Võeti vastu hästi ja soojalt, aga mitte seepärast, et olen Euroopa idapiirilt, vaid teadmiste ja kogemuste tõttu. Ühendriikides peetakse olulisemaks valdkonda ja teema tundmist, inimese päritolu on üldjuhul tähtsusetu. Seda enam, et Stanfordist vaadates ei ole vahet Ida- ja Lääne-Euroopal, need on eristused, mida tehakse pigem Euroopas endas, ja vast tegelikult kõige rohkem me endi poolt. Kui Ühendriikides Ida-Euroopast räägitakse, siis peetakse silmas Ukrainat, Moldovat, Valgevenet. Need eristused, mida Euroopas veel ka 13 aastat pärast laienemist tehakse, ei evi Ühendriikides suurt tähtsust.

Nii ka konverentsidel või loengutes, mida pea iga nädal ette tuleb, olen enamasti kutsutud kõnelema IT- ja küberteemadel, ja vaid kümnendik neist on olnud sellised, kus välis- ja julgeolekupoliitika on peateemaks. Ka ligi kolmekümnes intervjuus, mida olen poole aasta jooksul andnud, on enamasti jutuks olnud küberjulgeolek.

Küll aga on olen võtnud Eesti üheks teemaks pea kõigis intervjuudes ja konverentsikõnedes, Koreast ja Jaapanist Ungarini. Seda mitmel põhjusel: esiteks arvan ma, et Eesti digiriigi loomise kogemusest on teistel riikidel mitte ainult palju õppida, vaid on tekkinud tõsine soov midagi sarnast teha. Eriti kuna viimastel aastatel on IT-turvalisus nii isiklikul, ettevõtja kui riigi tasandil nii palju kannatada saanud. Eesti on saavutanud hea ja põhjendatult hea kuvandi ning seda tasub hoida.

Poliitilisest “diskursusest” rääkides… Ühendriikide Senati ja Esindajatekoja ees Venemaa mõjutustegevuse kohta tunnistusi andes oli üks neid kordi, kus need kaks rolli – ulatusliku küberründe edukalt üle elanud Euroopa väikeriigi endine president ja küberturvalisuse valdkonna uurija – said kokku, ja samas ka põrkusid Ühendriikide poliitilise tegelikkusega.

Mõned aastad tagasi ütles Briti kaitseuuringute teadur Jonathan Eyal: vanasti arvasime, et idaeurooplased on paranoilised ja Venemaa on täiesti normaalne riik, nüüd on selgunud, et neil oli õigus ja meie eksisime. Viimane aasta on ka Ühendriikides toonud kaasa arusaama, et Venemaa võib kujutada endast ohtu, millest varem eelistati mööda vaadata.  71 protsenti ameeriklasi on mures Venemaa tegevuse pärast. Seega arusaamine Vene ohust on oluliselt muutunud.

Samas on ju teada, et viimane aasta on toonud Ühendriikide poliitikasse varsemast suurema lõhe vabariiklaste ja demokraatide vahel, ja on ka teada, et mõned vabariiklastest on avastanud endas sümpaatia Venemaa presidendi vastu. Sellest hoolimata oli kogemus, et Ühendriikide Esindajatekojas tuleb mul kaitsta põhimõtet, et NATO heidutus Eestis on vajalik enne tõsisemaid intsidente, veidi ootamatu. Samas positiivne on see, et ilmselt ei ole Ühendriikide Kongressis varem Eestist nii palju räägitud kui nende paari nädala jooksul.

Miks teie arvates Vene poliitika nii edukas oli USA valimiste mõjutamisel? Mis rolli mängisid uued meetmed nagu häkkimine ja andmete lekitamine eesmärgiga ühte kandidaati takistada?

Häkkimine ja andmete lekitamine ehk doxxing on vaid kaks aspekti, need lihtsamad. Viimases Huffington Posti artiklis loetlesin üles kuus ründevektorit, mis on saanud rahvapärase koondnime “valimiste häkkimine”. Need on olnud kasutusel Saksamaal, Prantsusmaal, Suurbritannias ja Ühendriikides juba paar aastat, ja on seotud Venemaaga.

