Aastaid oli küberrumis toimuv IT spetsilistide ja programmeerijate suletud maailm. 50 aastat tagasi, kui Internet leiutati, oli see väikese grupi pärusmaa, kus kõik tundsid kõiki ja küberRUUMI asemel oli see võrreldav pigem küberSAAREGA.Viimastel kümnenditel on küberruumis toimuv pälvinud ka poliitikute ja juristide tähelepanu: räägitakse IKT vahendite rahumeelsest kasutamisest, rahvusvahelisest õigusest küberruumis ning riikide vastutustundlikust käitumisest. Ollakse aru saanud ja leppinud, et küberrevolutsioon tuli, et jääda ning et IKT vahendite järjest laiem kasutamine on uus normaalsus, millega tuleb kohaneda ning kaasas käia. Vaatamata sellele või õigemini just seetõttu, et küberruum on sageli keerulisem ja segasem kui tegelik/reaalne maailm, et küberruumis on palju lahendamata küsimusi, alustedes mõistetest ning lõpetades väga laia subjektide ringiga, kes küberruumis opereerivad: lisaks riikidele ka organisatsioonid, eraettevõtted, üksikisikud, häkkerid jne.
ÜRO on arutanud IKT vahendite kasutamist ning nende mõju rahvusvahelisele rahule ja julgeolekule alates 1998. aastast, kui Venemaa esitas esmakordselt vastava resolutsiooni ÜRO I komiteele – rahvusvahelise julgeoleku ja desarmeerimise komiteele.
ÜRO Peaassamlee on viiel korral andnud ÜRO Peasekretärile mandaadi kutsuda kokku valitsuste küberjulgeolekuekspertide töögrupp (group of governmental experts to report on developments in the field of information and communications in the context of international security – GGE), et analüüsida rahvusvahelist olukorda küberruumis ja teha ettepanekud IKT vahendite rahumeelseks kasutamiseks.
Grupp on tegutsenud alates 2004. aastast, 2016 kutsuti kokku viies töögrupp, mille raport peaks valmima 2017. aasta juuliks. Eesti eksperdid on osalenud 2, 3, 4 ja 5 töögrupis: esimeses kahes – Linnar Viik ning viimases kahes, k.a. praegu tegutsevas – Marina Kaljurand.
Rahvusvahelise õiguse kohaldamine küberruumile.
Üks töögruppide olulisemaid raporteid võeti vastu 2013. aastal. Selles sätestati, et „rahvusvaheline õigus, sealhulgas ÜRO Põhikiri, kohaldub ja on oluline rahu ja julgeoleku tagamisel avatud, turvalises, rahumeelses ja kättesaadavas IKT keskkonnas“. Ehk – lepiti kokku, et rahvusvaheline õigus, sealhulgas ÜRO Põhikiri laieneb küberruumile ning on kohaldatav küberruumis.
Tekib küsimus – miks peeti vajalikuks ÜRO Põhikirja nimetamist, on ju see üks paljudest rahvusvahelistest lepingutest ja seega osa rahvusvahelisest õigusest. Tegelikkus oli keerulisem: mõned riigid ei olnud valmis nimetama mitte ühtegi teist konkreetset rahvusvahelise õiguse allikat peale ÜRO Põhikirja ja sedagi pärast pikki läbirääkimisi. Põhikirja mittenimetamist ei oleks olnud võimalik põhjendada – oli ju tegemist ÜRO I komitee töögrupi raportiga, mille koostamisel osalesid kõik Julgeolekunõukogu alalised liikmed ja 10 ÜRO liikmesriiki. Kuid siiani on näiteks probleemiks Põhikirja artikli 51 – riikide õigus enesekaitsele – sõnaselge nimetamine. Viimases, 2015 raportis, kirjaldati artiklit 51 riikide „vääramatu õigusena“, seejuures viitamata artikli numbrile ja nimetamata „õigust enesekaitsele.“
Art. 28 (c): Underscoring the aspirations of the international community to the peaceful use of ICTs for the common good of mankind, and recalling that the Charter allpies in its entirety, the Group noted the inherent right of States to take measures consistent with international law and as recognized in the Charter.
