Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
:format(webp)/nginx/o/2018/05/29/7869908t1h4619.jpg)
/nginx/o/2013/09/05/2231013t1h57bc.jpg)
Kui seoses taasiseseisvumispäevaga kangastuvad paljudele betoonplokid Toompea nõlval, siis pronkskübersündmuste puhul ei ole paljudele siiani selge, kas ja mis siis ikkagi tegelikult toimus. Et tänaval kakeldi ja laamendati, on klaar seda nägi igaüks ise kas kohapeal või kaamera vahendusel nii veebist kui ka telepurgist.
Kõik see aga, mis eestimaalastele Reformierakonna ja riigiasutuste veebilehtede enneolematult kõrgest külastatavuse tasemest meelde võis jääda, ei assotsieeru neile praegu enam paraku vahetu infoblokaadi ega sellest tuleneda võivate tõsiste ebameeldivustega.
Kui küsida miks, siis põhjus on lihtne kübersõjas surma ei saada.
Toppama jäänud bitid ja baidid aga kedagi rivist välja ei löö. Esialgu.
Tõsisemat suhtumist
Kui seekord jäigi «kübersõda» kodanikule kaugeks, on valitsus sellest hoolimata alustanud suuremale pildile keskendudes tööd ning võtnud suuna sarnaste juhtumite ärahoidmisele ja tulevikus paremale haldamisele. Seda seepärast, et selles kontekstis ei saa pidada määravaks mitte toimunu suurust, vaid olemust, ning seda olen allpool püüdnud juristi vaatenurgast valgustada.
Kõige olulisemaks tahuks seoses küberrünnakutega, mis nii poliitikuid, valitsust kui ka juriste kõige tugevamalt alarmeerib, on asjaolu, et Eesti riigiaparaadi vastu suunati oma loomult ründav tegevus, mis realiseeriti veebikeskkondade ülekoormamise kaudu.
Ohtlikuks võib seda tegevust pidada just seetõttu, et Eestis on muutunud üha tavapärasemaks olukord, kus kodanik suhtleb riigiga virtuaalselt. Selge on ka see, et suhtlus riigiga saab suurema tähtsuse ning väärtuse olukorras, kus elanike turvatunne on saanud kahjustada ning kodanikud on võimaliku abi ja info saamiseks otsustanud riigi poole pöörduda.
Kui sellises olukorras ei ole kodanikel võimalik ligi pääseda riigiasutuste ja kohaliku omavalitsuste veebilehtedel sisalduvale väärtuslikule infole ning andmetele, suureneb ebakindlus ning manipulatsiooni võimalus veelgi.
Seega tuleb endisest tõsisemalt suhtuda vahejuhtumisse, kus riigile niigi kriitilistel hetkedel on üks oluline riigi ja avalikkuse suhtluskanal häiritud, olgu terviklikult või fragmentaalselt.
Järgmisel korral võivad veebilehed küll üleval püsida, kuid täiesti eksitavat infot sisaldada. Või satuvad foorumitesse pingimisüleskutsete asemel politsei kasutatavate raadiosageduste andmed. Arvuteid ja võrke kasutades on riigi toimimisvalmidust võimalik mitmel konkureerival moel haavata ning valitsusel on kavas vastavad stsenaariumid tuleviku tarvis läbi mängida.
Oluline koostöösuutlikkus
Teiseks andsid vastavate rünnete ajastus, olemus ja jäljed ka kübertaustata tugevat alust arvata, et tegemist on koordineeritud ning toetatava aktsiooniga, mis ei lähtu Eestist ega ole korraldatud lihtsalt «sportlikust huvist». Taas pole niivõrd oluline, millisest riigist ründed algatati, kuivõrd nende päritolu väljastpoolt Eestit või lihtsalt organiseeritus.
