“Kolumbuse ajal liigeldi siin treppidel ilmselt hobustega,” nentis EL-i kõrge esindaja Josep Borrell Santo Domingos RIA toel avatud regionaalse küberkompetentsikeskuse pikast kivitrepist alla astudes.

Kolumbus jõudis enne Ameerika mandrile jõudmist 1492. aastal esmalt Dominikaani (Hispaniola) saarele. Euroopa Liit otsustas 500 aastat hiljem esimese regionaalse küberkompetentsikeskuse väljaspool Euroopat asutada just seal. Keskus rajati ja tegutseb 2021. aastast RIA juhitud ja EL-i rahastatud küberprojekti EU CyberNet toel.

RIA eestvedamisel on viimase viie aasta jooksul viinud Eesti kübereksperdid enda teadmisi laia maailma. Koos teiste EL-i ekspertidega on tõstetud teadlikkust muuhulgas Aafrikas, Ladina-Ameerikas ja Kariibidel, eesmärgiks tugevdada Euroopa panust ülemaailmsesse küberturvalisusesse. Kuidas aga ehitada digiriiki paikades, kus ei osata paberilegi allkirja panna, rääkimata digiallkirjast? Mis mõtet on pidada loengut küberturbest riikides, kus lokkab korruptsioon ja vool läheb iga päev ära?

Oma kogemusest räägivad EU CyberNeti projektijuht Liina Areng ja EU Cyber4Dev projekti küberturvalisuse nõunik Martin Indrek Miller.

Mis kasu on CyberNeti ja Cyber4Devi projektid toonud riikidele, kus meie eksperdid on käinud?

Martin: Mõlemad projektid on suunatud riigisektorile. Me nõustame avaliku sektori asutusi, erinevaid ministeeriume eri riikides. Me aitame luua riigi tasandil küberi strateegiat. See on laiahaardeline ja mahukas töö.

Eesti ekspertidel on arusaam, kuidas riigimehhanism töötab, kuidas riigisüsteeme digitaliseeritakse, kuidas maksusüsteemid töötavad jne. Digitaalseks üleminek ei tähenda, et lihtsalt kopeerid paberi protsessi digitaalseks, vaid see nõuab kogu süsteemi ümber mõtlemist. Seda paljud meie partnerriigid alguses ei mõista, et kui tahad digitaalseks muutuda, pead tegelikult hoopis teisiti mõtlema hakkama. Selle mõtteviisi viimine partnerriikidesse ongi üks meie eesmärkidest.

Liina: Enamik eksperte, kes on EU CyberNeti võrgustikuga liitunud ja erinevatel koolitusmissioonidel üle maailma osalenud, on Eesti eksperdid. Eesti on globaalses mastaabis oma digiarengu ja küberturvalisuse poolest võimas referentsriik. RIA poole on pöördunud paljud riigid üle maailma, kes soovivad, et Eesti toetaks nende püüdlusi saada sama tubliks digiriigiks. Kõigiga loomulikult Eestil jõudu tegeleda pole.

Kas te peate igale poole füüsiliselt kohale minema?

Martin: Osaliselt saame nõustamist ka kaugteel teha, aga eelistame inimestega näost näkku kohtuda. Kõige suurem väljakutse tekkiski Covidiga. Mäletan eredalt, kui olin 2020. aasta märtsis Aasias ning vaatasin hotellis lendude väljumise tablood. Järjest tühistatud, tühistatud, tühistatud. Õnneks saime põhimõtteliselt viimasel minutil minema.

Olime sunnitud kogu projekti tegevuskava ümber mõtlema. Zoomis saab nõustamist ja koolitusi teha, aga see on raske, kui keelebarjäär on vahel. Aasias on inimesed nii viisakad, et ei julge tunnistada, kui neile midagi segaseks jääb. On juhtunud, et kohtumise laua taga noogutab inimene terve aja kaasa ja hiljem selgub, et ta ei räägi sõnagi inglise keelt. Sellised avastused tulevad ainult kohapeal inimeste emotisoone lugedes, veebis on see pea võimatu.

Milline on partnerriikide küberturbe tase? Millised on olnud muljed ja praktikad?

