Monthly Archives: June 2018

Kuidas viia edasi Euroopa küberjulgeolekut?

RIA analüüsi ja poliitika osakonna juhataja Hannes Krause tekst ilmus mais 2018 Eesti välispoliitika ajakirjas Diplomaatia.

Ekraanipilt WannaCry failide krüpteerimise teatest.

Selline nägi eelmise aasta mais välja WannaCry lunarahanõue, mis omistati Põhja-Koreale. Foto allikas: Wikipedia.

Euroopa Liit kui tervik on hakanud küberjulgeolekut tõsisemalt võtma

Eesti eesistumine Euroopa Liidu (EL) Nõukogus, mis oli kõikide riigiametnike ja ka meie positsiooni jaoks Euroopa Liidus märgilise tähendusega, sai läbi täpselt sel hetkel, kui kõigile asja sees olnutele hakkas tunduma, et Euroopa asjade vedamine on juba natuke käppa saanud. Üks olulisi teemasid, mille osas tegime meie pooleaastase eesistumise jooksul suuri samme edasi, oli kindlasti ELi kui terviku küberjulgeoleku edendamine. Alljärgnevalt väike sissevaade globaalsesse olukorda küberjulgeolekus, Euroopa arengutesse selle taustal ja ka sellesse, milliseid samme peaksime ise selles valdkonnas astuma.

Kõigepealt olukorrast Euroopa küberjulgeolekus. Konflikt üleilmses küberruumis muutub iga aastaga järjest intensiivsemaks ja siin ei olnud erandiks ka eelmine aasta. Seda, et ohvreid mittevalivad kuritegelikud ründekampaaniad muutuvad iga aastaga järjest suuremahulisemaks, kavalamaks ja intensiivsemaks, võtavad kõik küberturvalisuse eest vastutavad asutused üle maailma juba tõsiasjana, millega tuleb lihtsalt harjuda ja kohanduda. Kuid eelmine aasta oli märgiline ennekõike selle poolest, et esmakordselt toimusid globaalse mõjuga küberkampaaniad, mille suhtes on mitmed riigid tänaseks jõudnud otsuseni omistada vastutus nende rünnete eest Põhja-Koreale ja Venemaale.

Kui mais pühkis üle Euroopa WannaCry kampaania, mille tulemusel seiskusid haiglad Ühendkuningriigis, autotootmine Prantsusmaal ja telefoniside Hispaanias, oli ka Brüsselis järsku kõigile selge, et küberrünnete ja nende laastava majandusliku mõju eest enam pead liiva alla peita ei saa. Kui veidi aega hiljem käis üle Euroopa ka NotPetya, mis seiskas näiteks globaalse laevandushiiu Maersk tegevuse, sai see tõdemus veel märksa selgemaks.

Eestis on aastate jooksul pidevalt üritatud vähendada nende operatsioonisüsteemide kasutamist, millele tootjad enam toetust ei paku, ja tehtud süsteemselt tööd tervishoiuvaldkonna küberturbe arendamisel – selle tõttu pääsesime nendest globaalselt märgilistest rünnakutest ilma suurema kahjuta. Kuid Euroopas tervikuna oli kahju sündinud ja vastama pidi küsimusele, mida teha, et nii enam ei juhtuks – ja ootused meie läheneva eesistumise suhtes kasvasid tuntavalt.

Kevadsuviste laastavate rünnete järel Euroopas jõuti esmalt tõdemuseni, et muutma peab kõikide nende riikide kalkulatsioone, kes seni olid küberkampaaniaid kas ise läbi viinud või nende toimumist oma territooriumil soodustanud. Nende riikide jaoks on enamasti küberrünnete kasutamine oma eesmärkide saavutamiseks olnud mugav tööriist – sest karistust kas majanduslike või poliitiliste meetmetega pole keegi kartma pidanud. Eriti kehtis see Euroopa Liidu kui terviku kohta – karistust maailma olulisima majandusühenduse kui terviku poolt ei pidanud kohe kindlasti kartma. Selle olukorra muutmiseks jõutigi vahetult enne meie eesistumise algust arusaamale, et EL kui tervik peab olema võimeline vastama küberrünnetele kõikide oma käsutuses olevate vahenditega – alates diplomaatilistest sammudest kuni majandussanktsioonideni välja.

