Uus sidevõrkude turvakontroll hakkab hindama tootjaid
Peagi algav sidevõrkude riist- ja tarkvara turvakontroll keskendub rohkem tootjate usaldusväärsusele kui mõne konkreetse seadme testimisele. Seni Huaweilt ostetud seadmeid sidevõrkudes enam kasutada ei tohi, kuid segaduse vältimiseks annab riik sidefirmadele üleminekuaja.
Valitsus on seadnud eesmärgiks, et alates 2030. aastast ei kasutataks meie sidevõrkudes enam ühtegi kõrge riskiga seadet või tarkvarajuppi. 5G võrkudest peab niisugune tehnoloogia kaduma 2024. aastaks.
Riigi küberturvalisuse poliitika juht Raul Rikk selgitas, et iga seadme või tarkvara põhjalikuks ülekontrollimiseks pole jõudu Eestil ega ühelgi teisel riigil.
"Me saame väga üksikutel juhtudel hinnata, kas seade või tarkvara on turvaline või mitte. Selle pärast me peame hindama ettevõtteid, sest nemad tagavad läbi oma usaldusväärsuse riist- või tarkvara usaldusväärsuse," rääkis Rikk.
Kõrge riskiga ehk sisuliselt Eestile sobimatute tootjate väljaselgitamiseks on valitsuse määruse eelnõusse seatud rida erinevaid kriteeriume.
"Näiteks see, et kui tootja juriidiline asukoht või peakontor asub väljaspool Euroopa Liidu, NATO või OECD riike. Kriteerium on ka see, kui meil on teavet, et see ettevõte allub sõltumatu kohtuliku kontrollita välisriigi valitsusele või julgeolekuasutustele. Või siis näiteks ei ole selle ettevõtte juhtimisstruktuurid läbipaistvad. Ehk me ei tea, mismoodi seal otsuseid tehakse," selgitas Rikk.
Juba selle loetelu esimene lause puudutab otseselt Hiina tehnoloogiafirmat Huaweid, mille seadmeid kasutatakse ka meie sidevõrkudes.
"Me võime öelda küll seda, et Huawei tehnoloogia läheb praeguse määratluse alusel kõrge riskiga riist- või tarkvara määratluse alla."
See aga ei tähenda, et meie telekomifirmad peavad kohe pärast määruse plaanitavat jõustumist, 1. novembril, oma sidevõrgud ümber ehitama. Määrus jagab riist- ja tarkvara kolme gruppi.
Riskiga tehnoloogia peaks kaduma 2030. aastaks
Esimesse gruppi kuulub kriitilise tähtsusega riist- ja tarkvara. Selle puhul üleminekuaega pole. Iga seadme või tarkvarajupi jaoks tuleb sidefirmal kasutusluba taotleda kohe pärast määruse jõustumist.
"Kriitilise funktsiooniga riist- või tarkvara on näiteks sidevõrkude tuumikvõrk – see võrguaju, mille kaudu võrku hallatakse. Või siis ka selline funktsioon, mis on suurem kui lokaalse mõjuga. Ehk siis ei mõjuta ühte mastipiirkonda, vaid võib mõjutada rohkem kui tuhandet lõpptarbijat või siis ka teise ettevõtte sidevõrku," rääkis Rikk.
Määruse eelnõu seletuskirjas seisab, et niisugustes eriti olulistes kohtades ei kasutata kõrge riskiga tehnoloogiat juba praegu.
Teise gruppi kuulub riist- ja tarkvara, mida kasutatakse 5G võrgu rajamisel. Ka sellise tehnoloogia puhul tuleb luba taotleda pärast määruse jõustumist, aga keelama hakatakse hiljem. 5G võrk peaks riskivaba olema 2024. aastaks.