Liina: On riike, kus puudub kohati isegi kirjaoskus. Paljud ei oska füüsilist allkirja anda, rääkimata digiallkirjast. Registrid on paberi peal, puudulikud, siin-seal laiali, dubleeritud. Siis tuleb järsku uus valitsus ja otsustab, et muutume digiriigiks – tahame saada võimalikult kiiresti täpselt samasuguseks nagu Eesti. Kust sa siis peale hakkad? Kogu seda bardakki hakata lahendama – väga raske ülesanne, kui probleemide kuhi on hiiglaslik, ning pole kindel, kas alustatud digiprogrammi ka järgmine valitsus edasi viib.

Riigi poolt peab olema mitte ainult suur tahe, vaid ka ressurss, et digiriigiks muutuda. Meie läbi oma projektide raha ei anna, vaid pakume ainult teadmisi. Kui riik ise oma protsesside digitaliseerimisse ja küberturvalisusse ei investeeri nii raha kui inimesi, siis välisel osapoolel ei ole võimalik jätkusuutlikku digiühiskonda üles ehitada.

Martin: Kui projektiga alustasime, oli täiesti tavaline, et pärast seda, kui esimesel visiidil ütlesime välja, et raha ei jaga, vaid ainult nõustame ja koolitame, siis pool seltskonda kadus kohe ära. Õnneks on igas riigis entusiastid, kes ajavad seda asja siiralt ja tulihingeliselt. Vahel ei pruugi neil olla isegi valitsuse tuge. Selliste kontaktidega teeme hea meelega koostööd, olenemata sellest, kui palju mõjuvõimu neil sel hetkel riigis on. Pikemas perspektiivis, kui anda sellistele inimestele tuge ja nähtavust, suudavad nad ka midagi olulist ellu viia.

Nii et tuleb ette ka edulugusid?

Martin: Edulugudest on hea näide Botswana. Neil oli CERT-i ehk computer emergency response team’i loomise mõte. Neil olid olemas mõned inimesed, aga rohkem mitte midagi. Viis aastat hiljem on neil täiesti toimiv CERT. Küpsustase on loomulikult küsitav, aga neil on olemas ruumid ja masinad, mille nad on ise oma vahendite eest soetanud. Nüüd koolitavad nad kohapeal teisi ja jagavad küberturbealast infot oma kogukonnaga. Seda on olnud tore kõrvalt näha.

Loomulikult pole olukord kõikides riikides nii roosiline. Arengumaade probleem on, et paljud ametikohad on poliitilised, nii et kui valitsus vahetub, vahetuvad ka kõigi asutuste ja allasutuste juhid. See ongi suurim probleem – järjepidevus kaob ära. Sellepärast on paljud riigid ajast maha jäänud, et on liiga palju politiseeritust.

Kas viie aasta jooksul on tulnud ette põnevaid lugusid, mida jagada? Sh ärevaid olukordi, mida on tulnud lahendada?

Martin: Oma esimesel Aafrika visiidil käisin Ghanas. See on Sahara-tagune riik Kesk-Aafrikas, ekvaatori ligidal – äärmiselt palav ja niiske. Jõudsin öösel pealinna Accrasse, lennujaamas oli tohutult tugev piiri- ja passikontroll. Ca kümme piirivalvurit järjest iga kümne meetri tagant, igaüks arvas, et on lennujaama kõige tähtsam inimene. Vaadatakse passi, viisat, vaktsiinipassi ja nii kümme korda järjest.

Lõpuks saime sellest kadalipust läbi. Hotellist oli transfeer lennujaama vastu tellitud, meid pandi väikesesse mikrobussi. Sõidame siis öösel hotelli poole mööda pimedat alleed, tänavavalgustust pole. Järsku vaatame, valge Toyota pikap risti tee peal ees. Kaks tüüpi sinistes tunkedes, Kalašnikovi automaadid kaelas, peatavad meie bussi kinni. Tehakse küljeuks lahti, tunkedes vanake pistab pea sisse, automaat käib kolinal vastu bussipõrandat – sel hetkel jõuab peast läbi läbi käia väga palju erinevaid mõtteid. Vaatab meile otsa, mõtleb ja lõpuks ütleb kohalikus keeles meie juhile, et võite edasi sõita.

Ghana on minu jaoks olnud kõige suurem kultuurišokk, pärast seda ei üllata enam miski. Kui jääd Ghanas punase tule taha seisma, tulevad igalt poolt mingid inimesed kuskilt põõsastest välja, kausid peas, ja üritavad sulle maha müüa kõike SIM-kaardist voodiriieteni. Samal ajal teisel pool teed sõidab vastu viimase mudeli Rolls-Royce Phantom, mis maksab julgelt üle poole miljoni euro. Ekstreemne vaesus käsikäes ekstreemse rikkusega – seda on sürreaalne vaadata. Siis mõtled vahel, et huvitav, mida me siin riigis küberturvalisusega teeme. Siin riigis on nii palju muid probleeme, millega tuleks tegeleda.