Töögrupi tööd iseloomustabki kõige paremini ideoloogiline vastasseis: kõik see, milles ei suudeta kokku leppida tegelikus maailmas, ei suudeta kokku leppida ka küberruumis; kõik vastuolud, mis iseloomustavad suhtumist demokraatiasse ja inimõigustesse kanduvad küberruumi ja töögrupi töösse.
Väga selgelt on eristunud 2 leeri: demokraatlikke väärtusi ja põhimõtteid austavad samameelsed riigid (s.h. USA, Kanada, Austraalia, Jaapan, Korea, Saksamaa, Holland, UK, Šveits, Eesti) ning riigid, kes soovivad piirata rahvusvahelist õigust ning saada internet vähem või rohkem oma kontrolli alla, eesotsas Hiina ja Venemaaga. Nende vahel on riigid, kes valdavalt toetavad Venemaad ja Hiinat – s.h. India, Egiptus, Mehhiko, Kasahstan, Serbia ning riigid, kes alles kujundavad oma seisukohti – enamuses arenguriigid.
Tegemist on ka väga põhimõtteliste lahkarvamustega IKT mõjust riikidele. Samameelsed riigid näevad küberrevolutsioonis arenguvõimalusi ühiskondade kõigile valdkondadele, alustades avatud ning läbipaistvast valitsemisest ja majandusarengust ning lõpetades kodanikuühiskonna arenguga. Vastasleer näeb IKT arengus ohtu oma riigikorrale, vastuhakku riiklikule propagandale, inimeste mõjutamist läänelike väärtustega, sõja ja vaenu õhutamist jne. Need vastuolud on nii sügavalt juurdunud, et ma ei näe võimalust leeride vastuolude lepitamiseks. Küll aga tuleb püüda otsida mingisugustki ühisosa, et kehtestada arusaam riikide vastutustundlikust käitumisest, riikide kohustustest ja vastutusest küberruumis. Ning seda saab teha tuginedes kehtivale rahvusvahelisel õigusele – kõik õigused, mis on olemas off-line, peavad olema tagatud ka on-line. Küberruum ei ole metsik džungel, kus ei kehti seadused. Küberruumil on oma iseärasused ja iseloomulikud jooned, kuid need ei tohi takistada rahvusvahelise õiguse kohaldamist. Vastupidi – kehtivat õigust tuleb analüüsida veelgi detailsemalt – nii õiguse rakendamise eeltingimuste kui ka mõjude/tagajärgede seisukohast. Küberruum on osa tsiviliseeritud maailmast, kus peavad kehtivad kokkulepitud õigusnormid.
See viib järgmise olulise küsimuseni – mittesiduvate, poliitiliste normideni, mida riigid rakendavad vabatahtlikult. Juristina saan ma väga hästi aru rahvusvahelise õiguse normide ja mittejuriidliste normide vahest ning diplomaadina saan ma väga hästi aru, kui olulised võivad olla mittesiduvad, poliitilised normid. Nad kujundavad riikide praktikat, nad suunavad riike vastutustundliku käitumise suunas, nad võivad saada rahvusvaheliseks tavaks.
Omaette küsimuseks on arenguriigid, kes ei ole ennast veel IKT suhtes määratlenud ja kellel puudub tihti ka võimekus mõista toimuvaid arenguid, veelgi vähem neisse panustada. Sellest, kuhu need riigid kalduvad, hakkab sõltuma küberruumi tulevik – kas jäävad kehtima demokraatlikud põhimõtted ja rahvusvaheline õigus või muutub küberruum killustunud linn-riikideks, kus valitseb täiskontroll ning tugevama õigus või vastupidi – anarhia. Meil on täna võimalus selgitada arenguriikidele IKT vahendite kasutamise eeliseid. Tänuväärse töö tegi selles vallas ära Maailmapank, mis avaldas aasta alguses raporti IKT vahendite mõjust riikide ja riikide majanduste arengule. [1] Töögrupp on andnud väga konkreetseid soovitusi arenguriikide kübervõimekuse tõstmiseks ning usaldusmeetmete rakendamiseks.
