koned

Kõned

- Reset + Prindi

Vabariigi presidendi avakõne konverentsil "CyCon 2017" 31. mail 2017

Vabariigi presidendi avakõne konverentsil © Kristi Kamenik (CyCon)

31.05.2017

Lugupeetud CyConi külalised!

Info- ja kommunikatsioonitehnoloogia kasutamine on ühiskondi ja organisatsioone rohkem sidunud. Kuid samal ajal on see avalikele asutustele, elutähtsate teenuste osutajatele ja erasektorile toonud kaasa uusi raskusi ja ohte.

Aprillis möödus kümme aastat 2007. aasta küberrünnetest Eesti vastu. Tol aastal olid paljud Eesti era- ja avalik-õigusliku sektori e-teenused silmitsi pahatahtlike küberoperatsioonidega. Koordineeritud ründed juhtisid rahvusvahelise kogukonna tähelepanu tõsistele ohtudele, mida toob kaasa riikide ja nende elanike üha laialdasem küberruumi kasutamine. Tagasi vaadates olid need üsna leebed ja lihtsad hajusad teenusetõkestusründed. Võrreldes edaspidiste rünnetega tekitasid need palju vähem kahju. Siiski oli see esimene kord, kui küberruumi kohta sai kasutada Carl von Clausewitzi ütlust: "Sõda on poliitika jätkamine teiste vahenditega."

Kümme aastat hiljem on selge, et Eesti otsus mitte taganeda, vaid jääda paigale ja võidelda oma küberruumi turvalisuse eest oli õige. Meil on hästitoimiv e-riigi taristu, usaldusväärne digitaalne identiteet, kõikidele valitsusasutustele kohustuslik turvameetmete süsteem ning keskne süsteem küberintsidentide seireks, lahendamiseks ja nendest teatamiseks.

Kaitse kõige tähtsam osa on muidugi ühine arusaam, et kaitset ei saa iial tagada tehniliselt, süsteemis ja tagaplaanil. Lõpuks taandub kõik siiski inimeste küberhügieenile. Samuti peame aru saama, et küberründed ei kao mitte kuhugi, kuid see ei tähenda, et ausate ühiskondade juhtimiseks ei tohiks kasutada tehnoloogilisi uuendusi. Pigem vastupidi – peame kiirendama avalike hüvede pakkumist küberruumi kaudu, mitte jätma seda kurjategijate meelevalda. Me kaitseme oma tänavaruumi ega ole iial nõus taganema. Samamoodi tuleb käituda küberruumis.

Milliste ohtudega me silmitsi oleme, millist liiki ohte peab arvesse võtma ja kuidas end paremini kaitsta? 2016. aastast jääb meelde palju enneolematuid küberintsidente, mis leidsid aset kogu maailmas. Nägime, kuidas üks riik püüdis mõjutada valimisi teises riigis. Nägime, kuidas WannaCry kasutas ära asjaolu, et inimesed ei uuenda oma programme, ja näitas sellega, et me ei tarvita ikka veel kaitsevahendeid, mis meil olemas on. Enamik inimesi tegutsevad küberruumis hooletult, just nagu need, kes sõidavad kiirteedel kinnitamata turvavööga. Nägime, kuidas asjade internetti kasutati selleks, et rünnata interneti tuumteenuseid, ning selle mõjud levisid üle piiride ja mandrilt mandrile.

Internetiühendusega seadmete arv on juba mitu korda suurem kui nende seadmete arv, mida me harjumuspäraselt arvutiks nimetame. Asjade internet on tekitanud uut liiki ohu, mida pole oodanud ei tootjad ega kasutajad. Asjade internetiga ühendatud seadmete kohta ei ole kehtestatud ühtki küberjulgeolekuga seotud erinõuet ega standardit. Kogu sektor on arenenud nii kiiresti, et turgu reguleerivad asutused ei ole suutnud selle tehnoloogia arenguga sammu pidada. Selle tulemusel on asjade internetiga ühendatud seadmetest tulenevate ohtudega tegeletud pigem tagantjärele kui ettenägevalt: tähelepanu keskpunktis on intsidentide tagajärgede vähendamine ja kõrvaldamine. Asjade internetiga ühendatud seadmeid ära kasutavad ulatuslikud hajusad teenusetõkestusründed kujutavad võimalikku ohtu riikidele ja ka põhilisele internetitaristule.

