RIA analüüsi ja poliitika osakonna juhataja Hannes Krause tekst ilmus mais 2018 Eesti välispoliitika ajakirjas Diplomaatia.
Euroopa Liit kui tervik on hakanud küberjulgeolekut tõsisemalt võtma
Eesti eesistumine Euroopa Liidu (EL) Nõukogus, mis oli kõikide riigiametnike ja ka meie positsiooni jaoks Euroopa Liidus märgilise tähendusega, sai läbi täpselt sel hetkel, kui kõigile asja sees olnutele hakkas tunduma, et Euroopa asjade vedamine on juba natuke käppa saanud. Üks olulisi teemasid, mille osas tegime meie pooleaastase eesistumise jooksul suuri samme edasi, oli kindlasti ELi kui terviku küberjulgeoleku edendamine. Alljärgnevalt väike sissevaade globaalsesse olukorda küberjulgeolekus, Euroopa arengutesse selle taustal ja ka sellesse, milliseid samme peaksime ise selles valdkonnas astuma.
Kõigepealt olukorrast Euroopa küberjulgeolekus. Konflikt üleilmses küberruumis muutub iga aastaga järjest intensiivsemaks ja siin ei olnud erandiks ka eelmine aasta. Seda, et ohvreid mittevalivad kuritegelikud ründekampaaniad muutuvad iga aastaga järjest suuremahulisemaks, kavalamaks ja intensiivsemaks, võtavad kõik küberturvalisuse eest vastutavad asutused üle maailma juba tõsiasjana, millega tuleb lihtsalt harjuda ja kohanduda. Kuid eelmine aasta oli märgiline ennekõike selle poolest, et esmakordselt toimusid globaalse mõjuga küberkampaaniad, mille suhtes on mitmed riigid tänaseks jõudnud otsuseni omistada vastutus nende rünnete eest Põhja-Koreale ja Venemaale.
Kui mais pühkis üle Euroopa WannaCry kampaania, mille tulemusel seiskusid haiglad Ühendkuningriigis, autotootmine Prantsusmaal ja telefoniside Hispaanias, oli ka Brüsselis järsku kõigile selge, et küberrünnete ja nende laastava majandusliku mõju eest enam pead liiva alla peita ei saa. Kui veidi aega hiljem käis üle Euroopa ka NotPetya, mis seiskas näiteks globaalse laevandushiiu Maersk tegevuse, sai see tõdemus veel märksa selgemaks.
Eestis on aastate jooksul pidevalt üritatud vähendada nende operatsioonisüsteemide kasutamist, millele tootjad enam toetust ei paku, ja tehtud süsteemselt tööd tervishoiuvaldkonna küberturbe arendamisel – selle tõttu pääsesime nendest globaalselt märgilistest rünnakutest ilma suurema kahjuta. Kuid Euroopas tervikuna oli kahju sündinud ja vastama pidi küsimusele, mida teha, et nii enam ei juhtuks – ja ootused meie läheneva eesistumise suhtes kasvasid tuntavalt.
Kevadsuviste laastavate rünnete järel Euroopas jõuti esmalt tõdemuseni, et muutma peab kõikide nende riikide kalkulatsioone, kes seni olid küberkampaaniaid kas ise läbi viinud või nende toimumist oma territooriumil soodustanud. Nende riikide jaoks on enamasti küberrünnete kasutamine oma eesmärkide saavutamiseks olnud mugav tööriist – sest karistust kas majanduslike või poliitiliste meetmetega pole keegi kartma pidanud. Eriti kehtis see Euroopa Liidu kui terviku kohta – karistust maailma olulisima majandusühenduse kui terviku poolt ei pidanud kohe kindlasti kartma. Selle olukorra muutmiseks jõutigi vahetult enne meie eesistumise algust arusaamale, et EL kui tervik peab olema võimeline vastama küberrünnetele kõikide oma käsutuses olevate vahenditega – alates diplomaatilistest sammudest kuni majandussanktsioonideni välja.