Kuid tagasi rahvusvahelise õiguse juurde. Nagu eespool mainitud, leppisid riigid 2013. aastal kokku, et rahvusvaheline õigus laieneb ka küberruumile. Sama kordas üle järgmine ja seni viimane – 2015. aasta raport. Töögrupi mandaadis on kirjas vajadus analüüsida KUIDAS rahvusvaheline õigus kohaldub küberruumile. Ehk küsimus on mitte KAS, vaid KUIDAS.
Järgnevalt kirjeldaksingi küsimusi, mis on kerkinud üles rahvusvahelise õiguse rakendamise analüüsimisel.
Töögrupi eesmärk ei ole analüüsida detailselt kogu rahvusvahelist õigust. Selleks ei ole mandaati, aega ega pädevust. Töögrupp analüüsib valikuliselt neid rahvusvahelise õiguse sätteid, mida peab oluliseks rahvusvahelise julgeoleku tagamise seisukohalt küberruumis.
Üheks küsimuseks on uue rahvusvahelise õiguse loomine ehk uue konventsiooni koostamine. Seda toetavad Hiina ja Venmaa ning nad on isegi välja pakkunud uue rahvusvahelise lepingu teksti – Code of Conduct. Samameelsete riikide arvates on see ennatlik, mitmel põhjusel.
Esiteks, enne kui hakata kirjutama uut konventsiooni tuleb põhjalikult läbi analüüsida olemasolev rahvuvaheline õigus ning kuidas seda kohaldada. Juhul kui selgub, et rahvusvahelises õiguses on lünki, siis saab kaaluda uute sätete koostamist.
Teiseks, on üldteada, et uue rahvusvahelise lepingu koostamine on väga aeganõudev ning antud juhul tundub konventsiooni koostamine venitamisena ja ettekäändena, et mitte arutada olemasoleva rahvusvahelise õiguse kehivust ning rakendamist küberruumile.
Kolmandaks, on ju peaaegu et kindel, et kui mingit küsimust ei suudetud lahendada/sätestada küberi-eelsel või küberi-välisel ajal, siis ei suudeta seda teha ka küberruumi kontekstis. Näiteks, kui siiani ei ole suudetud leppida kokku terrorismi mõistes, siis on väga vähetõenäoline, et mitte öelda välistatud, et suudetakse leppida kokku küberterrorismi mõiste. Kui siiani on erinevad arusaamad selles osas, kas due diligence on või ei ole rahvusvahelise õiguse osa, siis ei lahenda seda vastuolu ka sama printsiibi analüüsimine küberruumi kontekstis. Sama võib öelda relvastatud rünnaku, agressiooni mõiste kohta, sõnavabaduse piiramise kohta jne.
Põhimõttelised erimeelsused valitsevad ka selles osas, kas ja kuidas nimetada humanitaarõigust. Hiina ja Venemaa on seisukohal, et relvakonfliktiõiguse selge nimetamine tähendab nõustumist sellega, et IKT vahendeid võib kasutada mitterahumeelsel eesmärgil. Samameelsed riigid on veendunud, et humanitaarõiguse nimetamine on ennetava ja selgitava iseloomuga. Oleme ju tänaseks näinud ja kogenud hübriidrünnakuid, kus põimuvad läbi klassikaline/kineetiline sõjaline rünnak ja küberrünnakud: Gruusia, Ukraina. Milleks siis eitada fakte ja peita pead liiva alla, selle asemel, et selgelt välja öelda, et küberrünnakute korral kehtib humanitaarõigus samamoodi, kui kineetiliste relvastatud rünnakute korral. Kusjuures otsustamise aluseks peab olema rünnaku tagajärg ja tegelik kahju, mitte aga vahend, millega rünnak sooritati. Toon sellise näite. 10. septembril 2001. aastal ei osanud keegi arvata, et tsiviillennuki kasutamise võib võrdsustada relvastatud rünnakuga, mis annab õiguse enesekaitsele ja vastumeetmete rakendamisele.
Töögrupis arutletakse ka selle üle, kui detailselt peaks töögrupp analüüsima küberterrorismi, küberkuritegevust, interneti valitsemist jne. Siin tuleb lähtuda mandaadist ja kainest mõistusest. Kuna kõiki nimetatud küsimusi käsitletakse väga põhjalikult teistes organisatsioonides või formaatides, ei ole antud töögrupil mõtet/vajadust analüüsida detailselt neid küsimusi ehk dubleerida teiste tööd.
