Kui teravad on kübersiili okkad?
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Olukord Balti riikide küberruumis peegeldab otseselt halvenenud julgeolekuolukorda Euroopas ning Läänemere-äärsed väikeriigid peaksid sellesse tõsiselt suhtuma – just selliselt võiks kokku võtta rahvusvahelise kaitseuuringute keskuse nooremteaduri Patrik Maldre hiljutise ülevaate küberohtudest meie regioonis.
Uurimus püüdis ennekõike ilmselt vaid ühel või teisel moel küberjulgeolekuga tegelejate tähelepanu, kuid laiemas mõttes on tegu tänuväärse üritusega võtta kokku see, millised on küberohud Balti regiooni jaoks, ja on seetõttu kindlasti väärt lugemismaterjal ka kõikidele selle väljaande lugejatele.
Maldre esitatud järeldusi toetab sisuliselt ka riigi infosüsteemi ameti asjaomane kokkuvõte 2014. aastast ja seega võiks nõustuda ka kaitseuurija poolt väikeriikidele antud üldise soovitusega: mitte jääda loorberitele puhkama ja mitte loota heale õnnele ning lõppkokkuvõttes on tegu selge soovitusega Eesti valitsusele ja ametnikele küberjulgeolekut veelgi tõsisemalt võtta.
Nii nagu ka teistes julgeolekuvaldkondades, saab väikeriik mustades toonides ohuprognooside taustal ka küberjulgeolekus teha ise ennekõike vaid üht: harjutada. Ning olla kindel, et süsteem, mis on planeeritud toimima, toimiks õlitatult ka päriselt. Just siin on Eesti astunud hiljuti ühe olulise sammu, mis sai tegelikult teenimatult vähe tähelepanu. Nimelt toimus Eestis septembris suurim üleriigiline õppus
Kübersiil 2015, mille eesmärk oli mängida läbi üleriigilise küberhädaolukorra lahendamine, mida Eesti ajakirjandus jõudis ka küberapokalüpsiseks tituleerida.
Harjutati Eestis olukorra lahendamist, kus üheaegselt tuli toime tulla ja lahendada paljusid väga keerulisi küberintsidente, mis toimusid mitmes kohas ja korraga. Enam kui sada spetsialisti ning üheaegselt paarikümnes asutuses ja nii riigi- kui ka erasektoris – tegu oli Eesti ajaloo suurima küberõppusega.
Kuid nii, nagu õppuste puhul mis tahes valdkonnas, on olulisimaks see, mis toimub pärast ärevat harjutust ennast: mida õpiti ja kuidas suudetakse õpitut hiljem ka ellu rakendada, et järgmisel korral läheks juba paremini. Ning selle «apokalüpsise» lahendamise raames jõudsimegi Eestis terve rea õppetundideni ja teadmiseni, et meie kübersiili okkad on teravad, kuid saaksime neid kindlasti veel teravamaks ihuda. Kuidas siis seda teha saaks?
Esiteks sellega, et seadusandja seatud reeglites ja raamides oleks selgus ja kindlus. Selles saab Eesti kindlasti veel astuda samme edasi, mida toob eespool viidatud uuringus välja ka kaitseuuringute keskus.
Tõsi ta on: kui lugeda Riigi Teatajat, võib küberjulgeolekust huvitujat tabada paras segadus – nimelt on Eestis küberjulgeoleku korraldus ning seonduvad õigused ja kohustused hajutatud mitmete seaduste vahele ja võib tekkida ka tunne, nagu polekski see poliitiliselt ülioluline valdkond tegelikult riigi jaoks üleüldse eraldi valdkond. Samas kui nii mõneski riigis, mida oleme harjunud endale eeskujuks seadma, on selles teemas olemas ühtne ja selge seadusandlik raamistik eraldi seaduse kujul.
Kui ametnikele võib säärane asjade korraldus olla pärast süvenemist ehk isegi enam-vähem selge ja arusaadav, siis sama ei saa me kuidagi oodata näiteks Eestis elutähtsaid teenuseid osutavatelt partneritelt erasektorist, kes peavad oma plaane ja tegevusi tehes olema kindlad, mida riik neilt ootab ning kellega ja kuidas tuleb neil riigi kui terviku küberjulgeoleku tagamisel koostööd teha.
