18.06.2017, 21:41

Marina Kaljuranna küberkomisjoni eesmärk: et riigid rahuajal üksteise finantssüsteeme ei ründa

Toimetas: Lauri Tankler

Marina Kaljurand

FOTO: Foto: Priit Simson

Endine välisminister Marina Kaljurand loodab, et küberruumis jõutakse ühiste normideni enne, kui toimub mõni katastroof. Tema eestvedamisel loodud ülemaailmne küberstabiilsuse komisjon ei hakka välja töötama uusi rahvusvahelisi käske ja keelde, vaid üritab veenda riike poliitiliselt välja ütlema, et teatud rünnakud küberruumis on rahuajal vastuvõetamatud.

Küberstabiilsuse komisjon kuulutati välja kevadel, nüüd juuni alguses küberkonfliktikonverentsi CyCon ajal oli teil Tallinnas esimene koosolek. Millest te seekord rääkisite, millest varem ei olnud saanud rääkida?
Kohtumine toimus kahes osas. Esimene osa oli avalik istung, millele palusime esinema eksperdid, kes osalesid ka CyCon’i konverentsil ning kes briifisid komisjoni liikmeid aktuaalsetest küberjulgeoleku teemadest.

Teine terve päev oli siis komisjonisisene arutelu. Kõige tähtsam oli leppida kokku teemad, mida peavad oluliseks kõik komisjoni liikmed ja millega hakkame tegelema vahetult nüüd ja kohe, aga ka teemad, mis võiksid olla komisjoni päevakorras pikemas perspektiivis.

Komisjon on loodud kolmeks aastaks ning tegevuse lõpuks peab valmistama ette raporti, ülevaate hetkeolukorrast ja soovitused riikidele – mida riigid peaksid tegema selleks, et küberruum oleks stabiilne. Me kasutame sõna stabiilne, mitte turvaline, kuigi mõnes mõttes võiks nende vahele tõmmata ka võrdusmärgi.

Mida te siis kokku leppisite, kuhu läheb põhiaur kõigepealt ja kuhu siis hiljem?
Leppisime kokku, et järgmisel komisjoni istungil, mis toimub juuli lõpus Las Vegases, arutame sisuliselt kriitilise infrastruktuuri kaitsega seonduvat ja püüame sõnastada soovituse riikidele. Aga üks valdkond, kus on huvi hakata kohe arutama, on finantssüsteemide kaitse. Ehk leppida kokku, et riigid ei tohi rünnata rahuajal üksteise finantssüsteemi.

Teine küsimus, mida järgmisel kohtumisel kindlasti arutame, on interneti toimimiseks vajaliku infrastruktuuri kaitsmine, et internet oleks avatud, stabiilne, turvaline, kasutatav ja kättesaadav.
Komisjoni tugevus on, et selle tegevusse on kaasatud väga erineva erialase ja geograafilise taustaga inimesed. See aga tähendab omakorda, et komisjoni liikmete teadmised erinevates küberjulgeoleku valdkondades on erinevad ning sisulist arutelu on võimatu pidada, kui ei olda samas infoväljas ja taustateadmiste mõttes samal tasemel. Komisjoni toetav uurimisrühm valmistab ette vastavad taustapaberid ja briifib komisjoni liikmeid. Juuli alguseks avalikustame lähiaja uurimisteemad komisjoni kodulehel ning kutsume kandideerima kõiki eksperte, kes soovivad osaleda komisjoni tööd ettevalmistavas uurimistöös. Selleks on komisjonil ette nähtud ka vastavad rahalised vahendid.

