Volinik uuest küberjulgeoleku kavast: meid on praegu liiga lihtne rünnata
Euroopa Liidu teadustegevus ei suuda küberohtude arengutega sammu pidada ning küberkurjategijate leidmine ja karistamine on liiga keeruline, tõdes julgeolekuliidu volinik Julian King ERRile antud intervjuus. Nende väljakutsetega püüab rinda pista Euroopa Liidu uus küberjulgeoleku strateegia, mida tutvustab Euroopa Komisjon teisipäeval.
Euroopa Liit soovib teisipäeval avalikustatava kavaga toetada senisest enam uurimistegevust küberturvalisuses, võtta kasutusele üleeuroopalise tugevdatud sertifitseerimise ning anda rohkem õigusi ja võimalusi Euroopa Liidu võrgu- ja infoturbeametile, rääkis volinik King ERRile reedel toimunud küberturvalisuse konverentsil Tallinnas.
Eesti korraldas eelmisel nädalal esimese Euroopa Liidu tasemel strateegilise küberõppuse EU CYBRID 2017. Kas te jälgisite, kuidas ministritel õppusel läks ja milliseid järeldusi saab selle põhjal teha?
Ma ei saanud õppusel osaleda, sest ma olin samal ajal mitte kuigi kaugel Helsingis, avamas uut Euroopa Liidu hübriidohtude vastast keskust. Ma arvan, et on hea, et meil see keskus on, sest üks võtmeküsimus selles kõiges, nagu ma olen öelnud, on olla kindel, et ma suudame ohte analüüsida ja organiseerida end neile vastama. Ühtlasi on oluline, et meil oleks tõhus koostöö kõikide osapoolte vahel, kes puutuvad asjasse – Euroopa Liit ja NATO. Nii et mul oli väga hea meel, et me hübriidohtude vastast keskust Helsingis avasime, sest ma olin juba varem külastanud NATO küberkaitsekeskust siin Tallinna lähistel. Ma arvan, et see saab olema väga hea võimalus koostööks.
Eesti võtab eesistujana seda teemat väga tõsiselt ja see on suurepärane. Nad organiseerisid kaitseministritele eelmisel nädalal selle õppuse, mis saab olema esimene seesugune õppuste seerias, mis toob Euroopa Liidu ministrid ja NATO inimesed kokku, et töötada need väljakutsed ühiselt läbi.
Te mainisite koostööd, aga üks mitte kuigi üllatav asi, mis õppusel välja tuli, oli see, et erinevatel ministritel oli väga erinev arusaam…
…Aga ma arvan, et see on hea! Ma arvan, et see on hea. Te kindlasti teate, et küberjulgeolek on kasvav väljakutse, me peame end kokku võtma, et sellele vastata kõikidel põhjustel, mida me teame. Eesti on olnud eesliinil sellest teemast rääkimisel, selle promomisel, teadvustamisel. Nii et me peame teadvust tõstma, me peame analüüsima ohu erinevaid tahke ja me peame oma reaktsiooni koordineerima.
Üks asi, mida komisjon selle toetamiseks teeb, on plaani koostamine, kuidas erinevad asutused ja osapooled võiksid teha tõhusamalt koostööd, et tulla toime piiriüleste küberintsidentidega nagu mõned, mida me oleme hiljuti näinud. Meil läks normaalselt, kui me pidime informatsiooni vahetama ja mõtlema välja, kuidas WannaCry’le reageerida, aga me suudame paremat ja ilmselt peame end paremini organiseerima, et paremat saavutada. Nii et me peame tugevdama erinevaid organeid ja asutusi, me peame välja mõtlema, kuidas nad saaksid tõhusalt koos töötada, ja me peame harjutama.
Ma ei ole [ministrite erimeelsustest] üllatunud, sest need on uued väljakutsed – ühtedele rohkem kui teistele – ning need arenevad ja muutuvad. Ma ei ole üllatunud, et kui ministrid tuuakse esimest korda kokku, siis neil on pisut erinevad tajud ja reaktsioonid. Sellepärast peame seda tööd tegema ja peame harjutama ja peame sellest rääkima. Sellepärast on konverentsid, nagu see siin, ja teised üritused, mida Eesti korraldab, niivõrd olulised.