Liina: Sri Lanka hotellis, kus me 2019. aasta kevadel peatusime, olid kuu aega hiljem pommiplahvatused. Kui näed, et mingisugune jõuk noormehi liigub matšeetedega tänaval, saad aru, et praegu pole mõistlik hotellist nina välja pista.

Sellised seigad ongi seotud poliitilise ebastabiilsusega. Ühel päeval on võimul üks mees, järgmisel tuleb teine, võimu vahetumine on tihtilugu seotud vägivallaga. Valitsuse vahetus tähendab meile paraku ka seda, et paljud töötasandi kontaktid kaovad (ametnikud on uue poliitilise klanni soosikud). Läbi digiriigi loodame aidata ka korruptsiooni ohjata. Võib-olla ei saa riigi poliitiline juhtkond, kes digiprogrammile alla kirjutab, ise arugi, et kui riigi administreerimine muutub digitaalseks ja läbipaistvaks, ei saa nad ühel hetkel enam toimetada nii, nagu harjunud on.

Pommiplahvatused ja Kalašnikovidega mehed ei kõla kuigi kutsuvalt. Mis teid sellistesse kohtadesse meelitab?

Liina: Nendes riikides käies muutuvad kodused töised probleemid tillukeseks ja Eesti muutub palju ilusamaks! Lisaks saab palju positiivset tagasisidet ja siirast imetlust. Kui sa oled eestlane, oled digi-küberasjades kõiketeadja staatuses. Kui Eestisse tagasi tuled, saad aru, et asjad meil ei olegi tegelikult nii hullud, kui teinekord paistavad. Ma arvan, et see on meie ekspertide põhiline motivaator.

Martin: Ega selline töö võib-olla kõigile sobigi, peab olema mingi sisemine tõmme astuda tundmatusse keskkonda ja vaadata, kuidas seal hakkama saad. Enese proovilepanek erinevates kultuuri- ja keeleruumides sunnib ka ennast rohkem õppima ja paremini teisi mõistma. See kõik saab lõpuks tasustatud. Hea näide oli Guyana, väike Ladina-Ameerika riik, kuhu läksime kahe eksperdiga meie CERT-EEst. Tegime neile tehnilist koolitust, kuidas infosüsteemide turvateste läbi viia. Tänutäheks koolituse eest kinkisid nad meile kaardid, kuhu kõik koolitusel osalejad olid käsitsi kirjutanud oma nime ja tänusõnad. See on emotsionaalselt väga liigutav, kui tunned, et inimesed on siiralt tänulikud. Sellised hetked on hästi toredad.

Liina: Kui korraldasime Eestis 2019. aasta jaanuaris FIRST-i konverentsi, oli väljas -18 kraadi. Tallinnasse tulid delegatsioonid Botswanast, Sri Lankalt, Mauritiuselt ja Rwandast – riikidest, kus ei olegi võimalik sooje riideid osta, kuna neid ei lähe vaja. Hoiatasime neid ette, et pange selga kõik, mis teil on, aga läksin igaks juhuks käpikute, mütside ja sallidega lennujaama vastu. Siis tabas neid šokk, kui külm reaalselt olla võib. Mõned olid varem lund näinud ainult külmkapis. Siis nad kandsid minu toodud mütse ja käpikuid reisi lõpuni ja võtsid suveniiriks kaasa. See oli nende jaoks vapustav elamus.

Kui palju saab kolmandates riikides rakendada Eesti kogemust? Või on see pilt niivõrd erinev?

Martin: Eestis tihtilugu kirume oma e-riiki, kui näiteks ei saa mõnda aruannet viie minutiga esitatud. Aga viimase viie aastaga olen aru saanud, et alles siis, kui lähed Eestist välja, paned tähele, kui kõrgel tasemel me tegelikult oleme. Ühel hetkel avastad, et ei oskagi enam mõelda nii madalal tasemel kui meie partneriikidel Aafrikas, Aasias ja Ladina-Ameerikas vaja oleks.

