Aastatel 2007–2023 muutusid Eesti riigiteenused ja küberohud tundmatuseni. Kui pronkssõduri eemaldamisele järgnenud mässu ajal piirdusid rünnakud pigem lihtsakoeliste ummistustega, siis aja jooksul asendusid need keerukate pahavara ja lunavara vormidega. Tartu Ülikooli nooremteadur Logan Carmichael analüüsis oma väitekirjas, kuidas Eesti riigiaparaat laienevat digiühiskonda sellises olukorras kaitses. Uurija leidis, et edu tagas otsustajate võimekus igale tagasilöögile paindlikult reageerida, mis aitas omakorda küberjulgeolekut riiklikul tasandil käigupealt ohjata.

Seadusetähe asemel juhib usaldus

Kuna kübermaastik muutub järjepidevalt, kujunes Carmichaeli analüüsi põhjal Eesti ametkondades välja omapärane kultuur. Ehkki seadusepügalad mõistet küberjulgeoleku juhtimine rangelt paika ei pane, ei takista see süsteemi toimimist. Spetsialistid tunnevad oma rolli ja vastutust täpselt, sest valitsemine toetub jagatud väärtustele, normidele ja eesmärkidele.

Selline usalduspõhine kord on aidanud e-riigi teenuseid tõrgeteta töös hoida ka kriisihetkedel. Carmichael selgitas, et ametnike seas on tekkinud ühine arusaam sellest, mida küberjulgeolek tegelikult kätkeb. "See puudutab küsimusi, kuidas valdkonda juhtida, millise ministeeriumi pädevusse see esmajoones kuulub ning kuidas on vastutus valitsuses jagatud ilma," nentis uurija.

Valitsus tegi juba varakult strateegilisi otsuseid, et luua tugev juhtimismudel. Näiteks pärast 2007. aasta küberrünnakuid leiti, et riik peab vältima küberruumi militariseerimist. Seetõttu liikus peamine vastutus kaitseministeeriumist majandus- ja kommunikatsiooniministeeriumi (MKM) tsiviilametnike kätte.

Muudatus oli Carmichaeli hinnangul põhjendatud. MKM-il olid tihedad sidemed erasektoriga, millel on digiriigi arengus määrav roll. Otsustajad mõistsid, et e-teenuste kaitse eeldab tehnoloogiaettevõtete teadmisi ja pidevat innoveerimist. Uurija sõnul tagas vastutuse MKM-ile andmine selle, et suhted erasektoriga ja digitaliseerimine tõuside küberjulgeoleku ökosüsteemis esikohale.

Kriisid kui varjatud kiirendid

Tavapärase evolutsioonilise arendustöö kõrval vormisid Eesti küberjulgeolekut kriisid. Carmichael toob doktoritöös esile näiteks 2017. aastal leitud e-ID turvaaugu, mis sundis riiki elanike digiidentiteedi kaitseks kiirelt tegutsema. Kuna Eesti ühiskond sõltus e-teenustest, ei saanud vigast süsteemi seejuures ajutiselt sulgeda.

Samas vaagis valitsus toona kohalike omavalitsuste valimistel e-hääletuse ärajätmist. Lisaks on spekuleeritud, et e-Eesti kuvandi hoidmine sundis valitsust võtma riske ja süsteeme iga hinna eest töös hoidma. Carmichael lükkas väite aga ümber ja kinnitas, et kõik toonased otsused põhinesid praktilisel vajadusel, mitte mainekujundusel.

Mõlema kriisi puhul muutus tehniliste lahenduste otsimise kõrval tähtsaks strateegiline kommunikatsioon. Nii 2007. aasta küberrünnakute kui ka 2017. aasta turvaaugu ajal pidid juhid läbi mõtlema, millal ja kuidas avalikkust ohtudest teavitada. Näiteks pidi valitsus 2007. aastal avalikult tunnistama, et toimub küberrünnak. Samas aitas toonases maailmas uudne otsus vältida paanikat ning säilitada omakorda elanikkonna usalduse.

Samas eeldab iga edukas kriisijuhtimine, et riik valmistub ohtudeks pikalt ette, kuna ohu korral pole spetsialistidel enam aega uusi kaitsestrateegiaid nullist leiutada. Carmichaeli hinnangul toimivadki ootamatud kriisid arengu varjatud kiirenditena, mis aitavad tallele pandud ideid kiiresti ellu viia. 