Meie ülesandeks järgmisel poolaastal jäi juhtida EL kokkuleppeni selle kohta, kuidas see kõik toimuma peaks. Selle klassikalise eesistujaülesandega saime me sujuvalt hakkama ja oktoobri keskpaigast alates on euroliidul olemas reeglid, kuidas küberrünnetele vastamine välispoliitiliste vahenditega käima peaks. Sama kinnitas üle ka Üldasjade Nõukogu oma 20. novembri järeldustes, mis rõhutasid, et sellise reeglistiku vastuvõtt peaks suurendama rahvusvahelist stabiilsust küberruumis, „pannes paika ühise välispoliitika vahendid (sealhulgas majandussanktsioonid), mida on võimalik kasutada kas küberrünnete ärahoidmiseks või siis neile vastamiseks“. Ja kutsus üle regulaarselt selle raamistiku kasutamist ka harjutama.

Ka teiste riikide sarnast käitumist ei pidanud eelmisel sügisel kaua ootama. USA sisejulgeolekuministri 19. detsembri avaldus selle kohta, et WannaCry rünnaku eest on vastutav Põhja-Korea, ja fakt, et selle seisukohaga ühinesid Jaapan, Ühendkuningriik, Austraalia ja Uus-Meremaa, andis kindlasti julgustuse ka Euroopale ühiseks tegevuseks. Ja signaali selle kohta, et maailm oli astunud ajastusse, kus küberrünnete puhul vastavad riigid ka kõikide muude vahenditega oma arsenalist, mitte pelgalt omaenda küberjulgeoleku edasiarendamisega.

Kui selle aasta veebruaris järgnes enam-vähem samade riikide poolt avalik ja kollektiivne ründe omistamine ka NotPetya kampaania suhtes, millega ühines ka Eesti, siis oli kõigile asja sees olijatele selge, et selline vastus küberrünnetele lääneriikide poolt on saamas pigem reegliks. Olukorda muutis aga selle aasta veebruaris Euroopa Liidu jaoks see, et ründe riikliku omistamisega tuli esmakordselt lagedale riik, kelle staatus ELis lähematel aastatel kindlasti ei muutu ja kes viitas selle juures otsesõnu oma majandusele tehtud kahjule. Taani laevandusettevõtte Maersk kahjuhinnang suurusjärgus 300 miljonit eurot andis mõistagi selleks ka ju alust.

„Kõige ohtlikum on häkkida selleks, et teha kahju. Venelased on tõstnud selle tegevuse tähenduse senisest kõrgemale, kus see tekitab sõjalise tegevusega võrreldavat kahju,“ kommenteeris veebruaris Taani kaitseminister Frederiksen. Kui nüüd panna see avaldus kehtiva rahvusvahelise õiguse konteksti, nagu seda on kirjeldanud Tallinn Manual, siis saame aru, et sisuliselt võrdles NATO ja ELi liikmesriik seda avaldust tehes küberrünnakut sõjalise tegevusega – mis on kindlasti üsna tugev samm iga riigi poolt. Selles kontekstis on selge, et EL ei saa kindlasti loobuda ühisest tegevusest ja vastusest nendele rünnetele. Sellist rahvusvahelist tausta peavad kindlasti arvestama ka Eesti poliitikud – küberrünnete omistamine on keeruline, kuid kindlasti mitte võimatu ja sõltub ennekõike poliitilisest tahtest. Suure mõjuga küberintsidendid on viimase paari aasta jooksul suudetud Eestis ära hoida ennekõike tänu süsteemsele tegevusele, kuid toredana näivast reaalsusest ei peaks me kindlasti laskma end uinutada – ja oma rahvusvahelises tegevuses peaksime ka ise olema valmis sarnaselt käituma. Võime olla seega üsna kindlad, et rahvusvahelistes suhetes on küberrünnete korraldajaid ees ootamas kollektiivsete vastuste ajajärk, kus kindlasti osaleb ka Euroopa Liit.