"Ütleme niimoodi, et ettevõttel on näiteks teatud riistvara tõenäoliselt olemas. Aga tal ei ole kogu 5G riistvara. Me tahaksime sellist olukorda, kus ettevõte ei hangiks kõrge riskiga tehnoloogiat juurde, vaid teeks otsuse mõne teise tehnoloogia kasuks. Aga me saame aru, et sellise muutuse elluviimine sidevõrkude puhul, mida me igapäevaselt kasutame, võtab aega. Need on nagu maanteed, kus me pidevalt peal sõidame ja samal ajal remontides me peame ikkagi nägema ette, et seal saaks ka liigelda."
Kõige leebemalt vaatab riik kolmandat gruppi.
"Näiteks kaabelsidevõrgud või mobiilside vanemad generatsioonid 4G või 3G. Nende puhul, kuna investeeringud on tehtud, siis me näeme ette kümneaastast üleminekuperioodi. Ehk siis meie eesmärk on see, et aastast 2030 meil ei ole enam sidevõrkudes kõrge riskiga tehnoloogiat," ütles Rikk.
Pelgalt kohaliku filiaali loomisesega riigi usaldust ei võida
Suve hakul registreeriti kohaliku ettevõttena Huawei Technologies Eesti OÜ. Kusjuures ametlikult on ettevõte Hollandis registreeritud Huawei Technologies Coöperatief U.A. tütarfirma. Raul Rikk selgitas, et kui tegemist on tõesti kohaliku ettevõttega, siis niimoodi vaadatakse seda ka uue määruse valguses. Ta rõhutas, et Eesti riik ei soovi mingit brändi või nime eos välistada, vaid kõiki kasutusloa taotlusi hinnatakse eraldi. Samas ei tähenda kohaliku ettevõtte registreerimine ka seda, et muidu kõrge riskiga riist- või tarkvara kohe sobilikuks muutub.
"Ta peab päriselt asuma nendes lubatud riikides, peab päriselt tootma ja kokku panema tehnoloogiat siin, peab päriselt garanteerima, et see on usaldusväärne, peab päriselt olema ka läbipaistva juhtimisstruktuuriga. Ehk me peame olema veendunud, et kõik need aspektid on täidetud, et me saaksime ilma tehnilise kontrollita selle ettevõtte riist- või tarkvara usaldada."
Alates päevast, mil osa riike Huawei usaldusväärsuses avalikult kahtlema hakkasid, on kriitikud küsinud, mida siis täpsemalt kardetakse. Ehk kas reaalselt on avastatud, et mõnes koodireas või seadmes on nii-öelda tagauks.
Raul Rikk ütles, et selliseid avalikuks tehtud juhtumeid eriti pole.
"Aga küberrünnakuid riikide vastu on tehtud. Seda tehakse läbi teatud tehnoloogia. Me saame ikkagi arvesse võtta teadud käitumist, mis on võib-olla mõnede tehnoloogiatootjate suhtes rohkem omistatavad kui teiste. Põhiline eesmärk on see, et me tahame probleeme Eesti sidevõrkudes vältida, mitte nendega takkajärgi tegeleda."
Rikk lisas, et julgeolekuohud ei pruugigi olla seotud sellega, et riist- või tarkvaras on mingisugune tagauks või turvaviga.
"Teine aspekt on ka selle konkreetse tehnoloogia turuosa. Kui meil tekib olukord, kus meil ei olegi mingit muud tehnoloogiat olemas, kui ainult see üks, kui see dominants on saavutatud, siis on hiljem võimalik tehnoloogia kaudu riike manipuleerida."
Rikk tõi näiteks hüpoteetilise olukorra, kus Eesti teeb mõne poliitilise käigu, mida teine riik ei soovi.
"Ja tulemus on see, et me ei saa näiteks riist- või tarkvara uuendusi või ei tule turvavigade paigaldusi. Me ei saa lubada, et Eesti sidevõrgud oleks ehitatud ainult ühe tehnoloogia baasil."
Toimetaja: Mirjam Mäekivi