- Reset + PDFPrindi

"Asi on majanduses, tobu!", The Security Times

12.09.2012

Toomas Hendrik Ilves,
Eesti Vabariigi president


Kübersõda on uut liiki oht, mille sihtmärgiks on taristu, ent piraatluse kaudu ka majandustegevus


Viimase 20 aasta jooksul on Eesti info- ja kommunikatsioonitehnoloogia kasutamisega oma riigiasjades näidanud eeskuju tervele maailmale. IKT oli parim, kui mitte ainus viis ületada Nõukogude okupatsioonist tulenenud aastakümnetepikkune mahajäämus. Infotehnoloogia ja selle kasutamine nii avalikus kui ka erasektoris oli meie kiire arengu võti. See võimaldas meil jõuda uuenduslike lahenduste pakkumisel parimate hulka ja me jagame neid lahendusi meelsasti ka teistega.

Peaaegu nagu tellimise peale sai Eestist maailma esimene tahtlike, suunatud, massiivsete ja piiriüleste küberrünnakute ohver – ning seetõttu ka üks küberkaitse ja -julgeoleku keskusi.

Viis aastat tagasi, 2007. aasta aprillis ja mais, tabasid Eesti riigiasutuste, pankade ja ajalehtede kodulehti ning isegi hädaabinumbri 112 kodulehte niinimetatud teenusetõkestamise ründed (DDOS), millega serverid üle koormati. Need rünnakud olid poliitiliselt ajendatud, kuid nende toimepanemiseks kasutati kuritegelikke internetirobotite võrke ehk tahtmatult pahavara alla laadinud süütutelt arvutikasutajatelt kaaperdatud arvuteid.

Internetirobotite võrke kasutatakse peamiselt rämpsposti saatmiseks. Pahavarast nakatunud arvutite juhtimine on kõikjal ebaseaduslik ja seega korraldavad internetirobotite võrkude tegevust peamiselt organiseerunud kurjategijad.

Eesti vastu toime pandud küberrünnakud ei olnud tehnoloogiliselt ainulaadsed – teenusetõkestamise ründeid oli varem majanduskuritegevuses juba aastaid kasutatud, kuid need olid esimesed omataolised seetõttu, et tegemist oli poliitilise, juhitud reaktsiooniga Eesti valitsuse otsusele toimetada Nõukogude "vabastaja" monument vähem häirivasse paika. Avaliku ja erasektori veebilehtede halvamine riigis, mis sõltub suuresti internetiteenustest, oli jätkuks muude vahenditega teostatavale poliitikale – ja teadupärast on von Clausewitz seda määratlenud sõjana. Maailmas olid need küberrünnakud esimesed omataolised selles mõttes, et need olid suunatud riigi vastu ja kellegi poolt tellitud, s.t organiseeritud; need olid poliitilised ja seetõttu võib neid lõppkokkuvõttes pidada sõjategevuseks. Tollal ei tahtnud seda eriti keegi tunnistada.

Moore'i seadusel ehk empiirilisel tähelepanekul, et kiibi võimsus kahekordistub iga 18 kuu järel, on oma tagajärjed ka küberkonfliktis. Tänapäeva küberrünnakud on palju keerukamad kui kümne aasta tagusest ajast pärinevad teenusetõkestamise ründed. Stuxneti tüüpi ussviirused võivad häirida ja hävitada üldlevinud interneti- ja intranetipõhiseid juhtimissüsteeme, mis hoiavad käigus kõike, alates esmatähtsast taristust ning lõpetades autode ja külmikutega. Tänu tööstuslikele juhtimissüsteemidele on elu tänapäeval muutunud märksa mugavamaks ja tõhusamaks, kuid need on teinud meid ka haavatavamaks.

Sellegipoolest leian, et me keskendume kübervaldkonnas liiga palju niinimetatud otsesele julgeolekule (hard security). Käimas on tõelised lahingud, mis mõjutavad meie julgeolekut ja heaolu hoopis teistsugusel moel, kui on tavaks rääkida. Ehk oleme ülemäära keskendunud kübervaldkonna militariseerimisele ja jätnud tähelepanuta riigivalitsuste toel toime pandud vargused? Vaid aegamisi hakkab tekkima arusaam, et sõjategevus ei pruugi alati tabada riiklikku või tsiviiltaristut, vaid piraatluse kaudu võib sihtmärgiks olla ka meie ettevõtlussektor. Ehk Bill Clintoni surematute sõnadega väljendudes: "Asi on majanduses, tobu!"

Riikide ja aina kasvavas ulatuses ka erasektori vastane spionaaž, eriti teadus- ja arendustegevusest ning intellektuaalomandist sõltuvates valdkondades, on jõudsa arvutistumise ajastul veel üks valdkond, mis kiiresti kasvab. Valitsusega enam või vähem seotud isikud, sealhulgas häkkerid ja organiseeritud kuritegelikud rühmitused, tegutsevad sageli ainulaadse era- ja avaliku sektori partnerluse vormis, varastades intellektuaalomandit, mille valmimiseks on ettevõttes kulutatud sadu miljoneid eurosid ning tehtud aastaid teadus- ja arendustööd.

