrit, kes kogu selle valdkonna arenguga tegeleks.

On võimalik, et pärast valimisi uus koalitsioon ikkagi loob selle küberjulgeolekuministri ametikoha ning tuleb seda portfelli teile pakkuma.

See on nüüd küll väga huvitav ajakirjanduslik mõte.

Heli Tiirmaa-Klaar on küberjulgeoleku eksperdina töötanud Eesti kaitseministeeriumis ning Euroopa Liidu ja NATO juures Brüsselis. Küberjulgeoleku diplomaadina alustas ta välisministeeriumis tööd septembri alguses.