5. septembril Poolas Krynicas toimunud 23. iga-aastasel majandusfoorumil korraldas RKK arutlusringi „Küberjulgeolekupoliitika: kuidas kaitsta kriitilise tähtsusega võrgutaristut ja andmeid“. Arutlusringi juhatas RKK direktor Matthew Bryza ning sinna kuulusid Euroopa välisteenistuse küberjulgeolekupoliitika nõunik Heli Tiirmaa-Klaar, Poola kaitseministri nõunik brigaadikindral Krzysztof Bondaryk ning Sloveenia infovolinik ja Europoli ühise järelevalveasutuse president Nataša Pirc Musar.
23.10.2013
5. septembril Poolas Krynicas toimunud 23. iga-aastasel majandusfoorumil korraldas RKK arutlusringi „Küberjulgeolekupoliitika: kuidas kaitsta kriitilise tähtsusega võrgutaristut ja andmeid“. Arutlusringi juhatas RKK direktor Matthew Bryza ning sinna kuulusid Euroopa välisteenistuse küberjulgeolekupoliitika nõunik Heli Tiirmaa-Klaar, Poola kaitseministri nõunik brigaadikindral Krzysztof Bondaryk ning Sloveenia infovolinik ja Europoli ühise järelevalveasutuse president Nataša Pirc Musar.
Arutlusringis vaeti küsimust, kuidas valitsused saavad aktiivselt edendada kriitilise tähtsusega taristu julgeolekut, samas olles edasi põhiõiguste neutraalne tagaja.
Julgeolek ja privaatsus, defensiivne ja ofensiivne kübervõimekus
Oma sissejuhatuses märkis Matthew Bryza, et kuna igapäevaelule on tekkinud kübermõõde, on üha keerulisem eristada küberjulgeolekut muud tüüpi julgeolekust. Ta täheldas, et samal ajal võime me näha, kuidas tekivad dihhotoomiad. Üks dihhotoomia peitub selles, et ühelt poolt on valitsused kohustatud kaitsma oma kodanikke, teiselt poolt on üldsusel aga vabadused ja õigused. Samuti on lõhe kaitse- ja ründeotstarbelise kübervõimekuse vahel: esimene neist ei tekita kuigivõrd suurt poleemikat, teine aga põhjustab märkimisväärset ebamugavust.
Bryza osutas ka Ameerika Ühendriikide ja Euroopa üldsuse erinevale suhtumisele võimudepoolsesse jälitustegevusse. Pärast 11. septembri terrorirünnakuid tunnevad ameeriklased suuremat muret oma julgeoleku pärast ning kaitseks terroristide ja kurjategijate eest eeldavad oma valitsuselt seetõttu ulatuslikumat elektronseiret. Otsekohe pärast PRISM-i skandaali puhkemist väljendas 56% ameeriklastest endiselt toetust riikliku julgeolekuagentuuri NSA seireprogrammidele, ehkki sestpeale on see arv langenud 44 protsendile. Vastukaaluks sellele usaldatakse mitmes Euroopa riigis valitsust märksa vähem.
Krzysztof Bondaryk rõhutas omalt poolt, et küberjulgeolek algab heast küberhügieenist: kõik arvutikasutajad peaksid võtma tarvitusele meetmed oma privaatsuse ja identiteedi kaitseks. Paraku ei mõista paljud Interneti-kasutajad, et nad müüvad oma eelistusi turul. Bondaryk osutas teatavale ambivalentsusele Poola ühiskonnas: ühest küljest nõuavad poolakad, et valitsus tagaks nende julgeoleku, samal ajal aga keelduvad nad täitmast riigi sätestatud kohustusi.
Võimud peaksid isiklike andmete hankimiseks kasutama proportsionaalseid meetmeid
Nataša Pirc Musar seisis oma sõnavõtus selle eest, et õiguskaitse- ja julgeolekuorganisatsioonide tegevusele andmete kogumisel tuleb rakendada proportsionaalsuse põhimõtet. Õiguskaitse- ja julgeolekuorganisatsioonidele iseloomulik „ahnus“ kõigi kättesaadavate andmete kogumisel – sealhulgas nende andmete kogumine, mille järele neil pole mingit vajadust – on vastuolus proportsionaalsuse põhimõttega. Pirc Musar sõnas, et andmete kogumisel peab olema legitiimne eesmärk ning võimud peaksid sellele eesmärgile jõudmiseks kasutama vaid sobilikke, vajalikke ja mõistlikke meetmeid.
Pirc Musar kordas Bryza mõtet, tuues esile erinevused Ameerika Ühendriikide ja Euroopa riikide arusaamades jälitustegevuse ja andmekaitse kohta. Ta selgitas, et Ameerika Ühendriikides peetakse andmekaitset kodanike ja tarbijate õiguseks, Euroopas aga käsitletakse seda põhiseadustes sätestatud inimõigusena. Lisaks sellele on erinevusi jälitustegevuse praktikasse rakendamisel: Ameerika Ühendriikides on andmed NSA valduses, Euroopas aga säilitatakse neid sideteenuste pakkujate juures ning politsei ja julgeolekuagentuurid saavad neile üksikasjalikuma ligipääsu vaid siis, kui kohus annab selleks loa. Ta väitis, et Ameerika Ühendriikides ei kontrolli keegi, mida NSA kõigi nende andmetega teeb.