Sama oluline on tegeleda algataja ning taustahuvi väljaselgitamisega, sest käed rüpes istumine annab uutele üritajatele selge signaali, et nad võivad segamatult edasi tegutseda. Samal põhjusel polnud valitsusel suuremat tahtmist IT-riigi mainet säilitades kangelast mängida ja jätta torgetest infosüsteemide pihta välja tegemata.
Võrreldes mitme teise riigiga on Eestil toime pandud arvutikuritegude vallas pigem leebe karistuspoliitika, mis arvestades meie infopoliitilisi ambitsioone on seni olnud põhjendatud.
Kui aga meie karistuspoliitikal hakkavad liugu laskma teiste riikide huvid ja huvigrupid, tuleb selle vältimiseks ning piiriülese koostöö edendamiseks ka kehtestatud karistusi karmistada.
Kolmandaks esitas rünnete tõrjumine ja nende tagajärgede likvideerimine arvestatava väljakutse Eesti ametiasutuste ja erasektori koostöösuutlikkusele.
IT koosvõime, nagu ka IT-suutlikkus, on praegu tagatud riigi ja erasektori võimaluste kogumina ning seega muutub ühe probleem automaatselt ka teise omaks. Valitsuse asi on välja mõelda, kuidas jõud ühendades hunte lambaid säästes toita.
Ideaalne küberlahinguväli
Neljandaks on päevselge, et arvutiseeritud maailmas ei jää see intsident viimaseks ega ole ka esimene. Samas on senine initsiatiiv sarnase eesmärgiga arvutikuritegude menetlemise lihtsustamiseks olnud tagasihoidlik ning riigid on panustanud eeskätt riigisiseste meetmete arendamisse. Selles vallas on eeskujusid nii Põhjamaades, Euroopas kui ka Ameerikas.
Mitu riiki on nüüd panustanud märgatavalt küberkaitsevõimekuse arendamisse, nende hulgas ka Venemaa. Eesti on seni hakkama saanud seniste strateegiate ning suunistega, mis aga hiljutiste sündmuste valguses ei pruugi järgmisel korral piisavad olla. E-riigi positsiooni hoidmiseks on kiire ja adekvaatne reageerimine möödapääsmatu.
Lõpuks on Eesti oma kiirelt ja hästi arenenud infoühiskonnaga ideaalne küberlahinguväli erinevad ründeskeemid on Eesti liiklusmahte ja võimalusi, aga ka IT taset arvestades siin hõlpsasti testitavad.
Liiklus, mida Eesti riigi serverid iga päev haldavad, on võrreldes USA või Jaapani aparaadi masinapargi suutlikkusega mõistagi tagasihoidlik ning seepärast ei peagi siin toimunu faktid maailma veenma, ikka meid ennast. Nii ei saa toimunut pelgalt gigades mõõta, sest ründemudelit on teiste objektide vastu suunamiseks vaja lihtsalt pisut kohandada.
Samadel põhjustel on Eesti ka superkeskkond efektiivsete vastumeetmete kavandamisel enamik riike ei suudaks sõlmida kohesesse põhjalikku koostöösse arvestatavat hulka avaliku ja erasektori asutusi, menetleda kiiresti vajalikke muudatusi õigusaktides ning seejuures lähtuda senistest ja töösolevatest asjakohastest paralleelprojektidest nagu «Arvutikaitse 2009», suunitlusega projektidest nagu «Tiigrihüpe», «Külatee» «e-Õigus», «e-Riik», «e-Valimised» jne.
Teostatud riskianalüüs
Juriidilisi küsimusi tekkis sündmuste käigus hulgi ning seoses NATO suunal arendatud küberkaitse koostööga oli valitsusel võimalik operatiivselt kõrvutada toimunut analüütikute arusaamaga sellest, mida nüüdisaegne infotehnoloogia võimaldab riikide tegevus- või kaitsevõime suunal toime panna ja kuidas vastavaid riske vähendada.
