Autor: Marek Mühlberg • 1. oktoober 2012

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Sissejuhatus

Lubage mul kohe alustuseks öelda, et ma ei ole arvutinohik. Ma saan põhimõtteliselt aru, kuidas TCP/IP protokoll töötab. Programmeerima õppisin 13aastaselt, perfolinti kasutades. See oli umbes 45 aastat tagasi. Ainus kasu, mida ma sellest võib-olla sain, on see, et ma ei karda arvuteid ja ma usun, et lapsed võiksid õppida ja peaksid õppima programmeerimist juba varakult – see on seotud nii mõtlemisviisi kui ka võõrkeelega –, ja see ongi kõik.

Millega ma aga olen viimase paarikümne aasta jooksul tegelenud, on mõtlemine sellele, kuidas kasutada infotehnoloogiat riigi arengus. Alguses selleks, et ületada mahajäämus, mille nõukogude võim minu kodumaale kuritegelikul moel pikaks ajaks peale oli surunud. Hiljem, kui meie arvutistamispoliitika hakkas vilja kandma ja me jõudsime selle poolest ette suuremast osast arenenud maailmast, suuresti lääneriikidest, hakkas mulle muret valmistama see, kuidas tulla toime nende ohtudega, millega IT-ühiskond silmitsi seisab. Mitte üksnes seetõttu, et kõigest viis aastat tagasi tabas Eestit massiline piiriülene hajutatud teenusetõkestamise rünne. Jah, see oli häiriv, ent laiemalt vaadates suhteliselt primitiivne.

Muret olen hakanud tundma sellepärast, et ehkki nii Eestis kui ka paljudes teistes riikides on ilmselgelt infotehnoloogia ja sellega seotud teenustevõrk ühiskonda nõnda põhjalikult muutnud, et tagasipöördumist sellele eelnenud aega on võimatu ette kujutada, peame me küberohtusid enamasti militaarseteks või parimal juhul käsitleme neid klassikalise sõjapidamise nurga alt.

Austatud kuulajad, lubage mul selgitada.

Internet ja meie eluviis, kus kõik on omavahel tihedalt läbi põimunud, on justkui tohutult kiirendatud versioon neist muutustest, mis haarasid maailma tööstusrevolutsiooni sajandil.

Meie maailm ning arusaamad riigi suurusest, jõukusest ja võimust on teinud läbi paradigmamuutuse, nii et sõjalise jõu, rahvaarvu ja SKT omavahelised seosed tähendavad hoopis midagi muud kui üks inimpõlv tagasi. Nagu uudismullid, mis kajastavad viimaseid sündmusi, on need suhted pidevas muutumises – vanad ettekujutused ei pea lihtsalt enam paika, 20 aasta tagusest väikesest ja vaesest Ida-Euroopa riigist on saanud kübermaailma ja e-valitsemise liider, samal ajal kui mõni suur ja rikas riik näib ikka olevat kinni 20. sajandi tehnoloogias, ning valitsusvälised tegelased võivad vallandada rahvusriikides hävitustöö ja rünnak ei pruugi isegi olla sihitud regulaararmee vastu.

Sõjavägi ei ole enam peamine sihtmärk

Tõepoolest, sõjaväed on olemas selleks, et ühiskonda kaitsta. Varem tuli riigi ründamiseks, selle tegutsemisvõimetuks muutmiseks rünnata sõjaväge. Nüüd on vastase sõjaväest võimalik täiesti mööda minna. Samal ajal kui riigi järelevalve- ja andmehõivesüsteemide ning pankade töö halvatakse, võib sõjavägi jääda täiesti kõrvale, pealtvaatajaks. Sellest ei ole väga kaua aega möödas, kui riigi rikkuste ülevõtmiseks tuli haarata enda valdusse tema kaevandused, naftaväljad või sadamad. Tuli võidelda vastase sõjaväega. Tänapäeval, kui suur osa jõukusest luuakse intellektuaalomandi abil, tarvitseb vaid ettevõtte pikaajalise töö käigus välja arendatud tooted tema arvutisüsteemist välja õngitseda. Riigi laostamiseks piisab vaid pangaandmete kustutamisest.

