Mul on mõnikord õudne kuulata poliitikute juttu sellest, et turvalisuse tagamiseks peab tegema järeleandmisi internetivabaduses, justkui oleks tegu nullsummamänguga, kus tuleb valida vabaduse ja turvalisuse vahel, ja ühe suurendamine peab vältimatult tähendama teise vähendamist.
Vabadus ei ole vahetuskaup, mida turvalisuse vastu vahetada. Eesti on siin hea näide: me oleme esimesed nii internetivabaduse poolest kui Euroopas küberturvalisuse poolest. Üks ei ole tulnud teise arvelt. Kuna mõlemad on vajalikud, siis on on võimalik leida lahendus, kus mõlemad on tagatud.
Küberjulgeolekus on olnud viimased aastad väga kuumad, Ukraina konflikt ja USA valimiste mõjutamine on avanud paljude silmad selles osas, mida arvutitega ära teha saab. Mida teie arvates lähiaastad küberturvalisuses toovad?
Küberturbulentsi.
Probleem on kahene: tehniline ja seadusandlik. Ühelt poolt on paljudes riikides kasutusel vananenud süsteemid, mis kontrollivad infrastruktuuri, ja vananenud arusaamad turvalisest identimisest, mis on pärit 1980ndate esimesest poolest, mil internetivõrk oli vaid teadlaste kasutatav suhtluskanal ja kus meiliaadressist ja salasõnast oli identimiseks enam kui küll.
Teisalt, vananenud seadused ja regulatsioonid, mis ei ole mõeldud praeguse olukorra jaoks.
Alustada tuleb aga kõige lihtsamast: kehtestada standardid EL riikide jaoks, mis näeksid ette need minimaalsed tingimused, mis digitaalses maailmas kooseksisteerimiseks on vajalikud. Esimene neist oleks nõue, et tuleb kasutataks kahefaktorilist autentimist. Aga sellest on abi vaid siis, kui seda teevad kõik.
Ühendriikide Demokraatide Komitee puhul kasutas 124 inimest 126st serverisse sisenemisel kahefaktorilist autentimist. Kaks ei kasutanud. Sellest piisas. Salasõnad üksi ei ole turvalised. Need on lahti murtavad. Kui tahetakse konkreetsele kontole ligi saada, siis isegi ilma spear-fishinguta saab brute force cracking (paroolide nn jõuga lahti murdmine –toim.) abiga. Piisab ühele kontole ligipääsust, et saada ligi kogu serverile.
USA ühiskonnas prevaleerib äri üle turvalisuse, isegi elementaarne kaheastmeline autentimine hakkab alles nüüd nende teadvusse jõudma või kas üldse hakkab? Miks see nii on? Miks nad elementaarset turvalisust nii vähe väärtustavad?
Paljude valitsusasutuste sisekommunikatsioonis on kahefaktoriline autentimine üldisest siiski juba kasutusel. Seda pakuvad näiteks ka Apple ja Google. Pakkumisest aga on vähe tulu, kui seda ei kasutata.
Küberturvalisust hinnatakse vähe, sest inimesed ei ole endale ohtusid piisavalt teadvustanud või siis ei saada neist aru. Hiljuti ilmus lugu sellest, kuidas USA Kongressis on kasutusel ID-kaardid, millele on pandud on kleepsud, mis näevad välja nagu ID-kaardi kiibid. Ei tea, kas nutta või naerda.
Eelmisel aastal hakkasite Maailma Majandusfoorumi (WEF) juures juhtima blockchaini töögruppi. Tehnoloogiamaailma kõige eesrindlikumad arendajad pole veel selgeks saanud, millised võimalused ja ohud blockchainis on. Milline on teie töögrupi siht WEFi juures?
Blockchain on lihtsalt üks uutest tehnoloogiatest, millega saab garanteerida andmete terviklikkuse. Seda on mõistlik kasutada kõigis neis olukordades, kus on tarvis tagada, et juba olemasolevaid andmeid ilma loata ei muudetaks.
