Riigikogu menetleb küberturvalisuse seaduse eelnõu. Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop selgitab, miks sellist seadust on vaja ning kuidas see aitab tagada küberturvalisust. Tekst avaldati 15. märtsil 2018 Delfi arvamusrubriigis.
Küberturvalisuse seadus aitab ettevõtetel ja riigil paremini koos turvalisust tagada ning kaitsta Eesti digiriiki. Kuna ühiskonna toimimine sõltub üha enam infosüsteemidest, nõuab küberruumi kaitse selgemaid regulatsioone, kiiret reageerimist ja riigi panust vastutuse võtmisel.
Tänane Eesti õigusruum ei toeta meie ühise digitaalse riigi ja inimestele eluks vajalike (energia, telefoniside, meditsiini jms) teenuste kaitset piisavalt. Riikliku julgeoleku ja kaitse tagamise kohustus on asutuste õlul, kellel ei pruugi olla head ja terviklikku olukorra ülevaadet küberruumis toimuvast. Teenuse pakkujalt eeldatakse küberintsidendi lahendamist ja otsuste tegemist, mis aga mõjutavad suuremal või vähemal määral meid kõiki – seda, kas ja kuidas toimib meie e-riik. Nende otsuste tegemise juures saab riik olla vaid soovitavas rollis, mis tähendab, et riigil pole meid kõiki puudutavas küberturvalisuse valdkonnas ei korralduste andmise ega nende eest vastutuse võtmise õigust.
Riigi Infosüsteemi Ameti juhtimisel on enam kui aasta töötatud seaduse kallal, mis lisaks Euroopa Liidu võrguturbe direktiivi rakendamisele likvideerib need puudujäägid õigusruumis – seab riigile suurema kohustuse ning annab ka õigused. Meie kohustus on digiriigina teha enam ja olla teerajajaks küberturvalisuse valdkonnas laiemalt, mistõttu peame pingutama, et ka meie õigusruum järgiks meie pidevaltareneva digitaalse eluviisi tagamise vajadusi. Nagu ID-kaardi päästmine näitas, siis riik ei saa jätta ühiskonna kaitse kohustust ettevõtetele ega küberruumis tekkivaid ohuolukordi kuidagi eirata. Selliselt toimides kaoks usaldus, mis on aga digiriigi toimimise alus.
Küberturvalisuse seadus on sama oluline ja vajalik kui mistahes füüsilises maailmas toiminguid reguleeriv seadus, kas või näiteks pääste- ja korrakaitseseadused. Suure tõenäosusega ei tule lennufirmad pommikahtluse korral lennujaamas kahjusid sisse nõudma, sest lennujaam järgis politsei korraldust ning võimaldas neil inimeste elusid päästa. Samas, kui on kahtlus, et aeronavigatsiooni süsteemides on mingi keeruline pahavara, mis võib protsesse iga kell juhtida ja peatada, siis puudub lennujaamal täna alus riigi soovituste alusel oma teenuseid peatada, kuni probleem on likvideeritud. Kehtiva õiguse järgi ei ole selge, kas riik saab anda sellise korralduse, ning lennujaamal endalgi pole kindlust, kuidas sellises olukorras riigi soovituste järgi tegutseda. Sarnaseid näiteid võib tuua ka muudest valdkondadest.
Eestis registreeritud küberturbejuhtumite hulk lööb tänavu rekordeid: eelmise aasta juhtumite arv oli ligi kolmandiku võrra suurem kui mullu, küündides 11 000-ni. Põhjused registreeritud juhtumite taga on väga erinevad, alates seadmeriketest ja inimlikest eksimustest kuni pahatahtliku tegevuseni. Jälgides maailmas toimuvat näeme üha enam, et suurenenud on välisriikide ründav tegevus küberruumis. Eesti riigiasutuste andmesidevõrke skannitakse ja kaardistatakse pidevalt, kontrollitakse meie kommunikatsioonivahendite võimekust ja üritatakse lisaks riigiasutustele tungida ka elutähtsaid teenuseid pakkuvate ettevõtete arvutivõrkudesse.
Igapäevast turvalisust ohustavad aga veelgi enam küberkurjategijate ründed: lunavara levitamisega kasumit teenida lootev organiseeritud kuritegevus seab oma tegevusega ohtu inimeste elu ja tervise. Sagedased rünnakud haiglatele põhjustavad halvemal juhul arstiabi andmise katkemise. Selliste rünnakute vastu ei piisa parimatest infotehnoloogiavahenditest ega kõige pädevamast küberturvalisust tagavast meeskonnast, kui kasutaja pole riskidest teadlik või on hooletu. Oskus küberruumis turvaliselt toimetada ja riske õigesti hinnata võimaldab tagada turvalisuse kogu riigis.
Ühiskonna suureneva IT-sõltuvuse taustal areneb tehnoloogia ülikiiresti. Võrgu- ja infosüsteemide suurenev keerukus, internetti ühendatud väga erinevate seadmete kasvav arv ning küberruumis tegutsevate erineva motivatsiooni ja oskustega toimetajate kasvav hulk muudab küberturvalisuse üha suuremaks väljakutseks. Eesti senine edukas küberkaitse mudel põhineb kogukondlikul lähenemisel – riigi, ettevõtete ja haridusasutuste koostööl. Turvalisust ei saa võtta kergekäeliselt ja riik või ettevõtted üksi üksi ei suuda tagada turvalisust küberruumis. Küberturvalisuse seadus on üks oluline osa, mille pinnalt jätkuvalt ehitada seda kogukondliku küberkaitse mudelit.