Vaikne ja luurav mittesõda küberruumis
September, 2021Kui otsida Google’ist eestikeelseid vasteid otsingusõnale „kübersõda“, siis küllaltki mõistetavalt tõusis tulemuste arv hüppeliselt aastal 2007, mil Eesti ise elas üle kübersõja või õigemini küll midagi, mille kirjeldamiseks see kõlav väljend tollal sobis.[1]
Ajas edasi liikudes kohtame ajakirjanduses juttu kübersõjast veidi vähem, aga see-eest aina rohkem viiteid küberrünnakutele ja -operatsioonidele, mis sõjaks siiski veel ei kvalifitseeru. Asi ei ole selles, et aprillirahutuste laines aset leidnud ulatuslikud teenusetõkkerünnakud oleksid küberintsidentide ajaloos kujutanud endast suurimat riski riiklikule või rahvusvahelisele julgeolekule. Pigem ei olnud eesti keeles veel välja kujunenud kaanonit, kuidas rääkida rahvusvahelistest küberkonfliktidest teemat ülemäära pehmendamata või ohuta, et halvasti valitud sõnad võiksid viia konfliktide soovimatu eskaleerumiseni.
Samuti näib, et mitmesugustel küberjulgeolekuteemalistel konverentsidel ning töötubades lähtutakse ideest, et kübersõda selle ranges õiguslikus tähenduses ei ole veel kunagi aset leidnud ja suure tõenäosusega see nii ka jääb. Selle mõtte postuleeris jõuliselt ja selgelt 2013. aastal King’s College’i sõjauuringute õppejõud Thomas Rid oma raamatus (tegelikult juba ainuüksi selle pealkirjas) „Kübersõda ei tule“. Põhjus on lihtne – riigid ei taha seda.[2] Kujutlege keskkonda, kus on kõik eeldused täiuslikuks Sun Zi stiilis vaikseks, analüütiliseks ja varitsevaks võitluseks, mis ei vii ebavajalike dramaatiliste ekstsessideni ja kus põhiküsimuseks on „Kes mida teab?“. Arusaadavalt pole kellegi huvides sellise keskkonna pakutud eeliseid tahtlikult ilmselge sõjategevusega ära rikkuda ja nii toimubki sadu kokkupõrkeid n-ö künnise all, hallalal, kus sõda ei peeta, aga rahust on asi ometi kaugel.
Küberruumi militariseerimine
2016. aastal Varssavi tippkohtumisel tunnistas NATO küberruumi maa, õhu ja mere kõrval sõjaliseks domeeniks,[3] see on oluline verstapost ühendatud võrgusüsteemide, seadmete ja kasutajate kogumi militariseerimise järkjärgulisel teekonnal. Ühe tõlgenduse järgi on internet algusest peale olnud eelkõige sõjaline leiutis. Samas olid 1990ndate internetiaktivistid, kellele me võlgneme paljuski need võimalused ja rakendused, mis panevad keskmise kasutaja veetma iga päev internetis 3 tundi,[4] veendunud, et internetist peab saama piiramatute isikuvabaduste kaitseala, kus riikidel kui „vana maailma väsinud hiiglastel“ kohta ei ole.[5] Nende kahe mõtteviisi vahel tõstis aeglaselt ja järjekindlalt pead kolmas, mis nägi enneolematus digitaalses ühendatuses ning selle saadusena tekkivates andmehulkades võimalust teenida hiidkasumeid.
On tõsi, et tänapäevase interneti tehnoloogiline alusstruktuur loodi 1970ndatel USA kaitseministeeriumi Teadusuuringute Projektide Agentuuri (ARPA) eestvedamisel. Samuti on tõsi, et ARPA ei näinud ette veebi demokratiseerumist ega kommertsialiseerumist – seda, et sellest saab igaühe asi ja mitte üksnes USA sõjaliste huvide üks paljudest tehnoloogilistest edendajatest. Üldsusele atraktiivsete rakenduste või sisu loomine ja tavaliste inimeste vahelise ülemaailmse suhtluse hõlbustamine polnud eesmärgid omaette, samas ilma nende hilisemate lisadeta poleks sõjalisest teadusprojektist mitte iialgi kasvanud välja midagi niivõrd olulist, võimalusterohket ja haavatavat, et see vääriks neljanda domeeni tiitlit. ARPA rollist ei saa seega järeldada interneti olemuslikku sõjalisust ega ka mingit paratamatut allutatust riiklikele huvidele. Äärmuslibertaarsed nägemused küberanarhiast osutusid aga samavõrra piiratuks, kuna küberruumi füüsiline infrastruktuur – merealused kaablid, serverid, IT-firmade esindused, seadmed ja kasutajad – allub paratamatult ühe või teise suveräänse riigi jurisdiktsioonile ja pelgalt jurisdiktsiooni määramise tehniline keerukus ei muuda ühtegi keskkonda veel õiguslikuks eikellegimaaks. Samal ajal kehtivad neljandas domeenis tõesti veidi teistsugused – asümmeetrilised – võimuvahekorrad, mis võimaldavad Twitteril otsustada USA presidendi väljendusvabaduse üle ja mõnel väiksel, hägusalt organiseeritud, kuid tehniliselt osaval inimgrupil ohustada terveid riike.