Kui eeltoodu on kindlasti oluline Euroopa ühises arengus kübervallas pealinnadest vaadatuna, siis Brüsseli vaatepunktist oli eelmise aasta olulisim samm küberjulgeoleku valdkonnas Euroopa Komisjoni poolt septembris meie eesistumise raames laualepandud uus küberpakett, mille juhatas sisse ELi uus küberstrateegia. Hoolimata sellest, et pealinnadest vaadatuna ei pruugi ilusad ja ambitsioonikad paberid, mille koostamine teadagi Brüsselis hästi välja tuleb, just palju tähendada, ei tasu seda dokumenti siiski alahinnata, sest just selles pannakse paika euroliidu lähiaastate kübertegevuste põhisuunad.

„Meie tulevik sõltub suutlikkusest arendada meie võimet kaitsta Euroopa Liitu küberohtude eest, sest nii kriitiline infrastruktuur kui ka sõjaline suutlikkus tuginevad turvalistele digitaalsetele süsteemidele,“ tõdeb strateegia oma sissejuhatuses. Seega on selle strateegiaga saanud küberjulgeolek euroliidus teemaks, millest sõltub kogu selle tulevik. Kuid millega siis plaanitakse seda korralikku ambitsiooni sisustada? Ja mis võiks sellest ambitsioonist olla meie jaoks kõige olulisem?

Strateegias on sisu mõistagi igas küberjulgeolekuga otseselt või kaudselt seotud valdkonnas, mille lahtikirjutamiseks oleks vaja ilmselt tervet käesoleva väljaande mahtu, kuid käsitlen alljärgnevalt kahte valdkonda, mille tähtsust võiks tulevikku vaatavalt pidada Eesti vaatepunktist kõige suuremaks – teadus- ja arendustegevuste toetamine ja ühisturu arendamine küberturvalisuse valdkonnas.

Euroopa Liidul on alati kõige paremini välja tulnud üks asi – ühiste ressursside suunamise kaudu selle esilekutsumine, et liikmesriigid tahaks teha omavahel järjest rohkem koostööd. Kui digitaalne ühtne turg ehk digitaalsete teenuste piiriülene pakkumine euroliidus on ametisoleva Euroopa Komisjoni üks prioriteetidest, siis küberjulgeoleku tagamisel liiga palju ambitsiooni piiriüleseks koostööks enne seda strateegiat veel polnud. Nii panigi see strateegia aluse initsiatiivile, mille eesmärgiks on suunata ELi liikmesriike tegema senisest tõhusamat koostööd küberjulgeoleku teadus- ja arendustegevuste valdkonnas. Nagu tõdeb ka strateegia – selleks, et EL ja tema tööstus jõuaks kas või mingil määral järele globaalset valdkondlikku turgu valitsevatele USAle ja Hiinale, on vaja valmisolekut suuremahulisteks investeeringuteks, mis Euroopas saavad tekkida ainult toetades riikidevahelist koostööd senisest otsesemalt, kuna digitaalse ühisturu tingimustes on vaja ka lahendusi küberturbes, mis aitaks kõikidel ELi riikidel suuremate sammudega edasi liikuda.

Kuid küllap küsib iga valdkonnas veidikene orienteeruv inimene sellist initsiatiivi kuuldes kohe, kas Euroopas igasugu kompetentsikeskusi (eriti kübervaldkonnas) juba piisavalt pole. Tõsi ta on – ja seda näitavad ka Euroopa Komisjoni ses valdkonnas läbiviidud küsitluse tulemused. Kuid puudu on riikides olemasolevate uurimis- ja arenduskeskuste suuremast koostööst, mida saab ressursse targalt suunates tekitada ainult Euroopa Liit.