Elutähtsad teenused sõltuvad üha enam küberruumist. 2016. aastal toimunud üleilmsete sündmuste põhjal võis küberintsidentide enneolematult suurt mõju täheldada peamiselt energia-, tervishoiu-, finantsteenuste ja transpordisektoris. Aastase vahega toimunud kaks rünnet Ukrainas asuvatele energiasüsteemi struktuuridele tähistasid täielikku muutust. Aasta tagasi peeti energiasüsteemi halvamist erakorraliseks juhtumiks, kuid 2016. aastal olid ohtlikud kübernõrkused päevakajalised ka arenenud ja stabiilsetes riikides. Loomulikult ei peegelda kõik ründed konkreetse riigi geopoliitilisi huve. Siiski on väljakujunenud suundumus selline, et riikidevahelised pinged väljenduvad ka küberruumis.

Mida teha? Milliseid meetmeid saaksime võtta Eesti e-riigis?

Teabesüsteemid on Eesti riigi lahutamatu osa. Eesti õigusaktides eeldatakse juurdepääsu registritele. Eesti riigil on digitaalne selgroog, millele tugineb kõik muu. Kui soovitakse, et riik ja ühiskond toimiks inimestele harjumuspärasel viisil, peavad kõik digiteenused töötama ladusalt. Niisiis peab digiriik olema suuteline pidama sammu muutuvate ootustega. Inimesed soovivad, et nende riik oleks digitaalne, aga ka turvaline.

Eesti lähtub sisseprojekteeritud turbe põhimõttest. See üldine arenduspõhimõte kehtib ka uuenduste kohta, mis töötatakse välja tehnoloogiliste edusammude tulemusel. Seda kohaldatakse järjepidevalt Eesti digiühiskonna alustalade suhtes, näiteks autentimiseks kasutatava elektroonilise identiteediga (eID) ja riigi infosüsteemide andmevahetuskihiga X-tee seotud lahenduste suhtes.

Usaldusväärne elektrooniline identiteet muutub digiühiskonnas üha tähtsamaks: on äärmiselt oluline, et teaksime kindlalt, kes on kes elektroonilises maailmas. Eesti on elektroonilise identiteedi vallas teerajaja ning meile on sageli viidatud kui eeskujule, keda tuleks järgida.

Nüüdseks teame kõik, et autentimist ainuüksi parooli abil ei saa pidada enam turvaliseks. Eestis on riigi süsteemid ja e-teenused, kus kasutatakse ID-kaardi ja mobiil-ID põhiseid autentimissüsteeme, korralikult turvatud füüsilise komponendi ja kahe parooli abil.

Võrreldes ülejäänud maailmaga muudab see juurdepääsu Eesti riigi- ja pangateenuste andmetele väga keeruliseks ja kulukaks ning vähendab kurjategijate seas huvi nende teenuste kui sihtmärgi vastu.

Suured üleilmsed teenusepakkujad, näiteks Google, Facebook ja Microsoft, on toonud edukalt turule kaksikautentimise ja selle kasutamine suurenes 2016. aastal märkimisväärselt. See tähendab, et kõik arenenud riigid peavad nüüd kindlasti järgima Eesti, Google'i, Facebooki ja Microsofti eeskuju, kui nad ei soovi kaotada oma kodanike tähelepanu.

Arenenud riigi iga kodanik on üha enam seotud teenustega, mida pakub internetis erasektor.

Niisiis on mul küsimus: miks usaldada riiki, kes ei ole suuteline vabastama oma kodanikke kohustusest käia riigiasutustes kohapeal, kui iga poeomanik suudab vabastada inimesed kohustusest ilmuda poodi isiklikult kohale? See on küsimus, mida valitsused peavad endilt nüüd küsima, kui nad seda veel siiani teinud ei ole.

Euroopas peaksid riigid olema praegu eIDASe (määrus e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) rakendamisega poole peal. 2018. aasta septembriks peaksid ELi liikmesriigid aktsepteerima üksteise eIDsid. Et see tegelikkuseks saaks ning et ELi kodanikel ja elanikel oleks selle tulemusel turvalisem, peavad ELi liikmesriigid eIDASe rakendamist kiirendama. See tähendab näiteks seda, et riiklikest eID kavadest tuleks hakata teavitama. Kuid tegelikult vajame siiski ka seda, et riigid võtaksid kõigepealt kasutusele turvalised eIDd. Kaugeltki kõik ei ole veel sinna jõudnud.

Teen veel ühe märkuse kaksikautentimise kohta. Loomulikult ei ole see iseenesest mingi võlukepike. Et krüptoalgoritmid vananevad ning hiljuti murti lahti tekstsõnumside ehk kõneside alusprotokoll, peavad sellised riigid nagu Eesti ning sellised äriühingud nagu Google, Facebook jt jätkama kogu aeg tööd tegurite endi turvalisuse suurendamiseks.