Meie ülesandeks järgmisel poolaastal jäi juhtida EL kokkuleppeni selle kohta, kuidas see kõik toimuma peaks. Selle klassikalise eesistujaülesandega saime me sujuvalt hakkama ja oktoobri keskpaigast alates on euroliidul olemas reeglid, kuidas küberrünnetele vastamine välispoliitiliste vahenditega käima peaks. Sama kinnitas üle ka Üldasjade Nõukogu oma 20. novembri järeldustes, mis rõhutasid, et sellise reeglistiku vastuvõtt peaks suurendama rahvusvahelist stabiilsust küberruumis, „pannes paika ühise välispoliitika vahendid (sealhulgas majandussanktsioonid), mida on võimalik kasutada kas küberrünnete ärahoidmiseks või siis neile vastamiseks“. Ja kutsus üle regulaarselt selle raamistiku kasutamist ka harjutama.
Ka teiste riikide sarnast käitumist ei pidanud eelmisel sügisel kaua ootama. USA sisejulgeolekuministri 19. detsembri avaldus selle kohta, et WannaCry rünnaku eest on vastutav Põhja-Korea, ja fakt, et selle seisukohaga ühinesid Jaapan, Ühendkuningriik, Austraalia ja Uus-Meremaa, andis kindlasti julgustuse ka Euroopale ühiseks tegevuseks. Ja signaali selle kohta, et maailm oli astunud ajastusse, kus küberrünnete puhul vastavad riigid ka kõikide muude vahenditega oma arsenalist, mitte pelgalt omaenda küberjulgeoleku edasiarendamisega.
Kui selle aasta veebruaris järgnes enam-vähem samade riikide poolt avalik ja kollektiivne ründe omistamine ka NotPetya kampaania suhtes, millega ühines ka Eesti, siis oli kõigile asja sees olijatele selge, et selline vastus küberrünnetele lääneriikide poolt on saamas pigem reegliks. Olukorda muutis aga selle aasta veebruaris Euroopa Liidu jaoks see, et ründe riikliku omistamisega tuli esmakordselt lagedale riik, kelle staatus ELis lähematel aastatel kindlasti ei muutu ja kes viitas selle juures otsesõnu oma majandusele tehtud kahjule. Taani laevandusettevõtte Maersk kahjuhinnang suurusjärgus 300 miljonit eurot andis mõistagi selleks ka ju alust.
„Kõige ohtlikum on häkkida selleks, et teha kahju. Venelased on tõstnud selle tegevuse tähenduse senisest kõrgemale, kus see tekitab sõjalise tegevusega võrreldavat kahju,“ kommenteeris veebruaris Taani kaitseminister Frederiksen. Kui nüüd panna see avaldus kehtiva rahvusvahelise õiguse konteksti, nagu seda on kirjeldanud Tallinn Manual, siis saame aru, et sisuliselt võrdles NATO ja ELi liikmesriik seda avaldust tehes küberrünnakut sõjalise tegevusega – mis on kindlasti üsna tugev samm iga riigi poolt. Selles kontekstis on selge, et EL ei saa kindlasti loobuda ühisest tegevusest ja vastusest nendele rünnetele. Sellist rahvusvahelist tausta peavad kindlasti arvestama ka Eesti poliitikud – küberrünnete omistamine on keeruline, kuid kindlasti mitte võimatu ja sõltub ennekõike poliitilisest tahtest. Suure mõjuga küberintsidendid on viimase paari aasta jooksul suudetud Eestis ära hoida ennekõike tänu süsteemsele tegevusele, kuid toredana näivast reaalsusest ei peaks me kindlasti laskma end uinutada – ja oma rahvusvahelises tegevuses peaksime ka ise olema valmis sarnaselt käituma. Võime olla seega üsna kindlad, et rahvusvahelistes suhetes on küberrünnete korraldajaid ees ootamas kollektiivsete vastuste ajajärk, kus kindlasti osaleb ka Euroopa Liit.