Seda loogikat kinnitab Tallinnasse püstitatud NATO küberkaitsekoostöö keskus. Eesti käis keskuse idee välja juba 2004. aastal, kuid läbirääkimised liitlastega venisid. Kolm aastat hiljem riiki tabanud küberrünnakud andsid soiku jäänud plaanile otsustava tõuke ja keskus avas uksed kohe järgmisel aastal. "See näitab, kui oluline on jätkata innovatsiooniga ka kriisivälisel ajal, sest iial ei või teada, mis osutub katalüsaatoriks," nentis teadlane.

Sõda muutis ründajate käekirja

Venemaa sissetung Ukrainasse 2022. aasta alguses pani Eesti küberkaitse uuesti proovile. Sõja puhkedes muutus ründajate käekiri kiiresti ja küberohud muutusid mitmekesisemaks. Tänu varasemale eeltööle kohanes Eesti uue reaalsusega siiski valutult. Riik oli vahepealsete aastatega õppinud hajutatud ummistusrünnakuid ehk DDoS-ründeid tõhusalt tõrjuma.

Pikaajalise ettevalmistuse tulemused ilmnesid kõige selgemalt sama aasta suvel, mil Eestit tabasid kõige ulatuslikumad ummistusründed alates 2007. aastast. Kuigi pahatahtliku liikluse maht oli suur, suutsid kaitsesüsteemid selle mõju leevendada. Rünnaku ulatus jäi sedavõrd märkamatuks, et osad riigiasutused kuulsid vahejuhtumist alles tollase riigi IT-juhi Luukas Ilvese sotsiaalmeedia postitusest. Carmichaeli sõnul olid aastatega tehtud targad otsused muutnud e-riigi nii vastupidavaks, et ründajad ei suutnud igapäevaseid teenuseid enam häirida.

Ummistusrünnete tõrjumise kõrval tõi sõda kaasa veel ühe olulise muutuse. Uues julgeolekukeskkonnas hakkasid küberründed otseselt järgnema Eesti ja teiste lääneriikide välispoliitilistele sammudele. Ründajad ajastasid oma tegevuse täpselt ajaks, mil Ukrainale toetust avaldati.

Näiteks joonistus muster välja just sümboolsete sündmuste järel. "Nägime seda siis, kui teisaldati Narva tank, kogu Baltikumist eemaldati Punaarmee monumente ning eri parlamendid kuulutasid Venemaa terrorismi toetavaks riigiks," loetles uurija. Taolised solidaarsusavaldused tõid kaasa uued rünnakulained, ent riigi küberkilp pidas taas survele vastu.

Tehisaru ja töökeskkonna varjatud ohud

Lähitulevikus mõjutab Eesti digiturvalisust Carmichaeli hinnangul enim tehisaru esiletõus. See avab uksed uut tüüpi rünnakutele, mistõttu peavad otsustajad ajaga kaasas käima. "Kuigi tehisaru saab kindlasti rakendada küberkaitsevõimekuse tugevdamiseks, on mündil ka teine külg. Seda kasutatakse üha enam relvana ka ründavates küberoperatsioonides," selgitas uurija.  

Tehnoloogiliste katsumuste kõrval varjutab valdkonna tulevikku aga tõsine spetsialistide põud. Doktoritöö juhib eraldi tähelepanu IT-sektoris vaikimisi aktsepteeritud toksilisele töökultuurile ja misogüüniale. Pidev kokkupuude kohatu käitumisega tõrjub andekaid inimesi lihtsalt tehnoloogiavaldkonnast eemale. 

Nõiaringist väljumiseks peavad Carmichael'i sõnul õppima pingutama, märkama ja probleeme avalikult tunnistama kõik osapooled, ka mehed. "Kui naised moodustavad ligikaudu poole rahvastikust, ent vaid murdosa tehnoloogiasektorist, siis töökohal lubamatu käitumisega silmitsi seistes, võivad nad valdkonnast lahkuda. See ei ole hea ei küberturvalisusele ega ka laiemale tehnoloogiasektorile," rõhutas uurija. 

Logan Carmichael kaitses doktoritöö "Küberjulgeoleku valitsemine Eesti digitaalse valitsemise mudelis, 2007–2023" Tartu Ülikoolis 17. märtsil. Väitekirja juhendas kaasprofessor Mihkel Solvak Tartust ja oponeeris vanemteadur Miguel Alberto Gomez Singapuri Riiklikust Ülikoolist.