Aga kas te olete nõus, et see on selles mõttes probleem, et kui Euroopa Liidu institutsioone tabaks küberrünnak, siis meil oleks vaja ühist reaktsiooni või ühist viisi, kuidas selles olukorras käituda? Nii et sellest vaatenurgast oleks mõistlik, kui ministritel oleks ühine arusaam, kuidas olukord areneb?
Aga nagu te teate, siis me ei alusta eimillestki. Ma arvan, et oleks eksitav vihjata, et meil pole midagi ja me alustame täiesti nullist. Meil on üle Euroopa Liidu võrgustruktuurid – need töötasid küll WannaCry ajal, aga need peavad töötama paremini. Võrgu- ja infoturbe direktiivi tuleb korralikult rakendada. Me peame arutama teisi sektoreid, kuhu seda tuleb laiendada.
Oskused on meile suur väljakutse, nii et me peame tugevdama haridust ja koolitust. Meil on väljakutse tõsta standardeid üleüldises küberturvalisuses meie seadmetes, meie platvormidel, meie teenustes ja me peame mõtlema, kuidas seda teha.
Me pakume välja tugevdatud üleeuroopalise sertifitseerimise. Meil on raskusi probleemiga sammu pidamisel teaduse kaudu. Meil läheb normaalselt, meil on avaliku ja erasektori koostöö, mis toob küberuuringutesse suuri investeeringuid. Aga kui me vaatame Ameerika Ühendriike, siis nad teevad palju rohkem, nii et me peame mõtlema, kuidas me kavataseme sammu pidada arenevate väljakutsetega, ning seepärast me arvame, et peame toetama küberuuringuid üle Euroopa Liidu. Me pakume välja sellise küberuuringute tippkeskuse tervele Euroopa Liidule, mis peab arenema koos liikmesriikidega ja hädavajalikult koos erasektoriga.
Nii et me võimestame asju, mis on juba seal, ja osades valdkondades astume suure sammu edasi, et muuta end vastupidavamaks, et tõsta heidutusega latti inimeste jaoks, kes tahavad meid rünnata, ja suurendada rahvusvahelist koostööd meie endi seas, koos partneritega ja, ma arvan, hädavajalikult Euroopa Liidu ja NATO vahel.
Alati saab öelda, selles valdkonnas, nagu ka teistes julgeolekuvaldkondades, et palju edusamme on veel astuda. Jah! Ma tunnistan seda. Aga me teeme nüüd mõningaid edusamme, eriti tänu Eesti eesistumisele – ja me visandame ettepanekute komplekti - suunajuhist, kui soovite -, mille osas meil on vaja veel edusamme astuda. See on paketis, mida me esitleme teisipäeval.
Aga mulle tundub, et küberjulgeolek erineb teistest julgeoleku valdkondadest selle poolest, et see on väga lähedalt seotud tehnoloogiaga, mis muutub väga järsult. Euroopa Liidu institutsioonid, nagu me teame, töötavad küllaltki aeglaselt.
Ma arvan, et see… ei ole mõnikord täielikult ebaõiglane väljakutse… Kui oma sõnu ettevaatlikult valida. Aga me saame reageerida kiiremini ja selles valdkonnas me hakkame kiiremini reageerima. Näiteks sellepärast ma arvangi, et on niivõrd oluline teha kindlaks, et me suudame korraldada teadustegevust.
Aga kas teie arvates võiks olla vajadus mingite institutsiooniliste või struktuursete muutuste järele Euroopa Liidus, et me suudaksime muutuvatele tehnoloogiatele kiiremini reageerida? Kui me praegu tutvustame uut küberjulgeoleku strateegiat, siis tehnoloogia võib selle ajaga kiirelt eest ära liikuda ja…
…Teil on õigus, me peame olema paindlikumad ja kohanemisvõimelisemad, sest tehnoloogia muutub väga kiirelt. Me teeme teisipäeval ettepanekuid, kuidas võimestada oma organeid, kuidas võimestada ENISA-t (Euroopa Liidu võrgu- ja infoturbeametit, toim.) ja muuta see täieõiguslikuks asutuseks ning anda sellele uusi õigusi, uusi vahendeid. Me kavandame uut uurimiskeskust, mis tüürib edasi selliseid asju, mida me oleme seni teinud avaliku ja erasektori koostöös, aga ma loodan, et palju suuremal skaalal.
