Kuigi eri tugevusega küberründed ja küberkuritegevus on muutunud igapäevaseks, pole küberruum enam ammu reeglitevaba Metsik Lääs. Nimelt on viimastel aastatel aina hoogu juurde saanud riigisisesed, piirkondlikud ja ka üleilmsed kokkulepped küberruumis käitumise piiritlemiseks.

Need reeglid kehtivad riigisisese õiguse läbi nii füüsilistele kui ka juriidilistele isikutele ning rahvusvahelise õiguse pinnalt ka riikidele. Kuivõrd mitmed riigid kasvatavad jõudsalt oma võimekust kübermaailmas rünnete läbiviimiseks ning väidetavalt võivad need teha sihtmärkidele suurt kahju, murtakse mitmel pool pead, kuidas riikide tegevust ohjata. Üheks lahenduseks on niinimetatud kübernormid, mis seaksid riikide käitumisele kübermaailmas kindlad piirid ja ootused.

Kübernormide eesmärk on turvalisem keskkond

Kübernormide laiem eesmärk on tagada küberruumis stabiilsus, kujundada soovitud käitumist, pakkuda raamistikku riiklike toimijate tegevuse ning eesmärkide hindamiseks ja konfliktide ennetamiseks. Kokkulepitud reeglite järgimise ja riikidevaheliste pingete vältimise tulemuseks on turvalisem keskkond, suurem innovaatilisus, kasvav majandus ja mugavamad interneti kasutamise võimalused. Näiteks ei tohi teiste riikide siseasjadesse mittesekkumise põhimõttest lähtuvalt mõjutada teiste riikide valimisi ning sõjaõigus keelab tsiviilisikute ja -objektide, nagu koolide ja haiglate sihiliku ja valimatu ründamise.

Kuivõrd küberründeid puudutavaid õiguslikult siduvaid norme on üleilmselt keeruline kokku leppida, keskendutakse praegu globaalsel tasandil peamiselt poliitiliselt siduvatele normidele.

Normide teemal on nuputatud juba aastaid. Ühed olulisemad riikidevahelised kokkulepped on tehtud Ühinenud Rahvaste Organisatsiooni (ÜRO) raames info- ja kommunikatsioonitehnoloogia arengutega tegelevas töögrupis, mille töö päädis 2013. ning 2015. aastal avaldatud raportitega. Sellest sügisest kohtuvad ÜRO egiidi all suisa kaks kübernormidega tegelevat töögruppi, mis oma järelduste tegemisel kuulavad riikide kõrval ära ka teisi osapooli: kodanikuühiskonna esindajate, regionaalsete organisatsioonide ning teiste huvitatute sisendit.

Lisaks ÜRO egiidi all tegutsevatele ekspertidele on küberruumi reguleerivate reeglite osas ettepaneku teinud näiteks ka Shanghai Koostöö Organisatsioon, kes pakkus 2011. aastal välja oma käitumiskoodeksi. Peale selle liiguvad mitmed riigid edasi kahepoolsete läbirääkimistega, mille eesmärgiks on saavutada kokkulepped konkreetsemate normide osas. Näiteks leppisid USA ja Hiina hiljuti kokku kindlates infovahetamise meetmetes ning selles, et riigid ei tohi läbi viia ega teadlikult toetada intellektuaalse omandi vargust.

Ka erasektor toetab kübernormide kehtestamist

On arvatud, et erasektor ei ole normide teemal kaasarääkimisest huvitatud, sest nendel kokkulepetel on riikliku poliitika mõjutamisele väike mõju, need ei panusta piisavalt ettevõtete põhitegevuse edukusse või et liigne aktiivsus lõpeb täiendava regulatsiooniga, mis pole erasektorile kasulik. Samas nähtub viimastest arengutest täpselt vastupidist. Paljud erasektori suuremad tegijad on normide teemal sõna võtnud, selgeid ettepanekuid teinud ning samameelseid ettevõtteid ühise eesmärgi nimel koondanud.

Näiteks lõid 2018. aastal omavahel käed mitmed suurfirmad ning nende ühine manifest Siemens Charter of Trust leiab poolehoidu üle maailma. Ühendus Tech Accord, mis seisab muu hulgas näiteks selle eest, et küberrünnete sihtmärkideks ei oleks tavainimesed või ettevõtted ning et ettevõtted ei aitaks riikidel rünnata eraisikuid, ühendab praeguseks juba enam kui 100 ettevõtet. Prantsusmaa algatatud nn Paris call pakub välja kümmekond normi küberruumi kaitseks. Tänaseks on nendele ettepanekutele alla kirjutanud juba üle 500 liikme, sealhulgas 65 riiki. Seega on selge, et riikide kõrval on normide kujundamisest huvitatud ka kodanikuühiskond ning erasektor.

Järele mõeldes on erasektori huvide ning kübernormide vahel selge seos.

Nimelt jooksutab suurt osa maailma internetitaristust erasektor ning enamik maailma infotehnoloogia-alasest kompetentsist asub samuti seal.

