NATO viimasel tippkohtumisel Brüsseli langetatud otsused tugevdavad NATO üldist heidutushoiakut, ent kaalutletud konsensuse ehitamise kõrval ei tohi lasta silmist reaalseid ohte ja seda, kuidas need arenevad, kirjutab NATO küberkaitsekeskuse strateegiateadur Siim Alatalu.
NATO selle aasta tippkohtumine juulikuises Brüsselis on meenutamist väärt. Kui tavaliselt on iga NATO tippkohtumine sündmus, kus kohtuvad alliansi riigipead – aga ka selle ajaloo võimsaima sõjalise jõu põhiülesanded, julgeolekuolukord maailmas ning iga riigi päevapoliitika –, siis viimast tippkohtumist Brüsslis saatis tavatu meediakära.
Igasse riigijuhtide otsusesse on ette investeeritud diplomaatide, kaitseametnike ja kaitseväelaste tuhandeid töötunde selleks, et kohapeal ei tuleks üllatusi. Brüsseli tippkohtumiselt aga üllatusi just oodati, üllatusi tuligi ja kõigest sellest sai kogu maailm sotsiaalmeedia abil ka kiiresti teada. Kui ka seda tuleks hakata pidama uueks normaalsuseks, siis mida võiks oodata näiteks NATO juubeli tippkohtumiselt 2019?
NATO tippkohtumiste põhilised otsused on pea alati avalikud. Nende otsuste kogumikud – tippkohtumise deklaratsioonid või kommünikeed – ei ole siiski lihtne lugemine, kuna julgeolekupoliitiliste konsensuste sõlmimine 29 erineva riigi ja erihuvide vahel on keeruline ja tundlik ettevõtmine. Tihti on nii mõnigi asi kirjutatud ridade vahele või jäetud sootuks ütlemata, kuna need, kel vaja – liitlased – mõistavad seda niigi ühte või teist moodi. NATO põhilised väärtused on kokku lepitud aastaid või aastakümneid tagasi ning nende muutmiseks peab olema esmalt konsensus, et muutmine on üldse vajalik. Üks erandlik valdkond NATOs, kus aastakümnete-vanuseid kokkuleppeid ei saagi veel olla, on küberkaitse.
2002 Prahas esmakordselt tippkohtumise otsuseks saanuna on küberkaitse valdkond, mis on viimastel aastatel NATOs ehk kõige enam muutunud. Kui kollektiivkaitse ja iga liitlase õigustatud ootus teiste kaitsele on aluspõhimõtted juba pea seitse aastakümmet, ja Prahaski vaadati küberkaitsele pigem tulevikuvormis, siis eriti viimasel viiel aastal on NATO küberkaitses teinud kiireid ja radikaalseidki otsuseid. Brüsseli tippkohtumise deklaratsiooni hinnates on tänaseks ka siin valdkonnas hakatud asju võtma nii, nagu nad on – suurimad küberohud tulevad NATOt vaenavatest riikidest ning liitlaste tugevus nende ärahoidmisel seisneb ühtsuses ja kiires, koordineeritud tegevuses. Väheoluliseks ei tohiks siin pidada ühte NATO küberdebati maamärki, 2007. aasta küberrünnakuid Eesti vastu, millele järgnesid suhteliselt kiiresti NATO küberkaitsekeskuse asutamine ja NATO esimese küberkaitsepoliitika vastuvõtmine.
Ent märgiliseks NATO küberkaitse kontekstis peetakse siiski kahte eelmist tippkohtumist Walesis ja Varssavis. Neist esimesel, 2014 sügisel leppisid riigijuhid kokku, et rahvusvaheline õigus ja sellest tulenevad riikide enesekaitse ja NATO kollektiivkaitse kehtivad NATO riikide jaoks ka küberruumis. Ehk teisisõnu globaalses, arvutitel, serveritel, kaablitel ja erinevatel võrku ühendatud seadmetel (ja neid kõiki suunaval inimtahtel) põhinevas tehisruumis. Võib öelda, et see otsus muutis NATO jaoks sisuliselt – nii poliitiliselt kui õiguslikult – võimalikuks reageerida sellistele olukordadele nagu 2007. aasta küberrünnakud.