Me tugevdame oma küberjulgeoleku tööstust uurimisrahastusega, aga ka sellise sertifikatsioonisüsteemi leidmisega, mis sobib nii tootjatele kui tarbijatele. Ma arvan, et me astume samme edasi. Kas see on miski, millele mõtlemist peame jätkama ning pidevalt kontrollima, et me astume samme, mis vastavad ohtudele? Jah. Ma arvan, et on.
Minu jaoks on sama oluline mõelda julgeolekust internetis kui julgeolekust väljaspool internetti. On kõiksugu väljakutseid, mis seonduvad julgeolekuga väljaspool internetti – terrorismi tõkestamine, tõsine organiseeritud kuritegevus, ja meil on ka suured väljakutsed julgeoleku tagamisel internetis, eriti kuna need väljakutsed muutuvad kiirelt. Me ei tohiks lasta end morjendada, me peame end kokku võtma ja tegema midagi, et end kindlamini tunda.
Üks külg küberjulgeolekus on see, et me muudame end turvalisemaks, aga teine on see, et kui rünnak juba toimub, tuleb sellele kuidagi reageerida. Kas te saate kirjeldada oma ideaalset stsenaariumi, kui Euroopa Liidu institutsioone rünnatakse?
Esmajoones peab ütlema, et lisaks vastupanuvõimele peame arendama heidutust. Me peame proovima võtta inimestelt soovi meid üleüldse rünnata – see on väga oluline. Meil on vaja laiapõhjalist heidutust. Osad liikmesriigid töötavad heidutusega küberruumis ja ma arvan, et see on hea ning me peaksime nendega rääkima, kas me saame midagi nende toetamiseks teha.
Me oleme loonud Euroopa Kaitsefondi, mis alustab väiksena, aga kasvab tulevatel aastatel ja me tahame liikmesriikidega rääkida sellest, kas Euroopa Kaitsefond võiks toetada küberjulgeoleku projekte.
Aga kaitse on ainult üks osa, ma arvan, laiemast arusaamisest küberruumi heidutusest. Lõppudelõpuks toimub suurem osa küberrünnakutest tsiviilruumis. Need võivad olla ka kaitse-asjad, aga suurem osa neist toimub tsiviilruumis ja suurem osa tsiviilruumist kuulub erasektorile, nii et meil on vaja heidutust nende rünnakute vastu ja ma arvan, et selleks peame me tugevdama õiguskaitset ja me peame suurendama jälgitavust, vastutust ja võimalusi võtta inimesi vastutusele – neid karistada.
Sest praegu, kui aus olla, on see lihtsalt veidi liiga lihtne. On veidi liiga lihtne sellest puhtalt pääseda, nii et me peame latti tõstma ja võtma eelkõige küberkurjategijatelt soov meid rünnata, õppides neid paremini üles leidma. See on osaliselt küsimus Europoli ja teiste õiguskaitseorganite varustamisest üle Euroopa, et nad tuleksid uurimiste pöörises paremini toime.
Samal ajal on see ka küsimus interneti arhitektuurist: me peame vaatama, kas me saame muuta küberkurjategijatele peitumineku keerulisemaks. Aga ühtlasi on see küsimus tõenditele ligipääsu kiiremaks muutmisest, mis on praegu pisut aeglane, nii et me peame selles osas paremaks saama, et tõendusmaterjal oleks kiirelt kättesaadav ja sellega oleks võimalik küberkurjategijad kohtu ette tuua. Ma arvan, et kogu mitte-julgeoleku küberheidutus on väga-väga oluline, nii et minu esimene vastus teie küsimusele on, et enne rünnakutele reageerimist on parim variant veenda ründajat sind mitte püüdma.