Tunnistagem: meie ettevõtete vastu pannakse toime järjest rohkem rünnakuid. Nii on see kõikjal läänes, kus intellektuaalomand on oluline osa meie rahvuslikust rikkusest. Võib olla keeruline varastada riigi naftat, põllumajandus- või tööstustoodangut, kuid intellektuaalomandisse investeeritud miljardid ja aastad on võimalik varastada mõne minuti või päevaga. See on tööstuslike mastaapidega piraatlus ja tõeline julgeolekuoht, mitte pelgalt Hollywoodi filmikompaniide mure.

Tehnoloogiliselt arenenud riikide jaoks, nagu on ka minu kodumaa, mille pealinnas Tallinnas tegutseb meie kuulsaima ettevõtte Skype teadus- ja arenduskeskus, on just intellektuaalomandi vargus see, mis võib tegelikult majanduse sandistada või seda vähemalt rängalt haavata. Tõsiasi on, et suur osa sellest, mis paneb tänapäeva majandussüsteemid toimima ja edenema, on teadus- ja arendustegevusse (nii valitsuste kui ka erasektori poolt) tehtud hiigelsuurte investeeringute tulemus.

Euroopa Liit on seadnud oma liikmesriikidele eesmärgi investeerida teadus- ja arendustegevusse 3% SKPst. See on jõukohane vaid vähestele, ent samamoodi suudavad ainult mõned riigid täita NATO seatud eesmärki hoida kaitsekulutusi 2% juures SKPst. Suur osa demokraatliku lääne paremusest sõltub uuendustegevusest, uutest mudelitest, ravimitest, tarkvaralahendustest ja muust sellisest.

Ettevõte, kes investeerib uutesse toodetesse sadu miljoneid või koguni miljardeid dollareid või eurosid, võib näha, kuidas see kõik haihtub, kui tema uurimistöö varastatakse. Toote väärtuse määravad ju selle arendamiseks kulunud loometöö aastad ja investeeritud raha. Ent see kõik võidakse varastada. See tähendab, et keegi teine kuskil mujal on saanud tasuta kõik selle, mille arendamiseks on teie riigi parimatel ja andekaimatel kulunud aastaid. Teie jääte ilma maksutulust, keegi teine riisub kasumi. See on kõige ehtsam piraatlus. Ning see on tänapäeva riikidele sama ohtlik ja kurjakuulutav, kui oli piraatlus Berberi rannikul oma algelisemates vormides 19. sajandi alguses või kui see on praegu Somaalia rannikuvetes. Nagu ka klassikaline merepiraatlus, ei ohusta intellektuaalomandi piraatlus mitte ainult meie majandust. See on ka oht, mida võib käsitada avaliku ja erasektori koostööna, kui valitsus piraatlust eirab või vaatab sellele läbi sõrmede, sest see on kasulik riigi majandusele, või kasutab seda otseselt, nii nagu tegid Berberi maad Ottomani korra ajal. Nagu ka berberi piraatide rünnakutega, saab küberrünnakutega meie ettevõtete vastu võidelda ainult ühiste ja kooskõlastatud riiklike meetmete abil.

Seega tuleb meil peamiste küsimustena käsitleda kriitilise tähtsusega ja tänapäeval suuresti arvutipõhise taristu halvamist või hävitamist, nii valitsuste kui ka erasektori vastu suunatud spionaaži, rahva usaldamatust elektrooniliste andmebaaside vastu ja kõikehõlmavate andmebaaside puudumist. See omakorda tähendab, et peame aluseks võtma mitmetahulise käsitusviisi: kriitilise tähtsusega taristu kaitsmine on valitsuse ja NATO ülesanne, erasektori kaitse eeldab valitsuse ja erasektori suhete ümbermõtestamist. 2008. aasta kevadel asutas NATO Tallinnas oma küberkaitsekeskuse, mis tänu selle töös osalevatele riikidele ja NATOle toimib küberkaitseteadmiste väärtusliku allikana. Keskuse muudab ainulaadseks valdkonnaülene lähenemisviis küberkaitsele: eri valdkondade spetsialistid teevad koostööd ja jagavad oma teadmisi, andes keskusele ja selle tööle laiema sisu. Keskuse eesmärk on saada küberkaitseteadmiste peamiseks allikaks, kogudes, luues ja levitades teadmisi küberkaitsega seotud küsimuste kohta NATOs ning NATO liikmes- ja partnerriikides.

Käesoleva aasta lõpul avaldab keskus riikliku küberjulgeoleku raamistiku käsiraamatu, mille mõte on toetada liitlasi ja partnereid juhendmaterjaliga riikliku poliitika, õigusaktide, otsustusprotsesside ja riigi küberkaitse muude tahkude arendamisel, parandamisel või kinnitamisel. Sihtrühmaks on kõik, kes on seotud riigi küberkaitsega, sealhulgas juhid, seadusandjad, järelevalveasutused ja teenuseosutajad.