2016. aasta suvel Varssavi tippkohtumisel lepiti kokku, et NATO jaoks saab küberruum ka operatsioonipiirkonnaks. Teisisõnu, NATO hakkaks vajadusel «sõdurisaapaid maha» (boots on the ground) – ehk liitlaste tahet kehtestama – panema selles samas tehiskeskkonnas, kui sealt lähtub tema ühiskondadele mõni oht. Kuidas seda saavutada, on mõnevõrra keerulisem küsimus, kus on palju mitmetahulisi detaile. Nii ongi viimastel aastatel eri NATO staapides toimunud selle otsuse nn operatsionaliseerimise protsess, mis peaks NATO ja liitlaste jaoks paika panema põhilised definitsioonid ja parameetrid, millest Alliansi kübersõdalased oma tegevuses saaks juhinduda.
Seda ülesannet aga ei muuda kindlasti lihtsamaks asjaolu, et viimase kahe aasta jooksul on küberohupilt oluliselt muutunud – näiteks 2017. aasta suvel levisid üle kogu maailma pahavararünnakud WannaCry ja NotPetya, mis sihtisid tsiviilsektorit ja -teenuseid: tervishoid, pangandus, tsiviillennundus, logistika jne. Üha kiiremini on ka arenenud kogu tehnoloogia, andmete hulk ja edastamise tempo. Seda arvestades on õigustatud küsida, kas NATO eelmisel kümnendil püstitatud latt – eeskätt iseenda võrkude kaitse – on enam vastav vajadusele?
Brüsseli tippkohtumise 79-punktilises deklaratsioonis räägitakse küberist 25 korral, mis on seniste tippkohtumiste rekord. Mõned nopped sellest, mida riigijuhid küberjulgeolekusse puutuvalt otsustasid:
NATO luurereformi osana jätkatakse mh kübervaldkonna eelhoiatus- ja luureinfo jagamise tõhustamist;
sedastati kokkulepet sellest, kuidas integreerida liikmesriikidele kuuluvad «küberefektid» NATO operatsioonidesse ja missioonidesse;
NATO on valmis kasutama kogu võimekustespektrit (sh küber) heidutuseks, kaitseks ja vastu astumiseks kogu küberohtude spektrile;
kuigi küberrünnete omistamine on riikide isiklik suveräänne õigus, on neil õigus koordineerida seda NATO kaudu;
NATO Euroopas asuvas väejuhatuses luuakse küberruumi operatsioonide keskus (Cyberspace Operations Centre), mis peab tagama Alliansis alalise olukorrateadlikkuse ja samas ka NATO operatiivtegevuste küberruumis koordineerituse;
jätkatakse NATO suutlikkuse arendamist toetada rahvuslikke asutusi kriitilise infrastruktuuri kaitsel;
Koostööpartneritena tuuakse eraldi välja Euroopa Liit ning NATO küber-abikäe saajatena Jordaania ja Tuneesia.
Nende otsuste fookus on üpris selgelt NATO-sisestel protsessidel ja võrreldes ülejäänud deklaratsiooniga, märksa vähem viitav globaalses julgeolekupoliitikas toimuvale nagu näiteks Venemaa, Põhja-Korea või «kaks protsenti». See on ka arusaadav, sest nii, nagu NATO-l endal ei ole näiteks tanke või hävituslennukeid, kuulub ka nt küberoperatsioonide läbiviimise võime konkreetsetele liitlastele ja NATO roll on tagada nende võimete võimalikult ladus rakendamine ühistes huvides – pärast seda kui nii on ühiselt otsustatud. Ühe näitena sellest, kuidas NATO küberis on siiski maailmas täna toimuvale reageerinud, on WannaCry ja NotPetya mõjul küberrünnete omistamise teema kajastamine tippkohtumisel. Ent ridade vahelt võib ka aimata, et kõik liitlased ei suutnud siin veel jõuda samale seisukohale. Kas äkki siis järgmisel tippkohtumisel?