Küberruumi militariseerimist ennustati juba 1990ndatel – mõned, näiteks USA militaaranalüütika mõttekoda RAND, tegid seda äraootavalt ja isegi teatava professionaalse õhinaga, teised, näiteks rahvusvaheline mittetulundusühing Elektroonilise Privaatsuse Teabekeskus (EPIC), kui arengut, mida tuleks iga hinna eest vältida. Viimane koolkond on pidanud teatava kibedusega tunnistama, et militariseerimine on toimunud. Mida laiemalt aktsepteeritakse, et küberruum on kriisikolle, kus on pidevalt vaja lahendada ning ära hoida sõjalisi konflikte, seda altimad ollakse nõustuma riigipoolsete julgeolekumeetmete – nagu tagauksed, pealtkuulamine ja veebisaitide blokeerimine – rakendamisega tsiviilvõrkudele ja -kommunikatsioonile. Maailmakuulus infoturbe guru Bruce Schneier võttis militariseerimise mõju 2010. aastal Washingtonis toimunud avalikul debatil kokku sedastades, et „kui võtta küberohte kuritegevusena, siis me saame politseilahendused, kui aga kübersõjana, siis militaarsed“.[6]
Harvardi ülikooli rahvusvahelise õiguse ja infotehnoloogia professor Jonathan Zittrain, kes samuti näib üldiselt pooldavat traditsioonilistest riiklikest kontrollimehhanismidest suhteliselt puutumatut internetti, väitis 2016. aastal artiklis „Netisõda – küberruumi soovimatu militariseerimine on saanud tõeks“, et kuigi suurem riiklik sekkumine küberruumi tähendab enamasti kasutajate, võrkude, platvormide ja otspunktide julgeoleku õõnestamist, on see mõnikord vältimatu. Ta kirjutab: „Eeldusel, et riikidepoolne andmete ja võrkude hävitamine või nendega manipuleerimine kujutab endast eriti ohtlikku ja kahjulikku rünnakuvormi – ja tõepoolest, ma võin seda isegi vastumeelselt nimetada teatud tüüpi netisõjaks –, on vajalik ja asjakohane, et valitsused ka mõjutatud isikuid kaitseksid.“[7]
Väljend „netisõda“ eristub kübersõjast ja pärineb RAND-i 1993. aasta raportist „Kübersõda on tulekul!“,[8] mis ennustas ajal, kus keskmine inimene polnud ei saatnud ega vastu võtnud ühtegi e-kirja, hämmastava täpsusega neid küberoperatsioone, mis aastaks 2021 on osutunud õiguslikult, poliitiliselt ja tehnoloogiliselt kõige suuremateks väljakutseteks, aga millest ühtegi ei saa nimetada relvastatud rünnakuks ÜRO harta mõistes. See on koondnimetaja konfliktidele, kus relvaks on kood ja veebi postitatav sisu, aga mille vältel ei rünnata teise riigi sõjalisi süsteeme. Ometi on need rünnakud liiga mitmetahulised ja mastaapsed, et neile suudaksid vastu seista üksikisikud, kodanikuühiskond või isegi veebiajastu võimsad suurkorporatsioonid. Sellised rünnakud sisaldavad tavaliselt kolme kohustuslikku komponenti: sabotaaž, spionaaž ja õõnestus[9] – viimane võib olla lihtsalt kahe esimese vältimatu kaasnähtus. Kaks esimest aga moodustavad kõikide rahvusvaheliste küberkonfliktide tuuma ning see, kuidas infokogumine võib sujuvalt ning integreeritult muutuda aktiivseks sõjaliseks operatsiooniks, on küsimus, mis ühtaegu inspireerib ja painab nii neid, kes loovad militaarse kasutuspotentsiaaliga tarkvaralahendusi, kui ka neid, kes nende kasutust kavandavad ja reguleerivad.
Rünnakutabust võidurelvastumiseni
Seda, kuidas spionaaž ja kübersüsteemide kahjustamine omavahel läbi põimunud on, illustreerivad hästi kurikuulus ussviirus Stuxnet, mis on küberuuringute valdkonnas saanud kõrgtehnoloogilise rünnaku õpikunäiteks, ja hiljutisem, kuid tõenäoliselt võrreldava tähtsusega SolarWindsi häkk. Stuxneti viiruse lõid suure tõenäosusega USA ja Iisraeli luure-asutused operatsiooni Olympic Games raames, mille eesmärk oli nurjata Iraani tuumarelvaarendus. Tegelikult ei saa Stuxnetist või Olympic Gamesist rääkida kui ühest konkreetsest pahavaralisest lahendusest, see oli suurelt jaolt isetoimiv küberrelv, mis oli programmeeritud spioneerima, kogutud andmeid analüüsima, nakatatud süsteemi valeandmeid sisestama, selle tegevust halvama ja kõige selle vältel ennast varjama.
Eri väidete järgi nakatusid Iraani tuumarelva arendamisega seotud Natanzi elektrijaama programmeeritavad loogikakontrollerid viirusega juba aastal 2007.[10] Kontrollerid ei olnud ühendatud internetivõrku ja ilmselt viidi viirus neisse kasutades USB-mälupulka, sealt edasi aga selle loojad viiruse tegevust reaalajas ei kontrollinud. Süsteemidesse sisenenuna suutis see varjatult muuta uraani rikastavate tsentrifuugide pöörlemiskiirust nii, et tuumaprogrammi jaoks läks kaotsi peaaegu kolm aastat intensiivset tööd.[11] Kohustusliku koostisosana sisaldas Stuxnet ka nuhkvaramoodulit, mis enne viiruse sisenemist kontrolleritesse kaardistas kõik Natanzi võrgud ja seal kasutatavad seadmed. Sõltumata sellest, mida kübersõja võimalikkusest ka arvataks, peetakse seda küberintsidenti ajaloos siiani relvastatud rünnakuga kõige sarnasemaks – kui midagi oleks läinud valesti kas asjasse segatud riikide omavahelistes suhetes või Stuxneti tehnilises funktsioneerimises, oleks sellest võinud välja kasvada hävituslike füüsiliste tagajärgedega rünnak. Infooperatsiooni ja rünnakut eristab kübermaailmas pahatihti vaid paar hiireklikki või klahvivajutust.
