Eesti teadlane aitab lahendada Euroopa digitaalse identiteedi suurt probleemi
Mida rohkem saavad digitaalsed toimingud osaks inimeste argielust, seda enam on vaja nn elektroonilise identiteedi (eID) vahendeid piiriüleselt ühildada, et olulisemad e-teenused oleksid kõikjal Euroopa Liidus ühtviisi turvaliselt kasutatavad. Abi võib olla Eesti teadlase loodud raamistikust.
Eestis on e-teenuste kasutamine harjumuspärane ja teisiti ei kujutata suurt osa asjaajamistest enam ettegi. Üha olulisemaks muutub aga ka suhtlemine teiste Euroopa Majandusühenduse (EMÜ) riikidega ja nende loodud teenuste tarbimine. Samal ajal tunnevad EMÜ riikide elanikud üha rohkem huvi Eesti e-teenuste vastu.
Põhimõtteliselt saab isikute tuvastamiseks kasutada eri riikide elektroonilise identiteedi vahendeid piiriüleselt. Selleks peab aga iga riik teavitama Euroopa Liitu oma e-identimise ja e-tehingute jaoks vajalike siseturu usaldusteenuste määrusele (eIDAS) vastava eID-skeemi toimimise põhimõtetest. Seda saab teha kolmel tasemel – madal, märkimisväärne ja kõrge.
Senine teavitamise protseduur on samas keerukas ja aeganõudev. Ühtlasi on samal tasemel teavitatud eID-skeeme nende erisuse tõttu riigiti raske võrrelda. Näiteks on elektrooniline identiteet Eestis seotud isikukoodiga, seevastu Saksamaal polegi inimestel meie mõistes isikukoodi jne.
Probleemi lootis oma doktoritööga lahendada toonane Tallinna Tehnikaülikooli tarkvarateaduste instituudi magistrant Silvia Lips. Töö käigus analüüsis Lips nii Eesti kui ka teiste Euroopa riikide eIDAS määruse rakendamise praktikaid ja erinevate riikide eID-skeeme. Selle põhjal loodud raamistik võimaldab hinnata erinevate riikide eID-skeeme ning nende tasemeid lihtsamalt ja objektiivsemalt.
Teadustööst sai n-ö päris töö. Juba doktoritöö kirjutamise ajal asus Silvia Lips tööle Riigi Infosüsteemide Ametisse (RIA), kus ta tegeleb nõustamisega eID küsimustes ja osaleb Eesti esindajana EL-i eID-skeemide hindamises piiriüleseks kasutamiseks. Samuti panustab Lips eIDAS määruse väljatöötamisse.
Õigusteadusest sai sümbioos IT-valdkonnaga
Muu hulgas tarkvarateaduste instituudis külalislektorina loenguid pidav Silvia Lips alustas oma haridusteed hoopis juuraõpingutega. Nagu ta meenutab, pesitses temas juba noorpõlves kindel teadmine, et temast peab saama jurist. Esialgu kõik sinnapoole suunduski. Nii lõpetas ta 2006. aastal Tallinna Ülikooli (varasemalt Akadeemia Nord) õigusteaduskonnas magistriõpingud. Siis sattus ta aga tööle toonasesse kodakondsus- ja migratsiooniametisse, kus tema töö puudutas biomeetrilisi dokumente.
Toona hakati Eestis esimest korda lisama passidesse inimeste biomeetrilisi andmeid. Lips hakkas üha enam kokku puutuma tehnoloogia valdkonna õigusloomega. Uuenduslik pass taheti küll kasutusele võtta, kuid juriidiline arutelu selleks vajaliku seadusandluse loomiseks oli veel pidamata. Nii tuli hakata tegelema näiteks andmekaitse küsimustega – näiteks kes millistel tingimustel ja eesmärkidel inimeste biomeetrilistele andmetele ligi pääseb.