See on olnud selle projekti juures suur väljakutse. Siis tuleb läheneda hästi dünaamiliselt ja mõelda, mis neil võiks töötada ja mis mitte. Mitte isegi lähtuda niivõrd Eesti e-riigi kogemusest, vaid vaadata kastist välja.

Mida üllatavat olete teistes riikides tähele pannud? Kas meil on ka midagi õppida?

Liina: Huvitav on see, et oleme mõnes küsimuses Eestis haavatavamad kui nemad. Kui mõelda, mis on meil kriitiline infra: elekter, vesi, pangandus jne. Aga neil pole mingit probleemi, kui elekter ära läheb – igal majapidamisel on oma genekas kusagil keldris. Veekatkestused on sama tavalised. Kui kolm kuud pole sadanud, tuleb vett kraanist ainult kord päevas ja inimesed on sellega harjunud, ämbrid on vett alati täis. Kõigil, kel võimalik, on väike sularahavaru kodus. Arenguriikides on ka sõltumata kaardimaksete toimimisest sularaha kuningas.

Martin: Hiljuti käisin Lõuna-Aafrika Vabariigis ühel konverentsil ja hotellis oli silt, et neil on iga päev kella neljast kaheksani planeeritud elektrikatkestused. Lihtsalt ei jätku elektrit riigis. See oli üllatav, et LAV-is sellised probleemid on.

Mõeldes tagasi möödunud aasta Eesti konteksti, kus peaminister hoiatas, et talvel võib ette tulla olukord, kus meil on elektridefitsiit ja peame valmistuma planeeritud elektrikatkestusteks, siis täna see mind väga ei heiduta. Isegi tugevate miinuskraadidega ei juhtu tegelikult 3–4 tunni jooksul veel midagi hullu.

Liina: Veel üks huvitav fenomen on, et riiki saab mitu korda n-ö otsast alustada. Näiteks Dominicast, see on üks pisike Kariibi saareriik, käis viimati 2017. aastal meeletu orkaan üle ja tegi saare põhimõtteliselt puhtaks. Siis otsustati seal, et neil on nüüd uus strateegia: alustavad kõike otsast ning teevad seda rohelisel ja digitaalsel moel. Kas neil on selleks teadmisi ja vahendeid, on muidugi iseasi.

Aasta tagasi loodi EU CyberNetiga Dominikaanis Ladina-Ameerika ja Kariibide Küberkompetentsikeskus (LAC4). Mis on selle keskuse visioon?

Liina: Dominikaani Vabariik on huvitav väike riik Kariibi meres, kus ühiskond on arengumaale iseloomulikult veidi “ligadi-logadi”, aga küberteemades on nad tegelikult päris tublid. Viie aasta eest loodud CERT on kasvanud 15-pealiseks tiimiks, kel on 24/7 seire- ja intsidentide lahendamise võimekus. Eesti toel on nad liitunud ka globaalse CERT-ide võrgustiku FIRST-iga (Forum of Incident Response and Security Teams – toim.).

Dominikaani Vabariik oli esimene riik Ameerika mandril, mis liitus Budapesti konventsiooniga (rahvusvahelise küberkuritegevusvastase võitluse raamkokkulepe – toim.) ning riik esineb jõuliselt teistel rahvusvahelisel küberfoorumitel, nt ÜRO-s. Dominikaanid valiti LAC regionaalse kompetentsikeskuse asukohaks ka seetõttu, et ta on hispaaniakeelse Kariibi riigina kultuuriliseks sillaks valdavalt inglise keelt kõneleva Kariibi piirkonna ja hispaaniakeelse Ladina-Ameerika vahel. Samuti on saarele Euroopast head lennuühendused ning viisat ei nõuta.

LAC4 asub Dominikaani pealinnas Santo Domingos, kauni Kolumbuse-aegse vanalinna südames. Tegutseme samades ruumides Dominikaani telekomi regulaatori ja küberturvalisuse keskusega. Santo Domingos on meil 150-kohaline auditoorium, arvutiklass ja seminariruumid. Märtsis keskuse seinal nimetahvli avanud Josep Borrell esines kiidukõnega Eesti aadressil – Dominikaanid ja terve LAC regioon on heades kätes, sest kes veel oskaks Euroopas küberit õpetada, kui mitte Eesti! See on Kariibi saar, kuhu tavaliselt minnakse puhkama, nii et see on ka meie ekspertidele atraktiivne sihtkoht.