Lisaks põhineb suure protsendi elanikkonna internetitarbimine erasektori toodetel, sealhulgas võidakse kasutada erasektori tooteid ka küberrünnete läbiviimiseks. Süsteemide kaitsmiseks küberrünnete eest tarvitatakse taaskord peamiselt erasektori tooteid. Samas on erasektor ka üks peamiseid (aina enam riiklikest toimijatest tulenevate) küberrünnete sihtmärke ning sellest tõusetuv kahju on mitmetine: lisaks rahalisele kahjule võib tugevasti kannatada saada ka ettevõtte reputatsioon.

Millised normid mõjutavad erasektorit?

Kuigi riikide fookus kübernormide kujundamisel on peamiselt riikidevahelistel rünnetel ning nende ärahoidmisel, on päevakorras ka mitmeid olulisi kokkuleppeid, mis mõjutavad otseselt erasektori igapäevast toimimist.

Näiteks intellektuaalse omandi vargus, andmete salvestamise tingimused, andmete vaba liikumine, tarneahela turvalisus, turvalised valimised ja kriitilise taristu kaitse. Seetõttu on erasektor igati huvitatud sellest, kuidas riikide vahel kokku lepitud normid võivad mõjutada/muuta tema toimimist, tehnoloogia kasutamise tingimusi, infovahetust, teenuste kättesaadavust jne. Ka riigid võiksid olla huvitatud, et erasektor oleks normide kujundamisse kaasatud, sest nii suureneb nende buy-in ning enda normikuulekus.

Viimasena tooksin välja veel ühe olulise tõsiasja, et erasektoris välja arendatud tehnoloogiad on tihtipeale need töövahendid, mis aitavad riikidel norme rakendada. Kui riigid on kokku leppinud, et küberründeid saab piisavate tõendite olemasolul omistada riikidele ning riigid peavad oma tegude eest vastutama, siis tulevad näiteks uurimise läbiviimiseks vajalikud tööriistad ja oskused ning mõnel juhul isegi tõendid või tõendite kvaliteeti tagavad tehnoloogialahendused ja analüüs just erasektorist. Normid ise toimivad küberrünnete vastu heidutajana, kuid määravaks heidutuseks võib olla ka oma süsteemide ning võrkude tugev tehnoloogiline kaitse.

Eesti erasektori huvid

Olenevalt tegutsemisvaldkonnast võiksid Eesti erasektorile huvi pakkuda mitmed rahvusvaheliselt välja pakutud normid.

Esmalt tuleb küsida, millised normid on tähtsad meie ettevõtetes kasutuses oleva ning loodava tehnoloogia ja andmete ning Eesti küberturvalisuse ökosüsteemi kaitseks. Näiteks on kokku lepitud, et riigid peaksid astuma samme selleks, et tagada tarneahela turvalisus, kasutama vajalikke meetmeid oma kriitilise taristu kaitseks ning julgustama infovahetust, sealhulgas turvariskidest teatamist. See puudutab otseselt erasektorit, sest just aeglaselt liikuva info ning Eesti jaoks kriitilise tehnoloogiliste lahenduste turvariskide tõttu seisis riik 2017. aastal silmitsi ID-kaardi kriisiga.

Täiendava näitena saab tuua kokkuleppe, et riigid ei survesta oma erasektorit selleks, et nood tagaksid riigiasutustele oma tehnoloogilistesse lahendustesse n-ö tagaukse. Kui Eestis võiks selline käitumine meie riigi poolt hetkel näida utoopiline ning seetõttu võib probleemiasetus näida kaugena, tasuks silm peal hoida Huawei ning 5G kasutamist puudutavatel debattidel.

Kindlasti tasub jätkata mõttevahetust selle üle, kuidas oleks võimalik kohalikke ettevõtteid normide-teemalistesse aruteludesse ning miks mitte ka normide rakendamisse kaasata. Eesti on olnud kübernormide teemal aktiivse eeskõneleja rollis väga edukas ning osavalt kujundanud meie riigi digitaalset edulugu. Kuid siiani on vähe tähelepanu pööratud sellele, kuidas sellel diplomaatilisel laineharjal hoogu juurde anda kohalikele küberturvalisusega tegelevatele ettevõtetele või ülikoolides läbi viidavatele projektidele. Üheks võimalikuks koostöövaldkonnaks võiks olla täiendav infojagamine küberohtude vallas ning võimaluse korral nende andmete kasutamine omistamise protsessis.

Küberturvalisuse rubriigi eesmärk on tõsta lugejate teadlikkust antud valdkonna probleemidest ja edusammudest nii Eestis kui mujal. Artikliseeria avab teemat muuhulgas tehnoloogia, juhtimise, majanduse, teaduse, riigihalduse ja rahvusvaheliste suhete vaatenurgast.

Anna-Maria Osula

Anna-Maria Osula (Dr) on Tallinna Tehnikaülikooli küberkriminalistika ja küberjulgeoleku keskuse vanemteadur. Samal ajal töötab Anna-Maria ka tehnoloogiaettevõttes Guardtime, kus ta tegeleb uute tehnoloogiate teaduspõhise arendamise koordineerimise ning regulatsiooni kujundamisega. Loe artikleid (1)