Siinjuures on üsna märgilise tähendusega ka Eesti Infoturbe Assotsiatsiooni moodustamine selle aasta alguses Eesti valdkondlike ettevõtete, ülikoolide ja RIA koostöös. Sellel ettevõtmisel on kõik eeldused saada üheks osaks sellest uuest Euroopa võrgustikust, mille kaudu saame oma riigis ettevõtete ja riigi koostöös toimima pandud nutikad lahendused kübervaldkonnas Euroopa tasandile. Heaks näiteks on siinkohal see, kuidas oleme oma e-riigi turvalisuses ära kasutanud plokiahela tehnoloogiat, mis nii mõneski Euroopa riigis tundub veel puhtakujulise ulmena. Sest ei tasu ära unustada – meie e-riik on unikaalne platvorm, kus proovida uudseid ja julgeid lahendusi ka turvalisuse tagamiseks, mida ka seni on tehtud, ja uue algatuse kaudu on tekkimas ELi poolt senisest süsteemsem alus meie häid lahendusi ka Euroopa tasandil edasi arendada.

Teine viis riikidevahelise teadus- ja arenduskoostöö toetamise kõrval, kuidas euroliit saab Euroopa küberjulgeolekut märgatavalt edasi arendada, on vana hea tururegulatsioon Euroopa turul olevate toodete ja teenuste küberturvalisuse tõstmiseks. Kui paljudes valdkondades on täna olemas ühisturul kasutusel olev meetod, kuidas erinevate toodete või teenuste omadusi erinevates valdkondades ühise turu raames hinnata ja pärast neid omadusi ka teatud skaalade või skeemide alusel sertifitseerida?

Näiteks teab igaüks ilmselt võimalust pesumasinat ostes hinnata selle energiasäästlikkust ja selle alusel oma ostuotsust langetada. Küberturvalisuse valdkonnas selline võimalus veel puudub. Samal ajal tõdetakse küberturvalisuse valdkonnas tihti, et tarbijad ja toodete kasutajad ostavad sageli kõige ebaturvalisemaid tooteid, mille abil tekib küberrünnete korraldajatele lihtne ja kättesaadav ressurss, mida on võimalik ühte või teist tüüpi küberpahateoks ära kasutada. Ehk siis tänane olukord on üsna ebaõiglane tavalise arvutikasutaja suhtes, kellelt justkui oodatakse turvalisemate IT-toodete ja teenuste kasutamist, kuid samas ei anta ühtegi võimalust neid otsuseid informeeritult langetada.

Just seda olukorda üritabki Euroopa Komisjon oma eelmise sügise algatusega parandada, algatades küberturvalisuse sertifitseerimise korraldamiseks Euroopa-ülese süsteemi loomise. Täna on see valdkond korraldatud liikmesriikide poolt, kellel on olemas valdkonnas pädevad asutused ja sertifitseerimist korraldavad laborid, kes väljastavad küberturvalisuse valdkonnas sertifikaate ja teostavad selle juurde käivaid erinevaid muid protsesse. Säärane võimekus küberturvalisust tõsiseltvõetavalt sertifitseerida on praegu olemas vaid suurematel ELi liikmesriikidel ja ülejäänud liikmesriigid kas usaldavad nende poolt välja antavaid sertifikaate või ei tegele teemaga üldse.

Mida see olukord tähendab aga Eesti ettevõtetele, kes võib-olla sooviks oma lahendusi küberturvalisuse valdkonnas Euroopa turule viia? Seda, et ühe lahenduse müümiseks Saksamaal tuleb see sertifitseerida vastavalt Saksa süsteemile – mille läbitegemine ei taga aga võimalust müüa seda lahendust Prantsusmaal, kus tuleb läbida mõnevõrra teistsugune süsteem veidi teistsuguste nõuetega. Iga sertifitseerimisprotsessi läbitegemine on ju teadupärast üsna kulukas ettevõtmine, seega on tänane olukord kasulik ennekõike suurematele liikmesriikidele.

Seega võime tõdeda, et küberturvalisuse valdkonnas Euroopa ühist turgu praegu ei ole – ja kõiki neid vajakajäämisi üritabki algatus ühe korraga parandada. Kõige positiivsemal juhul võime olla viie aasta pärast olukorras, kus Euroopa ühisturul teatud valdkondades müüdavate toodete ja teenuste küberturvalisust on võimalik ka tavakasutajatel endil teatud määral hinnata – et siis langetada ka otsus turvalisema toote kasutamise kasuks. Eesti eesistumise ajal alustasime selle algatuse üle läbirääkimisi ja nende lõpuleviimise ülesanne saab olema järgmisel eesistujal Austrial. Mõistagi ei ole meie huvides, et tekiks mingi Euroopa regulatiivne süsteem, mis ei toodaks lisaväärtust (küberturvalisust) ja samal ajal ahistaks meie enda ettevõtteid. Oht just nimelt sellise regulatsiooni tekkeks on kahtlemata olemas ja selle ärahoidmiseks tuleb meil seista vastu soovile seda valdkonda, kuhu euroliit uue algatusega ju alles esmakordselt siseneb, liigselt üle reguleerida. Lihtsus ja läbipaistvus on võtmesõnad, millest siinjuures peaksime lähtuma.