Tegelikult on LAC4 rohkem kontseptsioon kui füüsiline kehand. Ehk läbi selle brändi nime teeme koolitusi igal pool mujal Ladina-Ameerika riikides: Ecuadoris, Costa Rical, Uruguays, Tšiilis, Brasiilias, Peruus jm. Eesmärk on suurendada piirkonnas riikidevahelist koostööd, tõsta riikide valmisolekut küberohtudele adekvaatselt reageerida ning edendada Euroopa ja Eesti väärtusi.

Martin: See on osa suuremast globaalsest poliitilisest mängumaast ka, et viia Lääne demokraatlikke väärtusi riikidesse, kus väga aktiivselt tegelevad nii Venemaa kui Hiina. Aastaid tagasi tegin Sri Lankal ettekannet küberrünnetest ja rääkisin avatult Eesti kogemusest pronksiöö ajal – kuidas vene rahvusest vabatahtlikud ründasid meie infosüsteeme. Esireas istusid Sri Lanka õhuväeohvitserid, kes tõusid selle jutu peale demonstratiivselt püsti ja jalutasid minema. Pärast sain Briti kolleegilt teada, et need härrad olid ülikoolihariduse saanud Peterburis. Väga paljud riigitöötajad Indias ja Sri Lankal on saanud hariduse Venemaal.

Kui palju te Venemaa ja Hiina mõjusid kolmandates riikides kohanud olete?

Martin: Nende riikide n-ö pehme mõjutustegevus on globaalsel tasandil väga võimas. Näiteks juba enne Cyber4Dev projekti külastasin Kariibides sellist väikest saareriiki nagu Saint Kitts ja Nevis, kus kohalikku intsidentide käsitlemise osakonna maja oli rahastanud Hiina rahvavabariik – igal pool olid suured sildid väljas.

Liina: Käisime Sri Lankal IKT ministeeriumis koolitust läbi viimas ning vastu võttis silt “powered by Huawei”. See on fenomenaalne, kuidas jõuavad Vene infooperatsioonid Ukraina sõja kontekstis Ladina-Ameerika hispaaniakeelsesse meediasse. Ukraina sõda ja selle mõjud ka Ladina-Ameerika küberruumis on selle piirkonna Euroopale geopoliitiliselt lähemale toonud. Seepärast rahastabki Euroopa Komisjon arengukoostööprojekte, et meie läänelikku väärtusruumi nendesse riikidesse viia.

Kes on need inimesed, eksperdid, keda olete kolmandatesse riikidesse saatnud? Milline peaks olema eksperdi taust?

Martin: Oleme kaasanud väga erineva taustaga eksperte. Enamik eksperte on riigi taustaga, aga see ei ole kindel tingimus. Eelkõige on oluline, mida ta teha oskab ja kas ta on hea koolitaja. Kogemus koolitajana tuleb tegelikult kiiresti, sellepärast ei pea muretsema.

Oleme näinud, et CV-sse on kirjutatud, et mul on 40 aastat küberturvalisuse kogemust. Siis tahaks küsida, mida see päriselt tähendab. Samas Eestis leidub maailmatasemel küberturbe eksperte, kellel ei pruugi olla bakalaureusekraadigi, aga on mõnes spetsiifilises valdkonnas väga tugevad.

Liina: Kui saame aru, et keegi on jube hea ekspert oma valdkonnas, aga esinemisoskust või koolitajakogemust jääb vajaka, saame teda selles osas toetada ja ette valmistada. Samuti ei pea tingimata olema küberturbeguru, vaid ka näiteks selle valdkonna hea kommunikatsiooniekspert.

Kas ka täna on võimalik ennast eksperdina veel üles anda ja mida selleks peab tegema (nt EU CyberNeti puhul)?

Martin: Meil on olemas üle-Euroopaline ekspertide võrgustik, aga paljud peavad koolitamiseks võtma põhitöölt puhkuse. Aegade klapitamine partnerriikidega on olnud selle projekti juures üks suuremaid väljakutseid.

Liina: Mida rohkem eksperte meil võrgustikus on, seda rohkem ka võimalust, et leiame sobiva taustaga eksperdi, kellele aeg jm klapib. Et end eksperdina üles anda, tuleb minna meie kodulehele ja seal on olemas ankeet. Tuleb enda kohta ära täita lühike eksperdi profiil, üles laadida oma CV, lisada paar motivatsioonilauset, märkida ära kaks soovitajat ja ongi kõik. Kui me neid soovitajaid juba tunneme ja usaldame, siis on kinnitusprotsess lühike.