- Reset + Prindi

Plenaarettekanne Euroopa Kaitseagentuuri aastakonverentsil "Turvalisus digiajastul: Euroopa koostöö lisaväärtus"

 Plenaarettekanne Euroopa Kaitseagentuuri aastakonverentsil © Vabariigi Presidendi Kantselei

22.11.2017

Lugupeetud härra Domecq, daamid ja härrad!

Ma vabandan järgmise kalambuuri eest – ma tean, et olen viimane tulemüür teie ja lõunasöögi vahel, seetõttu lubage mul kohe asja kallale asuda. On kolm teemat, mida ma pean oluliseks ja mida ma soovin teiega jagada. Need on küberhügieeni olulisus kõigi inimeste jaoks, kõiki otsustajaid puudutav vajadus küberturvalisust tõeliselt mõista ja küsimus sellest, milline peaks selle juures olema Euroopa Kaitseagentuuri roll.

Arvatavasti pole vaja mitte kellelegi selles ruumis viibijatest küberturvalisuse olulisust rõhutada. Kuid samuti olen ma kindel, et seda tunnet, kui oluline ja tähelepanu vajav teema see on, jagab ka enamik inimesi väljaspool seda konverentsiruumi. Või kui võtame veel isiklikuma küsimuse – küberhügieeni –, siis muret selle pärast jagavad kõik meie seast.

Võtkem näiteks USA Demokraatliku partei kongressi meiliserverisse sissemurdmise juhtumi 2016. aastast. Pole oluline, mida arvame selle kohta, kes võis selle operatsiooni taga olla või kui palju võis see vahejuhtum USA presidendivalimiste tulemusi mõjutada. Tõsi näib olevat asjaolu, et võimalikuks sai niisugune asi peamiselt tänu sellele, et pääseti ligi Clintoni kampaaniajuhi John Podesta kontole. See ei olnud tehniliselt keeruline operatsioon, pigem oli see väga lihtne andmepüük.

Mis seisnes selles, et keegi esitles ennast Google Mailina ning pettis härra Podestalt ja tema IT-toega tegelevatelt inimestelt välja nende salasõnad. See koos kahekomponendilise autentimise puudumisega andis tulemuseks ühe viimastel aastatel kõige enam jutuainet pakkunud sissetungimise meiliserverisse. Ja see näitab – muu hulgas – ka seda, kui vähe järgivad inimesed kas või kõige algelisemat küberhügieeni ning millised tagajärjed sellel võivad olla.

Kuid mitte mingil juhul ei taha ma selle juhtumi puhul süüdistada ohvrit. Sest see oli lihtsalt üks märk üldisemast probleemist. Ja see probleem püsib senikaua, kui kõige populaarsemad salasõnad on „password", „12345" ja „qwerty". Ma olen üsna kindel, et ka siin, selles ruumis viibib vähemalt paar inimest, kes mõnda seda laadi salasõna kasutavad.

Seetõttu ei tohiks me unustada – kõigi nende uhkete algatuste ja küberkaitseprogrammide ja uute, loodavate asutuste kõrval –, et inimfaktor ja elementaarne küberhügieen on endiselt asjad, mis ka tulevikus turvarikkeid põhjustavad.

Tuleb tunnistada, et küberhügieeni jõustamine on peamiselt liikmesriikide teema. Kuid Euroopa Liit saab selles vallas olla projektide algatamisega teadlikkuse kasvatamisse panustaja ning toetaja. Ja ma olen kindel, et iga liikmesriik juba teeb midagi selles vallas. Teema olulisust arvestades usun ma, et praktiline oleks üksteiselt õppida ja omavahel parimaid praktikaid jagada.

Sellega jõuan ma teise teema juurde – otsustajate teadlikkus ja küberjulgeoleku küsimuste mõistmine. Suurem osa tänapäeva poliitikutest tunnistavad, et küberkaitse on oluline, nad räägivad selle keelt jne, ning paljud küberkaitse-initsiatiivid naudivad siirast poliitilist toetust. Aga mastaapsed küberrünnakud ei taba meie süsteeme piisavalt sageli, et poliitilise tasandi otsustajad nendega otseselt kokku puutuksid. Tavaliselt on pigem tehniline personal ja riigiametnikud need, kes siis otsuseid langetavad.