Stuxnetti võib pidada ka uut laadi võidurelvastumise avapauguks. Relvad, mille arendamises ja omamises riigid oma vastaseid üle tahavad trumbata, ei olegi aga relvad, vaid hoopis informatsioon – vähemalt nii kirjeldas enda poolt pakutavaid kaupu ja teenuseid 2010. aastate alguses tuntust kogunud itaalia häkkeriduo ReVuln.[12] Nad otsisid laialt kasutatavatest tarkvaralahendustest seni avastamata turvaauke, mille teadmine annaks võimaluse spioneerida vastase süsteemides ning vajadusel ka nende üle kontrolli haarata. Kindlasti ei olnud nad ainsad, kes enda oskusi sel viisil turustasid – Hacking Group, NSO, Core Security on veel vaid mõned nimed, mis Stuxneti-järgses küberrelvastumispalavikus esile tõusid. Uudishimulik hobihäkkimine oli muutunud kõrgelt tasustatud palgaspionaažiks. See, et pakutav kaup meenutab pigem valemit kui ballistilist raketti, vastab tõele ja nii on ka selle levikut raske piirata, kuna selle alluvus ekspordikontrolli lepingutele on küsitav ja teiseks kaitseb seda mingil määral sõnavabadus. Lisaks ei jäta koodiridadest koosneva avastuse liikumine füüsilisi jälgi ning jääb märkamatuks. Praeguseks on turvaaukude müüjate ja vahendajate sõnul sellist infot otsinud ja ostnud peaaegu kõik maailma valitsused.[13] Dokumentaalseid tõendeid on raske leida, aga näiteks nuhkvara soetamise teadaolev statistika, mille järgi on ostjateks teiste seas ka Araabia Ühendemiraadid, Kõrgõzstan, Mehhiko, Eesti, Poola ja Läti, näib neid väiteid pigem toetavat.[14]
Kuigi kübersõda kui sellist ei pruugi tulla, on riigid asunud täiendama oma arsenale sõjalise tarkvaraga, mis on loodud proaktiivsematel eesmärkidel kui lihtsalt omaenda võrkude kaitse. Praeguseks ei ole ründevõime arendamine enam ka tabuteema ning paljud riigid räägivad selle olulisusest ka oma (küber)julgeolekustrateegiates.[15] Samas on sisukas arutlus rünnakute teemal välistatud seni, kuni sellest puuduvad 90ndate netiaktivismi, musta turu infovahendajate ja luurekogukonna hääled. Kui nt tuumarelvade reguleerimise puhul oli akadeemiline ja poliitstrateegiline rõhuasetus arusaadav juba seetõttu, et tuumafüüsika juured asusid ülikoolides, siis küberrelvade omi tuleks otsida luurest ja vabast põrandaalusest häkkerikultuurist. See, et kaitse ja rünnaku eristamine on küberruumis komplitseeritud, on saanud käibetõeks. President Barack Obama tsiteeris üht oma kaitsenõunikku, võrreldes küberjulgeolekut jalgpalli asemel pigem korvpalliga, kus „kõik on pidevas liikumises ning kaitsel ja rünnakul ei saa alati vahet teha“.[16] Spordikaugem inimene satub sellest analoogiast veel suuremasse segadusse, aga mõte olevat selles, et kõiki rünnakuks vajaminevaid oskusi läheb vaja ka kaitses ja vastupidi.
Puhtalt passiivsesse küberkaitsesse ei usu enam keegi ning rünnakutabust on saanud midagi, mida on kirjeldatud kui rünnakukesksust või isegi kui „rünnakukultust“.[17] See tähendab, et nt USA defend forward doktriini järgi on oluline rünnakuid ennetada, tuvastades ning vajadusel kahjustades süsteeme, kust need pärinevad.[18] Rünnakule orienteeritusest otsesõnu ei räägita, kõnekas on aga USA riigikaitse ja sisejulgeoleku kübereelarvete võrdlus. Columbia ülikooli rahvusvaheliste ja avalike suhete kooli vanemteadur Jason Healey kirjutab, et isegi piiratud informatsiooni tingimustes võib loogiliselt eeldada, et kaitse väärtustamine tähendaks talle rünnakuga võrdse rahalise toetuse eraldamist. 2020. aastal aga eraldati kaitseministeeriumile küber-operatsioonideks veerandi võrra rohkem vahendeid kui kõikidele tsiviiljulgeolekuga tegelevatele valitsusasutustele kokku. Tsiviilvaldkonda jäävad küberkuritegevuse vastane võitlus, varustusahela küberturve, intsidentide alase info jagamine, era- ja avaliku sektori koostöö kriitilise infrastruktuuri küberjulgeoleku tagamisel ja ühtsete turvalisusstandardite juurutamine.[19] Edward Snowden kirjeldab, kuidas rünnaku eelisarendamine kajastus hästi ka Riikliku Julgeolekuagentuuri töökultuuris, mis erinevalt Luure Keskagentuurist peaaegu kunagi ei krüpteerinud oma faile ning pööras vähe tähelepanu tagavarakoopiatele või intsidentidest taastumise protseduuridele.[20] See-eest oldi ületamatud ründevõimekuses, ja küberis on igasuguse ründevõimekuse aluseks spionaaž.