Töögrupi huvi on peamiselt selles, kuidas erasektor saaks seda tehnoloogiat rakendada – näiteks et keegi ei muudaks sinu pangakontol olevat summat. Minu panus selles töögrupis on leida viise, kuidas turvata avaliku sektori andmeid – tervishoiuandmeid, kinnisvararegistri andmeid, kohtudokumente.
Üldiselt on küll halb, kui keegi pääseb ligi sinu pangakontole või terviseandmetele, aga oluliselt halvem on, kui tal läheb korda neid andmeid muuta. Muudetud veregrupp võib olla eluohtlik, muudetud kinnisvararegistri sissekanne võib jätta inimese ilma kodust, muudetud kohtudokumendid võivad saada süüdistuseks süütu vastu või vabastada süüst selle, kes süüdi.
Tulles tagasi Ühendriikide valimiste ajal valijatenimekirjadesse häkkimise juurde – blockchain-tehnoloogia puhul neid ei oleks saanud muuta. Samal põhjusel kasutab Eesti oluliste riikike ja isiklike andmete nagu terviseandmete ja kinnisvaraandmete hoidmiseks blockchain tehnoloogiat. See on veel üks neist asjadest, milles tasub Eestist eeskuju võtta.
Kui üldiselt hinnatakse Eesti e-riigi arengut, siis ühel rindel vist mitte: Eesti e-hääletamine. Kas maailm hakkab kunagi usaldama meie e-hääletamise süsteemi? Mida selleks vaja on?
Raske öelda. Turvalisusest rääkides, e-hääletamine on turvalisem kui teised hääletusviisid. Peamine probleem on pigem seletamine, mida e-valimine tähendab. Ühendriikides arvavad väga paljud, et e-valimised on sama asi, mis siin kasutatav elektrooniline hääletusaparaat. Seetõttu nad ei mõista meie süsteemi.
Sama kehtib pea igas riigis, kus kasutatakse kohapeal hääletamiseks spetsiaalseid aparaate, mis on lisaks ka ebaturvaliselt internetiga ühendatud. Nagu mulle mitu aastat tagasi uhkusega öeldi – meil on ka e-valimised. Ei olnud. Ei ole.
Parim argument on see, et e-hääletamine on sama turvaline kui maksude maksmine või rahaülekanne. Valimise toimivad harvemini, kui korra aastas, sama süsteemi kasutades tehakse igal aastal sadu miljoneid pangaülekandeid. Ma eeldaks, et pigem oleks häkkijate huvi varastada suurem summa raha kui mõjutada kohalike omavalitsuste valimisel antud hääli.
Olen märganud, et Eesti e-hääletuste välismaiste kritiseerijate ja nende IT-alaste teadmiste vahel on teatud negatiivne korrelatsioon: need, kes Eesti e-hääletamise süsteemist halvasti arvavad, kipuvad olema ühtlasi ka IT-võhikud. Just nagu ka tagauste propageerijate puhul.
Kas ühtne Euroopa digiturg on üldse võimalik või see on vaid üks suur mäng, kus Euroopa eales USA-le või Hiinale ühtse turu mõistes järgi ei jõua? Kas üldse peaks püüdlema?
Võimalik, aga keeruline. Vaevalt, et see on vaid mäng. Kui me ei püüdle selle suunas, siis me näeme, et targad IT-inimesed lahkuvad Euroopast sinna, kus turg on suurem.
Läinud aastal tegin Euroopa Parlamendi ees kõneledes ettepaneku lisada siseturu neljale põhivabadusele viies vabadus – andmete vaba liikumine. Mul on hea meel kuulda, et see üleskutse on nüüd omaks võetud ka toonaste skeptikute poolt.
Digitaalse turu puhul on olulised seadused, mis seda reguleerivad. Seadused ei ole digitaalsed, neid teevad inimesed ja peavadki tegema inimesed. Seega sõltub kõik neist inimestest, kes seadusi teevad.
Kuid kust tuleb üldse see skepsis? Millele see tugineb? Kuidas see erineb skepsisest e-hääletamise või siis aastal 1990 Eesti võimaliku iseseisvuse osas?