Kui eeltoodu on kindlasti oluline Euroopa ühises arengus kübervallas pealinnadest vaadatuna, siis Brüsseli vaatepunktist oli eelmise aasta olulisim samm küberjulgeoleku valdkonnas Euroopa Komisjoni poolt septembris meie eesistumise raames laualepandud uus küberpakett, mille juhatas sisse ELi uus küberstrateegia. Hoolimata sellest, et pealinnadest vaadatuna ei pruugi ilusad ja ambitsioonikad paberid, mille koostamine teadagi Brüsselis hästi välja tuleb, just palju tähendada, ei tasu seda dokumenti siiski alahinnata, sest just selles pannakse paika euroliidu lähiaastate kübertegevuste põhisuunad.
„Meie tulevik sõltub suutlikkusest arendada meie võimet kaitsta Euroopa Liitu küberohtude eest, sest nii kriitiline infrastruktuur kui ka sõjaline suutlikkus tuginevad turvalistele digitaalsetele süsteemidele,“ tõdeb strateegia oma sissejuhatuses. Seega on selle strateegiaga saanud küberjulgeolek euroliidus teemaks, millest sõltub kogu selle tulevik. Kuid millega siis plaanitakse seda korralikku ambitsiooni sisustada? Ja mis võiks sellest ambitsioonist olla meie jaoks kõige olulisem?
Strateegias on sisu mõistagi igas küberjulgeolekuga otseselt või kaudselt seotud valdkonnas, mille lahtikirjutamiseks oleks vaja ilmselt tervet käesoleva väljaande mahtu, kuid käsitlen alljärgnevalt kahte valdkonda, mille tähtsust võiks tulevikku vaatavalt pidada Eesti vaatepunktist kõige suuremaks – teadus- ja arendustegevuste toetamine ja ühisturu arendamine küberturvalisuse valdkonnas.
Euroopa Liidul on alati kõige paremini välja tulnud üks asi – ühiste ressursside suunamise kaudu selle esilekutsumine, et liikmesriigid tahaks teha omavahel järjest rohkem koostööd. Kui digitaalne ühtne turg ehk digitaalsete teenuste piiriülene pakkumine euroliidus on ametisoleva Euroopa Komisjoni üks prioriteetidest, siis küberjulgeoleku tagamisel liiga palju ambitsiooni piiriüleseks koostööks enne seda strateegiat veel polnud. Nii panigi see strateegia aluse initsiatiivile, mille eesmärgiks on suunata ELi liikmesriike tegema senisest tõhusamat koostööd küberjulgeoleku teadus- ja arendustegevuste valdkonnas. Nagu tõdeb ka strateegia – selleks, et EL ja tema tööstus jõuaks kas või mingil määral järele globaalset valdkondlikku turgu valitsevatele USAle ja Hiinale, on vaja valmisolekut suuremahulisteks investeeringuteks, mis Euroopas saavad tekkida ainult toetades riikidevahelist koostööd senisest otsesemalt, kuna digitaalse ühisturu tingimustes on vaja ka lahendusi küberturbes, mis aitaks kõikidel ELi riikidel suuremate sammudega edasi liikuda.
Kuid küllap küsib iga valdkonnas veidikene orienteeruv inimene sellist initsiatiivi kuuldes kohe, kas Euroopas igasugu kompetentsikeskusi (eriti kübervaldkonnas) juba piisavalt pole. Tõsi ta on – ja seda näitavad ka Euroopa Komisjoni ses valdkonnas läbiviidud küsitluse tulemused. Kuid puudu on riikides olemasolevate uurimis- ja arenduskeskuste suuremast koostööst, mida saab ressursse targalt suunates tekitada ainult Euroopa Liit.
