Professor Michael Schmitt: NATO tulevane vastane on arvestatava kübervõimega
Sõdur rääkis NATO küberkaitsekeskuse vanemteaduri ja Harvardi ülikooli õigusteaduste kooli professori Michael Schmittiga küberründevõimekuse arendamisest ja sellest, mida oleme õppinud laiaulatuslikust Sony häkkimise skandaalist.
Küberkaitseõppustel kohtab palju T-särkides osalejaid, mõnel neist on sõjaväeline taust, aga enamikul mitte. Milline on üldse relvajõudude roll küberkaitses? Küberrünnakute toimepanijad ei ole tihti sõjaväelased ning mõtlevad ja tegutsevad hoopis erinevalt kui sõjaväeline organisatsioon.
Relvajõud on kahtlemata parim koht viimaks läbi küberoperatsioone sõjalise konflikti ajal. Paljudel riikidel selline võimekus puudub, aga nad vajavad seda. Ei saa minna sõtta, tehes selleks lepingu erafirmaga, kes ei saa aru, mida sõjapidamine endast kujutab.
Relvajõud peavad lihtsalt erinevateks konfliktideks valmis olema. Me ei näe ilmselt tulevikus vastuseisu küberjõud vs. küberjõud, minu nohikud sinu nohikute vastu. Pigem integreeritakse küberoperatsioonid kineetiliste operatsioonidega.
Relvajõudude jaoks on kõige haavatavam juhtimine ja side. Kuidas ja kui pikalt seda häirida tahetakse, kuidas operatsioone maskeeritakse. Kas lihtsam on pommitada vastase õhutõrjesüsteeme või on lihtsam neisse häkkida. Iga juhtum on erinev ja iga üksuse ülem peab kontrollima võimekusi, mis tal on, et saavutada sõjalisi eesmärke.
Tehnilise poole pealt ei usu ma, et sisseostmine oleks tee, mida valida. Eraettevõtete tegevuse eesmärk on alati kasumimarginaal ja ma ei taha, et mind kaitseks keegi, kelle põhiline eesmärk on selle pealt kasu saada. Ma tahan, et mind kaitseks riik ja valitsus, kelle põhiline eesmärk on minu julgeolek.
Me võime alati pöörduda erafirmade poole mõne kindla võimekuse saamiseks. Kui Eestil pole oma üksuste õhutranspordi võimalust, on parim pöörduda selle saamiseks NATO liitlaste poole, aga ma mõistan, kui kasutate transpordiks ka erafirmade teenuseid. Mitte kunagi ei ole viimane sõjaliselt siiski parim lahendus.
Ühendriikidel on küberväejuhatus ja on arutletud, kas NATO peaks looma midagi sarnast nagu maa-, mere- ja õhuväejuhatus. Infotehnoloogia on nüüd pea kõikjal ega ole olemuselt ehk niimoodi eristatav kui teised väeliigid.
Ilma arvestatava kübervõimeta peab NATO väejuht sõdima, üks käsi seljataha seotud. Kui vaatame NATO tõenäolisi vastaseid, näeme, et neil kõigil on ka arvestatav kübervõime. NATO peab mõtlema, kuidas kübervaldkonda oma sõjalistesse operatsioonidesse paremini integreerida. Kas see tähendab eraldi väejuhatuse loomist, siis minu vastus on pigem ei, sest NATO-l pole ka oma ründelennukite võimekust ja peale AWACS-i luurelennukite on alliansil vähe n-ö oma üksusi. Pigem on tähtis, et NATO suudaks ühiselt küberkaitse vallas tegutseda.
Olen ise õhuväe taustaga ja kui üritan mõelda, mida teeks vastane selleks, et minu võimekusi halvata, siis kas ta pommitaks sihtmärke, mis toob kaasa tsiviilohvreid, või ta kasutaks küberoperatsioone, millega saavutatav efekt võib olla sama.
Küberkaitse ründevõimekusest rääkides, siis kui vaatame sama asja üksuste julgeoleku seisukohalt, siis kas meil on ohutum viia läbi kineetilisi operatsioone või kasutada küberoperatsioone? Nii tsiviilelanikkonna kui oma üksuste julgeoleku seisukohalt on parem kasutada küberoperatsioone.
NATO peab küberjulgeoleku seisukohalt mõtlema ka ründevõimekuse arendamisele ja on kahetsusväärne, et ründeoperatsioonid on omandanud negatiivse alatooni. Lihtsalt kaitsevõimekusest küberkaitses paraku tulevastes konfliktides ei piisa.