Kahte esimest te nimetasite – erakondade, parlamentide või poliitikute serverite häkkimine, ja sealt varastatu lekitamine meediasse. Häkkimistest on tuntum 2015-2016 aastal toimunud sissemurdmine Ühendriikide Demokraatide Komitee serverisse, mille pani toime Venemaa häkkerite rühmitus APT28, tuntud ka kui Fancy Bear. Vähem teatakse, et sama seltskond häkkis ka Saksamaa Bundestagi ja Emmanuel Macroni. Ja tegelikult on nende tegevuse jälgi avastatud pea igas demokraatlikus riigis.

Häkkimine üksi ei ole nii kahjulik kui see on koos lekitamisega. Informatsioon muutub relvaks alles siis, kui see avaldatakse. Lekitamine on aga tavaliselt selektiivne: Ühendriikides murti sisse nii Vabariiklaste kui Demokraatide serveritesse, kuid avaldati üksnes Demokraatide serveritest pärit informatsioon. Sama toimus Prantsusmaal: ühtegi Front Nationali e-maili ei lekitatud. Praegu on Saksamaal poliitikud ärevil, sest teatakse, et sisse on murtud nii Bundestagi kui ka Saksa erakondade mõttekodadesse nagu CDU Adenauer ja SPD Ebert Stiftung.

Kolmas vektor on valeuudised, mida jagatakse sotsiaalmeedias. Sotsiaalmeediast on saanud valimiskampaaniate peamine faktor. Ameerikas saab 62 protsenti inimesi uudised just sotsiaalmeediast. Samas, kolme kuu jooksul enne Ühendriikide valimisi jagasid Facebooki kasutajad seal 8,7 miljonit valeuudist, tõeseid ja kontrollitud uudiseid jagati 7,3 miljonit. Üldiselt paistab, et mida sentsatsioonilisem ja vähem tõene uudis on, seda suurem on sel tõenäosus saada laialdaselt levitatud. Tõesed uudised levivad vähem. Võltsuudiseid on odav toota. Hea ajakirjandus aga on kallis.

Neljas vektor on sotsiaalmeedia robotid ehk botid, mis valeinfot jagavad. Botid suudavad jagada valeuudiseid kiiremini kui inimestest kasutajad. Nende eesmärk on jagada uudist nii palju, et see muutuks jagamise edetabelis nähtavaks (ehk trending Twitteris), jääks silma ja saaks omakorda jagatud inimestest kasutajate poolt. Mis ka enamasti ka juhtub.

Viies vektor on algoritmid, mis töötlevad suuri andmeid, et teha selle alusel sotsiaalmeedias suunatud reklaami, mida näevad vaid need kasutajad, kelle profiiliga see sobib. Neid nimetatakse “tumedaks reklaamiks” (ehk dark ads). Facebook on keeldunud nende sisu avalikustamast.

Televisioonis levitatavat reklaami näevad kõik, tumedat reklaami nähakse sotsiaalmeedias vastavalt inimese profiilile. Arvatakse, et USA presidendikampaanias kasutati kuni 100 erinevat sellist reklaami. Sama kasutati ka Briti referendumil 2016. aasta juunis. Alguses oli see vahend tarvitusel lihtsalt müügivahendina, nüüd kasutatakse seda valimiste mõjutamiseks.

Facebook keeldub avalikustamast ka seda, kes on nende reklaamide eest maksnud ja kui palju. Me ei tea ka, milliste isiklike andmete alusel neid reklaame suunatakse. Kuid inimeste andmed, eelistused, nende Facebook “laigid” on kõik metaanalüüsiks kättesaadavad.

Ja kuues vektor on valijate andmete häkkimine. Hiljuti vahistati NSA töötaja Reality Winner NSA raporti lekitamise eest. See raport näitas, et Venemaa häkkis 39 Ühendriikide osariigi valijaregistreid. Miks? Et saada täpsemaid andmeid suurte andmete põhjal tehtavate sotsiaalmeedia reklaamide tarvis?

Teise teooria järgi, mis on leidnud ka osalise kinnitust, üritati muuta valijaregistreid, et valija ei saaks valimistel osaleda. Kui näiteks demokraatideks registreeritud, mustanahalised või Mehhiko päritolu valijad (kes üldjuhul valivad demokraate) valijaregistrist kõrvaldada, siis on vastasparteil selge eelis.