Siinjuures on üsna märgilise tähendusega ka Eesti Infoturbe Assotsiatsiooni moodustamine selle aasta alguses Eesti valdkondlike ettevõtete, ülikoolide ja RIA koostöös. Sellel ettevõtmisel on kõik eeldused saada üheks osaks sellest uuest Euroopa võrgustikust, mille kaudu saame oma riigis ettevõtete ja riigi koostöös toimima pandud nutikad lahendused kübervaldkonnas Euroopa tasandile. Heaks näiteks on siinkohal see, kuidas oleme oma e-riigi turvalisuses ära kasutanud plokiahela tehnoloogiat, mis nii mõneski Euroopa riigis tundub veel puhtakujulise ulmena. Sest ei tasu ära unustada – meie e-riik on unikaalne platvorm, kus proovida uudseid ja julgeid lahendusi ka turvalisuse tagamiseks, mida ka seni on tehtud, ja uue algatuse kaudu on tekkimas ELi poolt senisest süsteemsem alus meie häid lahendusi ka Euroopa tasandil edasi arendada.
Teine viis riikidevahelise teadus- ja arenduskoostöö toetamise kõrval, kuidas euroliit saab Euroopa küberjulgeolekut märgatavalt edasi arendada, on vana hea tururegulatsioon Euroopa turul olevate toodete ja teenuste küberturvalisuse tõstmiseks. Kui paljudes valdkondades on täna olemas ühisturul kasutusel olev meetod, kuidas erinevate toodete või teenuste omadusi erinevates valdkondades ühise turu raames hinnata ja pärast neid omadusi ka teatud skaalade või skeemide alusel sertifitseerida?
Näiteks teab igaüks ilmselt võimalust pesumasinat ostes hinnata selle energiasäästlikkust ja selle alusel oma ostuotsust langetada. Küberturvalisuse valdkonnas selline võimalus veel puudub. Samal ajal tõdetakse küberturvalisuse valdkonnas tihti, et tarbijad ja toodete kasutajad ostavad sageli kõige ebaturvalisemaid tooteid, mille abil tekib küberrünnete korraldajatele lihtne ja kättesaadav ressurss, mida on võimalik ühte või teist tüüpi küberpahateoks ära kasutada. Ehk siis tänane olukord on üsna ebaõiglane tavalise arvutikasutaja suhtes, kellelt justkui oodatakse turvalisemate IT-toodete ja teenuste kasutamist, kuid samas ei anta ühtegi võimalust neid otsuseid informeeritult langetada.
Just seda olukorda üritabki Euroopa Komisjon oma eelmise sügise algatusega parandada, algatades küberturvalisuse sertifitseerimise korraldamiseks Euroopa-ülese süsteemi loomise. Täna on see valdkond korraldatud liikmesriikide poolt, kellel on olemas valdkonnas pädevad asutused ja sertifitseerimist korraldavad laborid, kes väljastavad küberturvalisuse valdkonnas sertifikaate ja teostavad selle juurde käivaid erinevaid muid protsesse. Säärane võimekus küberturvalisust tõsiseltvõetavalt sertifitseerida on praegu olemas vaid suurematel ELi liikmesriikidel ja ülejäänud liikmesriigid kas usaldavad nende poolt välja antavaid sertifikaate või ei tegele teemaga üldse.
Mida see olukord tähendab aga Eesti ettevõtetele, kes võib-olla sooviks oma lahendusi küberturvalisuse valdkonnas Euroopa turule viia? Seda, et ühe lahenduse müümiseks Saksamaal tuleb see sertifitseerida vastavalt Saksa süsteemile – mille läbitegemine ei taga aga võimalust müüa seda lahendust Prantsusmaal, kus tuleb läbida mõnevõrra teistsugune süsteem veidi teistsuguste nõuetega. Iga sertifitseerimisprotsessi läbitegemine on ju teadupärast üsna kulukas ettevõtmine, seega on tänane olukord kasulik ennekõike suurematele liikmesriikidele.