Seega peame sõjaväelist küberjulgeolekut vaatama tervikpildis. Sõjaväe kaitsmine küberrünnaku eest on tähtis. Küberrünnakud sõjaväeliste sihtmärkide vastu on odav ja käepärane võimalus, millega takistada jõu kasutamist.

Need võimaldavad kehvapoolsel vastasel muuta kas või maailma võimsaima lahingujõu relvad toredaks metallihunnikuks, F35 hävituslennuki või superlennukikandja minevikupärandisse kuuluvaks tehnikasaavutuseks.

Seevastu küberrünnakud tsiviilobjektide vastu lähevad kaarega sõjaväest mööda. Sellised rünnakud, olgu need algatanud mõni riik või üksiküritaja või mõlemad koos, on sihitud ühiskonna vastu – sellesama ühiskonna, mis annab sõjaväe olemasolule üldse mõtte. Rikka riigi sõjavägi võib kulutada miljardeid oma kaitsekooriku tugevdamiseks – võib välja töötada oma kiibid, kaitsta end nõrgestavate rünnakute eest, kuid kui ühiskonnas endas valitseb tohuvabohu, siis mis mõtet on sõjaväel? Küberruumis ei ole ükski riik omaette saar ja ühtegi riiki ei ümbritse kaks ookeani, mis kaitseks teda harjumuspäraste väliste ohtude eest. Küberrünnakud sõjaväe vastu ei kujuta endast olemuslikku ohtu meie ühiskondade toimimisele, rünnakud tsiviiltaristu vastu aga küll. Just seetõttu valmistabki tsiviilvaldkonna küberjulgeolek mulle suuremat muret.

Ent vaadakem kõike laiemas plaanis. Kui me tõepoolest soovime asetada ühiskonna oma julgeolekumurede keskpunkti, siis – kui selle üle mõtlema hakata – on kõige kindlam ühiskonna kaitsmiseks kell tagasi keerata. Loobuda viimase 20 aasta edusammudest, võtta uuesti kätte paber ja pliiats, hakata kasutama trükimasinat ja käsilülitit, loobuda mobiiltelefonist, iPadist, kauba õigeaegsest kättesaamisest, moodsatest autodest, internetipangandusest, Facebookist ja Google'i otsingust – ühesõnaga kõigest, millega me tänapäeva maailmas oleme ära harjunud.

Seega ei peaks me muretsema küberkaitse pärast ainult selle halva tõttu, mida rünnak võib kaasa tuua, vaid nende võimaluste, selle hea tõttu, mida küberjulgeoleku puudumine võib meilt ära võtta. Ma tahan öelda, et peaksime muretsema selle pärast, mis ohustab meie moodsat eluviisi.

Kui me mõistame, et vajame ühiskonna kui terviku kaitset – nimetage seda totaalkaitseks, kui soovite –, siis peame üle vaatama paljud vanad, 1990ndate eelsed arusaamad, millele tuginedes me küberjulgeolekut käsitleme. Peame minema palju kaugemale, ent otse loomulikult mitte eirates sõjaväeparadigmat.

Mõistes, et nemad (olgu nad kes tahes) on märksa rohkem huvitatud meie ettevõtetest, pangasüsteemidest (nagu eelmisel nädalal toimunud Iraani rünnakud New Yorgi pankadele näitavad) ja intellektuaalomandist, peame muu hulgas ümber mõtestama oma suhted valitsuste ja erasektori vahel – eeskätt selle tõttu, et niisugused rünnakud meie erasektori vastu tulenevad autoritaarsetes riikides toimuvast merkantiilsest kokkumängust selle riigi ja tema erasektori vahel.