Teiseks kindlasti selle läbi, et tegeleksime Eestis senisest põhimõttelisemalt erinevate elutähtsate tegevuste ja teenuste riigi digitaalsest taristust sõltuvuste analüüsimisega, nagu näiteks Eestile palju kuulsust toonud ID-kaart või rahvusvaheliselt tunnustatud andmevahetuskiht X-tee.
Riigi küberjulgeoleku korraldajad nende küsimustega juba tegelevad, kuid oluline on ka, et kõik erinevate elutähtsate või neid toetavate valdkondade eest poliitiliselt vastutajad küsiks oma vastutavate ametnike käest raskeid küsimusi seoses võimalike sõltuvustega riigi digitaalsetest teenustest, mille üle oleme harjunud palju uhkust tundma. Kui vastused tahetakse anda kiirelt ja lihtsalt, tasub igaks juhuks võib-olla uuesti küsida.
Kolmandaks tuleks meil senisest tõsisemalt tegeleda valdkondliku rahvusvahelise koostööga, mille vajalikkus küberjulgeoleku tagamisel on isegi märksa elulisem, võrrelduna teiste julgeolekuvaldkondadega.
Maldre soovitas Balti riikidel panna rõhk omavahelisele koostööle. Siin on olulised sammud nüüdseks juba astutud – nimelt sõlmisid Balti riigid *pärast pikka ettevalmistust novembri algul leppe, mis loob eeldused tugevamaks koostööks küberjulgeoleku valdkonnas.
Kuid ainuüksi kokkuleppest on vähe. Nagu ka uuringus tõdetakse, peab tekkima reaalne ja senisest sisukam infovahetus kolme riigi pädevate asutuste vahel. Ja just sellel, kas pikalt ettevalmistatud lepingu raames tekib ka reaalne tegevus, peaksid lepingu sõlminud ministrid ka tulevikus silma peal hoidma.
Kui selle oleme saavutanud, tasub kohe siht seada kaugemale, kui kolme Läänemere-äärse väikeriigi koostöö.
Nimelt ei sõltu tänapäeva maailmas nii mõnegi Eesti jaoks olulise teenuse toimimine enam üldse mitte ainult meist, vaid ka Põhjamaadest, ning ka sellega on vaja järjest enam tegeleda. Oluliseks saab selle küsimuse lahendamisel olema EL ning Brüsselis valmistatakse ette teemakohast direktiivi, mis loodetavasti saab juba üsna pea liikmesriikide heakskiidu. Seejärel on Eestil üsna ühemõtteline kohustus piiriüleste sõltuvustega otsekoheselt tegeleda.
Kuid lõpetuseks tasub lisaks küberõppusel õpitule vaadata ka laiemat perspektiivi küberjulgeoleku valdkonna ümber Eestis.
Kaitseuuringute keskus esitab oma uuringus arvamuse, et Balti riigid peaksid senisest suurema osa oma riigikaitsekuludest eraldama konventsionaalsete relvade kõrval küberjulgeoleku valdkonnale. Sääraseks soovituseks on Eestit vaadates kindlasti alust – olukord, kus praegu rahastab Eesti suurt osa valitsuse kinnitatud küberjulgeoleku arengukava elluviimist ELi ressurssidele toetudes, ei paista kuidagi kooskõlas valdkonna retoorilise tähtsusega Eesti poliitikute jaoks.
Oleks ju omajagu naljakas, kui Eesti – isegi vastava võimaluse olemasolu korral – oma sõjalist kaitset või sisejulgeolekut sama suures mahus ELi või mistahes välise abiallika kaudu rahastaks. Seega: miks peaks küberjulgeolekule teisiti lähenema? Siin tuleb nõustuda meie kaitseministriga, kes hiljuti rõhutas kübervaldkonna olulisust modernses sõjas, mistõttu võib ehk ka vast loota, et Eesti hakkab juba üsna pea küberjulgeoleku reaalset tagamist ka laiapindse riigikaitse üheks osaks pidama. Ning seda lisaks retoorilisele tähtsustamisele esimese sammuna ka selliselt lähenedes rahastama. See oleks Eesti jaoks põhimõtteline muutus.