Need on uued tehnoloogiad, mille kasutamist valimiste mõjutamisel ei osatud ette näha ja seega ei osatud ka nende vastu valmistuda. See on üks põhjus, miks valimiste mõjutamine on olnud edukas. Samas, Lääneriigid õpivad kiiresti.

Prantsusmaa presidendivalimiste ajaks oli valmisolek oluliselt parem ja mõjutamiskatsetele reageeriti juba ennetavalt. Kuna teati, et rünnakud tulevad Macroni aga mitte Le Peni serveritele, paigutati sinna libadokumente, mida ründajad hiljem lekitasid. Kuna oli ilmselge, et dokumendid olid moonutatud või võltsitud, kukkus see aktsioon läbi.

On veel teinegi põhjus, miks valimiste mõjutamine on mitmel korral edukas olnud. Selleks on ebasümmeetrilisus. Me ei saa teha neile, mida nemad teevad meile. Esiteks seepärast, et on asju, mida me lihtsalt ei tee. Me peame seadusest kinni.

Ja teiseks, isegi, kui me teeks, ei oleks sellest kasu – mõned mõjutusvahendid on kasutatavad üksnes demokraatlikes riikides. Seal, kus sotsiaalmeedia on riigi kontrolli all, ei ole mõtet püüda levitada valeuudiseid. Seal, kus valimised ei ole ausad ja vabad, ei ole katsest valimistulemusi mõjutada kasu. Ja nii edasi.

Mõistetavalt on demokraatlikud riigid selle uue olukorra pärast mures. Seda olen kogenud nii konverentsidel kui praeguste ja endiste riigijuhtidega kõneledes. Suve hakul arutasin sama teemat Texases Ühendriikide endise presidendi George Bushiga. Hea on see, et paljud saavad ohu tõsidusest aru ja otsivad lahendusi.

Demokraatia püsib kolmel sambal – õigusriigi põhimõte, väljendusvabadus, ning ausad ja vabad valimised – ja kui üks neist ohtu satub, on ohus demokraatia tervikuna. Ei taha, et tekiks olukord, kus tuleb valida, kas piirata väljendusvabadust või leppida ausate ja vabade valimiste kadumisega. Tarvis on kõiki kolme.

Rootsis toimus just märkimisväärne andmeleke, kus andmete pilve liigutamise käigus näidati ülesse ülimat käpardlikkust, samas on selliste apsude mõju riikide ülene ning need õõnestavad ka teiste riikide usaldust IT-lahenduste vastu. Sama on ID-kaardiga, kus näiteks teised Euroopa riigid suhtuvad erinevalt Eestist suhteliselt ükskõikselt tugevasse digitaalsesse identiteeti. Kas sellises segaduses on üldse võimalik globaalselt arenenuma digiühiskonna poole liikuda?

Tegelikult leidis see andmeleke aset 2015. aastal, aga alles nüüd sai see avalikuks. Üldiselt tuleb aru saada, et meil on laiemalt tegu uutel alustel seisva rahvusvahelise olukorraga, mille reegleid veel ei ole kehtestatud. See on fundamentaalselt muutunud julgeolekupoliitiline situatsioon, ja demokraatlik maailm vajab sellega toime tulemiseks uut arusaama turvalisusest.

Osa sellest on tehnoloogilise iseloomuga — näiteks X-tee taolise jagatud andmevahetuskihiga sellist leket juhtuda ei saa.

Aga teine osa puudutab turvalisuse küsimustega tegelevate poliitikute pehmelt öeldes puudulikke arusaamu IT-st.  Pärast Euroopas ja Ühendriikides aset leidnud terrorirünnakuid leidsid mõned Euroopa, Suurbritannia, Austraalia ja USA poliitikud, et kuna terroristide kasutatud krüpteeringud ajasid luhta võimude pealtkuulamiskatsed, peavad valitsused saama “tagauksed”, mis annaksid ligipääsu krüpteeritud sõnumitele.

