Ameerika Ühendriikide kolm seadust küberjulgeoleku valdkonnas

allikas: http://homeland.house.gov/sites/homeland.house.gov/files/resize/images/NCCIP%20Graphic-400x355.jpg

Foto: USA Esindajatekoda

RIA küberturvalisuse teenistuse õigusspetsialist Jana Orlovski annab ülevaate sel suvel Ameerika Ühendriikides vastu võetud kolmest olulisest küberjulgeoleku tagamist reguleerivast seadusest.

28. juulil võttis USA esindajatekoda vastu kolm küberjulgeoleku valdkonna seadust: riikliku küberjulgeoleku ja kriitilise infrastruktuuri kaitse seaduse (“The National Cybersecurity and Critical Infrastructure Protection Act of 2014” ehk “NCCIP Act”), kriitilise infrastruktuuri teadus- ja arendustegevuse edendamise seaduse (“The National Critical Infrastructure Research and Development Advancement Act” ehk “CIRDA Act”) ja küberjulgeoleku “jalad maas” seaduse (“Homeland Security Cybersecurity Boots-on-the Ground Act“).

Eestis sarnaneb esimesele neist (“NCCIP Act”) hädaolukorra seadus, mis reguleerib elutähtsate teenuste (kriitilise infrastruktuuri) toimepidevuse tagamist. See seadus kohustab riigiasutusi korraldama elutähtsate teenuste toimepidevust ja teenuseosutajaid osutama elutähtsaid teenuseid. USAs on kriitilise infrastruktuuri kaitse üles ehitatud sektoripõhiselt. Sealsete elutähtsate teenuste regulatsioon on rangem ja konkreetsem. Paika on muuhulgas pandud ka organisatsiooniline töökorraldus, näiteks koordineeriva nõukogu tegevus.

Eestis on elutähtsad teenused jagatud korraldavate asutuste järgi, näiteks elektrivarustuse toimepidevuse eest vastutab Majandus- ja Kommunikatsiooniministeerium, joogivee ohutuse eest Sotsiaalministeerium, operatiivraadioside võrgu toimimise eest Siseministeerium, kiirgusohust varajase hoiatamise eest Keskkonnaministeerium jne. Elutähtsa teenuse osutajate kohustused elektroonilise turvalisuse tagamisel tulenevad Vabariigi Valitsuse määrusest “Elutähtsa teenuse infosüsteemide ning nendega seotud infovarade turvameetmed“. Samas puudub Eestis regulatsioon, mis kohustaks asutusi ja ettevõtteid jagama reealajas teavet küberohtude kohta. USAs paneb riigile sellise kohustuse “CIRDA Act”.

USAs vastu võetud kolme seaduse eesmärk on tugevdada valitsuse võimekust ennetada küberrünnakuid ja reageerida nendele. Seadused võeti vastu enamushääletusel. Esindajatekoja esimehe Michael McCauli sõnul võib edukas küberrünnak gaasijuhtme-, vee- või naftasüsteemi vastu põhjustada olulist majanduslikku kahju ja maksta isegi inimelusid: “Reaalsus on see, et küberoht on jõudmas ette meie valmisolekust sellega võidelda. Aeg on tegutseda ning riiklik küberjulgeoleku ja kriitilise infrastruktuuri kaitse seadus on oluline samm selle suunas”.

Riikliku küberjulgeoleku ja kriitilise infrastruktuuri kaitse seadust (“CIRDA Act”) tutvustati esmakordselt 2013. aasta detsembris ning see on neist kolmest kõige olulisem. Seaduse kohaselt on USA siseministril kriitilise infrastruktuuri kaitsmisel küberohtude eest laialdane vastutus ja volitus. Täpsemalt,minister on kohustatud rakendama jõupingutusi, et tugevdada ja säilitada turvaline, toimiv ning vastupidav kriitiline infrastruktuur. Selle jaoks tuleb kasutada valdkonna- ja tööstusharupõhiseid teadmisi, tuvastada küberohte ning pakkuda koolitust, nõu ja abi ettevõtete omanikele ning töötajatele. “CIRDA Act” kohustab muuhulgas riiklikku küberjulgeoleku ja kommunikatsiooni integratsiooni keskust jagama reaalajas teavet küberohtude kohta.

Seadus reguleerib ka era- ja avaliku sektori koostööd, et tagada ühiselt ning sektoripõhiselt kriitilise infrastruktuuri kaitse. Koostöö tagamiseks määrab minister kriitilise infrastruktuuri sektorid, nagu side, transport, makseteenused jms. Seejärel suhtleb minister eraettevõtetega sektoripõhiselt selleks määratud koordineerivate nõukogude kaudu. Nõukogu eesmärk on kajastada iga sektori eripärasid ja kaasata oma töösse kriitilise infrastruktuuri ettevõtete omanikud, töötajad ja kutseliidud. Ministri ja koordineeriva nõukogu koostöö tulemusel määratakse igale sektorile informatsiooni- ja analüüsikeskus, et jagada teavet kõigi koordineerivate nõukogudega. Seaduse kohaselt luuakse ka riiklik küberjulgeoleku ja side integratsioonikeskus (National Cybersecurity and Communications Integration Center), mis aitab jagada teavet küberohtude kohta reealajas riigiasutuste, eraettevõtete, koordineerivate nõukogude, CERTi ja teiste koostööpartnerite vahel. Lisaks luuakse USA siseministeeriumisse (Department of Homeland Security) CERTide meeskonnad, kes aitavad kriitilise infrastruktuuri ettevõtteid kriisisituatsioonides, kui ettevõtted avaldavad selleks soovi.

Kriitilise infrastruktuuri teadus- ja arendustegevuse edendamise seaduse eesmärk on tugevdada USA siseministeeriumi võimekust tegeleda teadustöö ja tehniliste hangetega. Seadus suurendab veelgi ministri rolli kriitilise infrastruktuuri kaitse tagamisel. Ministril on edaspidi kohustus koostada kriitilise infrastruktuuri kaitset tagavate tehnoloogiate uurimise ja arendamise plaan. See kaardistab tehnoloogiate riskid ja nõrkused ning prioriseerib riskide maandamiseks mõeldud meetmed. Seadus nõuab, et minister annaks kongressile aru ka eraettevõtete pakutavatest kriitilise infrastruktuuri teenustest ja samuti teenustest, mis saaksid kõige enam kasu turvatehnoloogia kiirest arengust.

Kolmas, küberjulgeoleku “jalad maas” seadus keskendub suuresti USA siseministeeriumi tööjõu arendamisele küberjulgeoleku valdkonnas. Seadus kohustab siseministeeriumit hindama oma riigi võimeid ja valmisolekut täita paremini kübevaldkonnas seatud eesmärke. Selleks koostatakse töötajate värbamise strateegia ning luuakse ühtne ametite liigitus, et hinnata küberjulgeoleku valdkonna tööjõudu.