"Sealt edasi kujuneski nii, et hakkasin üha rohkem tegelema tehnoloogiaõigusega ja üldse uute tehnoloogiliste lahenduste õigusliku regulatsiooniga. See on eeldus, et neid saaks üldse laialdaselt kasutusele võtta," kirjeldas Lips oma huvi tekkimist suhteliselt spetsiifilise valdkonna vastu: "Mingil hetkel mõistsin, et hea jurist olemiseks ei piisa ainult sellest, et tunned hästi õigusteadust, vaid selles valdkonnas tegutsemiseks on vaja ka tehnilist arusaama digilahenduste toimimise kohta. See teadmine innustas juurde õppima."
Informaatika eeldab head matemaatikaoskust. Kui Lips arvas alguses, et sellega ta küll hakkama ei saa, tuli aja edenedes välja, saab ta sellega hakkama isegi väga hästi. Nii asus ta Tehnikaülikooli IT-d õppima. Õppekava "Informaatika mitteinformaatikutele" kadumise tõttu lõpetas ta 2018. aastal e-riigi tehnoloogiate ja teenuste õppekava.
"Endalegi üllatusena on tänaseks minust kui algsest humanitaarist, kes kirjutab veel siiani aeg-ajalt luuletusi, saanud IT-valdkonna doktor. Nii et kõik on võimalik," märkis Lips. Saadud kogemuse tõttu innustab ta teisigi julgelt uusi uksi avama ja esmapilgul keerulisena tunduvaid väljakutseid vastu võtma.
"Omandatud haridus võimaldas mul astuda sellisesse rolli, milles ma ühelt poolt mõistan äriprotsesse ja teisalt saan aru ka infotehnoloogia sisulisest toimimisest," lisas värske doktor
Koroonaaeg kiirendas piiriüleste e-teenuste arengut
Magistrikraadi omandamise järel juhtis Silvia Lips politsei- ja piirivalveametis Eesti isikuttõendavate dokumentide tootmist. Muu hulgas tuli tegeleda seal sellegagi, kuidas ühele dokumendile üleüldse unikaalne eID lisatakse ja tagatakse selle turvalisus.
Silvia Lips selgitas, et eID-vahendi juurutamine on äärmiselt mitmetahuline. Sellega tegelemine nõuab teadmisi nii tehnikast, õigusest, projektijuhtimisest kui ka standarditest ja paljust muust. Seejuures mitmeid asju pole võimalik koolis õppida. Näiteks turvadokumentide tootmise vallas ongi ainus võimalus teadmiste omandamiseks tootjatega suhtlemine. Taoliste dokumentide tootmisloogikad on sedavõrd keerulised, et neid on pea võimatu õpetada koolis üldistel alustel.
Doktoritööd tehes jõudis Lips e-ID ja e-IDAS-e riikidevahelise ühildamise problemaatikani. Lihtsustatult tähendab seda, et kusagil riigis kasutatav eID-skeem ja kasutusele võetud (avalikud) e-teenused peaksid olema ilma liigse bürokraatiata kasutatavad ka teistes riikides. Seejuures ei tohi need kahjustada kasutajate isikuandmeid või ohustada nende turvalisust muul moel.
"Koroonapandeemia ajal juhtus nii, et vajadus e-teenuste piiriülese tarbimise järele suurenes oluliselt ja ajakava nihkus viis-kuus aastat ettepoole. Pandeemia pani reisimisele piirid ja asjaajamine tuli viia suuresti veebi, dokumente tuli hakata digitaalselt allkirjastama jmt. Ilma Covidita poleks Euroopa riigid ehk nii kiirelt veel hakanudki piiriülesesse digisuhtlusesse panustama," märkis Lips.
Selle käigus ilmnes, et väljakutset kujutas isegi dokumendil eri riikide digiallkirjade nähtavaks muutmine ja et kõik osalised neid ka kehtivaks tunnistaks.