Üks asi, mis muudab küberkaitse võrreldes teiste sõjapidamisliikidega eriliseks, on selle reaalajalisus. Asi, mida me nimetaks üldnimena küberünnakuks – olgu selleks teenusetõkestusrünnak DDoS ,pahavara nagu näiteks lunavara või nuhkvara , andmepüük või hoopis mõne kriitilise infrastruktuuri ettevõtte turbiinide ümberseadistamine – toimub alati väga kiiresti ja sellega kaasneb tehnika mittetoimimise kõrval ka psühholoogiline efekt ühiskonnale. Samas selle tõrjumine eeldab spetsiifilisi teadmisi ja oskusi arvuti käsureal.
Võrreldes mõne teise rahvusvahelise organisatsiooniga on NATO küberkaitses juba «vana tegija» ja see väljendub ka oskustes. Ühest küljest kohustab Washingtoni lepingu[1] 3. artikkel liitlasi nii koos kui ka igaüks eraldi, säilitama ja arendama oma suutlikkust vastu seista relvastatud rünnakule. Tänases olukorras seega ka küberrünnakule. Sama lepingu 5. artikli puhul on juba kokku lepitud, et NATO tegutseb «üks kõigi ja kõik ühe eest», kui mõnda liitlast tabab küberrünnak. Küsimuseks aga jääb, mida teeb NATO olukorras, kus on vaja käivitada lepingu 4. artiklit? St midagi mastaapselt halba on mõne liitlase suhtes juba toime pandud ja NAC on kokku kutsutud konsultatsioonidele – ent samas pole veel ületatud jõuga ähvardamise, jõu kasutamise või relvakonflikti lävepakku.Selle küsimuse muudab veelgi olulisemaks see, et tohutu kahju ühiskonnale – nii majanduslik kui moraalne – on tehtav ilma, et tulekski neid lävepakke kunagi ületada.
NATO peakorterile ja sõjalistele struktuuridele igapäevast küberkaitset pakkuva NCIRCi (NATO Computer Incident Response Capability) meeskond on aastaid olnud kõrgetel kohtadel maailma suurimal reaalajalisel, tehniliste piiranguteta live fire küberkaitse õppusel Locked Shields. 2018. aasta kevadel, mil õppus oli läbi aegade kompleksseim, tuli NCIRCi meeskond ka selle õppuse võitjaks, 22 riigi meeskondade seas. See õppus ei puudutanud ainult oma võrkude kaitset, vaid meeskonnad pidid suutma kaitsta rünnaku alla sattunud sõjalist infrastruktuuri ja erinevaid tsiviilvõimeid nagu elektri alajaamade võrgud, veepuhastusjaamad või päästeteenistuste sidevõrgud. Need nõuavad igaüks eraldi spetsiifilisi teadmisi, ent ühiskonna vaatest ka selgelt terviklikku kaitseplaani – sest need on kõik rünnatavad.
Tippkohtumisel langetatud otsused tugevdavad NATO üldist heidutushoiakut. Ent kaalutletud konsensuse ehitamise kõrval ei tohi lasta silmist reaalseid ohte ja seda, kuidas need arenevad. Näeme täna, kuidas konkreetsed riigid, olemata majanduslikult suured, suudavad küberruumi kaudu külvata kaost meie ühiskondades. Nad on investeerinud palju ja teevad seda edasi oma küberründevõime arendamiseks, et saavutada küberruumis ülisuur mõju. Mitte keegi tegelikult ju ei taha, et NATO peaks rakendama 5. artiklit – seetõttu peaks ka NATO küberkaitses enam mõtlema tegevustele 4. artikli all. Ehk kuidas reaalajas koos tegutseda rünnakute lõpetamise, omistamise ja vastumeetmetega.
Artikkel on rahastatud Saksa saatkonna poolt koostöös Eesti NATO Ühinguga. Artikkel sisaldab ainult autori enda vaateid. Lugu on osa koostöös Eesti NATO Ühinguga ilmuvatest arvamusartiklite sarjast.
[1] https://www.nato.int/cps/ie/natohq/official_texts_17120.htm