Digitaalselt võimendatud spionaaž
Selles, et üks riik võib salaja infiltreeruda teise äärmise hoolega valvatud elutähtsatesse süsteemidesse, ei ole enam midagi jahmatavat. 2012. aastal avastati, et Iraan on modulaarse viiruse Shamoon abil seisanud 30 000 Saudi Araabia naftafirmale Saudi Aramco kuulunud arvutit.[21] 2016. aasta kineetiliste operatsioonide foonil ründasid Vene häkkerid kaheksat Ukraina elektrijaama ja põhjustasid ligi kuuetunnise elektrikatkestuse.[22] Põhja-Korea loodud lunavara WannaCry suutis 2017. aastal teiste sihtmärkide seas edukalt kahjustada Ühendkuningriigi riikliku tervishoiu ja Saksa föderaalse raudtee võrgusüsteeme.[23] Aasta varem ei jäänud palju puudu sellest, et Põhja-Korea kübersõdalased oleksid Bangladeshi rahvuspangalt varastanud rohkem kui miljard dollarit.[24] Veidi pärast WannaCry’d levis Venemaale omistatud lunavara NotPetya üle terve Ukraina ja hiljem ka mujal maailmas, kahjustades Ukraina ettevõtteid ja rahvuspanka, aga ühtlasi ka näiteks Briti ning Ameerika tervishoiuasutusi. NotPetya puhul lisab bumerangiefekti asjaolu, et lunavara loomisel oli ära kasutatud USA Riikliku Julgeolekuagentuuri poolt avastatud turvaauku Microsoft Windowsis.[25] Need on vaid mõned näited, mis tõestavad, et riigikaitse, tervishoiu, panganduse ja kommunaalteenuste sõltuvus küberinfrastruktuurist muudab need paratamatult haavatavaks. Tänaseks on igasuguse küberjulgeoleku aluseks mitte ambitsioon saavutada absoluutset turvalisust, vaid pigem just selle spetsiifilise haavatavuse aktsepteerimine. Sellest hoolimata põhjustas avastus, et Vene häkkerid on Ameerika IT-firma SolarWinds poolt loodud võrguseiretarkvara Orion kaudu pääsenud ligi kriitilise tähtsusega USA valitsusasutustele, igati õigustatult tõelist turbulentsi.
Microsofti juht Brad Smith nimetas SolarWindsi häkki kõigi aegade kõige laiahaardelisemaks ja rafineeritumaks küberrünnakuks,[26] aga õnneks oli see oma olemuselt eelkõige spionaažioperatsioon. Juhul kui Venemaad aga oleksid ajendanud konkreetsed destruktiivsed ambitsioonid, oleks nende realiseerimine olnud hirmuäratalt kerge. Möödunud aasta detsembris avastas küberturbefirma FireEye, et nende arendatud ründetestimistarkvara on langenud ilmselt mõne riigi koordineeritud küberrünnaku ohvriks. Paar nädalat hiljem raporteeris FireEye, et ründaja oli ehitanud tagaukse, mille kaudu ta sihtmärgini jõudis, just SolarWindsi Orioni süsteemi. Kuigi mõned allikad viitasid ka Hiinale, panid USA luureasutused operatsiooni Venemaa arvele.[27] Olukorra tõsidus joonistus välja kohe, kui selgus, et SolarWindsi aukartustäratavast kliendibaasist kasutasid nakatunud Orioni versiooni teiste seas Pentagon, Ameerika Ühendriikide välisministeerium, rahandusministeerium ja sisejulgeolekuministeerium, riiklikud tervishoiuinstituudid ja ka tuumajulgeoleku amet. Suurem osa klientidest, sealhulgas peaaegu kõik Fortune 500 listi kuuluvad firmad, olid siiski erasektorist.[28] Kõige murelikumad on arusaadavalt need Orioni kasutajad, kes haldasid ise näiteks nafta, elektri või veepuhastusega seotud süsteeme või pakkusid selliste süsteemide hooldamise ja testimise teenust.
Küberapokalüptilised stsenaariumid keerlevad enamasti selliste (üha vähem pelgalt) oletuslike olukordade ümber, kus muudetakse näiteks veregruppe doonorite andmebaasis, lennujuhtimissüsteemide graafikuid või keemilisi näitajaid veepuhastussüsteemis. On lihtne ette kujutada füüsilisi kannatusi, surmasid ja kaost, mida selline rünnak kaasa võiks tuua. SolarWindsi puhul jäid need juhtumata, sest väidetavalt huvitas Venemaad hoopis USA kõrgete riigiametnike kirjavahetus, aga päris kindel see pole ning sellise riskantse teadmatusega tuleb kõigil leppida.[29] Brad Smith kommenteeris, et see ei olnud tavaline väike spioneerimine, vaid kogu globaalse elutähtsa infrastruktuuri usaldusväärsuse ja terviklikkuse ohverdamine ühe riigi luurehuvidele.Kui mitte arvestada tõsiasja, et see siiski avastati, oli SolarWindsi häkk venelaste jaoks luuretriumf, ameeriklastele aga luurefiasko, kuna rünnakut kontrolliti, juhiti ja teostati Ameerika Ühendriikide territooriumilt ja seetõttu olid luureasutuste võimalused operatsiooni varaseks avastamiseks piiratud. Aidanud oleks ainult tõeliselt hea vanakooli passiivne kaitse – kriitilise küberinfrastruktuuri varustusahela range ja pidev jälgimine. Ettekaitsvast hoiakust SolarWindsi intsidendi puhul kasu ei olnud. Seekord langes ohvriks maailma juhtiv kübervõim, kes on hambuni relvastatud, kuid oma digitaalse arengu ja sõltuvuse tõttu ka üks haavatavamaid riike maailmas. Kas näiteks USA Riiklik Julgeolekuagentuur ise on riiklikele luurehuvidele ohverdanud olulise osa globaalsest küberturvalisusest ja universaalsest inimõigusest eraelu puutumatusele, on iseküsimus. Tundub aga, et sobiv hetk arutamaks, milline riik siis ikkagi küberruumis kõige nahaalsemalt käitub, on ammu möödas ja olulisem on murda küberspionaaži ümbritsev strateegiline vaikus.[30] Võib-olla oleme tunnistajaks teatud tüüpi pealesurutud pingelõdvendusele, mis tuleb teadmisest, et tahes-tahtmata peavad riigid võtma arvesse, et kõike, mida nad plaanivad ja suudavad teha teistele, suudetakse korda saata ka nende endi vastu.
Reeglid, mille järgi kübersõda peetud veel ei ole
2013. aastal andis NATO Kooperatiivse Küberkaitse Kompetentsikeskus välja rahvusvahelise ekspertgrupi koostatud esimese „Tallinna käsiraamatu“, mis uuris, kuidas rakenduks rahvusvaheline õigus kübersõjale. See tähendab, et esimene „Tallinna käsiraamat“ oligi kirjutatud lähtuvalt rahvusvahelisest humanitaarõigusest ja mõeldud reguleerima neid olukordi, kus piir rahuaja ning sõja vahel on ületatud.[31] Sellest, et meil puudus täpne arusaam, kuidas kübersõjast rääkida, annab tunnistust käsiraamatu ilmumise tollane kajastamine meedias. Pealkirjad nagu „Kas NATO lubab häkkereid tappa?“[32] või „NATO Tallinna manuaal: häkkerite füüsiline tapmine on kübersõjas õigustatud“[33] võivad võrreldes korrektsemate ja igavamatega küll osutuda klikimagnetiteks, aga on eksitavamad nii oma rõhuasetuselt kui ka faktilistelt seostelt, millele nad vihjavad.
Esiteks ei kajasta käsiraamat NATO ametlikke seisukohti, teiseks, ka NATO peab „häkkerite tapmise“ küsimuses, juhul kui see toimub algava või käimasoleva relvastatud konflikti kontekstis, lähtuma rahvusvahelisest humanitaar-
õigusest – tavaõigusest ja lepingutest, nagu näiteks ÜRO harta ja Haagi 1899. aasta ning Genfi 1949. aasta konventsioonid koos viimaste 1977. aasta lisaprotokollidega. Rahuajal NATO häkkereid tappa ei tohi. Liiatigi ei kirjuta „Tallinna käsiraamat“ NATO-le ega riikidele ette reegleid, mille järgi küberruumis sõdida, vaid kujutab endast akadeemilist tõlgendust teistsuguses tehnoloogilises taustsüsteemis kokkulepitud rahvusvahelise õiguse normide kohalduvusest küberruumis. Lisaks eelnevale oli väljavaade, et mõne häkkeri kahjutuks tegemiseks hakatakse korraldama sõjalisi operatsioone, aastal 2013 ja on ka praegu väga ebatõenäoline.
Esimese käsiraamatu panusest rahvusvahelise õiguse arengusse ning selle kohast Eesti õigusajaloos annab 2013. aasta augustikuu Diplomaatias suurepärase ülevaate Lauri Mälksoo, kes muuhulgas mainib, et eriti intrigeeriv oli käsiraamatut analüüsida paar kuud varem Edward Snowdeni poolt avalikkusesse lekitatud USA PRISM-programmi puudutavate paljastuste taustal.[34] See viib meid tagasi spionaaži juurde. Paraku aga on esimene „Tallinna käsiraamat“, nagu ka rahvusvaheline õigus ja eriti humanitaarõigus, spionaažiküsimustes strateegiliselt vaikne. Kuna oli selge, et esimese käsiraamatu objektiks olevat kübersõda pole kunagi esinenud, otsustas ekspertgrupp oma ampluaad laiendada ning realistlikkuse huvides võtta vaatluse alla ka need küberoperatsioonid, mis ei küüni jõu kasutamise või relvastatud rünnakuni, kuid millega riigid pidevalt silmitsi seisavad. 2017. aastal ilmus „Tallinna käsiraamat 2.0 küberoperatsioonidele kohalduva rahvusvahelise õiguse kohta“,[35] mis sisaldab täiendatud kujul 2013. aasta käsiraamatu reegleid, kuid samas käsitleb ka küberoperatsioonide mõju riiklikule suveräänsusele, teise riigi siseasjadesse sekkumise keelule ja rahvusvahelistele inimõigustele.
Ülimalt lihtsustatult võib järeldada, et relvastatud rünnakuks, mis annaks õiguse reaktsioonina kasutada sõjalist jõudu, saab olla ainult ühe riigi poolt teise vastu suunatud küberoperatsioon, mis kulmineerub füüsiliste objektide hävitamisega. Tallinna käsiraamatu 2.0 ekspertgrupi liikmetest pidas Stuxnetti relvastatud rünnakuks vähemus, kõik aga nõustusid, et tegu oli jõu kasutamisega ÜRO harta artikkel 2(4) mõistes. Esimese ja teise piirid on ähmased ja sõltuvad enamasti operatsiooni ulatusest ning tagajärgedest ja lisaks ka kannatajariigi poliitilisest soovist juhtunut ühe või teise õigustermini alla liigitada. Siiani pole ükski riik enda vastu suunatud küberoperatsioone ametlikult sellesse raamistikku asetanud.
Küll aga kujutab suur osa tegelikke intsidente endast kannatajariigi suveräänsuse rikkumist. Stuxnet ei jäta kahtlustki – USA ja Iisrael rikkusid Iraani suveräänsust territoriaalses tähenduses, siseneti Iraani territooriumil asuvatesse süsteemidesse ja takistati nende tööd. Samas, kuna riiklik tuumaprogramm on olemuslikult seotud avalike funktsioonidega nagu julgeolek ja riigikaitse, rikuti ka Iraani õigust teostada avalikku võimu. Arvestades selle taandarendavat mõju tuumaprogrammile, võis olla tegu ka keelatud sekkumisega teise riigi siseasjadesse.
Juhul kui saavutataks konsensus nende omistatavuse osas Venemaale, läheksid suveräänsuse rikkumisena ja poliitiliste motiivide läbipaistvuse tõttu võib-olla ka keelatud sekkumisena arvesse 2007. aasta teenusetõkkerünnakud Eesti telefonikeskjaamade ja pankade vastu. SolarWindsi rünnak suure tõenäosusega Ameerika Ühendriikide suveräänsust ei rikkunud, kuna spionaaž kui selline rahvusvahelise õiguse järgi keelatud pole. Suveräänsuse olemuse osas aga puudub riikide seas üksmeel – nimelt arvavad näiteks USA ja Ühendkuningriik, et see on üldpõhimõte, kuid mitte reegel, mida saaks rikkuda, mitmed teised riigid seda seisukohta ei jaga. Suveräänsusest tuleneb ka hoolsuskohustus, mille järgi ei tohi riik teadlikult lasta enda territooriumi kasutada teise riigi vastu suunatud rahvusvahelist õigust rikkuvate küberoperatsioonide läbiviimiseks.
Riigid küll tunnistavad, et rahvusvaheline õigus kehtib ka küberruumis, kuid on selle kohaldamise spetsiifilistes küsimustes küllaltki killustunud.[36] Osaliselt tuleneb killustatus fundamentaalselt erinevast lähenemisest ühendatud võrkudele – kui Läänes räägitakse küberruumist ning peetakse sellega silmas eelkõige interneti tehnoloogilist alusstruktuuri, siis Venemaa ja Hiina kõnelevad inforuumist, mis hõlmab ka interneti kaudu edastatavat infot. Suveräänsus tähendab selle nägemuse järgi ka riigi õigust ilma teiste riikide sekkumiseta määrata, millist infot selle elanikud võivad saada ning levitada. Kuigi inforuumi selline tajumine toob kaasa rohkelt probleeme näiteks inimõiguste vallas, on hakanud ka teine leer mitmete hiljutiste valimiste vastu suunatud infooperatsioonide valguses rääkima sisu karmimast reguleerimisest.[37] Üldiselt on rahvusvahelistel kõnelustel Venemaa, Hiina ja ka Kuuba ning Iraan need, kes võtavad kõige häälekamalt sõna küberruumile rahvusvahelise humanitaarõiguse kohaldamise vastu.[38] Kuigi ükski küberrünnak ei ole küündinud relvastatud konflikti tasemele ega seega andnud ohvrile õigust kasutada enda kaitseks sõjalist jõudu, kritiseerivad need riigid juba pelgalt ideed, et mõni rünnak võiks seda teha, kui katset muuta rahumeelne ja inimnäoline internet sõjatandriks. Kuna küberoperatsioonidele ei pea vastama küberoperatsioonidega, siis tegelikult võivad sellised avaldused olla inspireeritud hirmust, et mõned nende riikide vaenulikud ettevõtmised võivad saada tõsise vastulöögi mõnes muus domeenis. Samuti võib põhjuseks olla soov võita nende mitmete digitaalselt vähem arenenud riikide sümpaatia, kellele Ameerika Ühendriikide küberpatronaaž mingil põhjusel ei sobi.
Kuigi küberruumi militariseerimine on mingil moel osutunud vältimatuks, pole see juhtunud läbi mõne sellise sündmuse, millele erialakirjanduses mõne aasta eest armastati viidata kui Pearl Harbouri või 9/11 küberanaloogiale. Ka NATO-l pole seni olnud põhjust häkkereid tappa. Kui normide ja rahvusvahelise õiguse kohaldatavuse ümber toimuvad arutelud küberruumi militariseerimise kohta midagi ütlevad, siis seda, et kuigi tegemist on vaieldamatu julgeolekuprioriteediga, jätab selle tõlgendamine läbi militaarse paradigma ohtlikke lünki. Pahatihti osutuvad määravaks infokogumispraktikad, mida rahvusvaheline humanitaarõigus kuigi hästi ei kata ja mille üksmeelne hukkamõist tähendaks riikide jaoks ka omaenda operatsioonide kriitilist ümberhindamist.
Strateegilise vaikuse lõpp?
Kuigi „kübersõda“ kõlab sensatsiooniliselt, on põhjust tunda kõhedust ennekõike mõeldes sellele, et igasugune info, olgu selleks intellektuaalne omand, turvaauk mõnes eluliselt olulises süsteemis või lihtsalt midagi sügavalt isiklikku, mis vähegi kellegi jaoks mingit väärtust võiks omada, on tegelikult teatud tingimustel alati saadaval. Esimene võib olla leitav omaniku siseveebist, teine võib olla müügil turvaaukude mustal turul, kus riigid osalevad aktiivsete ostjatena, ja kolmas kättesaadav põhimõtteliselt kõikjal. Selline absoluutne infoküllus ja piiramatu spionaaž paneb riike paratamatult tegema teistsuguseid strateegilisi otsuseid. Mõtlemine, mis varem tundus paranoiline, on nüüd lihtsalt külmalt realistlik. Võib-olla on SolarWindsi häkk just see konstitutiivne moment,[39] mis paneb riike ja inimesi teineteise perspektiive paremini nägema – kui viimaste privaatsusillusioonid purunesid 2013. aastal, siis esimeste usk strateegiliselt olulise informatsiooni salastatusse lõi kõikuma kui mitte varem, siis hiljemalt möödunud talvel.
Pelgalt päästikule vajutamise reguleerimisega küberohte ei leevenda ja seni, kuni riikidevaheline suhtlus ei võta kõneaineks seda, kuidas sõrm üldse päästikule sattus, hiilib suur osa ohte radari alt läbi. Seni leiab spionaaži detailset piiritlemist ning reegleid selle ohjeldamiseks ainult rahvusvaheliste inimõiguste raamistikust ja samm selles suunas astuti 2015. aastal, kui Hiina ja Ameerika Ühendriigid kirjutasid alla majandushuvidest lähtuvale tööstusspionaaži piiravale kokkuleppele. Inimõigustest lähtuv lähenemine ei ole pakkunud riikidele küsimusega tegelemiseks piisavat ajendit, küll aga võib seda teha mõni konkreetne julgeolekuoht nagu SolarWinds. ÜRO privaatsusvolinik Joseph Cannataci pakkus aastal 2017 välja, et parim lahendus oleks küberspionaaži reguleeriv terviklik rahvusvaheline leping.[40] See määraks ära, kuidas toimuks luureoperatsioonide autoriseerimine ja millised oleksid õiguspärased sihtmärgid. 2017. aastal tundus, et kuigi selline leping pakuks tavalistele inimestele vabadust ja hingamisruumi, oleks äärmiselt naiivne oodata, et ükski riik sellele alla kirjutaks. Aastal 2021 kõlab see idee mõnevõrra vähem naiivselt, sest luurekontekst on osutunud küberjulgeoleku mõtestamisel adekvaatsemaks kui mistahes rangelt sõjaline lähenemine.
Õigete küsimuste julge ja avalik esitamine võib küll suubuda tühipaljaks retoorikaks, aga mujalt pole võimalik alustada. Snowdeni paljastuste tagajärjel kutsus president Obama kokku luure ja telekommunikatsioonitehnoloogia revisjonigrupi, kes muuhulgas jagas soovitusi, kuidas läheneda seni teadmata turvaaukude ekspluateerimisele luuretehnoloogia arendamisel. Kõik need kehtivad tegelikult küberluurele üleüldiselt sõltumata operatsiooni tehnoloogilisest spetsiifikast. Raporti järgi tuleks enne, kui riik otsustab nuhkvara rajada sellisele eriti riskantsele haavatavusele, esitada mõned kriitilised küsimused. Esmalt tuleks veenduda, kas ja millises ulatuses kasutatakse antud konkreetse turvaauguga lahendusi elutähtsates infosüsteemides ja millist mõju võib selle ekspluateerimine avaldada ühiskonnale laiemalt. Teiseks oleks vaja hinnata, mis võib juhtuda, kui sellestsamast haavatavusest saavad teadlikuks riigi sõjalised vastased või mõni kuritegelik grupp. Kolmandaks, kuivõrd tõenäoline on, et riik suudaks jälgida ning hallata juhtumeid, kui mõni eelmainitu on seda haavatavust ära kasutanud. Loomulikult tuleb seda kõike kaaluda, arvestades saadava luureinfo eeldatavat väärtust ning kõiki potentsiaalselt vähem kahjulikke viise selle hankimiseks.[41] Lühidalt võiksid riigid eraldi ning pärast vaikuse murdumist miks mitte ka kollektiivselt küsida, kas juhul, kui mõni järjekordne invasiivne arendatav luuretehnoloogia või -metoodika hakkaks kontrollimatult levima, võiksid nad kunagi selle arendamist ning rakendamist kahetseda? Ka kõige tehnooptimistlikumad nende seast peaksid sageli tunnistama, et suure tõenäosusega võiksid küll.
[1] Vt T. Tammet, Küberrünnakute moos aprillirahutuste kibedal pudrul. Vikerkaar, 2008, nr 4/5.
[2] T. Rid, Cyber War Will Not Take Place. Abingdon-on-Thames, 2014.
[3] Nt Ameerika Ühendriigid loevad sõjaliseks domeeniks ka kosmost.
[4] Daily Time Spent with the Internet per Capita Worldwide from 2011 to 2021. Statista.com, 27.02.2021.
[5] J. Barlow, A Declaration of the Independence of Cyberspace, Davos, 08.02.1996.
[6] Intelligence Squared US, debatt „The Cyber War Threat Has Been Grossly Exaggerated“. Washington DC, 08.06.2010, veebis vaadatav: https://www.intelligencesquaredus.org/debates/cyber-war-threat-has-been-grossly-exaggerated.