Praeguse töögrupi üheks ülesandeks on täpsustada norme, mis on kirjas eelnevas raportis ning selgitada nende rakendamist praktikas. Tõepoolest, 2015. aasta raport on rahvusvahelise õiguse osas kohati ebatäpne. Ma ei püüa seda välja vabandada, aga fakt on see, et enamus ekspertidest ei ole juristid, töögrupi eesmärk ei ole juriidiliselt 100%-lt korrektse teksti koostamine ning see on ka võimatu keeruliste läbirääkimiste olukorras, kus paari sõna lisamine või välja jätmine muudab kirja pandu mõtet. Siiski tuleb püüda segaseid ja ebatäpseid punkte selgitada ja täpsustada.
Omaette küsimus on töögrupi raporti edasine saatus. Töögrupi raportina on see huvitav analüüs või hariv lugemine ja ei midagi enamat. See küll kiidetakse heaks ÜRO Peaassamblee poolt, kuid ei oma sellist jõudu/mõju kui näiteks ÜRO Julgeolekunõukogu resolutsioon. Praegu liigub arutelu selles suunas, et pärast raporti valmimist võiks selle sätteid kasutada Julgeolekunõukogu resolutsiuooni koostamisel.
Eesti seisukohad on olnud realistlikud, samas ambitsioonikad ning tulenenud meie järeldustest/kogemustest tulenevalt 2007 küberrünnakutest. Seisukohtade ettevalmistamisesse on kaasatud teised ministeeriumid (KaM, MKM), NATO küberturvalisuse oivakeskuse juristid, eksperdid, erasektor. Näiteks pakkusime 2015. aasta raportisse uue normi, mille sõnastasime koos pankadega – riikide kohustusena mitte rünnata finantssüsteeme. Lähtusime pankade ettepanekust ning faktist, et pangad on majanduse selgrooks ning riigid peaksid olema huvitatud finatssüsteemide katkematust tegutsemisest. Arutasime ka laiemat normi – rünnakute keelustamist kriitilise taristu vastu, aga sellisena oleks norm liiga üldine ja mitmeti tõlgendatav ning ei oleks pälvinud teiste riikide toetust. Teatavasti on iga riigi enda pädevuses määratleda oma kriitiline infrastrukuur ning riikide praktika selles osas on erinev. Eesti finantssüsteemide kaitsmise ettepanek ei läinud 2015 raportisse, aga diskussioon Interneti põhifunktsioonide ja infrasüsteemide kaitsmise üle jätkub praeguses töögrupis.
Õppetunnid ajaloost – kas IKT vahendite kasutamise sätestamisel on midagi õppida ajaloost.
Professor Joseph S. Nye Jr[2] on võrrelnud „küberrevolutsiooni“ varasemate inimkonda väga suurel määral mõjutanud „revolutsioonidega“, nagu püssirohu leiutamine, industriaalrevolutsioonid, „tuumarevolutsioon“ . Ta analüüsib detailsemalt just tuumaõppetunde ja nende kasutamist küberjulgeoleku valdkonnas. Esmapilgul näib, et tuuma ja IKT vahendite kasutamine on väga erinev, alustades tehnoloogiate erinevusest ning lõpetades erinevusega valdkonnas tegutsevate subjektide osas (riik versus ettevõtted, organisatsioonid, üksikisikud). Eksperdid väidavad, et Interneti väljalülitamine viib meid eelmisese sajandisse, aga tuumasõda viib meid tagasi Kiviaega. Kuid on ka nii mõndagi sarnast – mõlemad valdkonnad olid alguses kättesaadavad vähestele, mõlema puhul on tegemist valdkondadega, millel on vähe empiirilist tõestust/kogemust. Maailm on küll näinud tuumapommi kasutamist Hiroshimas ja Nagasakis, kuid need on jäänud ainsateks tuumarelvade kasutamise juhtumiteks. Maailm on tänaseks kogenud hübriidrünnakuid, mille osaks on küberrünnakud (Gruusia 2008, Ukraina 2014) ja kogeb iga päev väiksemaid või suuremaid küberrünnakuid, kuid tänaseni ei ole üksi neist ületanud relvastatud rünnaku mõttelist punast joont: ükski neist ei ole tapnud või haavanud inimesi. Mõlema valdkonna strateegiad põhinevad pigem hüpoteesidel ja oletustel, mitte empiirilistel tõenditel.