Kui kriitilise infrastruktuuri määravad kõik riigid ise, siis kuidas teie komisjon neile ühtlaseid norme välja töötama hakkab? Kuidas teie silmis seda kõike ühtlustama hakatakse?
Ma arvan, et seda päriselt ühtlustada ei saagi. Oleks ju kena, kui riigid lepiksid kokku ühes üldises käitumisnormis – rahuajal ei rünnata kriitilist infrastruktuuri. Aga siis tekivad kohe küsimused: mida see tähendab, millistele objektidele see kohustus laieneb ja millistele ei laiene. Riikide praktika on erinev ka kriitilise infrastruktuuri määratlemisel. Üldiselt on teada, et kriitiline ehk elutähtis infrastruktuur koosneb rajatistest, võrkudest, teenustest, ressurssidest, mis on vajalikud riigi toimimiseks, aga täpsem määratlemine on riigiti erinev ning konkreetseid objekte ei avalikustata.
Kriitilise infrastruktuuri mõiste muutub ajas. Veel aasta tagasi ei räägitud sellest, et valimiste läbiviimiseks kasutatavad tehnilised lahendused võiksid olla osaks kriitilisest infrastruktuurist. Nüüd räägitakse, sest mõnede riikide arvates on küberrünnakud valimiste vastu rünnakud demokraatia vastu. Seepärast tahamegi me võtta ühe jupi, kus riigid on sama meelt – rünnakud finantssüsteemide vastu.

Finantssüsteemid ja pangad on iga riigi majanduse selgroog. Seega peaks olema iga riigi huvides vältida neid rünnakuid, vähemalt rahu ajal, et mitte õõnestada riikide majandust ja rahvusvahelisi majandussuhteid, mitte tekitada ebastabiilsust.

Kas siin saab sellega paralleeli tõmmata, kuidas Hiina ja USA vahel oli mure, kui Hiina häkkerid olid varastanud USA ettevõtetelt intellektuaalomandit ja jaganud seda Hiina ettevõtetega? USA ja Hiina leppisid siis kokku, et see on majanduslik küsimus, et nad niimoodi üksteist enam ei ründa. Kas finantssüsteemide puhul peaks olemas sama: kui üks suur riik ründab teise finantssüsteemi, siis peaks arvestama sellega, et tema enda süsteemid võivad samamoodi tule alla minna?

Loogika on sarnane, aga mitte miski ei takista ka praegu võtma vastumeetmeid kasutusele, kui üks riik ründab teise pangandussüsteemi. Kui me lähme tagasi aastasse 2007, kus üheks rünnakuobjektiks olidki Eestis tegutsevad pangad, siis Eesti riigi vastumeetmena lülitati mõned inimesed, kes olid rünnakute taga, Schengeni musta nimekirja ehk piirati nende liikumisvabadust Euroopa Liidus.

Igal riigil on õigus ennast kaitsta ja võtta tarvitusele vastumeetmeid. See on kirjas ÜRO põhikirjas. Seni on seda õigust kasutatud reaalsete relvarünnakute vastu. Küberrünnakud on suhteliselt uus nähtus ja riikide praktika selles osas alles kujuneb.

Mida riikidel tasub arutada: kuidas seda õigust rünnaku korral, praktikas kohaldada. Näiteks, mis on piisav tõendatus selleks, et võtta tarvidusele vastumeetmed. Kuidas me tõendame ära? Tõendamine on küberruumis väga keeruline. Ühelt poolt on see tehniline küsimus: kuidas süüdlane tuvastatakse, millised on tõendid, kui palju ollakse valmis avalikustama mismoodi süüdlane tuvastati jne. Reeglina ei taha riigid liiga palju kommenteerida, sest sellega avalikustatakse ka oma tehniline võimekus. Teiselt poolt lisandub poliitiline tasand – teise riigi süüdistamine, ka siis kui teise riigi süü on vastuvaidlematult tõestatud, on alati poliitiline samm, millele järgnevad poliitilised vastusammud.

Küberrünnakute omistamisest ja tõendamisest on palju räägitud ja räägiti ka CyCon'il. Microsoft ja Rand Corporation on välja tulnud ideega luua riikideülene organisatsioon, mis hakkaks tegelema küberrünnakute omistamise küsimusega tehnilisel tasandil ja see võiks viia riikide omavahelise n-ö Genfi konventsioonini. Kuidas nende mõtted ühilduvad sellega, mida teie komisjonis teete?