Eelmise sügise sammud, mis astuti meie eesistumise ajal, saavad ELi kui terviku küberjulgeolekut suuresti arendada. Selleks, et välja käidud algatustest ka asja saaks, on ilmselt vaja veidike kannatust – omadus, mida meiesugusel efektiivsel väikeriigil enamasti just ülearu ei kipu olema. Euroopa kui terviku küberjulgeolek paraneb tunduvalt, kui küberrünnetele vastamiseks õpime ära kasutama kõiki Euroopa välispoliitilisi vahendeid, kui EL investeeringute toel suureneb riikide koostöö küberturvalisuse teadus- ja arendustegevuses ja kui tekib lihtne ja läbipaistev süsteem küberturvalisuse hindamiseks Euroopa turul. Loodame, et nii ka läheb.

 

 

RIA juht Taimar Peterkop: ID-kaardile ei ole täna veel kindlaid alternatiive

Taimar Peterkopi tekst avaldati 1. juunil 2018 Äripäeva arvamusrubriigis.

Taimar Peterkop seisab kõnepuldis

Taimar Peterkop ID-kaardi õppetundide konverentsil “The Lessons We Learned” 9. mail 2018.

Viimase aasta jooksul on Eesti ID-kaart saanud kõvasti vatti. Nii sügisel avastatud turvarisk kui ka mai alguses kinnitust leidnud kahtlus privaatvõtmete genereerimise kohta väljaspool kiipi näitas selgelt, et meie e-riigi alustala, nagu iga teinegi tehnoloogia toode, ei ole kuulikindel. See vajab rohkem tähelepanu, hoolt ja edasi arendamist.

Oleme alates 2002. aastast, kui allkirjastati esimene dokument, teinud pika hüppe. ID-kaardi taha on tulnud tuhandeid e-teenuseid, selle elektrooniline osa on saanud juurde uusi võimalusi, mis on muutnud meie inimeste elu oluliselt lihtsamaks ja paberivabaks. Oleme hinnanud, et ID-kaardi elektroonilisele kasutamisega (kas siis digallkirja andmine või e-teenuste kasutamine) võidab iga inimene keskmiselt ühe lisanädala vaba aega aastas juurde. Iga päev antakse keskmiselt 300 000 digiallkirja ning ühe kuu jooksul sisenetakse ligi 10 miljonil korral erinevatesse e-teenustesse.

Kuid peame mõistma, et tehnika areneb meeletu kiirusega, see on mõjutatud välise keskkonna muutustest ning on haavatav. Tänast päeva ei saa võrrelda 15 aasta tagusega, kui puudusid nutiseadmeid ning IT-süsteemid olid oma arengu algusetapis. Esimeste digiallkirjade andmise ajal oli kõige populaarsem telefon nuppudega Nokia. Sellele platvormile loodi ka mobiil-ID, mis toimib väga hästi tänase päevani. Nutitelefonide levik ei ole mobiil-ID puhul muutusi kaasa toonud, küll aga on kasutajad kolinud rohkem mobiilsetesse seadmetesse ning tavapärane laua- ja sülearvuti on jäänud teisejärguliseks. Selline käitumisharjumuse pööre nõuab ka uusi ja paindlikke lahendusi.

Ei saa jätta tähelepanuta asjaolu, et isikut tõendavate dokumentide hankimine on pikaajaline ja keeruline protsess. Leping, mille alusel praegu kaarte välja antakse, allkirjastati pea kaheksa aastat tagasi ning nõuded täna kasutusel olevale ID-kaardile kinnitati 10 aastat tagasi. Uue ID-kaardi hankega alustati 2016, ehk kui uus kaart aasta lõpus või järgmise alguses välja antakse, on see tehnoloogia mõistes juba kolm aastat vana. IT-maailmas on see pikk aeg.