Piiriülesed e-teenused vajavad õiguslikku reguleerimist
Euroopa Liidu riikide siseselt on kasutusel kõik kolm e-autentimise taset – eelpool juba mainitud madal, märkimisväärne ja kõrge. Nende kasutamise praktika on aga riikide lõikes erinev. Näiteks Eestis saab avalikele teenustele e-keskkonnas juurde ainult kõrgele tasemele vastava autentimisvahendiga. Samas leidub riike, kus sel puhul on kasutusel märkimisväärne tase.
Praktikas tähendab see, et kui mõni riik on teavitanud oma piiriülese eID-skeemi tasemeks märkimisväärne, siis Eestis pole pakkuda ühtegi vastavat e-teenust. Eestis eeldavad need lihtsalt kõik kõrgemat taset. Sestap liigub Euroopa Liit sinnapoole, et kõikidel riikidel oleks olemas vähemalt üks kõrge taseme eID-skeem. Praeguseks on oma skeemidest teavitanud 22 riiki. Mõnede teavituste menetlemine on ka veel pooleli.
See tähendab, et Eesti elanik, kellel tekib vajadus kasutada mõnda enda eID-skeemi teavitanud riigi avalikku e-teenust, saab teha seda oma riigi välja antud ja Euroopa Liidus teavitatud autentimise vahendiga. Mõnevõrra teised reeglid valitsevad erateenuste pakkujate seas. Neil on endal vaba voli otsustada, kas nad tunnistavad piiriüleselt ka mõne riigi eID-vahendeid või mitte.
Lipsu sõnul on Euroopa riikides puhttehniliselt kasutusele võetud ka Eestist huvitavamaid ja innovaatilisemaid lahendusi. Samas on kõik suhteline. Näiteks USA-s kasutatakse siiani tšekiraamatut. Kuigi riigi e-maksete lahendused võimaldavad teha seda kõike ka elektrooniliselt, leiab tšekiraamat kasutust vanade tavade n-ö jätkuva elujõulisuse tõttu.
Samamoodi on ka Eestis juba oma paarkümmend aastat kasutusel olnud ID-kaart, riigiportaal eesti.ee ja andmevahetuseks x-tee lahendus, millega uute tehnoloogiate kasutuselevõtmisel tuleb arvestada. Samuti tuleb mõnede teenuste saamiseks esitada dokumente veel paberkandjal.
"Kõiki vanu süsteeme ei saa üleöö välja vahetada. Eesti kohta tooksin küll välja, et meie sõltuvus oma digilahendustest kuulub Euroopa riikide seas tippude hulka," ütles Lips: "Tänu juba Tiigrihüppele ja sealt edasi toimunud arengule on meil olnud võimalus luua vägagi omanäoline digiühiskond, mida sellisel kujul ei ole kusagil mujal suudetud tänaseni välja arendada."
Eesti digitaalne võimekus on maailmas esirinnas
Silvia Lipsi arvates pole enamike e-identiteedi varguste või vääriti kasutamise juhtudel süüdi mitte tehnoloogia, vaid eID vale või ebaturvaline kasutamine. Samas möönab ta, et sajaprotsendiliselt häkkimiskindlaid e-süsteeme pole olemas. Lips oli ka 2017. aastal ilmsiks tulnud Eesti ID-kaardi nõrkuste lahendamise juures. Ta kinnitas, et taolistel puhkudel on oluline, mida selle teadmisega peale hakatakse. Edaspidine sõltub sellest, millised meetmed vigade kõrvaldamiseks ja edaspidise turvalisuse tagamiseks kasutusele võetakse.
"Tehnoloogias on alati mõrad sees, aga väga sageli juhtub, et inimene ei ole ise oma e-identiteedi hoidmisel piisavalt hoolikas," ütleb ta: "Kui me võrdleme e-identiteedi varguse juhtumeid, siis näiteks USA-s tuleb neid ette kordades sagedamini kui Euroopas."