Selles mõttes on mul väga hea meel, et Eesti EL-i eesistumise ajal korraldas Eesti kaitseministeerium koostöös Euroopa Kaitseagentuuriga septembris strateegilise küberõppuse CYBRID 2017. See õppus oli esimene omataoline, millesse olid kaasatud EL-i riikide kaitseministrid ning vaatlejana ka NATO peasekretär. Ning paljude teiste väärtuslike õppetundide seas näitas CYBRID 2017 ka seda, et kuigi poliitilise tasandi otsustajad oleksid küberrünnaku korral esimesed, kes peavad reageerima ja otsuseid langetama, jätavad nende arusaamad, teadmised ja teadlikkus küberrünnakute olemusest endiselt paljuski soovida. Ärge võtke seda minupoolse kriitilise noodina. Pigem näitab see, et CYBRID-i sarnaseid õppusi tuleks korraldada regulaarselt nii liikmesriikide kui ka EL-i tasandil.

Meil oli Eestis hiljuti ID kaardiga, ma ei kutsuks seda digitaalseks tõrkeks vaid pigem digitaalseks raskuseks. See ei olnud midagi, mille oleksime ise põhjustanud, vaid selle põhjus oli rahvusvaheline. Ja me õppisime sellest palju, et tegelikult sellisest väga tõsisest intsidendist, mis tegelikult mõjutas poolt Eesti elanikkonnast, on võimalik välja tulla nii, et kõik süsteemid töötavad. Ja mis veelgi olulisem, me märkasime, et meie inimeste jaoks ei olnud tagasiminek analoogsüsteemi peale alternatiiv. Nad keeldusid analoogi alternatiivina aktsepteerimast. Nad tahtsid kindlasti jätkata e-teenuste kasutamisega.

Nad nõudsid, et valitsus parandaks sõitvat autot. Ja selline kogemus on väärt jagamist, sest näitab, kui sõltuvad on ühiskonnad praegu, kui sõltuvad nad saavad olema tulevikus ja et me peame olema valmis mõeldamatuks. Sa ei tea, millal see juhtub ja mis juhtub, samal ajal pead sa olema valmis sellest oma inimestele rääkima esimestel minutitel, mil see juhtub, et nad teaksid, kuidas reageerida.

Seesuguste ühekordsete ürituste korraldamine poleks jätkusuutlik edasiliikumise tee, sest kübersfäär areneb ka sel ajal, kui me sellest räägime. Täna kasutusel olevad otsustusprotsessid pole homme võibolla enam asjakohased. Sel ajal kui poliitilised otsustajad enda teadlikkust parandavad, on vaja rääkida ka asjadest, mis on poliitiliselt tundlikud. Nende hulka kuulub ka vastutuse omistamine. Esmapilgul näib see tehnilise küsimusena, kuid lõppude lõpuks on see siiski poliitiline otsus. See puudutab ka valikut ründava ja kaitsva tegutsemise vahel. Loomulikult on need küsimused liikmesriikide otsustada, aga sellele vaatamata tuleks nende üle mitte ainult arutada, vaid ka strateegilisel tasandil tegutseda.

Daamid ja härrad!

See toob mind uuesti küsimuse juurde, milline peaks selles olema Euroopa Kaitseagentuuri roll. Nagu te kõik teate, on komisjon olnud väga aktiivne küberteemadega tegelemise vajaduse rõhutamisel. Mul on hea meel, et esmaspäeval võttis üldasjade nõukogu vastu resolutsiooni küberjulgeoleku kohta. Koos Euroopa Komisjoni küberpaketiga annab see järgnevateks aastateks küberjulgeoleku teemadega tegelemisele kahtlemata uue hoo sisse. Ma teadlikult ei lasku detailidesse ega räägi mitmesugustest projektidest, mida nende dokumentidega ette nähakse, kuid üldisemal tasandil on selge, et neile teemadele pööratakse suurt tähelepanu ja nende jaoks nähakse ette ressursse.

