Raul Rikk: jaht küberhuntidele

Kõik me teame, et maja tuleb ehitada kivist. Sest kui seda ei tee, tuleb kuri hunt ja puhub majakese pikali. Parem veel, kui põrsakesed koopereeruksid, muudaksid metsa turvalisemaks ja palkaksid jahimehe, kes igasugused hundid juba eos kõrvaldaks. Infoühiskondadega on sama lugu. Need tuleb ehitada korralikud ja kindlad ning arendada välja kaitsesüsteem, sest muidu tuleb küberhunt ja puhub infoühiskonna majakese samuti pikali.

Eesti infoühiskonna arendamise eesmärk on eluliselt sama oluline nagu põrsakeste majaehitus. Sooviks on infotehnoloogia kasutamise kaudu tõsta Eesti elukvaliteeti, efektiivsust ja majanduslikku konkurentsivõimet. Pole kahtlust, et areng on olnud selles suhtes positiivne. Paljud rakendused, nagu m-parkimine, e-valimised ja ­e-maksuamet, mis on Eestis igapäevased, tekitavad mujal maailmas imestust ja hämmingut. Figureerides e-riigi edetabelite esirinnas, on meil indu ja julgust järjest enam luua lahendusi, mis on disainitud toimivaks ainult elektroonilises keskkonnas. Selline lähenemine aitab meil tervikuna paremini hakkama saada ning konkureerida globaalsel turul.

Valik infoühiskonna arendamise osas on olnud loogiline, kuid mitte riskivaba. Nii nagu põrsakesed ei saanud rahus maja ehitada, ei saa ükski riik küberjulgeolekule mõtlemata infoühiskonda arendada. Globaalses kübermetsas ehk internetis toimuv ei ole kontrollitav ja küberohud on ettearvamatud. Küberhunte on palju, neid tekib järjest juurde ning paljudel juhtudel on nad kas lambahahas või üldse anonüümsed. Anonüümsus on ka üks olulisem põhjus, miks näiteks NATO ei saa küberrünnete puhul edukalt rakendada kollektiivkaitse mehhanisme. Kui rünnaku korraldajat ei ole võimalik tuvastada, pole vastast, kelle suhtes kaitsemeetmeid rakendada. Seetõttu võib öelda, et kuigi Eesti on NATO kaitsva tiiva all, ei puuduta see kaitse infoühiskonda. Internetis peab igaüks ise hakkama saama.

Küberjulgeoleku tagamise osas on selgelt tunda riikide nõutust selle probleemiga toimetulemisel. Infoühiskondade areng on julgeolekumeetmete eest kaugele ära jooksnud. Enamikul riikidel (nende hulgas ka Eestil) puudub küberohtude süsteemne ja terviklik kriisihaldusmehhanism – see jahimees, kes peaks hundid kinni püüdma. Koordineeritud ennetustegevus, küberohtude monitooring ja analüüs ning kriisihaldusmeeskonnad on alles kujunemisjärgus.

Küberrünnetega hakkamasaamine toimub suures osas vabatahtliku koostöö alusel. Spetsialistid koonduvad, sest näevad vajadust ühiselt oma IT-infrastruktuuri kaitsta. Olukorda võib võrrelda kunagiste tuletõrjemeeskondadega, mille külarahvas tulekahju tekkides jooksvalt kokku pani ning mis pärast kustutustööd laiali läks. Meie infoühiskonna areng, nagu ka paljude teiste oma, eeldaks alarmsüsteemide, «tuletõrjedepoode», professionaalsete «tuletõrjujate» ja moodsa tehnika olemasolu.

Probleemi teine pool on aga veelgi keerulisem – isegi kui me rakendaks küberjulgeoleku tagamiseks kõik vajalikud meetmed omas riigis, ei saavutaks me seeläbi kõrget turvalisuse taset. Internet on ülemaailmne infra­struktuur ja küberrünnakud on ülemaailmse päritoluga. Seetõttu pole määravaks mitte see, kui hästi üks riik oma küberjulgeolekut tagab, vaid see, kui hästi seda suudetakse kõikide riikide osas tervikuna teha. Lahendused ei teki seega mitte ainult ühepoolse pingutuse tulemusena, vaid kollektiivse koostöö tulemina.

Eesti huviks on muuta küberruum maksimaalselt turvaliseks ning luua küberjulgeoleku koordinatsiooni ja kriisihalduse süsteem. Ja seda nii riiklikus kui rahvusvahelises kontekstis. Kuna küberrünnak on Eesti jaoks üks aktuaalsemaid ja realistlikumaid ohu­stsenaariume, tuleb leida võimalusi ja ressursse, et «kübermets» turvalisemaks muuta ja «küberjahimehe» funktsioon efektiivselt rakendada.