Eesti näide kui eeskuju selles vallas, kuidas luua töökindlus avalikus ja erasfääris
Heli Tiirmaa-Klaar märkis oma ettekande alguses, et Eestis ei toimu erilist debatti isikuandmete kaitse üle, kuna kõik küberruumis sooritatavad toimingud tuginevad Eesti turvalisele elektronisikutunnistuste süsteemile.
Tiirmaa-Klaar väitis, et julgeolek ja vabadus ei välista teineteist. Julgeolek on vabaduse eeldus, selgitas ta, ning oma vabaduse kaitsmiseks on meil vaja teatud minimaalset julgeolekut. Küberruumis on turvalisus alati olnud hilisem lisandus, kuna küberruumi aluspõhimõte on töökindlus ehk äritoimingute katkematus. Küberruumis ei ole turvalisus tehnoloogiasse sisse ehitatud nagu näiteks lennunduses. Lennukiga lennates on meil õigustatud ootus, et see ei kuku alla. Küberruumis nii ei ole.
Ajal, mil Internetist on saanud meile kõigile ülioluline taristu, väitis Tiirmaa-Klaar, puuduvad meil sellele rakenduvad turvaprotseduurid, mis on olemas muu samalaadse taristu puhul. Tuginedes 2007. aastal toimunud Eesti-vastastest küberrünnetest omandatud teadmistele, tegi Tiirmaa-Klaar kaks olulist järeldust: esiteks, kuna küberründed kuuluvad tulevikus kindlasti kõigi konfliktide juurde, on võimud kohustatud kriitilise tähtsusega taristut küberrünnete eest kaitsma. Nappide vahenditega väikeriigina otsustas Eesti keskenduda kriitilise tähtsusega taristu kaitsmisele ning avaliku ja erasektori vahelise partnerluse loomisele ja edendamisele. Tänapäeval on Eesti näitest saanud rahvusvaheline eeskuju, kuidas luua töökindlus nii avalikus kui ka erasfääris. Teine 2007. aasta sündmustest saadud õppetund on see, et rahvusvahelisel koostööl on võtmeroll küberrünnete tagajärjel tekkinud kahjude leevendamisel. Nüüdseks on enamik rahvusvahelisi organisatsioone asunud küberjulgeolekut edendama, mis 2007. aastal sugugi nii ei olnud.
Rääkides sellest, kuidas võimud peaksid seda taristut kaitsma, soovitas Tiirmaa-Klaar igal riigil leida selleks omaenda mudel. Riiklikul tasandil peaksid kõik riigid püüdma saavutada oma kriitilise tähtsusega infotaristu töökindlust. Rahvusvahelisel tasandil peaksid riigid kokku leppima küberruumis käitumise reeglites, tehnilised organid peaksid omavahel vahetama teavet küberintsidentide kohta, riikide reguleerimisorganid peaksid isekeskis oma tähelepanekuid võrdlema, diplomaadid peaksid kübermõõtmest kujundama oma igapäevase tegevuse osa, rahvusvahelised organisatsioonid aga peaksid looma platvormi tõhusamaks koostööks.
Usaldust ja turvalisust loovad meetmed küberruumis
Rahvusvahelisest õigusest kõneldes väitis Tiirmaa-Klaar, et rahvusvaheline kübersõjaõigus ei hakkaks tööle, kuna kübervahendeid juba loomu poolest võimalik kasutada mitmel otstarbel ning ei ole võimalik kontrollida, kes neid kasutab või milleks. Tema enda sõnad olid: „Kuidas kontrollida pidžaamades tüüpe, kes istuvad pööningul ja teevad seal sülearvutitega midagi halba?“ Küberjulgeolekut puudutav leping ei ole õige lahendus, kuna see legitimeeriks nende valitsuste tegevust, kes üritavad oma kodanikke kontrollida. Selle asemel on tarvis tekitada riikide vahele usalduslikud suhted, samuti luua normid ja seadusandlus riikidepoolseks vastutustundlikuks käitumiseks küberruumis. Tiirmaa-Klaar möönis, et küberrünnete toimepanijate tuvastamine on endiselt suur probleem, kuid väitis, et riikidevahelist usaldust loovad meetmed – näiteks küberjulgeoleku teemalised ühisettevõtmised, õppused, infovahetus, küberdiplomaatia jne – võivad anda häid tulemusi.
Vastuseks kuulajaskonnast tulnud küsimusele, kas küberrünnetele kohaldub Põhja-Atlandi leppe 5. artikkel, leidis Tiirmaa-Klaar, et kuna sellistel rünnetel on poliitiline motiiv, valib NATO oma tegevussuuna vastavalt poliitilisele kontekstile. Selline seisukoht on välja toodud ka NATO küberkaitsepoliitikas (aastast 2011), kus on kirjas, et „kõik NATO kollektiivsed kaitsereaktsioonid sõltuvad Põhja-Atlandi nõukogu poliitilistest otsustest. NATO ei otsusta ette ühtki reaktsiooni ning säilitab seeläbi paindlikkuse otsustamisel, milline tegevussuund valitakse ja milline mitte.“
Kokkuvõtte koostas RKK teadur Piret Pernik.