Milliseid õppetunde võiks küberruumi üle võtta? Üks ja peamine – rahvusvahelise koostöö olulisus. Seejuures ei ole oluline, mis saab tõukeks koostööle – kas idealism või soov muuta maailm turvalisemaks või hirm võimaliku tuuma-, küberrünnaku ees. Kuigi ka hirm aitab muuta maailma turvalisemaks. Väidetakse, et kui Nikita Hrustshov sai NLKP peasekretäriks ja talle selgitati, mida on võimalik tuumarelvaga teha, ei olevat ta saanud mitu ööd magada. Winston Churchill ütles omakorda, et „turvalisus on terrori ????? laps (safety will be the sturdy child of terror). Läks aega ja koostöö tulemuseks oli Ronald Reagani ja Mihhail Gorbatshovi ühisavaldus 1985 aastal, kus tõdeti, et „tuumasõda ei saa võita ja tuumasõda ei tohi kunagi sõdida“.
Koostöö on õppetund, mille võtsime kaasa 2007. aasta küberünnakutest. Küberünnakuid saab ennetada ning avastada, kui tehakse koostööd. Oleme seda mõtet rõhutanud kõigis rahvusvahelistes organisatsionides ja foorumitel, kus teemaks on küberturvalisus.
Temple Ülikooli rahvusvahelise õiguse professor Duncan Hollis[3] on pakkunud välja e-SOS mõtte, võttes eeskuju mereõigusest. Hollis võrdleb „küberohtude merd“ ookeaniga Ta leiab ühisosa ettearvamatutes oludes: küberruumis varitsevad kõige erinevamad ohud ja ohtude põhjustajad ning merel võivad olla ettearvamatud ilmastikuolud. Õnnetuse puhul merel ei kannata ainult laev, vaid mõjud võivad ulatuda palju kaugemale, näiteks õlireostuste korral. Samuti ka küberruumis – tagajärjed võivad olla väga ulatuslikud, ületades riigipiire. Võrreldavad on ka piraadid, kes tegutsevad merel ja kurjategijad küberruumis: raskesti identifitseeritavad ja tabatavad, tihti sõltumatud riigist.
Hollise mõte on selles, et analoogiliselt SOS-le merel võiks kehtestada e-SOS merel ehk uue rahvusvahelise normi – kohustuse aidata riiki, kes on langenud küberründe alla. On arusaadav, et see kontseptsioon tekitab palju lisaküsimusi – kuidas olla kindel, et riik X ikka palus abi, kuidas olla kindel, et abistamise ettekäände all ei riku riik Y riigi X territoriaalset terviklikkust jne. On arutletud ka selle üle, milleks on vaja kehtestada uut rahvusvahelise õiguse normi, mis teatavasti ei ole lihtne, vaid leppida kokku, et kohustus abistada on rahvusvahelises õiguses olemas ning laieneb ka küberruumile. See oleks üks konkreetne näide rahvusvahelise õiguse kohaldamisest küberruumile. Ma ei tea, kas see oleks juriidiliselt korrektne. Ma kuulaksin huviga poolt ja vastu argumente. Ma väga loodan, et juristide seas, ka Eesti juristide seas tekib rohkem taolisi diskussioone. Need arutelud on edasiviivaks jõuks ja suureks abiks riikidele/valitsustele, kes peavad varem või hiljem hakkama tõlgendama rahvusvahelise õiguse rakendamist küberruumis.
