Eerik-Niiles Kross kirjutab, et 2007. aasta aprillisündmustega suutis Eesti luua endast küll kuvandi kui küberkaitsetiigrist, ent tegelikkuses on see tiiger tragi vaid paberil.
Eerik-Niiles Kross: küünteta kübertiiger
13. aprill 2011, 13:43
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Küberjulgeolek on Eesti jaoks praegu umbes samasugune märgilise tähtsusega valdkond nagu kosmoseuuringud USA jaoks. Küberkaitse paigutab Eesti ühel uudsel alal maailma tippriikide hulka. Kui USA viis esimese riigina inimese Kuule, siis Eesti pidas 2007. aastal maha maailma esimese küberkaitsesõja.
Tänapäeval tegeleb küberohtude analüüsimisega üha enam riike ning veel hiljuti tsiviil- ja ärivaldkonda kuulunud küberkaitse osa riikide kaitseplaneerimises suureneb pidevalt. Ohuhinnangutest tuleb tõdemus, et järgmise kümnendi jooksul on tunduvalt tõenäolisem lääneriikide ründamine küberruumi kaudu kui mõni klassikaline ohustsenaarium.
Asjatundjad räägivad aastaid, et küberrünnetega võib saavutada sama efekti nagu strateegiliste relvadega. Üheks näiteks on palju kajastamist leidnud Iraani tuumataristu ründamine kõrgtehnoloogilise arvutiviirusega Stuxnet, mis lõi rivist välja enamiku uraani rikastamiseks vajalikke tuumatsentrifuuge ning pidurdas Teherani oletatavat tuumarelvaprogrammi aastaid.
Mõneti on küberrelv koguni vahedam. Üheselt pole näiteks selge, kes Stuxneti ründe sooritas. USA Kaspersky laboratooriumi uuring leidis, et see sai olla ainult «mõni riik». Kuigi kõnealusel juhul kaitses rünnak enamiku maailma riikide huve, on üheks Stuxneti kasutamise tulemuseks selle relva sattumine Iraani kätte.
Küsimus, kes on küberrelva omanik, on pea sama tähtis kui sama küsimus tuumarelvade puhul. Üsna tõenäoliselt jõuame peagi rahvusvaheliste küberrelvastuse piiramise lepinguteni, mis hakkavad keelustama tsiviilelanikkonna elu ohustavaid ründeid. Kui Kanada jääb talvel kütteta või Eesti elektrita, võib sellise ründe mõju olla samaväärne massihävitusrelvaga.
Praegu puudub kontroll riiklike küberarsenalide üle ja riiklikud küberrelvastusprogrammid on rangelt salastatud Tegelikult ei saa laiem üldsus veel täpselt arugi, mida kõike on võimalik küberrelvadega teha. Umbes nagu tuumarelva ohtlikkust ei adutud enne selle kasutamist Hiroshimas ja Nagasakis.
Eesti on siin unikaalses olukorras. Mastaapi arvestades on siiani kõige tähelepanuväärsem küberrünnak see, mis sooritati 2007. aastal Eesti vastu, ning Eesti on end maailmale esitlenud küberkaitse lipulaevana.
Tagantjärele võib tõdeda, et tollased ründed polnud siiski tehnoloogiline tipptase, vaid pigem nuiade ja malakatega võrreldav kallaletung. Tol hetkel tuli Eesti nii rahutuste kui küberkriisiga toime, kuid sellest ei tuleks teha liiga optimistlikke järeldusi. 2007. aastal põhines hakkamasaamine paljuski vabatahtlike initsiatiivil, mitte riiklikul valmidusel. Stuxneti-taoliste rünnete puhul oleks asjad väga tõenäoliselt läinud teisiti.
Eesti kasutas tollal tekkinud suure rahvusvahelise huvi küberjulgeoleku vastu oskuslikult ära, et positsioneerida end küberjulgeoleku poliitikate väljakujundajana ja ühe selle ala arvamusliidrina maailmas. Oleme saanud palju rahvusvahelist tähelepanu ja saavutanud väga hea stardipositsiooni tõusmaks küberjulgeoleku alal ka sisuliseks tegijaks. Eestisse on rajatud NATO küberkaitsekeskus, mis on sisult küberjulgeoleku uuringute rahvusvaheline mõttekoda.
Kas Eesti on riigina oma küberkriisist piisavalt õppinud? Ma väidan, et ei. Tegelikult on riikliku küberkaitsevõime loomiseks vajalik kodutöö süsteemselt tegemata, rääkimata süsteemi loomisest. Oleme küll rahvusvaheliselt suutnud luua kuvandi Eestist kui küberkaitsetiigrist, kuid nagu nii mõneski muus julgeolekuvaldkonnas on see tiiger efektiivne vaid paberil.
