See, et Euroopa Komisjoni asepresidendi Andrus Ansipi kabinetis sai just nüüd verivärske küberjulgeoleku strateegia valmis, pole juhus. Eelnimetatud intsidendid muutsid küberjulgeoleku poliitiliseks ehk piisavalt oluliseks otsustajate tasemel. Tegelikult valmis alles neli aastat tagasi samasugune dokument, “küberjulgeoleku strateegia”, kuid Euroopa Komisjoni ametnike sõnul on kogu küberturvalisus vahepealse ajaga tohutult muutunud. Kuigi Brüsselis oli ka neid, kes ei tahtnud küberturvalisusele peamiselt bürokraatlikel põhjustel nii palju tähelepanu pöörata, sai uus strateegia siiski valmis.

Hakatakse raha jagama

Meelevaldselt lihtsustades tähendab Euroopas ühe strateegia väljatöötamine muuseas ka seda, et Brüsselist võib hakata tulema rohkem raha ja võimu, millega kaasneb paras annus eufooriat.

Kõige värvikam näide sellest oli Junckeri “olukorrast liidus” kõne, kus prantsuse keeles peetud kõne ingliskeelse tõlke põhjal võis jääda mulje, et Juncker tahab asutada uut Euroopa küberturvalisuse agentuuri. Juba rõõmustas näiteks Rumeenia EL-i asjade minister Victor Negrescu, et just nende riiki tuleb uus agentuur (loe: uus ports Euroopa raha), samasuguseid rõõmuhõiskeid olevat kuulda olnud ka Slovakkiast.

Viga oli mitmekordne. Esiteks liialdasid Junckeri kõnekirjutajad, mille järel läksid küberjulgeolekuga tegelevate ametnike silmad suureks, kui nad kuulsid lauset “küberründed võivad ohustada demokraatia ja majanduse stabiilsust mõnikord enamgi kui relvad ja tankid”. Teiseks levis ingliskeelses tõlkes viide justkui uue agentuuri loomiseks, kuigi tegelikult pole sellist plaani kunagi olnud ega nähtavas tulevikus ei tule.

Plaan on hoopis anda juurde ülesandeid ja eelarvet senisele Euroopa Liidu võrgu- ja infoturbeametile ENISA, mis on seni olnud pigem koordineerivas rollis. Praeguse seisuga lõpeb ENISA mandaat aastal 2020, aga nüüd võiks uue strateegia järgi see pikeneda.

Kriisiabi ei päästa vastutusest ise küberkaitset arendada

Üks asi, mis paljude silmad särama paneb, on strateegias mainitud küberturvalisuse kriisifond (Cybersecurity Emergency Response Fund).

Ametnike seletuste järgi oleks ju õigustatud ootus, et kui näiteks suurema loodusõnnetuse või muud tüüpi ootamatu õnnetusjuhtumi korral toetab Brüssel liikmesriiki erakorralise summaga, siis kübervaldkonnas võib tekkida sarnane olukord. Kevadel mõjutas WannaCry näiteks väga ootamatult ja tõsiselt Briti meditsiinisüsteemi, mis oli teatud mõttes näide sellisest kriisist. Uus fond annaks Euroopa Liidule tugevust selliste küberkriiside üle-elamiseks.

Ainus oht on see, et mõnedes liikmesriikides võidakse kriisifondi pidada peamiseks vahendiks probleemideks valmistudes, mitte osana näiteks plaanist B või C.

“Me teame, et Euroopa riigid on küberturvalisust arendanud väga ebaühtlaselt,” selgitas Euroopa Komisjoni tegemistega hästi kursis olev allikas viidates väga delikaatselt Lõuna-Euroopa riikidele. “[Komisjon] tahab ikka julgustada, et riigid ise panustaks oma küberturvalisusse. Kindlasti ei taheta strateegiaga luua sellist olukorda, kus liikmesriik ise ei tee midagi ja siis lihtsalt küsib raha, kui asjad halvasti on,” lisas ta.