Seega võime tõdeda, et küberturvalisuse valdkonnas Euroopa ühist turgu praegu ei ole – ja kõiki neid vajakajäämisi üritabki algatus ühe korraga parandada. Kõige positiivsemal juhul võime olla viie aasta pärast olukorras, kus Euroopa ühisturul teatud valdkondades müüdavate toodete ja teenuste küberturvalisust on võimalik ka tavakasutajatel endil teatud määral hinnata – et siis langetada ka otsus turvalisema toote kasutamise kasuks. Eesti eesistumise ajal alustasime selle algatuse üle läbirääkimisi ja nende lõpuleviimise ülesanne saab olema järgmisel eesistujal Austrial. Mõistagi ei ole meie huvides, et tekiks mingi Euroopa regulatiivne süsteem, mis ei toodaks lisaväärtust (küberturvalisust) ja samal ajal ahistaks meie enda ettevõtteid. Oht just nimelt sellise regulatsiooni tekkeks on kahtlemata olemas ja selle ärahoidmiseks tuleb meil seista vastu soovile seda valdkonda, kuhu euroliit uue algatusega ju alles esmakordselt siseneb, liigselt üle reguleerida. Lihtsus ja läbipaistvus on võtmesõnad, millest siinjuures peaksime lähtuma.
Eelmise sügise sammud, mis astuti meie eesistumise ajal, saavad ELi kui terviku küberjulgeolekut suuresti arendada. Selleks, et välja käidud algatustest ka asja saaks, on ilmselt vaja veidike kannatust – omadus, mida meiesugusel efektiivsel väikeriigil enamasti just ülearu ei kipu olema. Euroopa kui terviku küberjulgeolek paraneb tunduvalt, kui küberrünnetele vastamiseks õpime ära kasutama kõiki Euroopa välispoliitilisi vahendeid, kui EL investeeringute toel suureneb riikide koostöö küberturvalisuse teadus- ja arendustegevuses ja kui tekib lihtne ja läbipaistev süsteem küberturvalisuse hindamiseks Euroopa turul. Loodame, et nii ka läheb.
Vaba tarkvara on veelgi tähtsam:
https://www.gnu.org/philosophy/free-software-even-more-important.html
Kui küberjulgeolek peidetakse “non-free” tarkvara taha, siis sellest ei tule midagi välja. Igasugune mitte-vaba javaskript-draiver-tarkvara suurendab küberohtu.
(ka need wannacrypti binaarid on non-free, sest nende binaaride lähtekoodid on kasutajale ligipääsmatud)
Huvitav konflikt on tulemas vaba tarkvara ühinguga.
Absoluutne ligipääs pimeveebile eeldab ka sissekirjutuse lisamist lähtekoodile. Jälgin huviga kuidas fsf-il läheb.
Pigem tuleks microsoft windowsi platvorm kirjutada ümber linux-libre kernelile ja gnu tarkvarale näiteks..
Ilmselt tuleks kõik binaarid seostada lähtekoodiga, et miski avalikusele mitte sobiv lähtekood/binaar ei töötaks. Avalikkus eeldaks ka FSF osalust.
Lihtne oleks samuti GNU binaarid ja lähtekoodid signeerida ühise võtme alla, mis kinnitab identsust.
Siin https://www.imdb.com/title/tt2317542/ lugu kuidas 15.a. noormees tekitas MS Windowsi viirusega ~6 miljardit dollarit majanduskahju, kriitiline taristu seiskus (sh tuumaelektrijaam). See kõik sai võimalikuks tänu sellele, et see kriitiline taristu kasutas kergesti haavatavat (ilmselt ka hooldamata) omandvara, peamiselt MS Windowsi. Kas me soovime ka Eestis niikaua suletud koodiga omandvara kasutada kuniks kogeme sarnast olukorda? UNIXilaadsete süsteemide, nt GNU/Linuxi puhul selliseid probleeme ei ole, tarkvara regulaarne uuendamine on muidugi vältimatult vajalik. UNIXilaadsed, sh GNU/Linux vähemalt on turvaliseks muudetav. MS Windowsi puhul võib jätta mulje turvalisusest kuid sageli kujuneb MS Windowsi turvaliseks muutmine sõelaga vee kandmiseks…
Seetõttu on kurb vaadata kui “turvaeksperdid” peavad ettekandeid tõsistel teemadel kuid teevad seda näiteks MS Windowsiga arvutist ja kasutavad MS Powerpoint’i…