- Reset + Prindi

Euroopa Kaitseagentuuri aastakonverentsil Belgias

Euroopa Kaitseagentuuri aastakonverentsil Belgias © Vabariigi Presidendi Kantselei

22.11.2017

Lugupeetud härra Domecq,
daamid ja härrad!

Ma vabandan järgmise kalambuuri eest – ma tean, et olen viimane tulemüür teie ja lõunasöögi vahel –, seetõttu lubage mul kohe asja kallale asuda. On kolm teemat, mida ma pean tähtsaks ja mida ma soovin teiega jagada. Need on küberhügieeni olulisus kõigi inimeste jaoks, kõiki otsustajaid puudutav vajadus küberturvalisust tõeliselt mõista ja küsimus sellest, milline peaks selle juures olema Euroopa Kaitseagentuuri roll.

Arvatavasti pole vaja mitte kellelegi siin ruumis viibijatest küberturvalisuse olulisust rõhutada. Kuid samuti olen ma kindel, et seda tunnet, kui oluline ja tähelepanu vajav teema see on, jagab ka enamik inimesi väljaspool seda konverentsiruumi. Või kui võtame veel isiklikuma küsimuse – küberhügieeni –, siis muret selle pärast jagavad kõik meie seast.

Võtkem näiteks USA Demokraatliku Partei kongressi meiliserverisse sissemurdmise juhtum 2016. aastast. Pole oluline, mida arvame selle kohta, kes võis selle operatsiooni taga olla või kui palju võis see vahejuhtum USA presidendivalimiste tulemusi mõjutada. Tõsi näib olevat asjaolu, et võimalikuks sai niisugune asi peamiselt tänu sellele, et pääseti ligi Clintoni kampaaniajuhi John Podesta kontole. See ei olnud tehniliselt keeruline operatsioon, pigem oli see väga lihtne andmepüük.

See seisnes selles, et keegi esitles ennast Google Mailina ning pettis härra Podestalt ja tema IT-toega tegelevatelt inimestelt välja nende salasõnad. See koos kahekomponendilise autentimise puudumisega andis tulemuseks ühe viimastel aastatel kõige enam jutuainet pakkunud sissetungimise meiliserverisse. Ja see näitab – muu hulgas – ka seda, kui vähe järgivad inimesed kas või kõige algelisemat küberhügieeni ning millised tagajärjed sellel võivad olla.

Kuid mitte mingil juhul ei taha ma selle juhtumi puhul süüdistada ohvrit. Sest see oli lihtsalt üks märk üldisemast probleemist. Ja see probleem püsib senikaua, kuni kõige populaarsemad salasõnad on „password“, „12345“ ja „qwerty“. Ma olen üsna kindel, et ka siin, selles ruumis viibib vähemalt paar inimest, kes mõnda seda laadi salasõna kasutavad.

Seetõttu ei tohiks me unustada – kõigi nende uhkete algatuste ja küberkaitseprogrammide ja uute loodavate asutuste kõrval –, et inimfaktor ja elementaarne küberhügieen on endiselt asjad, mis ka tulevikus turvarikkeid põhjustavad.

Tuleb tunnistada, et küberhügieeni jõustamine on peamiselt liikmesriikide teema. Kuid Euroopa Liit saab selles vallas olla projektide algatamisega teadlikkuse kasvatamisse panustaja ja toetaja. Ja ma olen kindel, et iga liikmesriik juba teeb midagi selles vallas. Teema olulisust arvestades usun ma, et praktiline oleks üksteiselt õppida ja omavahel parimaid praktikaid jagada.

Sellega jõuan ma teise teema juurde – otsustajate teadlikkus ja küberjulgeoleku küsimuste mõistmine. Suurem osa tänapäeva poliitikutest tunnistavad, et küberkaitse on oluline, nad räägivad selle keelt jne, ning paljud küberkaitsealgatused naudivad siirast poliitilist toetust. Aga mastaapsed küberrünnakud ei taba meie süsteeme piisavalt sageli, et poliitilise tasandi otsustajad nendega otseselt kokku puutuksid. Tavaliselt on pigem tehniline personal ja riigiametnikud need, kes siis otsuseid langetavad.