Adumata, et sellest hetkest, mil tagauks luuakse, muutub see kõige ihaldatumaks saagiks kõikidele häkkeritele. Selle varastamine kas või üksnes mõne riigi poolt saadava (suure) altkäemaksu eest võimaldaks pääseda ligi kõigile sõnumitele.

Mul on mõnikord õudne kuulata poliitikute juttu sellest, et turvalisuse tagamiseks peab tegema järeleandmisi internetivabaduses, justkui oleks tegu nullsummamänguga, kus tuleb valida vabaduse ja turvalisuse vahel, ja ühe suurendamine peab vältimatult tähendama teise vähendamist.

Vabadus ei ole vahetuskaup, mida turvalisuse vastu vahetada. Eesti on siin hea näide: me oleme esimesed nii internetivabaduse poolest kui Euroopas küberturvalisuse poolest. Üks ei ole tulnud teise arvelt. Kuna mõlemad on vajalikud, siis on on võimalik leida lahendus, kus mõlemad on tagatud.

Küberjulgeolekus on olnud viimased aastad väga kuumad, Ukraina konflikt ja USA valimiste mõjutamine on avanud paljude silmad selles osas, mida arvutitega ära teha saab. Mida teie arvates lähiaastad küberturvalisuses toovad?

Küberturbulentsi.

Probleem on kahene: tehniline ja seadusandlik. Ühelt poolt on paljudes riikides kasutusel vananenud süsteemid, mis kontrollivad infrastruktuuri, ja vananenud arusaamad turvalisest identimisest, mis on pärit 1980ndate esimesest poolest, mil internetivõrk oli vaid teadlaste kasutatav suhtluskanal ja kus meiliaadressist ja salasõnast oli identimiseks enam kui küll.

Teisalt, vananenud seadused ja regulatsioonid, mis ei ole mõeldud praeguse olukorra jaoks.

Alustada tuleb aga kõige lihtsamast: kehtestada standardid EL riikide jaoks, mis näeksid ette need minimaalsed tingimused, mis digitaalses maailmas kooseksisteerimiseks on vajalikud. Esimene neist oleks nõue, et tuleb kasutataks kahefaktorilist autentimist. Aga sellest on abi vaid siis, kui seda teevad kõik.

Ühendriikide Demokraatide Komitee puhul kasutas 124 inimest 126st serverisse sisenemisel kahefaktorilist autentimist. Kaks ei kasutanud. Sellest piisas. Salasõnad üksi ei ole turvalised. Need on lahti murtavad. Kui tahetakse konkreetsele kontole ligi saada, siis isegi ilma spear-fishinguta saab brute force cracking (paroolide nn jõuga lahti murdmine –toim.) abiga. Piisab ühele kontole ligipääsust, et saada ligi kogu serverile.

USA ühiskonnas prevaleerib äri üle turvalisuse, isegi elementaarne kaheastmeline autentimine hakkab alles nüüd nende teadvusse jõudma või kas üldse hakkab? Miks see nii on? Miks nad elementaarset turvalisust nii vähe väärtustavad? 

Paljude valitsusasutuste sisekommunikatsioonis on kahefaktoriline autentimine üldisest siiski juba kasutusel. Seda pakuvad näiteks ka Apple ja Google. Pakkumisest aga on vähe tulu, kui seda ei kasutata.

Küberturvalisust hinnatakse vähe, sest inimesed ei ole endale ohtusid piisavalt teadvustanud või siis ei saada neist aru. Hiljuti ilmus lugu sellest, kuidas USA Kongressis on kasutusel ID-kaardid, millele on pandud on kleepsud, mis näevad välja nagu ID-kaardi kiibid. Ei tea, kas nutta või naerda.

Eelmisel aastal hakkasite Maailma Majandusfoorumi (WEF) juures juhtima blockchaini töögruppi. Tehnoloogiamaailma kõige eesrindlikumad arendajad pole veel selgeks saanud, millised võimalused ja ohud blockchainis on. Milline on teie töögrupi siht WEFi juures? 

Blockchain on lihtsalt üks uutest tehnoloogiatest, millega saab garanteerida andmete terviklikkuse. Seda on mõistlik kasutada kõigis neis olukordades, kus on tarvis tagada, et juba olemasolevaid andmeid ilma loata ei muudetaks.

