Õppetund ID-kaardi kriisist: me ei peaks ootama tehnoloogialt täiuslikkust ({{commentsTotal}})

Foto: POSTIMEES/SCANPIX

Aasta tagasi septembris lahvatas ID-kaardi kriis, milles Eesti otsustas anda avalikkusele ausalt teada, et on leitud turvarisk ning inimesed peavad oma ID-kaardid välja vahetama. Kas ja mida tegi Eesti õigesti ning millised olid sellest kriisist saadud õppetunnid, arutati eile eID foorumil.

"Eesti tegi õigesti," sedastas Tartu Ülikooli doktorant ja Tarkvara Tehnoloogia Arenduskeskuse teadur Arnis Paršovs. "Ma olen väga läbipaistvuse poolt ja oleksin kaugemalegi läinud." Paršovs aga märkis, et kui 5. septembril teavitati avalikkust võimalikust turvariskist, öeldi et riski suhtutakse kriitiliselt, kuid sel hetkel ei räägitud veel sertifikaatide uuendamise vajadusest. "Avalikkuse jaoks ei ole see riski hindamiseks kuigi selge indikaator riski tegelikust suurusest," nentis Paršovs.

Paršovs tõi nii oma ettekandes kui sellele järgnenud paneeldiskussioonis välja, et riik saanuks teha riskihindamist täpsemini, kui partnerid oleksid infot andnud selgemalt. Juriidilise poole pealt andis kriis aga õppetunni, et kui tavaliselt toodavad kommertsfirmad taolisi turvalahendusi teiste kommertsklientide jaoks, siis on osapoolte vahel kokkulepe vigadest informeerimise osas. Kui aga kliendiks on riik, nagu see on näiteks Eesti puhul, tähendab see, et lisaks kliendile peab info jõudma ka lõppkasutaja ehk kodanikeni.

NATO küberkaitsekoostöö keskuse teadur Kadri Kaska märkis selle peale, et Eestil polnudki muud võimalust, kui kodanikke veast teavitada. "Avalikustamine oli vältimatu, sest see puudutas ju ⅔ elanikkonnast ning vaja oli, et nad teeksid konkreetseid tegevusi [ehk uuendaksid ID-kaardi sertifikaate - toim]," ütles Kaska. "Me ei saa ju paluda inimestel midagi teha, jättes selgitamata, miks seda tarvis on," sekundeeris Kaija Kirch, Politsei- ja Piirivalveameti identiteedi ja staatuste büroo nõunik-ekspert.

Riikide tasandil vajab arutelu, kui kaugele laiendada avalikustamise põhimõtet. Eestit kritiseeris ID-kaardi lepingupartner liigse avalikustamise pärast. Arvestades ID-kaardi taolise funktsionaalsusega teenuste eripära, tuleks arvestada kohe sellega, et sellistele teenustele peab laienema ka avalikustamise nõue.

Lõpuks on kõik usalduse ja kontrolli küsimus

Õppetund, mis kriisist veel saadi, puudutas inimeste digitaalset kirjaoskust. Paneelis osalenud eksperdid tõdesid, et Eesti inimeste digitaalne kirjaoskus on piiratud ning selle tingimustes avalikustada infot võinuks tekitada asjatu paanika ning usaldamatuse.

Kaija Kirch jagas õppetunnina sedagi, et ID-kaardi kriisis tuli erinevaid sihtrühmi erinevalt kõnetada ning lisaks käis see kõik tugeva ajasurve all. "Kõike korraga saada pole võimalik. Kuid kas tegime õigesti? Kuigi detailides oleks saanud olla parem, siis jah, me tegime infot avalikustades õigesti," ütles Kirch.

Arnis Paršovs on seisukohal, et lisaks teenuste pakkumisele tuleb neid ka kontrollida. Ta tõi välja, et Tšehhi teadlased avastasid haavatavuse juhuslikult, see ei olnud organiseeritud protsess ning see leiti täiesti teises kontekstis. "Tšehhi teadlased vaatasid kaardi võimalusi ja avastasid selle käigus krüptograafia-alase vea. Nad lihtsalt osutasid võtmetes puudujäägi, kuid neil ei olnud endal konkreetset võtit taskus," rääkis Paršovs. Ta lisas, et taolisi kiipe ei saa just igaüks poest osta ka mitte teadustöö jaoks.

Paršovs leiab, et taoliste avalike teenuste puhul oleks arukas teha kood avalikuks, et seda oleks võimalik testida. Teised panelistid nõustusid, et lisaks usaldusele on vajalik ka kontrollimine ning lisaks on digitaalse ökosüsteemi vastupidavuses oluline roll paralleelselt kasutada erinevaid lahendusi. Eesti puhul oli selleks näiteks mobiil ID, mis võimaldas isikutuvastamist ja allkirjastamist ka siis, kui ID-kaardi sertifikaadid enam ei töötanud.

Positiivseid õppetunde oli ka

Kaija Kirch tõi välja, et kogu kriisi puhul oli positiivne tulemus see, et sügisestel kohalike omavalitsuste valimisel osales rekordarv e-hääletanuid. Lisaks on inimesed hakanud rohkem ID-kaarti kasutama. "Paljud, kes varem oma kaarti ei kasutanud, tulid uuendama sertifikaate ning hakkasid ühtlasi nägema selle kaardi väärtust," ütles Kirch.

"Risk oli ülehinnatud, samas ei peaks me riski alahindama. See on minu peamine õppetund," sedastas Arnis Paršovs. Kadri Kaska tõi aga välja, et ühiskonnana õppisime me seda, et igaüks peab andma panuse. "Ühiskonnana õppisime, et tehnoloogia ei ole täiuslik ja me ei peaks ootama täiuslikkust, et mingi asi töötab kogu oma elutsükli veatult. Me peame teadvustama tehnoloogilist haavatavust."

eID foorumil, mis varem kandis nime eID konverents, osalevad tööstuse ja valitsuse esidnajad. Peetakse arutelusied elektroonilise isikutuvastuse tehnoloogia, lahenduste, integratsiooni ja ühilduvuse üle.



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: