Doktoritöö: digiriigi turvalisuse pant on sektorite koostöö
Eesti riik on muu maailmaga võrreldes võrdlemisi digitaalne ja üle elanud mitu küberkriisi, osutab Tallinna Tehnikaülikooli värske doktor. Sestap saaksid teised riigid tema sõnul ehitada üles oma küberturvalisuse tagamise mehhanisme Eesti eeskujul. Riikidevaheline infovahetus on selles küsimuses aga veel lapsekingades.
"Eesti koos Singapuri ja veel mõne üksiku riigiga paistab maailmas silma oma küpse digitaalse valitsemisega," ütleb värske doktor Isabel-Marie Skierka-Canton. Digitaalne valitsemine võib väljenduda nii kodanikele pakutavates teenustes, kaasamisvõimalustes kui ka riigi enda asjaajamises. Eesti digiriigil on ühest küljest kõik need aspektid olemas, kuid teisalt on Eesti üle elanud mitu küberintsidenti: muu hulgas 2007. aastal küberrünnaku ja 2017. aastal ilmsiks tulnud eID-turvariski.
Seepärast keskendus Skierka-Canton oma doktoritöös suuresti Eesti kogemustele. Tema eesmärk oli näidata, kuidas ja milliste mehhanismidega haldavad riigid oma e-riigi kübervastupidavust. "Eesti näitel on hea uurida, mis juhtub, kui tugevalt digitaalne valitsemine langeb turvaintsidendi, ohu või haavatavuse ohvriks," osutab ta. Töös ilmnes, et kriisi korral võiksid kõik sektorid olla varasemate kokkuharjutamiste tulemusel valmis kiiresti koostööd tegema.
Üheskoos, pädevalt ja seaduslikult
"Leidsin, et Eesti üks tugevusi on riigi võime väga nõtkelt ja kohanevalt valitseda," ütleb Isabel-Maria Skierka-Canton. Kui mistahes riiki peaks tabama mingi küberintsident või kriis, ei piisa värske doktori sõnul üksnes pädevast tehnoloogilisest personalist, kes olukorra ära lahendaks. Tarvis on ka tugevat suhtlusvõrgustikku organisatsioonide vahel ja toimivaid regulatsioone.
Siit joonistubki Skierka-Cantoni sõnul välja kolm liiki kübervastupidavuse haldamise mehhanisme: operatiivse, interaktiivse ja institutsioonilise tasandi mehhanismid. "Kõige madalamal ehk operatiivtasandil loeb see, et asjaosalised oskavad päriselt oma tehnoloogiat hallata," märgib ta. See tähendab, et kriisi lahendamises osalevad pädevad inimesed, kes pääsevad tehnoloogiale ligi ning suudavad seda mõista ja kohandada.
"Sellest kriisi või intsidendi lahendamiseks ei piisa. Interaktiivsel tasandil on vaja suhtlust erinevate osapoolte ja valitsuse vahel," jätkab värske doktor. See tähendab, et küberprobleemi tekkides teavad kõik asjaosalised, kellele helistada ja kuidas koos näiteks töörühmana toimida. Skierka-Cantoni sõnul eeldab see usaldust: "Inimesed peavad üksteist tundma, usaldama ja mõistma. Samuti aitab see, kui nad on varem läbi teinud ühiseid küberõppusi."
Siinkohal on värske doktori sõnul Eestil eelis, et 2007. aastal seljatati DDOS-küberrünnak. Rünnaku järel võttis Eesti tema hinnangul riiklikul tasandil juhtunust teadlikult õppust. Samuti on Eestis korraldatud ohtralt küberkaitseõppusi. "Suhtlustasandil peavad protsessid olema läbipaistvad ja otsustajad peavad võtma vastutuse. Samuti on väga oluline, kuidas suheldakse avalikkuse ja teiste osapooltega," lisab Skierka-Canton veel.
Kolmandal ja kõige kõrgemal ehk institutsioonilisel tasandil tulevad mängu seadused, regulatsioonid ja ühiskondlikud normid. "Siia alla käib näiteks Euroopa Küberturvalisuse regulatsioon – need raamistavad kõiki tegevusi, aga aitavad ka suuri kriise ennetada," täpsustab värske doktor. Kriisiolukorras loeb kiire tegutsemine ja suhutlus küll seadusest rohkem, kuid kõik vastusammud kriisile peavad ikkagi olema seadusega kooskõlas.
Õppustest üksi ei piisa
Oma töö põhjal annab Isabel-Maria Skierka-Canton nii ametivõimudele kui ka teadlastele soovitusi, kuidas luua paremaid e-riigi turvalisust tagavaid mehhanisme. Alustuseks soovitabki ta lähtuda kolme tasandi loogikast.
"Otsustajatel on vaja personali ja võimekust ehk piltlikult öeldes peab käepärast olema kvalifitseeritud tööjõudu," märgib ta. Kasutatav tehnoloogia ise peab olema läbipaistev ja hästi hallatav. Samuti peavad juba ennetavalt olema tehtud riskihinnangud.
Suhtlustasandil soovitab Skierka-Canton otsustajatel arendada teadlikult oma suhtlusvõrgustikke erinevate ühisüritustega. "Õppused on minu arvates väga olulised, kuid ainult nendest ei piisa – sul peavad olema ka muud üritused või suhtlus- ja infojagamisplatvormid," sõnab ta. Ühisüritusel õpivad eraettevõtjad, valitsusametnikud ja teadlased üksteist paremini tundma ja usaldama.
Tagatipuks peab kõik eelnev olema seaduste ja regulatsioonide tasandil hästi korraldatud. "Need on lihtsalt näited, aga minu teada riigid juba tegelevad küberturvalisuse strateegiate tasandil nende küsimustega," tõdeb Skierka-Canton.
Edaspidi oleks tema sõnul arenguruumi oskusteabe ja kogemuste vahetamises rahvusvahelisel skaalal. "Teatud platvormid on juba olemas, kus vahetatakse näiteks tehnilist infot. Meil on nii-öelda küberintsidentide reageerimismeeskonnad (CERT-id), kes vahetavad infot üle maailma," toob ta välja. Samuti korraldatakse Euroopa Liidu tasandil küberturvalisuse töötube.
"Niisiis toimub juba nii mõndagi, aga praktikas oleme koostöö suuremale skaalale viimisel alles lapsekingades," sõnab värske doktor. Teoreetiliselt saavadki tema sõnul kõik aru, et riikide vahel oleks tarvis usalduslikke suhteid. Praktikas peab aga paratamatult arvestama, et see võtab aega. Alustuseks peaks iga riik tema sõnul kodumaal toimiva suhtlusvõrgustiku paika saama. "Oluline on seegi, et riik ise on küberkriisis ainult üks osapool paljudest. Eraettevõtted ja teadlaste pool on samuti väga olulised," lisab ta.
Samuti ei maksaks Eesti 2007. aasta küberründele mõeldes ühelgi riigil piltlikult öeldes head kriisi raisku lasta. "Kriis võib toimida otsustava punktina, kus riigid õpivad. Neid sunnitakse sel juhul õppima," ütleb Skierka-Canton. Nii, nagu Eesti võttis teadlikult ette kriisiõppetundide mõtestamise, soovitab värske doktor seda kõigile riikidele iga õppuse või väiksema intsidendi järel. "Kõik riigid peaksid institutsioonitasandil üle vaatama ka oma poliitikad – neid peaks iga viie aasta tagant uuendama," lisab ta.
Isabel-Marie Skierka-Canton kaitses eksternina R. Nurkse innovatsiooni ja valitsemise instituudis kaitses doktoritöö "Securing Digital Government: Towards Governance Mechanisms for E-state Resilience" ("Digitaalse valitsuse turvalisus: valitsemismehhanismid e-riigi vastupidavuse tagamiseks") 29. septembril. Tööd juhendasid Tallinna Tehnikaülikooli täisprofessor tenuuris Ringa Raudla, Dr. Robert Krimmer Dr. Krimmer Consulting OÜ-st ning professor Peter Parycek Doonau Kremsi Ülikoolist.