Pildi autor: Taavi Tamtik
Seotud inimene: 

Sirje Kiin: ID-torm veeklaasis

19/09/2017Postimees

Septembri algul lahvatas Eesti meedias ID-kaardi skandaal, mis paisus mõnede kommentaatorite arvates lausa maailmalõpuliseks, justkui olnuks Eesti e-riigi maine ühe ropsuga täiesti hävitatud kogu maailma silmis. Teiste arvates polnud tegu millegi muu kui järjekordse teoreetilise turvariski ilminguga, mis on tarvkvaraarenduste loomulik protsess, kusjuures kõik sellised riskid on eeskujulikus ning eesrindlikus e-Eestis alati suudetud maandada, st alati on leitud uued, turvalisemad ID-lahendused enne kui reaalne, kasvõi ühe ID-varguse oht realiseerunuks.

Siinkirjutaja ei ole IT-spetsialist, sestap kommenteerin toimunut vaid avalike suhete ja Eesti riigi kriisikommunikatsiooni vaatenurgast, mida olen õppinud ja mis alal olen 1999-2003 riigikogus töötanud.

Eesti valitsusjuht Jüri Ratas tegi kaks olulist kriisikommunikatsiooni otsust: esiteks otsustas ta seekordsest ID-kaardi turvariskist kohemaid teavitada Eesti avalikkust, mitte jätta see ametkondlikuks saladuseks. Võimaliku riski kohese avalikustamise otsuse eest tuleb peaministrit kiita, sest teoreetiline oht hõlmas esmakordselt niivõrd suurt arvu Eestis välja antud ID-kaartide digitaalseid sertifikaate.

Paraku ei andnud peaminister avalikkuse teavitamise ülesannet mitte RIA juhile ega Eesti IT-valdkonna tippekspertidele ega ka mitte antud valdkonna ministrile,  vaid pidas vajalikuks teha ID-kaardi teoreetilise ohu olemasolu teatavaks isiklikult peaministri pressikonverentsil.

Tekkis õigustatud küsimus, miks oli vaja vaid teoreetilise (matemaatilise võimaluse) ohust, mille likvideerimine on tõenäoline mõne lähikuu jooksul, teha asjast nii suurt numbrit? Kas ei kahjustanud selline tipptasemel poliitilise tähelepanu pööramine Eesti riigi mainet rohkemgi, kui üks (tõsi, suuremahuline) ID-kaardi turvaoht, mis pealegi ei johtunud mitte Eestis tehtud veast, vaid seisnes välismaalt sisse ostetud kaardikiipides.

Pealegi on samasugused ohustatud kiibid käibel ka paljude teiste Euroopa riikide panga- jt süsteemide kaartides, kuid sellele  rahvusvahelisele aspektile ei pööratud peaministri pressikonverentsil üldse tähelepanu. Tõsi, neid ei ole seni kasutatud mitte niisama võimsalt nagu Eesti ID-kaart seda teeb: tegemist on nagu maasturiga, mida enamus kasutab vaid linnasõiduks, kuigi auto suudaks teha palju enamat, meie kasutame aga esimesena maasturit ka palgiveoks ja metsatöödeks, kuigi pole veel teada, kas meie tarkvara on selleks piisav.

Keskerakonna peaminister sai teenitult kaela süüdistused erakonnapoliitilise kasu tagaajamises, sest Keskerakond on ju kaua aastaid võidelnud e-valimiste vastu, arvates, et e-valimistel saavad nemad proportsionaalselt vähem hääli kui teised erakonnad. Tegelikult ei erine paber- ja e-hääletuste valijaskond üksteisest enam kuigivõrd, vähemasti mitte statistiliselt olulisel ega valimistulemusi mõjutaval määral.

Nüüd on Keskerakond saanud endale e-valimiste vastaseks võitluskaaslaseks ka Eesti Konservatiivse Rahvaerakonna, kes kaebas äsja kohtusse riikliku valimiskomisjoni otsuse, mille kohaselt oktoobris toimuvatel kohalikel valimistel on e-valimised endiselt lubatud, sest teadlaste avastatud ID-kaardi kiibil peituvat turvariski ei pidanud valimiskomisjon lähikuudel reaalseks identiteedivarguse ohuks. Fakti, et üks parlamendierakond ei usalda omaenda riigi valimiskomisjoni ega RIA eksperte, võib lugeda märksa reaalsemaks ohuks Eesti mainele kui seda on vaid teoreetiline, praktiliselt likvideerimisel olev turvarisk.

Kui me ise oma e-riiki ei usu ning omaenda parimate spetsialistide seisukohad pelgalt poliitilistel eesmärkidel küsimärgistame, kuidas saame siis eeldada, et teised meie e-riigist lugu peaksid ja seda endale eeskujuks seaksid?

Rahvusvahelisest vaatenurgast on siiski tegemist pigem väikse tormiga veeklaasis. Tõsi, ilmus paar kriitilist artiklit, Financial Times`s ja Frankfurter Allgemaine`s, kus kirjutati, et Tallinnal on probleem ja et Eesti ID-kaart sai häbistava löögi (tänu peaministrile!), teema korjasid üles ka paar tehnoloogiaportaali, kuid laiem tähelepanu rahvusvahelises meedias jäi siiski olematuks. Sellel on mitu põhjust.

Esiteks oli tegu tõesti vaid teoreetilise riskiga, mis on  esma-avastusliku tarkvaraarenduse paratamatu nähe ja mille maandamisega tegelevad IT-eksperdid kogu ilmas iga päev. Teiseks on ingliskeelsel meedial olnud samal ajal tegemist hoopis suuremate, sadu miljoneid inimesi puudutavate identieedivarguste skandaalidega, mis on juba juhtunud ja mis on reaalsed.

Piisab kui meenutada tänavu kevadel toimunud häkkimist ühe USA suurima krediidibüroo Equifax andmepanka, mis avastati alles augustis ja kust võidi varastada või varastati vähemasti 140 miljoni inimese kõikvõimalikud isikuandmed.

Kui asetame Eestis toimunu pisutki laiemale kaardile, siis näeme, et Eesti ID-turvalisus ei ole praegu tegelikult rohkem ohus kui ta oli eile või on homme, sest Eesti on aastakümnete jooksul välja arendanud võimekuse tulla toime sedalaadi ohtudega tänapäeva infoühiskonnas ning ka kõnesolev juhtum on selle võimekuse heaks kinnituseks.

Mina kavatsen igatahes oktoobris endiselt e-valida, nagu olen teinud viimased kümme aastat. Usaldagem ikka ise oma e-riiki, siis saavad ka teised meid usaldada.

Sirje Kiini arvamuslugu ilmus 19.09.2017 Postimehes.