Ma tõesti usun, et sellises olukorras peaks Euroopa Kaitseagentuur jätkama nende edukate projektidega, millega ta seni on tegelenud, ning täiendama Komisjoni projekte ilma neid liigselt dubleerimata. Näiteks usun ma, et Euroopa Kaitseagentuur peaks keskenduma haridusele, koolitustele ja strateegilise tasandi harjutustele, sest need on valdkonnad – soovime seda või mitte –, milles liikmesriikidel on kõige suuremaid vajakajäämisi. Kuid samal ajal on neil olemas tahe Euroopa tasandil rohkem koostööd teha. Me peame mõtlema ka selle peale, kuidas saaksid Euroopa Kaitseagentuuri kübertegevused anda oma panuse Euroopa kaitsetööstuse arendamisse ning alalise struktureeritud koostöö programmidesse, aga ka vastupidi.

Lugupeetud osalised!

Viimasena sooviksin ma kõigile meelde tuletada seda, kui kiiresti muutub kübermaastik ja sellega koos ka väljakutsed. Et homse tundmatuga tegelemine on reegel, mitte erand.

2017. aastal tähistatakse kümne aasta möödumist kolmest olulisest kübermaailma sündmusest. 2007. aasta aprillis sai Eestist esimene riik, keda tabas poliitiliselt motiveeritud koordineeritud küberrünnak. Vähem mäletatakse – vähemalt Eestis – sündmust, mis on ehk veel olulisem: nimelt tutvustas 2007. aasta juulis Apple maailmale oma esimest nutitelefoni. Ja 2007. aasta märtsis Idaho riiklikus laboris tehtud katse, mis sai nimeks Aurora Generation Test, tõestas, et küberrünnakut on võimalik kasutada elektrivõrgu komponentide hävitamiseks.

Viimased kümme aastat on näidanud, et nutitelefonidest on – koos kõigi nende võimaluste ja ohtudega – saanud esmatarbekaup kõikjal maailmas. Küberrünnakuid riikide vastu küll igapäevaselt ette ei tule, kuid samas pole need enam ka midagi üllatavat ega uut. Reaalse ja materiaalse taristu vastu korraldatud küberrünnakud – olgu selleks Ukraina elektrivõrgu ründamine 2015. aastal või Iraani tuumatsentrifuugide ründamine 2009. aastal – on nüüdseks reaalsus.

Niisugused arengud võivad tunduda kiired – aga ainult siis, kui võrdleme neid näiteks sellega, kui mitu aastakümmet kulus selleks, et püssirohi muutuks tavaliseks sõjapidamise vahendiks. Kübervaldkonnas kogub muutuste tempo iga päevaga kiirust. Võtkem kas või AlphaGo Zero, mis on põhimõtteliselt tehisintellekti versioon vanast Hiina strateegilisest lauamängust Go. Ühe Google'i omanduses oleva firma poolt sel aastal välja töötatud süsteemil kulus 3 päeva, et võita inimesest vastast, 21 päeva, et võita iseenda vana versiooni, ja 40 päeva, et ületada põhimõtteliselt kõiki varasemaid versioone. See on tõenäoliselt järgmine tõsine samm tehisintellekti loomise suunas. Mis võib viia meid üsnagi ulmelistesse tulevikustsenaariumitesse.

Muu hulgas demonstreerivad need näited ka seda, et muutuste tempo on kasvamas juba nii suureks, et me ei saa olla valmis kõigeks, mis kübermaailmas juhtuda võib, ja samuti ei saa me koolitada otsustajaid mingi konkreetse ootamatu sündmuse jaoks. Aga mida me saame teha ja mida me ka peaksime tegema, on olla valmis mõtlema ka mõeldamatute stsenaariumite peale.

Tänan tähelepanu eest!

Ettekanne on algselt peetud inglise keeles ja tõlgitud eesti keelde. Kõne ingliskeelse versiooni leiab SIIT.