Samuti pakub keskus võimalusi koolitada võimalikule küberrünnakule reageerimiseks spetsialiste realistlike küberkaitseõppuste abil, milleks on näiteks iga-aastane õppus "Ühendatud kilbid" (Locked Shields). Eesmärk on kaasata nii palju osalejaid kui võimalik, et eri riikide spetsialistid saaksid reaalselt harjutada koostööd kriisiolukorras. Samuti soovib keskus pakkuda rohkem tuge NATO õppustel, näiteks iga-aastasel õppusel "Küberkoalitsioon" (Cyber Coalition) ja 2012. aasta NATO kriisiohjeõppusel. Parimal juhul peaks kübervaldkonnast saama iga NATO õppuse osa.

Me peame valitsuse ja erasektori suhted ümber mõtestama. Kuigi Eesti juhib Ameerika Ühendriikide ja Saksamaa ees Freedom House'i internetivabaduse pingerida, peame tagama, et see vabadus oleks kaitstud nende eest, kes võivad seda kuritarvitada. Ent kui meie suhtelise majandusedu alus – erasektor – satub valitsusega seotud isikute rünnaku alla, peame leidma uusi viise erasektoriga rääkimiseks ja koostööks. See on loomulikult vastupidine sellele, kuidas oleme siiani harjunud asju ajama. Kuid peame sellele vaatamata probleemiga tegelema. Mina näen kaht küsimust.

Esiteks peame leidma uusi viise erasektoriga suhtlemiseks. Julgeolekukontroll, tundliku teabe jagamine – mõlemas suunas, nii avalikult sektorilt erasektorile kui ka vastupidi – tuleb muuta hoopis vähem olukorrast sõltuvaks ning rohkem reeglitepõhiseks. See annaks meile hoopis rohkem paindlikkust uute ohtudega tegelemiseks, jätmata samas võimalust demokraatiat hävitavaks semukapitalismiks.

Teiseks, meie, kes me seisame riigi huvide eest, vajame ajusid, aga praegu rändavad need küberruumi eravaldustesse. Tunnistan ausalt, et Eesti ei ole suuteline maksma üliandeka Skype'i tarkvaraarendaja eest. Aga väga suure tõenäosusega ei ole ka USA kaitseministeerium suuteline palkama Apple'i, Microsofti või Google'i parimaid spetsialiste. Teine pool suudab seda. Manhattani projekti päevil sai USA palgata Edward Telleri või Robert Oppenheimeri professori palga eest. Ent tol ajal võis tuumafüüsik töötada ainult ülikooli või valitsuse heaks. Tänapäeval ei suuda ei ülikool ega valitsus Edward Telleri väärilisi küberspetsialiste värvata. Kõik see paneb valitsused küberkaitse arendamisel ebasoodsasse olukorda. Me ei saa endale alati lubada parimaid ja andekaimaid. Oleme Eestis selle probleemi lahendamiseks välja mõelnud ühe lahenduse – küberkaitseliidu, mida võiks sõltuvalt riigist tõlkida ka küberkaitse salgaks või küberkaitse rahvuskaardiks. Need on patsiga nädalalõpusõdurid, "arvutinohikud", kes töötavad päeviti IT-osakondade hästimakstud juhtidena, on ametis tarkvarafirmades, pankades ja mujal ning kelle arvates on lahe oma riigi heaks vabatahtlikku tööd teha. Me pakume neile võimalust aidata meil ennast kaitsta – mitte kaitsevärvi vormis metsas ringi joostes, vaid arendades meie küberkaitsevõimekust. Nad on motiveeritud ja aatelised ning tegelikult on ju selliste asjade kallal töötada tore.

Ma mainin seda ettevõtmist kui üht loovat lahendust, mida peaksime kaaluma, et olla suutelised tagama keerukaid e-teenuseid ning kõrgetasemelisele teadus- ja arendustegevusele keskendunud ettevõtete olemasolu, millest nüüdisaegne ühiskond sõltub. Kui oht pole enam klassikaline, ei saa ka meie reaktsioon olla klassikaline, vähemalt mitte siis, kui tahame võitjaks jääda.

See tähendab, et peame andma uue tõuke koostööle, mis on oma sisu kaotanud. Valitsused ja riigid peavad loobuma luureparadigmast, mis välistab teabe jagamise liitlastega, ning võtma omaks koostalitlusvõime ja ühismeetmete paradigma. Erasektor ja riik peavad leppima kokku uutes koostöövormides, mis tunduvad esialgu mõlemale ebamugavad, kuid mis on meie majandusliku heaolu püsimise vältimatu eeldus.

Eesti viimase 20 aasta kogemused näitavad seda: me oleme e-usku. Oleme uhked, et saime olla e-riigi teerajajad. Ja me oleme veendunud, et avaliku sektori IKT-käsitus, mis on kodanikukeskne, turvaline ja läbipaistev, on 21. sajandil hea valitsemistava tulevik.


Artikkel ajalehes The Security Times.