Kõik probleemid, mille me tehniliselt lahendame või millega oleme silmitsi ja mida ei oska veel lahendada, peavad saama ka õigusliku lahenduse. Käsiraamat „Tallinn Manual 2.0" on vaieldamatult üks kõige laiapõhjalisematest analüüsidest küberoperatsioonide suhtes kohaldatava rahvusvahelise õiguse kohta.

Õigusriigi põhimõtteid järgivate liberaalsete demokraatlike riikide puhul kujundab ja piirab rahvusvaheline õigus kahtlemata valitsuse tegevust.

Rahvusvahelist õigust kohaldatakse küberruumis. Ajal, mil vastutustundetute riikide ja vägivaldsete äärmuslaste rühmituste tegevus ohustab pidevalt rahvusvahelist rahu ja julgeolekut, on veelgi tähtsam, et sellele tegevusele astutakse vastu vankumatu pühendumusega kehtivale rahvusvahelisele õigusele ja väärtustele, mida see kehastab.

Küberoperatsioonid on muutunud rahvusvaheliste suhete lahutamatuks osaks. Hiljuti avaldatud käsiraamat "Tallinn Manual 2.0" küberoperatsioonidele kohaldatava rahvusvahelise õiguse kohta on riiklikele õigusnõunikele praktiline juhend, kuidas neid küsimusi lahendada.

Enamik hiljutistest intsidentidest, kus on kahtlustatud valitsusega seotud isikute sekkumist, on olnud allpool ÜRO põhikirjas määratletud jõu kasutamise künnist. Need on nn rahuaja operatsioonid. See ongi valdkond, millele on keskendunud "Tallinn Manual 2.0". Ükski teine algatusprojekt maailmas ei sisalda nii laiahaardelist ülevaadet, mille on koostanud paljud eksperdid eri riikidest.

Seda saavad nüüd kõige paremini kasutada riigid, kes püüavad koostada riiklikke seisukohti rahvusvahelise õiguse kohaldamise kohta küberruumis. Valitsusnõunikud saavad esitada õigusliku arvamuse mitmesuguste rünnete ja nende analüüsimise viisi kohta, lähtudes sarnases valdkonnas kehtivast õigusest. "Tallinn Manual" võib olla selles ülesandes suureks abiks.

Alati, kui räägime julgeolekust, peavad riigid otsustama tegutsemiskünnise üle. Kus on nende viimane piir? Ainuüksi nende viimaste piiride määratlemine oleks kübervaldkonnas hoiatava toimega. Samuti suurendaks kübervaldkonna läbipaistvust see, kui riigid määratleksid, millised nende künnised on, et tagada ühtaegu nii interneti turvalisus kui ka selle kasutamise vabadus. Me ei soovi loobuda oma vabadusest ka küberruumis.

Nagu teate, saab Eestist varsti Euroopa Liidu Nõukogu eesistuja. Meie eesistumisperioodil järgitakse jõulist digitaalvaldkonna kava. Peame hoolitsema selle eest, et küberruumis valitseks head jõud ja et me ei jätaks seda tumedate jõudude meelevalda. Maailma tulevik on digitaalne. Jõukas ja kestlik Euroopa võtab tehnoloogilised ümberkorraldused omaks, kasutades otsustavalt ära selle suundumusega kaasnevaid võimalusi. Samal ajal põhjustavad kiire muutus ja uus tehnoloogia alati haavatavust: meie ülesanne on neid ohte ja kasutegureid hoolikalt tasakaalustada.

Tehnoloogiline uuendus iseenesest ei ole lõppmäng, vaid vahend, mis võib muuta inimeste, äriühingute ja valitsuste elu lihtsamaks. Seepärast on nutikate IT-lahenduste kasutamine meie jaoks joon, mis läbib kogu eesistumisperioodi – EL on keeruline organisatsioon ning me peaksime kasutama iga võimalust, et muuta selle toimimine tõhusamaks ja arusaadavamaks.

Samamoodi on andmete vaba liikumine miski, mis puudutab kõiki Euroopa poliitikavaldkondi ja põhivabadusi. Peame leidma viisid, millega tagada, et andmeid kasutatakse meie isiklikes ja ühistes huvides turvaliselt.

80% ELi kodanikest kasutavad internetti. Seda arvestades tundub mõttetu küsida, miks peaksime mõtlema ja tegutsema digitaalselt: pigem on küsimus selles, kuidas seda teha. Me ei taha tüüdata oma Euroopa sõpru ja kolleege lugudega Eesti e-riigist, vaid selle asemel loodame, et meie kogemused selles vallas on abiks ja innustuseks. Mõistame, et eri ühiskonnad on digitehnoloogiale üleminemisel silmitsi väga eriilmeliste raskustega. Saame oma kogemuste põhjal anda vastuseid ja osutada mõningatele võimalikele probleemidele, kuid me ei tohi ega kavatse kutsuda teisi üles tegutsema samamoodi nagu meie. EL on erinevate rahvusriikide liit ja igal riigil on omaette kultuur. Seda kultuuri tuleb digitehnoloogiale üleminekul alles hoida, sest inimesed eeldavad seda.