Selles mõttes on mul väga hea meel, et Eesti Euroopa Liidu eesistumise ajal korraldas Eesti kaitseministeerium koostöös Euroopa Kaitseagentuuriga septembris strateegilise küberõppuse CYBRID 2017. See õppus oli esimene omataoline, millesse olid kaasatud ELi riikide kaitseministrid ning vaatlejana ka NATO peasekretär. Ning paljude teiste väärtuslike õppetundide seas näitas CYBRID 2017 ka seda, et kuigi poliitilise tasandi otsustajad oleksid küberrünnaku korral esimesed, kes peavad reageerima ja otsuseid langetama, jätavad nende arusaamad, teadmised ja teadlikkus küberrünnakute olemusest endiselt paljuski soovida. Ärge võtke seda kui kriitikat. Pigem näitab see, et CYBRIDi-sarnaseid õppusi tuleks korraldada regulaarselt nii liikmesriikide kui ka ELi tasandil.

Meil oli Eestis hiljuti ID-kaardiga probleem. Ma ei kutsuks seda digitaalseks tõrkeks, vaid pigem digitaalseks raskuseks. Me ei põhjustanud seda ise, selle põhjus oli rahvusvaheline. Ja me õppisime sellest palju. Nimelt: sellisest väga tõsisest intsidendist, mis tegelikult mõjutas poolt Eesti elanikkonnast, on võimalik välja tulla nii, et kõik süsteemid töötavad. Ja mis veelgi olulisem, me märkasime, et meie inimestele ei olnud tagasiminek analoogsüsteemi peale alternatiiv. Nad keeldusid paberit alternatiivina aktsepteerimast. Nad tahtsid kindlasti jätkata e-teenuste kasutamisega.

Nad nõudsid, et valitsus parandaks sõitvat autot. Ja selline kogemus on väärt jagamist, sest näitab, kui sõltuvad on ühiskonnad praegu, kui sõltuvad nad on tulevikus ja et me peame olema valmis mõeldamatuks. Sa ei tea, millal see juhtub ja mis juhtub, samal ajal pead sa olema valmis sellest oma inimestele rääkima esimestel minutitel, mil see juhtub, et nad teaksid, kuidas reageerida.

Seesuguste ühekordsete ürituste korraldamine poleks jätkusuutlik viis edasi liikuda, sest kübersfäär areneb ka sel ajal, kui me sellest räägime. Täna kasutusel olevad otsustusprotsessid pole homme võib-olla enam asjakohased. Sel ajal kui poliitilised otsustajad enda teadlikkust parandavad, on vaja rääkida ka asjadest, mis on poliitiliselt tundlikud. Nende hulka kuulub ka vastutuse omistamine. Esmapilgul näib see tehnilise küsimusena, kuid lõppude lõpuks on see siiski poliitiline otsus. See puudutab ka valikut ründava ja kaitsva tegutsemise vahel. Loomulikult on need küsimused liikmesriikide otsustada, aga sellele vaatamata tuleks nende üle mitte ainult arutada, vaid ka strateegilisel tasandil tegutseda.

Daamid ja härrad!
See toob mind uuesti küsimuse juurde, milline peaks selles olema Euroopa Kaitseagentuuri roll. Nagu te kõik teate, on Euroopa Komisjon väga aktiivselt rõhutanud küberteemadega tegelemise vajadust. Mul on hea meel, et esmaspäeval võttis üldasjade nõukogu vastu resolutsiooni küberjulgeoleku kohta. Koos Euroopa Komisjoni küberpaketiga annab see järgnevateks aastateks küberjulgeoleku teemadega tegelemisele kahtlemata uue hoo. Ma ei lasku teadlikult detailidesse ega räägi mitmesugustest projektidest, mida nende dokumentidega ette nähakse, kuid üldisemal tasandil on selge, et neile teemadele pööratakse suurt tähelepanu ja nende jaoks nähakse ette ressursse.