Elektroonilise identiteedi piiriülene kasutus eeldab erinevate riikide eID-skeemide vastastikust tunnustamist. See ei nõua ühtset süsteemi, vaid just usaldust teiste riikide eID-skeemide suhtes. Euroopa Liidus selle kasvatamiseks loodud ekspertrühma kuulub Eesti poolt kuulub ka Silvia Lips.
Rühma tegevus seisneb riikide eID-skeemide läbivaatamises ja neile hinnangu andmises. Liikmed hindavad skeemide turvalisust, tehnilist ülesehitust ja seda, kas nad on kohased kasutamiseks vastava riigi taotletud kõrgel või märkimisväärsel tasemel.
Euroopa Liidu tasemel on heakskiitu saamas EIDAS regulatsiooni muudatus. eIDAS 2.0 eesmärgina on tulevikus Euroopa Liidu kodanike käsutuses nn digikukkur. Seal saaksid nad elektrooniliselt hoida nii oma isikutunnistust, juhiluba, vaktsineerimispassi, pangakaarti, sõidukaarte kui ka kõikvõimalikke pileteid jmt.
Samuti oleks Euroopa Liidu kodanikel eID näol olemas usaldusväärne võti, et pääseda ligi riikides pakutavatele avalikele teenustele. eID üksinda ei tagaks siiski teenuse saamist, vaid võimaldaks ligipääsu neile avalikele teenustele, mida konkreetses EL-i riigis pakutakse.
Lipsi hinnangul on riigi ülesanne olla identiteedi mõistes pankuriks. Kui riik hoiab kvaliteetseid andmeid isikute kohta ja pakub usaldust, tekib ka usaldus riikide vahel. Kui Eesti riik tagab kvaliteetsed andmed oma kodanike kohta, usaldavad Eestit ka teised riigid. Nad võivad olla kindlad, et inimese kohta dokumenteeritud andmed on usaldusväärsed.
"Eesti osaleb ja räägib aktiivselt kaasa eID-skeemide ülevaatamises ja püüab kaasas käia selles valdkonnas toimuva innovatsiooniga," kinnitab Lips: "Oleme küll väikesed, aga püüame teha parima, et meie lahendused oleksid maailmatasemel ja turvalised".
Tutvu Silvia Lipsu doktoritööga "A Multifaceted Assessment Framework for Electronic Identity Schemes" Tallinna Tehnikaülikooli digikogus.
Mis on Euroopa Liidu määrus eIDAS?
- Määrus e-identimise ja e-teenuste jaoks vajalike usaldusteenuste kohta EL-i siseturul, mille eesmärk on vastava õiguskeskkonna reguleerimine.
- Määrus peab aitama ettevõtjatel, kodanikel ja riigiasutustel saavutada turvalist ja sujuvat elektroonilist suhtlust.
- Sisuliselt reguleerib eIDAS EL-i sisest autentimist, elektroonilist allkirjastamist ja usaldusteenuste osutamist.
- Tagab, et inimesed ja ettevõtjad saavad kasutada oma riiklikke eID süsteeme, et pääseda juurde avalikele teenustele, mis on kättesaadavad teistes EL-i riikides.
- Määrusega luuakse usaldusteenuste Euroopa siseturg, tagades, et need toimivad piiriüleselt ja neil on samasugune õiguslik seisund nagu nende traditsioonilistel paberipõhistel ekvivalentidel.
- Määruse abil luuakse õigusraamistik turvaliseks juurdepääsuks teenustele ning tehingute tegemiseks internetis.
- Mõned näited piiriülestest teenustest:
- maksudeklaratsioonide esitamine;
- pangakonto kaugavamine;
- ülikoolis registreerumine;
- ettevõtte asutamine teises EL-i riigis;
- internetimaksete autentimine;
- pakkumiste tegemine hangetele. - Aastal 2020 tehtud uuringu järgi oli vaid 59 protsendil EL-i rahvastikust ligipääs kasvõi mingilgi viisil eID vahenditele.
Toimetaja: Jaan-Juhan Oidermaa