Kõigepealt tahaksin ma tunnustada Microsofti, mis on olnud aastaid väga aktiivne kübervaldkonnas, pakkudes välja nii uusi küberturvalisuse norme kui ka ergutades riike koostööle erasektoriga.

Mis puudutab küberrünnakute omistamist, siis sellega on tegeletud sellest hetkest alates, kui algasid küberrünnakud. Näiteks Eesti jaoks olid kõik need küsimused õhus juba 2007. aastal.
Küberrünnakute omistamine, süüdlase tuvastamine ja vastumeetmete rakendamine on olnud ja jääb riikide õiguseks ja ülesandeks. Riigid üksi ei suuda seda teha, neil lihtsalt puudub selleks võimekus, oskused ja vahendid. Riigid saavad olla edukad ainulterasektoriga, ekspertidega ning teiste riikidega koostööd tehes. Ma ei usu, et riigid on valmis andma seda õigust ühelegi rahvusvahelisele organisatsioonile, vähemalt mitte enne, kui on väga täpselt kokku lepitud selle organisatsiooni pädevus, liikmelisus, kontroll, rahastamine jne.

Mis puudutab Microsofti ettepanekut kirjutada uus Genfi küberkonventsioon, siis ma ei pea ka seda õigeks. ÜRO liikmesriigid leppisid 2013. aastal kokku, et rahvusvaheline õigus kehtib küberruumile. Punkt. Praegu on suur küsimus – kuidas rahvusvaheline õigus praktikas küberruumile kohaldub. Julgen väita, et küberruum muudab paljud küsimused palju keerulisemaks, kui nad on reaalses maailmas. Võtame näiteks riigi territooriumi, territoriaalse terviklikkuse. Pärismaailmas on kõik selge – see on määratletud riigipiiriga. Kui lennuk rikub õhupiiri, siis ta rikub meie suveräänsust, rikub meie jurisdiktsiooni. Aga kus hakkab rikkumine pihta kübermaailmas? Kas igale rikkumisele tuleb reageerida ja millal tuleb reageerida? Kas siis, kui pahavara on pandud arvutisse, mis on teisel territooriumil? Kas siis, kui hakatakse pahavara kasutama, aga keegi seeläbi ei kannata? Kas siis, kui keegi saab vigastada või hukkub? Ma möönan, et rahvusvahelise õiguse kohaldamises küberruumile on palju küsimusi. Aga see ei tähenda, et lahenduseks on uue rahvusvahelise õiguse loomine.

Olen sügavalt veendunud, et selle asemel, et hakata midagi uut kirjutama, tuleks analüüsida ja arutada , kuidas olemasolevat õigust kohaldada. Selles mõttes on Microsofti mõte väga hea – kutsuda riike üles arutlema rahvusvahelise õiguse kohaldamise üle. Tegelikult on selleks kõik tingimused loodud. Juristid on oma töö teinud. Maailma parimad rahvusvahelise õiguse asjatundjad on seda analüüsinud ning koondanud oma nägemuse raamatusse „Tallinn Manual 2.0“. Nüüd on järg valitsusasutuste käes. Nemad peavad õigust tõlgendama ja praktikat kujundama.

Kas ma välistan täiesti uue õiguse kirjutamise? Ei, võib-olla mingil hetkel jõuame selleni, et küberruumi reguleerimiseks tuleks kusagil veel midagi täiendada, muuta või parandada.

See toob mind küsimuseni, et kui räägitakse uutest normidest, kokkulepetest, millele võiksid riigid ja küberruumis tegutsevad tegelased kõik alla kirjutada, siis isegi praegu on ju riike, kes rahvusvahelisest õigusest ja normidest ei hooli. Mis lootus teil on, et teie juhitud komisjoni välja pakutavate normide vastu võiks nendel riikidel huvi tekkida?