See muidu küll vana poliitilise kontrolli ning valitsuse, ettevõtlussektori ja kurjategijate kokkumängu mudel, nimetatagu seda kas reformitud kommunismiks, semukapitalismiks, juhitud demokraatiaks, Pekingi konsensuseks või sulaselgeks despotismiks, on küberruumis või selle kaudu saanud taassünni võimaluse. Me oleme liberaalses demokraatlikus läänes, riikides, kus Transparency Internationali mõõdetav korruptsiooni tajumise indeks on madal – s.t hea –, ehitanud era- ja avaliku sektori vahele kindla tulemüüri. Isegi termin „avaliku ja erasektori partnerlus" kinnitab nende kahe sektori suhtelist lahushoidmist. Merkantiilsetes või autoritaarsetes kleptokraatlikes riigikordades sellist vahet ei tehta. Üks teenib teise huve.

Me ei saa seda teed minna, kui soovime hoida alles oma liberaalse demokraatliku riigikorra. Ent peame uuesti kaaluma, kuidas on erasektor ja avalik sektor omavahel seotud, mis on valitsustel ja ettevõtetel ühist.

Peaksime lähtekohaks võtma selle, et kõik, mida me 2012. aastal teeme, moodustab meie jaoks elutähtsa teabetaristu, sest peaaegu kõik sõltub üht või teist laadi toimivast digiteeritud süsteemist. Üks meie murelaps, elutähtsa taristu (elektri-, veevarustus- või energiatootmissüsteemide) haavatavus, on vaid osa sellest, mida hõlmab elutähtis teabetaristu. Need funktsioonid on ühiskonna ohutuse ja turvalisuse jaoks olulisemad, ent kuna nad on osa laiemast süsteemist, mis hõlmab ka kõike muud, mida me teeme ja mis sõltub toimivast internetist, on raske üht osa elutähtsatest funktsioonidest teistest eraldada. Seega on mõistlikum vaadata tervikut.

Seda me Eestis teinud olemegi. Süsteemi tuleb suhtuda kui tervikusse, kui ökosüsteemi, mille tuumaks on turvaline, kontrollitav ja töökindel tuvastamissüsteem, mis tagab iga kriitilise tähtsusega infotehingu usaldusväärsuse. Seda süsteemi peab olema võimalik kaitsta.

Austatud kuulajad!

Edasi tahaksin rääkida elutähtsa teabetaristu ühest kindlast osast – identiteedist ja andmetest. Teie USAs tegelete nende küsimustega algatusprogrammi raames, mis kannab pealkirja „Riiklik strateegia turvaliseks isikutuvastamiseks küberruumis".

Eestis on niisugune ökosüsteem, mida selle USA algatusprojektiga luua püütakse, juba olemas. Eri süsteemid, mis meie e-riiki täiendavad, on olnud töös juba peaaegu 12 aastat ja neid kasutatakse juba ligi sajaprotsendiliselt. Igal aastal võetakse kasutusele üha uusi teenuseid. Eesti on oma investeeringutega ühiskonna, riigiasutuste siseste, riigi ja kodanike ja ettevõtete vaheliste ning ka kodanikevaheliste põhiprotsesside digiteerimisse läinud kaugemale kui ükski teine riik maailmas. Veerand valijaskonnast hääletab internetis ning 95% tuludeklaratsioonidest täidetakse internetis, ja ma pean silmas, et sõna otseses mõttes internetis – te logite süsteemi sisse, riik on enne osa deklaratsioonist juba palgalt makstavate maksude jm andmete põhjal täitnud ning teie vajutate nõustumise märgiks ainult nuppu „Esita". Sama suur osa ravimiretseptidest kirjutatakse välja interneti kaudu. Kodanikud – oma andmete seaduslikud omanikud – pääsevad ligi digitaalsetele tervise- ja hambaraviandmetele. Selle aasta detsembri lõpuks on eestlased andnud enam kui sada miljonit seaduslikku digiallkirja, ja seda riigis, kus on 1,3 miljonit elanikku.

See kõik käib turvaliselt – nende 12 aasta jooksul, mis meie e-riigi taristu on kasutusel olnud, ei ole toimunud mitte ühtegi tulemuslikku rünnakut selle süsteemi alustaladele. Isegi siis, kui meile said osaks massiivsed hajutatud teenusetõkestamise ründed, mis viisid rivist välja ajalehed, internetipanga ja valitsuse veebilehed, jäi X-tee (nii nimetame oma süsteemi, mis sarnaneb teie elluviidava strateegiaga) veebis püsima, kaitstuks ja puutumatuks.