Tänased lahendused on homseks vananenud

Elektroonilise identiteedi osa ei saa olla jäik ja muutumatu kümme aastat järjest. Aga kuidas seda nutikalt ja täna kehtivate seaduste, nagu näiteks riigihankeseaduse, või siis kokkulepitud Euroopa Liidu nõuete tingimustes saavutada? Kuidas viia sisse uuendusi ja muuta sõlmitud lepingut ID-kaardi tootjaga nii, et mahuksime eelarvesse ja saaksime soovitud lahendused võimalikult kiiresti? Olemasoleva raha eest ei ole see ilmselt võimalik ning uuenduste finantseerimine peab olema paindlik. Kui praegu tegeleme sellega, et saada ID-kaart kontaktivabaks, käivad juba arutelud, et äkki oleme hiljaks jäänud ja nõudlus puudub? Kuidas hoida tempot ja arendada juba töös olevaid asju nii, et me ajale jalgu ei jää – see on võtmeküsimus!

Pikemas perspektiivis peame olema valmis plastikkaardist loobumiseks. IT-lahendused jõuavad peagi sinna maani, et isikutuvastamine ja allkirjastamine ei vaja füüsilist kaarti, vaid toimib muul moel. Seda eelkõige elektroonilise identiteedi kandja osas. Kuid miks mitte ka siseriiklikult füüsilise isikut tõendava dokumendina. Ühe lahendusena võiks tuvastamine käia näiteks mobiilis oleva rakenduse abil. Aga need muutused ei käi üleöö, ega ka paari aasta jooksul.

Ent kas ID-kaardile on tegelikult head alternatiivi? Pidevalt räägitakse, et isiku tuvastamiseks võiks võtta kasutusele biomeetria. Aga kui hea meelega inimesed oma biomeetriat jagavad? Riigile või erasektorile. Kui Apple küsib sõrmejälge või näopilti, siis antakse need üsna kergekäeliselt teadmata, kuhu need andmed liiguvad ja mida nendega tehakse. Ja kui tihti saab biomeetriat muuta? Ega saagi.

Samas on digiallkirjastamine Euroopa Liidu tasemel väga rangelt reglementeeritud vaatamata teadmisele, et arendustööd kvantarvuti kallal käivad ning prognoosi kohaselt areneb see viie kuni kümne aasta jooksul nii kaugele, et praegune standarditele vastav mudel kukub mingil hetkel kokku. Juba praegu otsime uusi lahendusi tulevikuks ning koostöös erasektoriga oleme leidnud alternatiivseid autentimisvahendeid nagu mobiil-ID ja smart-ID. Just alternatiivide olemasolu on väga vajalik, et välistada ühe riknemisel e-riigi seiskumist.

ID-kaardi ja sellega seotud tehnoloogia arendamisega tegelevate inimeste ring on väike. Oleme üheaegselt nii arheoloogid kui ka innovaatorid. Meil tuleb sorida ajaloos, et leida varasemaid kitsaskohti ja neid parandada, samas peame vaatama kümme aastat ette ning leidma parimaid lahendusi. Aga kuhu panustada rohkem, kas ajaloole või peaksime tegelema rohkem siiski tulevikuga?

Oleme kindlasti IT-riigina võrreldes paljude teistega eduseisus, meil on ajalugu ja kogemused. Välisriigid vaatavad ja imestavad, aga kas me oleme jätkusuutlikud ja on see kõik piisav tänapäeva kiires tehnoloogia arengus? Meie 15-aastane ajalugu vajab kaasajastamist, kiiresti. Üks asi on uue lahenduse välja toomine aga sellest üksi ei piisa. Inimesed peavad selle ka kasutusse võtma ja e-teenused oma teenustega liitma. Kuna aga kogu e-süsteem on nii lai ja seotud tuhandete erinevate süsteemide ja osapooltega, nõuab kõikide pusletükkide paikasaamine palju aega ja suurt koostöötahet.