2013. aastal ilmus „Tallinna käsiraamat“, mis käsitleb küberkonfliktides kehtivat rahvusvahelist õigust. Millise väljaandega on tegu ja mida on see saavutanud?
„Tallinna käsiraamat“ tegeleb kübersõjaga ehk sellega, millised õigused ja piirangud on näiteks Eesti kaitseväel küberoperatsioonides. Käsitlesime humanitaarõigust ehk kui riigid viivad läbi küberoperatsioone, siis kas ÜRO hartas sätestatu, mis puudutab jõu kasutamist, kehtib või mitte. ÜRO harta keelab jõu kasutamise, v.a siis, kui riik teeb seda enda kaitsmiseks või tal on selleks ÜRO Julgeolekunõukogu luba.
Kui koostamist alustasime, arvasime, et sellest saab midagi, millele õigusteadlased ja praktikud aeg-ajalt viitavad ning kasutavad. Vaatamata sellele, et Venemaa ning Hiina olid mures „Tallinna käsiraamatu“ ilmumise pärast, pole praegu maailmas ühtegi valitsusasutuse õiguseksperti, kes meie väljaannet ei kasutaks. Selle põhjal on riigid loonud oma küberstrateegiaid, üks ühele väljavõtted ilmuvad riikide seadusandlustes ja peatükid suurte riikide visioonipaberites.
„Tallinna käsiraamat“ mõjutab riikide jõukasutusreegleid. Selle põhjal kirjutatakse teadusartikleid, mis ilmuvad perioodiliste väljaannetena. Mõni nädal tagasi esinesin Põhja-Atlandi Nõukogus küberõiguse teemadega, mis lähtusid „Tallinna käsiraamatust“. Väljaannet on saatnud edu, mida ma kunagi oodata ei osanud ja see on saanud hea vastuvõtu nii akadeemilistes ringkondades kui ka riikide valitsustes. Praeguseks on tegu ühe hinnatuima referentsmaterjaliga oma valdkonnas.
Sony intsidendist on küberturvalisusega seoses palju räägitud. Millised on juhtumi pikemaajalised mõjud ja kuidas on see seotud „Tallinn 2.0-ga“?
Sony juhtum pole olemuselt uus, selliseid intsidente on esinenud ka varem. Hiina rahvaarmee liikmeid on Ühendriikides sarnaste küberkuritegude eest süüdigi mõistetud. Sellegipoolest on tegu juhtumiga, mis on saanud palju tähelepanu.
Mulle tundub, et seadused ja küberjulgeoleku õiguslik raamistik on praegu ajast tükk jagu maas. Kui vaatame, kuidas olukordadega tegeletakse, siis intsidendi ilmnedes on segadust, milline õigusrežiim kehtima peaks, üksjagu palju. Sony juhtum oli omamoodi äratus rahvusvahelise õiguse kogukonnale, et reeglid, mis küberruumis kehtivad, tuleb selgeks rääkida.
See on väga aeglane protsess. ÜRO juures tegutseb väike ekspertide grupp, kes esindavad erinevate riikide valitsusi, sh Eesti ja Ameerika Ühendriikide, kuid nagu selliste ettevõtmiste puhul ikka, kulgeb nende töö väga aeglases tempos, sest esindatakse riike.
Riigid on siin väärtuste dilemma ees. Ühelt poolt tahavad nad kaitsta oma tegevust küberruumis. Nii taristu kui ka privaatsuse seisukohalt peaksime riikide ümber ehitama tulemüürid, et kaitsta ennast vaenuliku tegevuse eest.
Teiselt poolt tahavad riigid saada osa digitaalsest maailmaturust ja küberglobaliseerumisest, aga nad võivad tahta ka suunata tegevusi, mis puudutavad teisi riike. Võtame näiteks spionaaži. Samuti on valiku küsimus, kas soodustada reguleerimata kommunikatsiooni või reguleerida seda.
„Tallinn 2.0-i“ jaoks oleme NATO küberkaitsekeskuse juurde toonud silmapaistvate teadlaste rühma eesmärgiga proovida kogu protsessi kiirendada, püüdes välja tulla oma algatusega küberõiguse defineerimisel. Me lähtume eeldusest, et rahvusvaheline õigus kehtib ka küberruumis – põhimõte, mida enamik riike maailmas aktsepteerib.
Oleme kohtunud 33 riigi esindajaga, sest tahame, et riigid oleksid protsessi kaasatud algusest peale, see peaks hiljem lihtsustama reeglite omaks võtmist.