Sellepärast ongi faktide edastamine avalikkusele pigem tagaplaanile jäänud. Nimed ja numbrid avalikkuse mälu ei muuda, uus ja ulatuslikum rünne võib aga kaasa tuua palju hullemad tagajärjed kui valitsusele infosulu etteheitmine.
Ligi aasta jooksul enne aprilli-mai sündmusi tehtud riskianalüüsi ning valitsusele tegevuste planeerimise alusena esitatud lähtekohtade pinnalt võib arvata, et valitsusel ei ole kavas esitada riigikogu menetlusse kilode kaupa uusi seadusi.
Pigem on suund võetud süva- ja sidusanalüüsile ning selle tulemustele tuginevale juriidilisele rakenduskavale, mis on osa riiklikust küberjulgeoleku strateegiast.
Valitsuse ellu kutsutud õiguse ekspertide töörühmal tuleb läbi vaadata hulk seadusi ning küsida, kas ja kuidas saab selle najal tugevdada Eesti küberkaitsevõimet ehk sageli lihtsalt seda, kas ja kui hästi kehtivad seadused sarnases olukorras toimivad.
Töölaual on teemad nagu internetiteenuse osutajate õigused ja kohustused, politsei õigus avaldada veebilehel õiguserikkujate andmeid ning saada asjaosalistelt menetluseks vajalikku informatsiooni, erinevate asutuste pädevus ja ülesanded sarnaste ja uute rünnakute avastamisel, uurimisel ja menetlemisel, riigi ja erasektori elutähtsate valdkondade ning nende IT-sõltuvuse tuvastamine ning vajadusel täiendavate ettevaatusabinõude määramine, millele lisandub arvukalt muud põnevat.
Riikide koostöö
Õhku paisatud ja sinna rippuma jäänud terminitel «kübersõda», «küberterrorism», «küberblokaad» on eeskätt (aja)kirjanduslik väärtus kuid milleks toimunu ka ei kvalifitseeruks, pole sarnaste või suuremategi rünnakute alla sattunud riigid võtnud ette enamat, kui menetlenud vastavaid arvutikuritegusid.
Kui kurikaelad mõnest agulikvartalist üles leitakse, pole enamat vajagi. Kui aga pahalased tegutsevad riigipiiri taga, sõltub edasine suuresti riikide seadustest ning koostöövalmidusest.
Kahjuks leidub veel ka riike, kus sellised tegevused ei ole täielikult karistatavad ning kus asuvaid arvuteid võidakse kasutada ründe korraldamise platvormidena.
Praegu on pelgalt isikuandmete piiri taha edastamine portsu bürokraatiaga seotud, rääkimata siis isikute kohtu ette toomisest või väljaandmisest. Rahvusvaheline lepe selles valdkonnas oleks boonus, kuid mitte õnnestumise kriteerium.
Eestil on nii võimalus, motiiv kui ka tahe tegutseda. Edasine sõltub tegutsemise kvaliteedist esmalt riigisisesel tasandil ja siis juba rahvusvahelise debati tulemuslikkusest. Kui suudame oma positsiooni väärikalt hoida, pole kevadise andmeliikluse gigabaidid kindlasti Eesti tõsiselt võetavuse seisukohalt määravaks teguriks.
Euroopa Nõukogu konventsiooni järgi kõikide eespool nimetatud ründed kuriteona karistatavad. Kuigi tegemist on küllaltki uue konventsiooniga (jõustus 2004), siis järjest rohkem on riike, kes on sellega liitumas ning selle osatähtsus suureneb pidevalt. Samal põhjusel on vähenemas küberkurjategijatele ka nn safe haveni riikide hulk.
Lisaks saaks Eesti innustada riike, kes veel ei ole arvutikuritegevusvastase konventsiooniga liitunud, seda tegema, tõhustades riikide koostööd ning andes sellega oma panuse üldisesse küberkuritegevusevastasesse võitlusesse.