Töögrupi huvi on peamiselt selles, kuidas erasektor saaks seda tehnoloogiat rakendada – näiteks et keegi ei muudaks sinu pangakontol olevat summat. Minu panus selles töögrupis on leida viise, kuidas turvata avaliku sektori andmeid – tervishoiuandmeid, kinnisvararegistri andmeid, kohtudokumente.

Üldiselt on küll halb, kui keegi pääseb ligi sinu pangakontole või terviseandmetele, aga oluliselt halvem on, kui tal läheb korda neid andmeid muuta. Muudetud veregrupp võib olla eluohtlik, muudetud kinnisvararegistri sissekanne võib jätta inimese ilma kodust, muudetud kohtudokumendid võivad saada süüdistuseks süütu vastu või vabastada süüst selle, kes süüdi.

Tulles tagasi Ühendriikide valimiste ajal valijatenimekirjadesse häkkimise juurde – blockchain-tehnoloogia puhul neid ei oleks saanud muuta. Samal põhjusel kasutab Eesti oluliste riikike ja isiklike andmete nagu terviseandmete ja kinnisvaraandmete hoidmiseks blockchain tehnoloogiat. See on veel üks neist asjadest, milles tasub Eestist eeskuju võtta.

Kui üldiselt hinnatakse Eesti e-riigi arengut, siis ühel rindel vist mitte: Eesti e-hääletamine. Kas maailm hakkab kunagi usaldama meie e-hääletamise süsteemi? Mida selleks vaja on?

Raske öelda. Turvalisusest rääkides, e-hääletamine on turvalisem kui teised hääletusviisid. Peamine probleem on pigem seletamine, mida e-valimine tähendab. Ühendriikides arvavad väga paljud, et e-valimised on sama asi, mis siin kasutatav elektrooniline hääletusaparaat. Seetõttu nad ei mõista meie süsteemi.

Sama kehtib pea igas riigis, kus kasutatakse kohapeal hääletamiseks spetsiaalseid aparaate, mis on lisaks ka ebaturvaliselt internetiga ühendatud. Nagu mulle mitu aastat tagasi uhkusega öeldi – meil on ka e-valimised. Ei olnud. Ei ole.

Parim argument on see, et e-hääletamine on sama turvaline kui maksude maksmine või rahaülekanne. Valimise toimivad harvemini, kui korra aastas, sama süsteemi kasutades tehakse igal aastal sadu miljoneid pangaülekandeid. Ma eeldaks, et pigem oleks häkkijate huvi varastada suurem summa raha kui mõjutada kohalike omavalitsuste valimisel antud hääli.

Olen märganud, et Eesti e-hääletuste välismaiste kritiseerijate ja nende IT-alaste teadmiste vahel on teatud negatiivne korrelatsioon: need, kes Eesti e-hääletamise süsteemist halvasti arvavad, kipuvad olema ühtlasi ka IT-võhikud. Just nagu ka tagauste propageerijate puhul.

Kas ühtne Euroopa digiturg on üldse võimalik või see on vaid üks suur mäng, kus Euroopa eales USA-le või Hiinale ühtse turu mõistes järgi ei jõua? Kas üldse peaks püüdlema?

Võimalik, aga keeruline. Vaevalt, et see on vaid mäng. Kui me ei püüdle selle suunas, siis me näeme, et targad IT-inimesed lahkuvad Euroopast sinna, kus turg on suurem.

Läinud aastal tegin Euroopa Parlamendi ees kõneledes ettepaneku lisada siseturu neljale põhivabadusele viies vabadus – andmete vaba liikumine. Mul on hea meel kuulda, et see üleskutse on nüüd omaks võetud ka toonaste skeptikute poolt.

Digitaalse turu puhul on olulised seadused, mis seda reguleerivad. Seadused ei ole digitaalsed, neid teevad inimesed ja peavadki tegema inimesed. Seega sõltub kõik neist inimestest, kes seadusi teevad.

Kuid kust tuleb üldse see skepsis? Millele see tugineb? Kuidas see erineb skepsisest e-hääletamise või siis aastal 1990 Eesti võimaliku iseseisvuse osas?