Enesestmõistetavalt paneb see „Tallinn 2.0-le“ suured ootused ja tajume ka enda vastutust, sest selle materjali põhjal hakkavad riigid pärast käituma. Tuumiku moodustavad 20 eksperti, kuid meil on ka hulgalistelt toimetajaid, kes kogu materjali läbi vaatavad ja seda analüüsivad. Kaasame ka erasektori, näiteks lendame novembris New Yorki, et kohtuda Google’i, Microsofti ja teiste suurettevõtete esindajatega.
„Tallinna käsiraamat“ käsitles riikide vahelisi küberkonflikte, Sony kaasuses on üks osapool riik ja teine eraettevõte. Samas puudutas rünnak ka põhiväärtusi nagu sõnavabadus. Milline on valitsusväliste organisatsioonide roll küberjulgeolekus?
Valitsusväliseid organisatsioone on enesestmõistetavalt erinevaid: nad võivad tegutseda iseseisvalt, lepingu alusel. Nad võivad pakkuda küberkaitseteenust teistele ettevõtetele, aga ka riigile, eriti juhtudel, kus riigil endal pole sellealast võimekust. Meie tööst moodustab see olulise osa, sest kui riik astub eraettevõttega lepingulisse suhtesse, et ettevõte täidaks riigi ülesandeid, siis vastutab riik ettevõtte tegevuse eest. Seega kui Eesti palkab kas FireEye või Mandianti, siis ei vastuta tegevuse eest üksnes ettevõte, vaid ka Eesti riik.
Sony intsidendi puhul võis minu hinnangul olla tegu valitsusega seotud tegelastega ehk siis mitte otseselt valitsusaparaadiga. Ka siis, kui seda tegi mõni eraalgatus, s.o häkkerite grupp, pole mul kahtlust, et tegevust saab seostada Põhja-Koreaga ehk me saame tegelikult öelda, et rünnaku pani toime Põhja-Korea.
Sarnaseid rünnakuid on toime pandud ka Eesti vastu. Tegu võib olla organisatsioonide, rühmituste, aga ka lihtsalt üksikute häkkeritega, kes otsivadki endale sellealast tegevust. Georgia sõja ajal 2008. aastal ilmusid veebiküljed koos pahavaraga ning n-ö nimekirjad sihtmärkidega ehk leheküljed, mida oli vaja rünnata. Seega ei olegi ründaja niivõrd oluline, vaid tähtis on, kes teo eest vastutab.
Kui toome mängu valitsusvälised organisatsioonid, muutub kõik veel segasemaks. Siis saame rääkida eraettevõtetest, aga ka terroriorganisatsioonidest või rühmitustest nagu Süüria elektrooniline armee, kes ei vii operatsioone läbi võib-olla Al-Assadi otsesel käsul, kuid kelle tegevus selgelt toetab režiimi. Saame rääkida ka häktivistidest, kellele näiteks Eesti mingil põhjusel ei meeldi, kuni noorteni, kellele see lihtsalt lõbu pakub.
Praegu me ehk ei mõista veel täielikult küberkaitse olulisust, sest me pole näinud konflikti, kus kübervaldkond mängiks pöördelist rolli. Aga ka lennunduse alguspäevil poleks keegi uskunud, et lennuki pardalt kahe üksteise pihta tulistava sõjaväelase tegevuse tulemusena tekib sõjapidamise valdkond, mis võib otsustada sõja käigu.
NATO vajab väikest küberkaitseelementi, mis alliansis valdkonna asju koordineeriks. Kas tegu peab olema väejuhatuse tasandil juhtimiselemendiga, on eraldi küsimus.
Ühendriigid on loonud küberväejuhatuse, see on integreeritud juhtimiselement. Samuti on meil käimas mitu uurimisprogrammi, kus töötatakse välja pikaajalisi lahendusi.
Eesti on kogenud küberrünnakuid ja need on ka meile oluline ohuallikas, olgu rünnaku viis siis rämpspostitamine, andmete vargus, protokollipetted või sabotaaž.
Uue pahavara levimisel peame paikama iga turvaaugu. Pikas perspektiivis ei ole see jätkusuutlik ja seetõttu otsime lahendusi, mis looks vastupidavama ja robustsema süsteemi.
See on suur katsumus, lisaks relvajõududele peame siin kaasama partnerina ka erasektori, sest paljud selle valdkonna süsteemid ja tegevused puuduvatavad turul olevaid valmistooteid.
