Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
/nginx/o/2013/09/05/2208915t1hc31a.jpg)
Tänapäeval on internet muutunud meile niivõrd tavapäraseks, et me ei taju, kui haavatav see on ja kui keeruline on sotsiaalse ruumi toimimine võrguvabalt. Eduka küberrünnakuga võime unustada e-riigi ning kui rünnak on väga edukas, siis saab elektroonilisse olematusse saata ka kõik e-andmebaasid (e-notar, e-kinnistusraamat, e-maksuamet jne). Seda andmebaaside hävinguteemat saaks pikalt jätkata.
Järelikult on teema ühiskonnale ülimalt oluline, kui soovitakse valitud e-arengusuunda jätkata.
Eestile suunatud küberrünnakud tõstatasid mitmeid küsimusi. Näiteks mitte ainult puhtpraktilisi (kuidas kaitsta võrgu toimimist), vaid ka õiguslikke. Kuidas ja kui põhjalikult peaks reguleerima ja kaitsma ülikiirelt arenevat võrgukeskkonda ja kas ühiskond on nõus võrgu kaitsmisel loobuma osast privaatsusest?
Teema aktuaalsus
Kuigi Eesti tuli 27. aprillil 2007 alanud küberrünnakutest välja edukalt, pole selle sündmuse käsitlemine veel lõppenud ei Eesti, Euroopa Liidu ega muu maailma jaoks. Euroopa Komisjoni asepresident Franco Frattini on väljendanud selgelt arvamust, et Euroopa Liit peab välja töötama ühtse julgeolekustrateegia võitlemaks küberrünnakutega, eriti olukorras, kus on toimunud rünnak teise suveräänse riigi vastu.
USA presidendi George W. Bushi viivitamatult pärast aprillisündmusi esitatud küllakutse president Toomas Hendrik Ilvesele ja kohtumisel väljendatud põhimõtteline toetus luua Eestisse NATO küberkaitse keskus, näitavad teema aktuaalsust üleilmses võtmes.
Uue rahvusvahelise konventsiooni väljatöötamine vajab alati eestkõnelejat. Et rahvusvahelise koostöö vajadust on tunnistatud, siis võiks Eesti oma praktilist kogemust ära kasutades astuda rahvusvahelise kokkuleppe väljatöötamise eestvedaja rolli.
Küberrünnakutega seotud mõistete, riikide pädevuse ja vastutuse määratlemiseks on kaks võimalust: esiteks üritada need liigitada sõjaliseks ründeks kehtivate rahvusvaheliste normide alusel või leppida kokku täiesti uues rahvusvahelises regulatsioonis, mille raames võiks küberrünnakut käsitleda eriti ohtliku tegevusena, mis on sisuliselt analoogne terrorismiga.
Omaette teema elik küsimus on see, kas küberrünnakud on automaatselt kvalifitseeritavad terrorismina? Tavakäsitluses vist mitte. Pealegi kui leiab tuvastamist, et rünnakud lähtuvad konkreetse riigi poolt oleks selline käsitlus välistatud ja tegevust võiks tinglikult käsitleda sõjalise ründena.
Riigist lähtumist saaks ja tuleks eeldada juhul, kui rünne ületab teatud massiivsuse, mis nõuab riiklikke ressursse ning ilmselt ei ole tegu tavalise küberkuritegevusega. Samas tekib küsimus, kuidas tuvastada riigist lähtumist.
ÜRO harta on olulisim kehtivatest rahvusvahelistest lepingutest, mis võiks aluseks võtta eelnimetatud mõistete sõjalise ründena defineerimisel. Harta kohaselt on kõik ÜRO liikmed kohustatud hoiduma oma rahvusvahelistes suhetes jõuga ähvardamisest või jõu tarvitamisest nii iga riigi territoriaalse puutumatuse, poliitilise sõltumatuse vastu kui ka mõnel muul viisil, mis ei ole kooskõlas ÜRO eesmärkidega.
Seega kui oleks võimalik tõlgendada küberrünnakuid sõjalise jõu tarvitamisena (use of force), siis oleks ka vastavad riikide poolsed rünnakud harta raames keelustatud ning rünnakute toimepanemise korral oleks rünnataval riigil võimalik kasutada enesekaitsemeetmeid. Siinkohal tuleb aga nentida, et kehtivaid rahvusvahelise õiguse doktriine arvestades on säärane tõlgendus peaaegu võimatu.