Jah, nii see on. Meenutagem kasvõi Krimmi okupeerimist, kus rahvusvahelist õigust väga jõhkralt rikuti. See aga ei tähenda, et ei peaks püüdma selle poole, et riigid täidaksid kokkuleppeid ja kohustusi.

Komisjon ei hakka looma rahvusvahelist õigust. See on riikide pädevus. Komisjon pakub välja poliitilised normid, mis on riikidele vabatahtlikud, et nad ütleksid: jah, me oleme nõus sellega, et rahuajal finantssüsteeme ei rünnata. Suur töö saabki olema riikidega suhtlemine ja riikide veenmine. Enamus riike on huvitatud sellest, et küberruumis ei valitseks anarhia, vaid see alluks kokku lepitud normidele, põhimõtetele ja reeglitele.

Kui ma tõmbaks paralleeli, siis see võrdlus võiks olla rahapesuga. Võttis aastaid, isegi aastakümneid, enne kui toimus murrang ning hakati täitma rahapesu vältimise kokkuleppeid. Ma olen kindel, et mingil hetkel toimub sarnane arusaamine ka küberruumis. Kui ma ei usuks sellesse, siis ei saaks ma oma praegust tööd teha. Ma väga loodan, et see hetk jõuab kätte enne, kui juhtub mõni katastroof või tragöödia. Meenutagem ajalugu: tuumarelva, massihävitusrelva, keemiarelva kokkulepped on saavutatud pärast seda, kui on toimunud tragöödiad ning inimesed on kas kannatanud või hukkunud.

Tänase päeva seisuga, vähemalt teadaolevalt, ei ole küberrünnaku tagajärjel keegi veel hukkunud ega viga saanud, ja ma väga loodan, et kunagi ei toimu küber-9/11. Aga seda ei saa välistada.

Kas te olete optimistlik, et internetiturvalisuse vallas liiguvad asjad paremuse poole?

Meie komisjon teeb kindlasti kõik, et see nii oleks. Aga muidugi on palju väljakutseid. Küberruumis toimub samasugune ideoloogiline jagunemine nagu pärismaailmas. Ühel pool on „targad“ riigid, kes näevad IKT kasutamises uusi võimalusi riigi, ühiskonna, majanduse, demokraatia, tsiviilühiskonna arengule. Teisel pool on riigid, kes näevad vabas internetis ohtu oma suveräänsusele ja sõnavabaduses sekkumist oma siseasjadesse. Selle kahe seisukoha vahel on arenguriigid, kes ei tea veel, millist eeskuju järgida. See on väga põhimõtteline küsimus: kuhu kalduvad need riigid, kes praegu veel ei ole valmis rahvusvaheliselt kaasa rääkima. Küber ei tohi jääda rikaste valgete riikide teemaks, mis ta kahjuks praegu kipub olema.

Ma lihtsalt ei näe võimalust, et me keeraksime aega tagasi ja elaksime 19. sajandis. Minu jaoks ei ole näiteks õige ka minna tagasi ainult paberhääletamise peale. Ma leian, et need riigid, kes turvalisusele tähelepanu pööramise asemel leiavad, et see on liiga keeruline, ärme tee, lähme tagasi paberi ja pliiatsi peale, ei käitu õigesti.

Eesti jaoks on e-valimised praegu poliitiline küsimus, tehniline küsimus ja väga palju ka maine küsimus. On väga normaalne, et e-valimised tekitavad küsimusi – nii Eestis kui ka välismaal. Me peame sellega arvestama ja peame vastama ka kõige keerulisematele küsimustele. Olen rääkinud mitmete IT ekspertidega ja lugenud mitmeid analüüse ning tean, et need vastused on olemas. Lihtsalt nad tuleb tõlkida „IT keelest“ keelde, millest saavad aru ka inimesed, kellel ei ole IT haridust.