Ma tõesti usun, et sellises olukorras peaks Euroopa Kaitseagentuur jätkama nende edukate projektidega, millega ta seni on tegelenud, ning täiendama Euroopa Komisjoni projekte ilma neid liigselt dubleerimata. Näiteks usun ma, et Euroopa Kaitseagentuur peaks keskenduma haridusele, koolitustele ja strateegilise tasandi harjutustele, sest need on valdkonnad – soovime seda või mitte –, milles liikmesriikidel on kõige suuremaid vajakajäämisi. Kuid samal ajal on neil olemas tahe Euroopa tasandil rohkem koostööd teha. Me peame mõtlema ka selle peale, kuidas saaksid Euroopa Kaitseagentuuri kübertegevused anda oma panuse Euroopa kaitsetööstuse arendamisse ning alalise struktureeritud koostöö programmidesse, aga ka vastupidi.

Lugupeetud osalised!
Viimasena sooviksin ma kõigile meelde tuletada seda, kui kiiresti muutub kübermaastik ja sellega koos ka väljakutsed. Et homse tundmatuga tegelemine on reegel, mitte erand.

2017. aastal tähistatakse kümne aasta möödumist kolmest olulisest kübermaailma sündmusest. 2007. aasta aprillis sai Eestist esimene riik, keda tabas poliitiliselt motiveeritud koordineeritud küberrünnak. Vähem mäletatakse – vähemalt Eestis – sündmust, mis on ehk veel olulisem: nimelt tutvustas 2007. aasta juulis Apple maailmale oma esimest nutitelefoni. Ja 2007. aasta märtsis Idaho riiklikus laboris tehtud katse, mis sai nimeks Aurora Generation Test, tõestas, et küberrünnakut on võimalik kasutada elektrivõrgu komponentide hävitamiseks.

Viimased kümme aastat on näidanud, et nutitelefonidest on – koos kõigi nende võimaluste ja ohtudega – saanud esmatarbekaup kõikjal maailmas. Küberrünnakuid riikide vastu küll igapäevaselt ette ei tule, kuid samas pole need enam ka midagi üllatavat ega uut. Reaalse ja materiaalse taristu vastu korraldatud küberrünnakud – olgu selleks Ukraina elektrivõrgu ründamine 2015. aastal või Iraani tuumatsentrifuugide ründamine 2009. aastal – on nüüdseks reaalsus.

Niisugused arengud võivad tunduda kiired – aga ainult siis, kui võrdleme neid näiteks sellega, kui mitu aastakümmet kulus selleks, et püssirohi muutuks tavaliseks sõjapidamise vahendiks. Kübervaldkonnas kogub muutuste tempo iga päev hoogu. Võtkem kas või AlphaGo Zero, mis on põhimõtteliselt tehisintellekti versioon vanast Hiina strateegilisest lauamängust Go. Ühe Google´i omanduses oleva firma poolt sel aastal välja töötatud süsteemil kulus kolm päeva, et võita inimesest vastast, 21 päeva, et võita iseenda vana versiooni, ja 40 päeva, et ületada põhimõtteliselt kõiki varasemaid versioone. See on tõenäoliselt järgmine tõsine samm tehisintellekti loomise suunas. Mis võib viia meid üsnagi ulmelistesse tulevikustsenaariumidesse.

Muu hulgas demonstreerivad need näited ka seda, et muutuste tempo on kasvamas juba nii suureks, et me ei saa olla valmis kõigeks, mis kübermaailmas juhtuda võib, ja samuti ei saa me koolitada otsustajaid mingi konkreetse ootamatu sündmuse jaoks. Aga mida me saame teha ja mida me ka peaksime tegema, on olla valmis mõtlema ka mõeldamatute stsenaariumide peale.

Tänan tähelepanu eest!

Algselt inglise keeles peetud kõne leiate siit.