Rahvusvahelise õiguse tõlgenduste kohaselt kehtib arusaam, et ÜRO harta reguleerib ainult klassikalisi relvastatud rünnakuid, millega kaasneb materiaalne kahju varale või inimohvrid.
Sellest tulenevalt ei ole näiteks erinevaid majanduslikke survevahendeid käsitletud sõjalise jõu kasutamisena (näiteks ÜRO boikott Iraani toornaftale esimese lahesõja järgselt), olgugi, et sääraste survemeetodite kasutamine võib kaasa tuua ka olulise kahju tsiviilühiskonnale. Arvestades küberrünnakute anonüümsust ning tavapärase otsese materiaalse kahju ja inimohvrite puudumist on selge, et küberrünnakud sellist iseloomu ei oma.
Vahest oleks võimalik hartat rakendada ainult sääraste küberrünnakute puhul, mille otseseks tagajärjeks on reaalse kahju tekkimine (näiteks lennuliikluse juhtimise keskuse infosüsteemide halvamine ja seeläbi lennuõnnetuste tekitamine vmt), kuid ka sellisel puhul jääb relvastatud kallaletungi tingimus küllaltki kaugelasetsevaks.
Lisaks raskendab küberrünnaku kvalifitseerimist relvastatud kallaletungina ka asjaolu, et mitmed küberrünnakuteks kasutatavad infrastruktuurid ei ole tavapärased militaarobjektid.
Nii näiteks olid Eesti vastu suunatud rünnakud toime pandud DDoS-meetodil, mis tähendab, et ründajad kasutasid eemalt kontrollitavate arvutite võrku (botnet), kus võrku lülitatud arvutiteks on peaasjalikult eraisikute kaitseta arvutid. Lihtsustatult ja piltlikult väljendudes on realiseerunud ulmefilmi sisu, kus negatiivne tegelane orjastab isikute teadvuse ning nende teadmata ja tahtevastaselt sunnib neid hävitustööle.
Peale selle ei tunne selline tegevus mingeid riigipiire. Järelikult on kübersõda märkimisväärselt laiaulatuslikum kui relvakonflikt mingil kindlal territooriumil.
Kübermõõde
Kõik see näitab, et küberruum ja võrk on täisväärtuslik elukeskkond, kus hakkavad toimuma ka täisväärtuslikud lahingud, mitte ainult üksikud rünnakud. Kui inimkonna ajalugu on sõdade ajalugu, siis tulevikus lisandub sellele vääramatult kübermõõde. Välistatud ei ole, et tulevikus, kui kübersõdu hakatakse nummerdama nagu maailmasõdu, loetakse Eesti küberrünnak Maailma I Küberrünnakuks.
Klassikaliste sõjapidamise viiside hägustumine loob ilmselge vajaduse reguleerida küberrünnakuid täiesti eraldiseisva rahvusvahelise instrumendiga, mis ennekõike lähtuks rünnatava riigi infosüsteemide efektiivse ja viivitamatu kaitse vajadusest ning alles seejärel keskenduks ründe eesmärgi või ründaja isiku defineerimisele.
Novembris Brüsselis toimuv Euroopa Komisjoni poolt kokku kutsutud küberkuritegevuse konverents võiks olla sobiv auditoorium, kus Eesti saaks algatada diskussiooni rahvusvahelise lepingu väljatöötamiseks, mis esmalt reguleeriks olulisemad mõisted, rahvusvahelise küberrünnaku ohtlikkuse astmed, sh intensiivsuse läve, millest alates loetakse toimuvat rahvusvaheliseks küberrünnakuks ja seejärel käivituvad kaitsemeetmed ning sätestaks ka riikidevahelised koostöökohustused ründajate väljaselgitamiseks.
Kavandatav küberkaitse keskus võiks toimida vastava lepingu täitmist korraldava organina ja olenevalt kavandatava lepingu territoriaalsest ulatusest, kas siis valitsustevahelise organisatsioonina või siis teatud olemasoleva rahvusvahelise organisatsiooni allüksusena.