Peame arvestama ka sellega, et on neid, kes ootavad ja soovivad Eesti e-maine kahjustamist ning ka neid, kes teevad seda teadmatusest. Eesti e-mainele mõjub ühtviisi halvasti nii mõttetu e-hääletuse päevade arvu muutmine kui ka Eestit külastanud riigipea e-valimiste kritiseerimine. Mõtlen Leedu presidenti, kes hiljutise Eesti-külastase ajal kritiseeris jälle e-valimisi, pidades neid seekord mitte turvalisteks ning anoüümsust mittetagavateks. Ta võis lisada lause selle kohta, et kriitika ei puuduta Eestit, kuid päris nii see kõlama ei jäänud. Vastupidi. Kõlama jäi, et riigid loobuvad üksteise järel e-valmistest ning isegi Saksamaa konstitutsioonikohus tunnistas e-valimised põhiseadusevastaseks.

Kurb, et Leedu president oli kursis ainult negatiivsete uuringutega ega teadnud uuringutest, sealhulgas europarlamendi tellimusel tehtust, mis tunnustavad Eesti e-valimisi, peavad neid demokraatlikeks ja turvalisteks. Ma väga loodan, et Leedu presidendil oli võimalus kohtuda ekspertidega, kes selgitasid talle, mille poolest erinevad Eesti ja Saksamaa e-valimised ning mismoodi tagatakse meie e-valmiste anonüümsus ja turvalisus.

Samuti loodan, et enne riigikogu valimisi julgeme läbi viia samasuguse kampaania, nagu USA kaitseministeeriumi Hack The Pentagon eelmisel aastal. Teeme Hack Estonian E-voting (e-valimiste häkkimiskatsetuste kampaania – L. T.). Sest e-valimised ei ole praegu enam ainult tehniline või poliitiline küsimus, see on Eesti maine.

Ekspertide hinnangul on tulevikus üha keerulisem valimisi justnimelt tehnoloogilisest vaatenurgast turvalisena hoida – kvantarvutitega krüpteeringute murdmine läheb lihtsamaks jne.

Kindlasti, kindlasti tuleb järjest rohkem väljakutseid, kindlasti läheb see kõik järjest keerulisemaks. Aga peab arenema ka teine pool – kui on keerulised küsimused, kui on uued võimalikud negatiivsed stsenaariumid, siis nendega tuleb tegeleda ja nendele tuleb vastata. Ma ei ole nõus sellega, kui öeldakse: see on keeruline, me ei tee. Õige oleks öelda: see on keeruline ja me teeme kõik, mis me saame, et see oleks turvaline, kasutatav, anonüümne jne.

Ma väidan, et mitte keegi ei ole suutnud tõestada, et internetivalimised on vähem turvalised kui pabervalimised. Riskid on alati olemas, nii interneti kui ka traditsiooniliste valimiste puhul. Need riskid on erinevad. 100% turvalisi teenuseid ei ole olemas. Ohtusid ei saa täielikult välistada, aga neid saab ja peab minimiseerida.

Mulle väga meeldis, mida Facebook’i looja Mark Zuckerberg paar nädalat tagasi Harvardi lõpetajate ees esinedes ütles: ma loodan, et kunagi jõuab demokraatia uuele tasemele ja kõik inimesed saavad valida interneti teel.

Kui head on Hiiumaal internetiühendused tänapäeval, et te saaksite sealt, oma kodust komisjoni juhtida?
Varem oli keerulisem. Pidin sõitma Kõpu kooli juurde, kus oli wifi-ala. Tegelikult oli see päris armas, kui õhtuti kogunesid Kõpu kooli juurde autod, võeti välja läpakad ja hakati tööle. Praegu on mul vajalik ühendus nii koduhoovis kui ka mererannas.

Kommenteeri Loe kommentaare