Kuidas seda teha? Enamik vajalikest meetmetest on kirjeldatud «Eesti küberjulgeoleku strateegias», kus need jagunevad tehnoloogilisteks, hariduslikeks, juriidilisteks ja organisatsioonilisteks. Neid meetmeid jõudumööda ka rakendatakse, kuid üheks oluliseks puudujäägiks on riikliku juhtimis- ja koordinatsioonimehhanismi süsteemitus. Keegi tegeleb tehnilise monitooringuga, keegi rahvusvahelise koostööga. Kuskil tehakse teadust, kuskil ollakse igapäevaselt küberkaevikutes. Keegi üritab teavitustööd teha, keegi uusi protseduure ja organisatsioone luua.

Initsiatiivid on hajusad ja kõik olulised valdkonnad pole kaetud. Samas oleks vaja head terviklikku olukorrateadlikkust, mismoodi küberoht areneb, millised ohud puudutavad otseselt meid ning mismoodi me saaks rünnakuid ennetada ja kriiside ajal nendega toime tulla.

Spetsiaalseid küberturvalisusele orienteeritud organisatsioone on loodud mitu. Riigi Infosüsteemide Arenduskeskus on arendanud välja infoturbeintsidentide käsitlemise osakonna ja kriitilise informatsiooni infrastruktuuri kaitse osakonna. Kriminaalpolitsei on asutanud spetsiaalse üksuse, mis tegeleb küberkuritegevusega. Kaitseministeeriumi valitsemisalas rajati rahvusvahelise sõjalise organisatsioonina kooperatiivse küberkaitse kompetentsikeskus ning siseriikliku initsiatiivina küberkaitseliit. Haridusministeerium ja mitmed ülikoolid on välja töötanud küberturbe magistriõppe programmi. Majandus- ja kommunikatsiooniministeeriumi ja mitmete ettevõtete koostöös on loodud mittetulundusühing Arvutikaitse.

Kõik need algatused on muidugi teretulnud, kuid nüüd oleks aeg hakata erinevaid initsiatiive süstematiseerima. Enamik eelmainitud organisatsioonidest on tekkinud omas mikrokeskkonnas ning nende loomise hetkel polnud selge, millist riikliku küberjulgeoleku süsteemi oleks täpselt vaja ning kuidas need organisatsioonid selle süsteemiga suhestuksid.

Samas on selge, et riiklik küberjulgeoleku tegevus peab olema koordineeritud, kõikehõlmav, teiste julgeolekuvaldkondadega sidustatud ja rahvusvahelist konteksti arvestav. Kui koordinatsiooni ei ole, tekib dubleerimine ning erinevate ministeeriumide ja organisatsioonide initsiatiivid valguvad laiali.

Brittide küberjulgeoleku strateegia on poole õhem kui meie oma, kuid esimese asjana loodi spetsiaalne küberjulgeoleku osakond riigikantseleisse, et koordineerida uue riikliku julgeolekuvõime väljakujundamist. Kui pea on olemas, saab käte ja jalgade tööle mõtte anda. Ma arvan, et samalaadse lähenemise peaks võtma ka Eesti. Iga kriisihaldusega tegelev spetsialist teab, et kui juhtimissüsteem on liiga segane või olematu, siis kriiside ajal head tulemust loota pole.

Rahvusvaheliselt on olukord keerulisem. Meie huvides oleks, et iga riik võtaks küberohte tõsiselt ja hoolitseks oma riikliku küberruumi julgeoleku tagamise eest ise. Kui maailmas jääb vähemaks neid riike, kes ei suuda oma küberruumi monitoorida, kurjategijaid üles leida ja neid karistada, muutuks meie ja kõigi teiste infoühiskondade elu paremaks. Küberkurjategijatel jääks järjest vähemaks kohti, kus ennast mugavalt ja karistamatult tunda.

Eesti jaoks oleks kasulik rahvusvaheliste tehnoloogiliste ja poliitiliste kokkulepete sündimine, mille kaudu muutuks küberruumi turvalisuse tagamine ühiselt arusaadavaks teemaks. Olgu need lepped siis bilateraalsed või kollektiivsed, need aitaks kaasa ühise küberruumi julgeoleku kindlustamisele ja infoühiskonna arengu normaalsele jätkumisele. Ühised arusaamad annaks näiteks võimaluse küberkurjategijaid soosiv riik globaalsest võrgust välja lülitada, selle asemel et seda peaks tegema riik, kes on ise rünnaku alla sattunud. See on muidugi lihtsustatud näide, kuid mõte on selles, et vajalik oleks kaitsta nende riikide ühiseid huve, kes peavad infoühiskonna arengut oluliseks ja tahavad oma küberruumi turvata.

Eesti huvisid saab rahvusvahelises kontekstis realiseerida ainult hea informeerimise, teadlikkuse tõstmise ja sihipärase diplomaatilise tegevusega. Olgu selleks siis USA, Gruusia, ­NATO või EL, kõik riigid ja organisatsioonid on selles kontekstis olulised. Küberjulgeolek on juba mitu korda olnud ­NATO tippkohtumiste üks teemadest. Huvitav on näha, kas sel nädalal toimuv Lissaboni tippkohtumine toob selles valdkonnas edasisi arenguid. Loodetavasti suudetakse küberhundi toimetamistele piir panna enne, kui mõni infoühiskonna majake kokku kukub.