“Paksud härradelt” sertifitseerimise monopoli äravõtmine

Uus strateegia peaks lihtsustama ka üle Euroopa selles vallas tegutsemist ehk toetama ühtset digiturgu. Sellega seoses räägitakse kõige rohkem digitaalsete tehnoloogiate ja toodete turvalisuse sertifitseerimisest – mis väga üldistades tähendab, et keegi vaatab üle ja annab garantii, et see toode või tehnoloogia vastab teatud normile.

“Praegu on Euroopas sertifitseerimine väga aeglane ja ka kallis protsess. Sisuliselt on see Euroopa suurriikides edukate asutuste käes ja üks tavaline ettevõte vaatab, et selle asemel et ma neilt kunagi mingi sertifikaadi saan ja midagi müüa saan, siis lähen parem USA turule ja hakkan seal kohe äri tegema,” selgitas olukorda ühe Eesti küberturvalisuse ettevõtte juht, kes ei tahtnud algatust oma nime all meedias kommenteerida.

“Nüüd see strateegia võiks seda positiivselt muuta ja “paksude härrade” käest selle töö ära võtta. Üks võimalus on näiteks ise-sertifitseerimine. Kui me räägime näiteks mobiilirakendustest, siis see võiks tähendada, et äpi arendaja laseb selle ise läbi mingist kokkulepitud protsessist, mis kontrollib, kuidas äpp telefonis käitub. Igatahes oleks hea, kui sertifitseerimine oleks Euroopas lihtsam ja kiirem,” rääkis Eesti ettevõtte juht.

“Muide, kogu see Euroopa küberjulgeoleku strateegia on Eesti mätta otsast vaadates ebavajalik bürokraatia. Aga ei saa unustada, et me ei aja ainult Eesti asja, vaid laiemalt kogu Euroopa ja selles osas on see strateegia hädavajalik,” lisas ta.

Küberjulgeoleku strateegia järgi võikski sertifitseerimist üle Euroopa korraldama hakata ENISA. Vastuseis sellele on Euroopa Komisjoni asjaajamisega kursis oleva inimese sõnul pigem suurtes riikides nagu Prantsusmaa, kus aastakümneid sertifitseerimisega tegelenud asutused võiks sellest ilma jääda.

Kuigi strateegia tekst ei välista peale kriitiliste süsteemide ka näiteks tarbijatoodete küberturvalisuse sertifitseerimist, siis energiamärgise stiilis kleepsu “häkkimiskindel – klass A” ei maksa oma järgmiselt telefonilt või ruuterilt siiski oodata.

Lisaks peaks strateegia aitama kogu Euroopa küberturvalisuse taset tõsta. Ühest küljest toetab seda küberhügieeni edendamine, s.t internetis ja arvutitega teadlikult turvalise käitumise tähtsustamine.

Samuti küljest peaks tulevikus tekkima Euroopas küberturvalisuse oivakeskused riikidesse, kes seda ise tahavad, ning ka üks keskne Euroopa oivakeskus.

Eesti roll?

Küberjulgeoleku strateegia lõpuosas käiakse sõna-sõnalt välja, et tänavu 29. septembril Eesti eesistumise raames peetaval suurel digi-tippkohtumisel saavad liikmesriigid näidata, kuidas “küberturvalisus on EL-i digiühiskonna südames”. Ja selleks kutsub Euroopa Komisjon liikmesriike välja käima lubadust või eeskuju (ingl pledge).

Kas Eestil oleks siin võimalus võtta Euroopas tõeline juhtroll, näitab lähitulevik. 29. septembri tippkohtumisel on küberturvalisus igatahes prioriteetseks teemaks, kinnitas Euroopa Liidu eesistumise tippkohtumise kommunikatsioonijuht Tiina Urm. Samas selget plaani selline pledge välja käia veel pole. “Tippkohtumise eesmärk on mitte nõuda liidritelt aru, vaid algatada sisukas ja konstruktiivne diskussioon teemal, kuidas digitaalse Euroopa arendamisega edasi minna nii, et sellest võidaksid EL kodanikud, ettevõtted ja liikmesriigid tervikuna,” kommenteeris Urm.