Selle tagamiseks on meil avalike teenuste jaoks kasutusel paralleelne internet, mis moodustabki meie e-riigi selgroo. See on tehnoloogiliselt võimas, kuid oma olemuselt üsna lihtne ja üldsegi mitte ainulaadne. Tegemist on ettevõtte järjestiksiiniga, mida rakendatakse terve riigi tasandil ja milles saab osaleda ka erasektor. Seda võimalust on kasutanud näiteks meie pangad. Sedalaadi süsteemil on tingimata keskne koht tulevases vältimatus liikumises riigi tasandi pilvandmetöötluse poole.

Üks ülimalt tähtis kontseptuaalne osa sellises turvalises süsteemis nagu meie X-tee on mõtteviisi muutus – tuleb hinnata ümber oma arusaam privaatsusest ja identiteedist, sest nende pärast esitatakse enim vastuväiteid ID-kaarti rakendava süsteemi kohta. Ühiskonnad – mingil põhjusel just eeskätt inglise keelt kõnelevates riikides, Ühendkuningriigis, Ameerika Ühendriikides, Kanadas ja Austraalias – näivad reageerivat väga emotsionaalselt, kui jutt on ükskõik millisest riiklikust identifitseerimisvahendist. Valitseb ebamäärane hirm kujuteldava Suure Venna ees, või ükskõik mis see on, mis takistab kodanikel kasutusele võtmast kiipkaardil põhinevat pääsuvõtit, mis teeks neile kättesaadavaks turvalised veebipõhised tehingud.

Mõtteviisi muutus, mida me vajame ja millega me Eestis oleme hakkama saanud, seisneb selles, et riigist on saanud turvaliste internetitehingute garanteerija. Kuid identiteeti ennast kontrollib valitsusest sõltumatu asutus. Toon näite. Kui ma soovin vaadata oma terviseandmeid või teha pangaülekannet, kasutan oma kiipkaarti ja parooli, et oma identiteeti tuvastada ja end autentida. Kui see tehtud, pääsen ligi oma pangakontole. Autentimine tõendab ka seda, et olen jõudnud õigesse kohta, oma panka. Pank usaldab autentijat, kes ütleb, et ma olen isik, kes ma väidan end olevat, ja tehing võib toimuda.

Valitsus on seega astunud sinna, kus muidu on märgata turuosaliste ebaõnnestumist. Pank, kes arvestab identiteedivarguse ja pettused ärikahjumi hulka, on näide turuosalise ebaõnnestumisest. Energiaettevõte, kes suhtub küberohtudest tingitud tööseisakutesse kui vääramatusse jõusse, justkui oleks tegemist loodusõnnetusega nagu keeristorm või maavärin, on samuti näide turuosalise ebaõnnestumisest. Nagu paljudes teistes riikides, oleme ka Eestis andnud valitsusele uued seaduslikud volitused – sarnased Liebermani õigusakti ettepanekutega, mis jäid kongressis vastu võtmata. Kui erasektor ei soovi astuda vajalike samme, et tagada oma internetitegevuse puutumatus, võime elada koos oma nõrkustega või omal riisikol ja olles valmis võimalikeks tagajärgedeks. Või peab sekkuma riik, et täita oma kõige olemuslikumat ülesannet – tagada oma kodanike julgeolek. See on Locke'i ühiskondliku lepingu tuum ja lääne liberaalse demokraatia alus.

Meie e-riigi süsteemi edu näitab ilmekalt ka seda, mis kasu annab suhtumine küberjulgeolekusse kui võimaluste allikasse. Meie e-riik on võimaldanud meil muuta oma kodanike elu – nad saavad allkirjastada dokumente mobiiltelefoni kaudu ega pea ametiasutuse uste taga järjekorras seisma. Kasu ettevõtlusele ja kaubandusele on veelgi suurem.