Eesti on olnud ligi kuu aega ELi eesistuja, digiteemasid on räägitud hommiku- ja õhtusöögi juurde. Kuidas teie arvates Eesti ministrid ja ametnikud hakkama on saanud ja saavad? Kui tähtis üldse on, et me jätkuvalt oma lugu jutustame maailmale ja Euroopa digiarengu juhtrolli hoiame?

Eesistumine on pikaajaline töö, mitte pooleaastane spurt. Seda on mitu aastat planeeritud, eeltööd on tehtud kaua ja läbi mitme valitsuse.

Eesti ametnikud tunnevad digivaldkonda ülihästi ja on hästi hakkama saanud. Juhtrolli hoidmine digiarengus on väga oluline, see on andnud Eestile positiivse maine, millel on kindel alus – meil on olemas selles vallas nii teadmised kui praktiline kogemus. Ja eriti oluline: silmnähtav edu, mida peegeldab seesama varem mainitud kõrge koht korraga nii küberturvalisuses kui internetivabaduses.

See annab Eestile rolli, kus teised riigid tahavad tema kogemustest õppida. Saksamaal asuv Bertelsmanni fond annab igal aastal välja auhinna selliste ideede eest, mida Saksamaal tasub üle võtta. Sel aastal ütles fondi juhatuse liige Brigitte Mohn, et digitaalses plaanis näib Saksamaa Eestiga võrreldes seisva veena.

Kaua me seda rolli hoida suudame, sõltub poliitilistest otsustest, mida tehakse.

Hiljuti kirjutasite alla pöördumisele, mis tunneb muret liberaalse demokraatia taandumisele illiberalismi ees. Mismoodi peaks demokraatia uuenema, et sellele ka reaalselt uuesti toetus tekiks? Kes vastutab ja millised on need mehhanismid, millega saaks end paremini kaitsta populistlike loosungite eest?

Selle aasta maikuuks oli olukord Ühendriikide uue administratsiooni ja Euroopa suhetes hakanud muret valmistama, ja oli oht, et see võib rahvusvahelisele julgeolekule mõju avaldama hakata. Ei Eesti ega mitte ühegi teise riigi – peale Venemaa – huvides ei ole lõhe julgeolekuküsimustes USA ja Euroopa vahel.

Ühendriikide ja Euroopa sideme nõrgemaks muutumine ei ole miski, mida soovida, seetõttu tegid Ühendriikide ja Euroopa julgeoleku- ja välispoliitikaga seotud inimesed ühisavalduse, kus kinnitasid, et tugevad Atlandi-ülesed suhted on kõigi huvides.

Sellest, kuidas liberaalne demokraatia saab end kaitsta illiberaalsete suundumiste eest, tuleks kirjutada pikemalt. Kui lühidalt öelda, siis esimene samm on see, et demokraatlikud riigid hoiavad kokku.

Ühisavalduste mõte on väljendada seisukohta. Konkreetsemateks sammudeks on neist vähe. Tegudeni jõudmiseks asutasime hiljuti Ühendriikide endiste julgeolekuametnikega (sisejulgeoleku minister Michael Chertoff, CIA tegevjuht Michael Morell, esindajatekoja luurekomitee esimees Mike Rogers, NATO Euroopa-vägede komandör admiral James Stavridis, julgeolekunõunik Jake Sullivan ja mina) German Marshall Fundi juurde Alliance for Securing Democracy.

Selle eesmärk on üsna konkreetne: koondada teavet mittedemokraatlike riikide mõjutustegevuse kohta Euroopas ja Ühendriikides, ja kavandada selle baasil vastumeetmeid.

Neist sammudest peaks olema abi selles osas, mis puudutab väljastpoolt tulevaid ohtusid. Mis puudutab riikide endi sees tekkinud illiberaalseid tendentse, on pikem ja komplitseeritum teema.

Kuidas vaatate tagasi eelmisel sügisel teie ümber puhkenud arutelule Eesti avalikkuses? Kas saite võimaluse öelda kõike, mida tahtsite?

(President Ilves jättis sellele küsimusele vastamata.)