Eesti on olnud ligi kuu aega ELi eesistuja, digiteemasid on räägitud hommiku- ja õhtusöögi juurde. Kuidas teie arvates Eesti ministrid ja ametnikud hakkama on saanud ja saavad? Kui tähtis üldse on, et me jätkuvalt oma lugu jutustame maailmale ja Euroopa digiarengu juhtrolli hoiame?
Eesistumine on pikaajaline töö, mitte pooleaastane spurt. Seda on mitu aastat planeeritud, eeltööd on tehtud kaua ja läbi mitme valitsuse.
Eesti ametnikud tunnevad digivaldkonda ülihästi ja on hästi hakkama saanud. Juhtrolli hoidmine digiarengus on väga oluline, see on andnud Eestile positiivse maine, millel on kindel alus – meil on olemas selles vallas nii teadmised kui praktiline kogemus. Ja eriti oluline: silmnähtav edu, mida peegeldab seesama varem mainitud kõrge koht korraga nii küberturvalisuses kui internetivabaduses.
See annab Eestile rolli, kus teised riigid tahavad tema kogemustest õppida. Saksamaal asuv Bertelsmanni fond annab igal aastal välja auhinna selliste ideede eest, mida Saksamaal tasub üle võtta. Sel aastal ütles fondi juhatuse liige Brigitte Mohn, et digitaalses plaanis näib Saksamaa Eestiga võrreldes seisva veena.
Kaua me seda rolli hoida suudame, sõltub poliitilistest otsustest, mida tehakse.
Hiljuti kirjutasite alla pöördumisele, mis tunneb muret liberaalse demokraatia taandumisele illiberalismi ees. Mismoodi peaks demokraatia uuenema, et sellele ka reaalselt uuesti toetus tekiks? Kes vastutab ja millised on need mehhanismid, millega saaks end paremini kaitsta populistlike loosungite eest?
Selle aasta maikuuks oli olukord Ühendriikide uue administratsiooni ja Euroopa suhetes hakanud muret valmistama, ja oli oht, et see võib rahvusvahelisele julgeolekule mõju avaldama hakata. Ei Eesti ega mitte ühegi teise riigi – peale Venemaa – huvides ei ole lõhe julgeolekuküsimustes USA ja Euroopa vahel.
Ühendriikide ja Euroopa sideme nõrgemaks muutumine ei ole miski, mida soovida, seetõttu tegid Ühendriikide ja Euroopa julgeoleku- ja välispoliitikaga seotud inimesed ühisavalduse, kus kinnitasid, et tugevad Atlandi-ülesed suhted on kõigi huvides.
Sellest, kuidas liberaalne demokraatia saab end kaitsta illiberaalsete suundumiste eest, tuleks kirjutada pikemalt. Kui lühidalt öelda, siis esimene samm on see, et demokraatlikud riigid hoiavad kokku.
Ühisavalduste mõte on väljendada seisukohta. Konkreetsemateks sammudeks on neist vähe. Tegudeni jõudmiseks asutasime hiljuti Ühendriikide endiste julgeolekuametnikega (sisejulgeoleku minister Michael Chertoff, CIA tegevjuht Michael Morell, esindajatekoja luurekomitee esimees Mike Rogers, NATO Euroopa-vägede komandör admiral James Stavridis, julgeolekunõunik Jake Sullivan ja mina) German Marshall Fundi juurde Alliance for Securing Democracy.
Selle eesmärk on üsna konkreetne: koondada teavet mittedemokraatlike riikide mõjutustegevuse kohta Euroopas ja Ühendriikides, ja kavandada selle baasil vastumeetmeid.
Neist sammudest peaks olema abi selles osas, mis puudutab väljastpoolt tulevaid ohtusid. Mis puudutab riikide endi sees tekkinud illiberaalseid tendentse, on pikem ja komplitseeritum teema.
Kuidas vaatate tagasi eelmisel sügisel teie ümber puhkenud arutelule Eesti avalikkuses? Kas saite võimaluse öelda kõike, mida tahtsite?
(President Ilves jättis sellele küsimusele vastamata.)