Mõelgem uut laadi üleilmsele kaubandusele, mida see võimaldab.

Eelmisel aastal kasutas tuhat Soome kodanikku oma elektroonilist ID-kaarti, et alustada äritegevust Eestis. See on tähelepanuväärne, sest need soomlased ei oleks saanud oma riigis ettevõtlust interneti kaudu alustada. Eestis on täheldatud ka uut laadi ebaseaduslikku sisserännet – oleme avastanud välismaalasi, kellel on juba õigus elada ja töötada Euroopa Liidus, kuid kes on sellele vaatamata omandanud ebaseaduslikult Eesti elamisloa, et nii saada endale Eesti ID-kaart ja kasutada e-teenuseid. Neidki ahvatleb meie vabadus – mõni päev tagasi tegi Freedom House teatavaks, et oleme taas internetivabaduse poolest maailmas esikohal.

Euroopas soovime nüüd näha eri riikide X-teede ja digitaalsete ID-kaartide ühendamist. Lõppeesmärk on see, et riiklikud andmed liiguksid üle piiri sama vabalt kui e-kirjad ja Facebooki sõnumid ning järgiksid rahvusvahelist ettevõtlus- ja kaubandusvoogu.

Mõelge, mida see meile majanduslikult kaasa tooks.

Ainuüksi OECD riikide avaliku sektori osa SKTs on enam kui 13 triljonit USA dollarit. Valitsussfäär ei ole enamasti suutnud saavutada sellist hämmastavat kulude kokkuhoidu ja ühtlustamist, mida tehnoloogia on erasektoris teha võimaldanud. Kui me säästame 10%, tähendaks see aastas 1,3 triljonit USA dollarit. Euroopa Liidus oleme välja arvutanud, et digitaalse ühtse turu ülesehitamine oleks väärt 4% SKPst aastas – see on vahe, mis lahutab jõulist majanduskasvu halvavast majanduslangusest.

Rõhutan veel kord, et just see on kõrgetasemelise küberjulgeoleku põhimõte – mitte tekitada kulu, vaid võimalusi. Õitsengu saavutamiseks peab meie küberjulgeolek suurendama üleilmse inimeste, kaupade, teenuste, kapitali ja ideede vabal liikumisel põhineva majanduse võimalusi.

Siinviibijaid peaks aga muretsema panema asjaolu, et USA ei ole turvalise IT-taristu ülesehitamisel maailmas esirinnas. Ma ei räägi pelgalt füüsilisest taristust, ehkki teile peaks muret valmistama asjaolu, et USA on keskmise allalaadimiskiiruse poolest 33. kohal. Ma räägin ka tarkvarataristust. Eesti jagab oma IT-taristut vabalt – selle aluseks olev tarkvara on avatud lähtekoodiga ja me jagame seda teistega.

Seni on meilt kogemusi ja nõu küsinud arenevad riigid, need, kes soovivad oma aegunud süsteeme välja vahetada – Brasiilia, Tuneesia, Palestiina omavalitsus, Montenegro, Moldova, Aserbaidžaan, Omaan jt on pöördunud meie avaliku ja erasektori poole. Nüüd ootame, et jõukamal järjel olev osa maailmast tuleks järele. Üks meie spetsialist annab Ühendkuningriigi valitsuses nõu IT-reformide teemal. Jaapanis on meie elektroonilise ID-süsteemi ja X-tee kohta avaldatud mitu raamatut.

Minu kõne eesmärk ei ole kutsuda üles Eestit jäljendama. USA-l või Euroopal ei ole kindlasti vaja meid kopeerida. Pigem peaksime palju rohkem mõtlema sellele, kuidas kaitsta ja hoida oma kodanike digitaalset elu. Peaksime mõistma, millised on meie nõrkused, ja liikuma kõikides nendes arvukates valdkondades, kus sõjaline kaitse ei ole asjakohane, suurema koostöö poole. Vaikevalikuks on sulg, paber ja postitõld või parimal juhul perfokaardid ja perfolint, nagu minul 45 aastat tagasi.

Allikas: president.ee