E-residentsus, maksude deklareerimine internetis vaid viie minutiga või digiretseptid ei ole lihtsalt toredad teenused, millest konverentsidel rääkida, vaid reaalsed lahendused, mis toovad kasu nii inimestele kui ka riigile. Need säästavad aega ja jätavad puud metsa. Digitehnoloogiast mõeldakse sageli majanduse ja tõhususe kontekstis – tõepoolest, hinnanguliselt säästame 2% oma SKPst tänu sellele, et allkirjastame kõikvõimalikke dokumente digitaalselt, kuid me kasutame digitaalseid vahendeid ka siis, kui soovime rääkida oma pereliikmetega, otsida töökohta, kuulata muusikat või liikuda ratastooliga.

Keskendume oma Euroopa Liidu Nõukogu eesistumisperioodi ajal digitaalse ühtse turu rajamisele, e-lahenduste ja andmete kasutamise laiendamisele ning piiriüleste e-teenuste arendamisele.

Meie arvates on Euroopa valmis käiguvahetuseks ning ühise, tänapäevase, juurdepääsetava ja turvalise elektroonilise keskkonna loomiseks. See on keskkond, kus inimesed saavad ostelda internetis piiriüleselt või suhelda valitsusega või üksteisega mugavalt ja hirmu tundmata.

Seepärast saabki küberjulgeoleku areng üheks sambaks meie Euroopa Liidu Nõukogu eesistumisperioodi põhiprogrammis. Peame keskenduma liikmesriikide vaheliste eelseisvate strateegiliste arutelude edendamisele, sest eelduste kohaselt peaks meil sügisel olema arutluse all Euroopa Liidu küberjulgeoleku strateegia. Näeme vaeva selle nimel, et võrgu- ja infoturbe (NIS) direktiiv hakkaks tõhusalt toimima, juhtides näiteks selles kavandatud koostöökogude tööd.

Samuti juhime arutelusid nõuetekohase institutsioonilise ülesehituse üle ELi tasandil, näiteks läbirääkimiste kaudu Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) mandaadi üle nõukogus. Viimasena, kuid mitte sugugi vähem tähtsana võtame konkreetseid meetmeid Euroopa kübervastupanuvõime suurendamiseks, näiteks korraldame mudelõppuse kaitseministritele või koostame juhendi selle kohta, kuidas reageerida küberintsidentidele ELi tasandil. See on kuue kuu kohta üsna mahukas programm.

Samuti peame looma Euroopa sertifitseerimissüsteemi, eelkõige selleks, et asjade internetis oleks turvaline. Euroopa Liidu küberjulgeoleku sertifitseerimissüsteemi väljatöötamine hoiab ära selle, et igas ELi liikmesriigis tuleb sertifitseerida äriühinguid eri meetodite ja hindamiskriteeriumide alusel. Kuid iga süsteem, standard ja sertifitseerimismeetod aitab vaid siis, kui me saame seejuures õpetada inimesi kandma hoolt oma hügieeni eest internetis.

Töö käigus õppimine on siiani olnud võimalik, kuid mida rohkem igapäevaelu internetiteenustest sõltub, seda ettevaatlikumad peavad inimesed olema ja seda rohkem peavad nad neid ohte teadvustama. Siinkohal näen ma ELi ja NATO suurimat koostöövaldkonda – teadmiste jagamist kodanikuühiskonnale, kuid mitte nii sõjalises võtmes, nagu seda tehakse kübervaldkonnas.

Kallid sõbrad! Lubage mul lõpetuseks öelda, et ma hindan kogu CyConi meeskonna tööd väga kõrgelt.

CyCon on ainulaadne oma mitut valdkonda hõlmava lähenemisviisi poolest, mille raames tuuakse kokku valitsuse, sõjalised ja tööstusharu esindajad, et käsitleda õiguslikke, tehnoloogilisi ja strateegilisi väljavaateid ning vahetada mõtteid keerulisel küberkonflikti teemal.

Tunnustan NATO küberkaitsekoostöö keskuse CCD COE suurepärast tööd selle ürituse ettevalmistamisel. Tänan, et panite meid kõiki end turvalisemalt tundma ja pakkusite valikut, mis lubab kasutada tehnoloogiast tulenevaid võimalusi, selgitades inimestele sellega seotud ohtusid ja andes selle üleilmse selgitustöö käigus nii riikidele kui ka erasektorile tunde, et nad saavad küberruumi usaldada sama palju nagu muid sarnaseid valdkondi.