Rainer Ratnik: Eestist peab saama küberkurjategijatele ebasoodus sihtmärk

Küberkuritegevus on globaalne nähtus, järelikult on vaja mõtelda mitte üksikjuhtumitele, vaid riigile tervikuna. Eesti andmekaitse ja küberturbe strateegia vajavad "toeta ja kontrolli" fookust, kirjutab Rainer Ratnik.
Varastatud pärilikkuse andmed, häkkerid ja andmelekked – Eestit on tabanud küberkuritegevuse laine, millest on viimaste nädalate jooksul olnud aina rohkem uusi lugusid. Kas need lood oleks olnud ennetatavad riikliku strateegia seadmise ja elluviimisega? Ilmselt olulises osas oleks küll.
Senine riiklik strateegia on praktikas kujunenud "vaatame, mis juhtub" strateegiaks. Oht on suur, et see on viimaste uudiste valguses "süü ei saa jääda hulkuma" suunaks ümber kujunemas. Vaja on aga muud, vaja on ettevõtteid ja organisatsioone toetada ning rakendada tugevamat tasakaalustatud järelevalvet.
Eesti ujus vastuvoolu
Andmekaitse üldmäärus (GDPR) hakkas kehtima 2018. aastal ning tõi kaasa Euroopas suure arenguhüppe privaatsuses ja küberturvalisuses. Miks? Sest ühtäkki oli andmete töötlemisega seonduv suures fookuses ning reeglite mitte järgimine tõi kaasa suured trahvid.
Samal ajal, kui Euroopast on tulnud viimase kuue aasta jooksul uudiseid trahvidest ja megatrahvidest, on Eestis olnud andmekaitse reeglite rikkumiste eest trahvimine sisuliselt võimatu. Mis juhtub maanteel, kus kiirusepiirangu täitmise kontrollimine on välistatud? Ilmselt järeldatakse, et tegelikult kiiruse piirangut ei ole.
Eesti andmekaitse inspektsioonis töötavad tublid ja targad inimesed, aga võttes arvesse nende ülesannete keerukust, on olnud inspektsiooni eelarveread olematud. Kuigi, nagu paljudes riikides, oleks saanud inspektsiooni toimimise mehhanismi kirjutada sisse selle, et kui tehakse trahve, siis toob see ju ka organisatsioonile tulu.
Kaitsevad ainult ennetamine ning järelevalve
Mitte tegelemine on strateegia. Mitte panna ressursse järelevalvele ning tekitada adekvaatne sanktsioon on vägagi strateegia iseeneses. See on tähendanud, et paljud organisatsioonid on saanud vaadata riigi poole põhjendatult küsiva näoga, et kas ikka on siis andmekaitse oluline või mitte.
Õnneks on selle sanktsioonide osas jõudnud kätte aeg, kui sanktsioonid on lõpuks tekkimas. Aga vaatame tõele näkku: kogu ülejäänud Euroopa on meist kuus aastat ees. See tähendab, et küberkurjategijatele on Eesti organisatsioonid, mis ei ole asju tõsiselt võtnud, justkui madalal rippuvad õunad.
See on väga hea ja õige, et prokuratuur ning politsei uurivad ning proovivad küberkurjategijad tabada. Aga suures riiklikus strateegias on see mõjult vaid üks väike piisk ookeanis, sest küberkuritegevuse puhul ei räägi me reeglina kohalikest digipättidest, kelle kättesaamisel kuritegevus langeb.
Piltlikult öeldes ei otsi me üksikut Pae tänava pommimeest, kelle kätte saamisel on Eesti turvalisem. Küberkuritegevus on globaalne nähtus. Järelikult on vaja mõtelda mitte üksikjuhtumitele, vaid riigile tervikuna. Eestist peab saama ebasoodus sihtmärk.
Meil on vaja strateegilist fookust sellele, et aidata ettevõtted ja organisatsioonid nii mõttelaadilt, teadmistelt kui ka tehniliselt paremale andmekaitse tasemele. Selleks on lisaks tarvis paraku ka tõhustada järelevalvet.
Kommentaar kajastab autori isiklikke seisukohti, mis pole esitatud kellegi huve esindades.
Toimetaja: Kaupo Meiel