Tõsi on see, et pärast 2007. aasta rünnakuid koostati riigi küberjulgeoleku strateegia, kus määratleti arendamist vajavad töövaldkonnad. Nendeks olid tehniliste turvameetmete rakendamine, infoturbekompetentsuse suurendamine, õigusruumi kujundamine, rahvusvaheline koostöö ning teavitus.
Vaieldamatult on need kõik riikliku küberjulgeoleku süsteemi loomiseks vajalikud elemendid, kuid nende rakendamisega pole seni just kaugele jõutud. Praktikas on lahendamata küsimused, kes koordineerib küberkaitsevõimete arendust, jagab funktsioone ja kuidas välditakse dubleerimist. Seni on otsustamata, kuidas kriisi ajal küberjulgeolekut juhitakse ning teiste julgeolekuvaldkondadega lõimitakse.
Praegune kontseptuaalne eeldus tundub olevat see, et küberjulgeolekut suudetakse tagada olemasolevate organisatsioonide ja kriisihaldussüsteemide baasil ilma keskse koordinatsiooni ja juhtimiseta.
Julgen selles kahelda. Eelkõige seetõttu, et operatiivolukorrad eeldavad väga selget ja sujuvat juhtimissüsteemi, nagu sätestab ka uus laiapõhjaline riigikaitsestrateegia. Pealegi on tegemist täiesti uue julgeolekuvaldkonnaga, kus killustatud tegevus pigem tekitab probleeme, kui lahendab neid.
Eesti küberjulgeolek on hetkel killustunud kaitseministeeriumi, majandus- ja kommunikatsiooniministeeriumi ning siseministeeriumi valitsemisalade vahel, kusjuures suurt osa küberkaitseplaanidest (kui need olemas oleks) peaksid rakendama hoopis erasektor ja riigiettevõtted. Pean siin silmas näiteks pangandust, telekommunikatsiooni, internetiteenuste infrastruktuuri, lennujuhtimist, elektri ja küttevõrke ning suurt osa laomajandust. Küberkaitseplaanide ja süsteemi terviklikkuse, loogilisuse ning toimivuse eest ei vastuta otseselt keegi.
Keskse koordinatsiooni puudumine loob soodsa pinnase funktsioonide dubleerimiseks, ressursside raiskamiseks ja võimelünkade tekkeks. Tegemist on otsese julgeolekupuudega.
Küberkriiside ärahoidmiseks ja maandamiseks peab olema täpselt selge, mis funktsioone täidab küberpolitsei, küberkaitseliit, riigi infosüsteemide arenduskeskus, rahvusvaheline Kooperatiivse Küberkaitse Kompetentsikeskus ja teised küberjulgeolekuga tegelevad üksused. Ministeeriumideülese koordinatsioonita seda teha ei saa.
Tuleb tunnistada, et riikliku koordinatsiooni puudumine pole ainult küberjulgeoleku valdkonna probleem. Üldist riigikaitse- ja julgeolekukorraldust vaadeldes võib öelda, et sama probleem puudutab mitmeid valdkondi.
Ministeeriumid ja nende valitsemisala asutused on keskendunud kitsalt oma valdkonna eesmärkide täitmisele. Koostööd küll tehakse, kuid seda eelkõige aktuaalsete probleemide lahendamiseks, kui kriis on juba käes, nagu 2007. aasta aprillirahutused või talvine lumetorm.
Laiapõhjaline riigikaitse ja julgeolek vajab aga pikaajalist ettevalmistamist, mitmetasandilist koostööd ja väga selget juhtimist. Nii nagu muudes julgeolekuvaldkondades, peaks rahuaegne küberkaitsesüsteem olema võimalikult sarnane sõjaaegsega. Planeeritud tegevustega, jagatud rollidega, keskse juhtimisega, välja õpetatud ja mehitatud.
Seega, kübermodelli välisele ilule on viimane aeg lisada küberriigi sisukus ning luua eestlaste e-eluviisi kaitseks hädavajalik riiklik küberkaitsemudel.
Kõikide julgeolekuvõimete arendus tuleb koondada ühtse koordinatsiooni alla, et rahvuslik julgeolek oleks jagamatu tervik. Mõistlik lahendus on tööorgan peaministri alluvuses, näiteks riiklik kriisikeskus, mille funktsioonide hulka kuuluks tervikliku ohupildi koostamine, selle pidev aktualiseerimine ja strateegiline kriisihaldus.
Vastasel korral jääb NATO küberkaitsekeskuse tööks järgmise Eestit tabava mastaapse küberründe korral analüüsida, miks sinimustvalge kübertiiger ei hammustanud.