[7] J. Zittrain, „Netwar“: The Unwelcome Militarization of the Internet has Arrived. Bulletin of the Atomic Scientists, 2016, kd 73, nr 5.
[8] J. Arquilla, D. Ronfeldt, Cyberwar is Coming!. Comparative Strategy, 1993, kd 12, nr 2, lk 141–145.
[9] T. Rid, Cyber War Will Not Take Place, lk 2.
[10] S. Winer, D. Shamah, Stuxnet Virus Attacked Iran Earlier than Thought. Times of Israel, 27.02.2013.
[11] R. Langner, Stuxnet: Dissecting a Cyberwarfare Weapon. IEEE Security & Privacy Magazine, 2011, kd 9, nr 3, lk 49.
[12] N. Perlroth, This is how They Tell Me the World Ends: The Cyberweapons Arms Race. New York jt, 2021, lk 150.
[13] Sealsamas, lk 170.
[14] Vt nt B. Marczak jt, Hide and Seek: Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries. CitizenLab, 18.09.2018; M. Marquis-Boire jt, You Only Click Twice: FinFisher’s Global Proliferation. CitizenLab, 13.03.2013.
[15] Vt nt Ühendkuningriigi peaministri kantselei, Integrated Review of Security, Defence, Development and Foreign Policy, 16.03.2021; Madalmaade Kuningriigi kaitseministeerium, Nederlandse Defensie Doctrine 2019, 19.06.2019; Prantsusmaa kaitseministeerium, Éléments publics de doctrine militaire de lutte informatique offensive, 18.01.2019.
[16] L. Gannes, How Cyber Security Is Like Basketball, According to Barack Obama. Vox, 14.02.2015.
[17] Vt nt C. Smythe, Cult of the Cyber Offensive: Misperceptions of the Cyber Offense/Defense Balance. Yale Journal of International Affairs, 10.06.2020.
[18] Ameerika Ühendriikide kaitseministeerium, Summary: Department of Defense Cyber Strategy 2018.
[19] J. Healey, The Cyber Budget Shows What the U.S. Values – And It Isn’t Defense. Lawfare, 01.06.2020.
[20] E. Snowden, Permanent record. London, 2019, lk 138.
[21] N. Perlroth, In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back. New York Times, 24.10.2021.
[22] K. Zetter, Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid. Wired, 03.03.2016.
[23] E. Ceasar, The Incredible Rise of North Korea’s Hacking Army. New Yorker, 19.04.2021.
[24] Sealsamas.
[25] I. Thompson, Everything You Need to Know about the Petya, er, NotPetya Nasty Trashing PCs Worldwide. TechCrunch, 28.06.2017.
[26] B. Smith, A Moment of Reckoning: The Need for a Strong and Global Cybersecurity Response. Microsoft Blog, 17.12.2020.
[27] US Cyber-attack: Russia ‘Clearly’ Behind SolarWinds Operation, Says Pompeo. BBC News, 19.12.2020.
[28] N. Perlroth, Scope of Russian Hacking Becomes Clear: Multiple U.S. Agencies Were Hit. New York Times, 14.12.2020.
[29] S. Halpern, After the SolarWinds Hack, We Have No Idea What Cyber Dangers We Face. New Yorker, 25.01.2021.
[30] Vt ka K. Eichensehr, „Strategic Silence“ and State-Sponsored Hacking: The US Gov’t and SolarWinds. Lawfare, 18.12.2020.
[31] Tallinn Manual On the International Law Applicable to Cyber Warfare. Koost. M. N. Schmitt, L. Vihul jt. Cambridge, 2013.
[32] A. Alas, Kas NATO lubab häkkereid tappa?. Eesti Ekspress, 18.04.2013.
[33] L. Laugen, NATO Tallinna manuaal: häkkerite füüsiline tapmine on kübersõjas õigustatud. Eesti Päevaleht, 21.03.2021.
[34] L. Mälksoo, „Tallinna käsiraamat“ kui rahvusvahelise elu sündmus. Diplomaatia, 03.08.2013.
[35] Tallinn Manual 2.0 On the International Law Applicable to Cyber Operations. Koost. M. N. Schmitt, L. Vihul jt. Cambridge, 2017.
[36] Vt nt A. Väljataga, Back to Square One? The Fifth UN GGE Fails to Submit a Conclusive Report at the UN General Assembly. Incyder, 01.09.2017.
[37] Vt nt G. S. Gerstell, The National-Security Case for Fixing Social Media. New Yorker, 13.11.2020.
[38] Vt nt J. Marks, U.N. Body Agrees to U.S. Norms in Cyberspace. Politico, 07.09.2015; Declaration by Miguel Rodriguez, Representative of Cuba, at the Final Session of Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security. New York, 23.06.2017; Statement by the Chinese Delegation on Information and Cyber Security at the Thematic Debate at the First Committee of the 65th Session UNGA. United Nations, New York, 30.10. 2013.
[39] Vt ka A. Lubin, SolarWinds as a Constitutive Moment – a New Agenda for the International Law of Intelligence. JustSecurity, 23.12.2020.
[40] T. Miles, U.N. Expert Urges States to Work toward Cyber Surveillance Treaty. Reuters, 08.03.2017.
[41] White House Archives, Report and Re-commendations of The President’s Review Group on Intelligence and Communications Technologies, 19.12.2013; https://obama-whitehouse.archives.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf.