Meil on rahvusvaheliste ekspertide seisukohad, näiteks Tallinn Manual – käsiraamat rahvusvahelise õiguse kohaldamisest küberruumile sõjaolukorras, valmimas on Tallinn Manual 2.0 – rahvusvahelise õiguse kohaldumisele küberruumile rahu ajal. Need on suurepärased analüüsid, mille koostamisel on osalenud väljapaistavad rahvuvahelise õiguse eksperdid, aga need jäävadki ekspertide arvamusteks kuni riigid/valitsused hakkavad neid tõlgendama ja kohaldama – nii praktikas kui ka teoorias. On neid, kes ütlevad, et ei ole vaja eelnevalt tõlgendada. Kui tekib olukord, küll siis tõlgendame ja kohaldame. Võib ka nii, aga minu kindel eelistus on mitte jääda ootama tegelikkuses tekkida võivat tõlgendamise vajadust, vaid teha seda ennetavalt, sest selliselt on rahvusvahelisel õigusel ennetav roll ning kindluse ja etteaimatavuse (predictability) põhimõtete tagaja roll.
- aastal olin ma Bloombergi küberkonverentsil ühes paneelis koos tolleaegse Valga Maja küberkoordinaatori Howard A. Schmidtiga. Tema võrdles rahvusvahelise õiguse kohaldamist küberruumile arengutega rahapesu valdkonnas. Rahapesu tõkestamise ja pankade tegevuse teatud osa avalikustamise üle on arutletud aastakümneid: on kirjutatud reegleid, on püütud neid kohaldada, on püütud veenda, näidata eeskuju, vahetada kogemusi jne. Kuni ühel hetkel saadi aru, et kokkulepitud reegleid tuleb täita, sest „nii on õige teha“ (that is the right thing to do“). Võib-olla lepitakse mingil hetkel ka küberruumis kokku reeglites, mida riigid peavad täitma, sest „nii on õige teha“. Ma loodan, et see juhtub pigem varem kui hiljem.
Sest ma loodan, et on veel üks õppetund, mis tuleks võtta kaasa küberruumi – tegutseda tuleb enne, kui juhtub midagi tõeliselt kohutavat või traagilist. Me oleme näinud senisest praktikast, et riigid hakkavad tõsiselt ja konstruktiivselt otsima lahendusi alles pärast seda, kui käes on kaheteistkümnes tund või isegi hiljem. Nii oli tuumarelvastuse tõkestamisega, keemia – ja bioloogilise relva tõkestamisega, terrorismivastase võitlusega. Neile kõigile eelnesid humanitaarkatasroofid ja inimlikud tragöödiad. Piltlikult öeldes – me ei tohi oodata „küber 9/11“ selleks, et leppida kokku koostöös ning hakata konstruktiivselt arutama rahvusvahelise õiguse rakendamist küberruumile.
Ning lõpetuseks veel üks ajalooline näide – professor Martensi klausel, mis on saanud osaks rahvusvahelisest humanitaarõigusest, mis sätestati esmakordelt 1899 Haagi konventsioonis ning mida peetakse Haagi konventsioonide filosoofiliseks aluseks.
Ants Piibu tõlkes kõlab see järgmiselt: “Täieliku sõja seaduste kogu väljaandmiseni on kõrged lepinguosalised pooled heaks arvanud konstateerida, et juhtumustel, mis mitte pole ette nähtud nende poolt vastu võetud korraldavates määrustes, elanikud ja sõdijad jäävad rahvusvahelise õiguse kaitse ja võimupiirkonna alla niivõrd, kui need järelduvad tsiviliseeritud rahvaste vahel maksvatest tavadest, humanitaarsetest seadustest ja avalikust õigustundest.“[4] See tähendab lahtiseletatult, et isegi ilma spetsiaalsete eeskirjade ja seadusteta tuleb okupeeritud alade tsiviilelanikke ja sõdijaid kohelda vastavalt rahvusvahelise õiguse põhimõtetele, mis omakorda lähtuvad tsiviliseeritud rahvaste/riikide praktikast, puhtast inimlikkusest ja avalikust südametunnistusest.
See põhimõte leidis toetust 117 aastat tagasi hoopis teisel ajal ja teises kontekstis ja ometigi on see säte loogiline ning rakendatav ka tänapäeval küberruumis.
Mark Twainil oli õigus, kui ta ütles, et ajalugu ei kordu kunagi, aga vahel ta riimub.
Tänan tähelepanu eest!
Kõne esitatud: Eesti Akadeemiline Õigusteaduse Selts, Tartu