Küberturvalisuse ABC

Autor: CERT-EE inforturbe ekspert Sille Laks

Vähemalt korra nädalas leiab mõnest päevalehest ja tehnoloogiauudiste portaalist ridamisi hoiatusi ja nõuandeid, kuidas turvalisemalt ja targemalt internetti kasutada ning sotsiaalmeediat ja nutitelefone tarbida. Siiski peetakse küberit ja kõike sellega seonduvat jätkuvalt pigem itimeeste pärusmaaks, mis tavainimesi ei puuduta. Miks peaksin mõtlema selliste IT-meeste teemade peale nagu küberturvalisus ja sellega kaasnevad näiliselt mitte midagi ütlevad sõnad: kahetasemeline autentimine, õngitsusleht, lunavara, kompromiteeritud meilikonto? Kasutan ju arvutit vaid töötegemiseks, arvete maksmiseks, uudiste ja meilide lugemiseks ning sotsiaalmeedia külastamiseks.

Kuna arvutid ja teised nutiseadmed on kõikidele soovijatele kättesaadavad ja nende kasutamine on osa meie igapäevaelust, puudutab ka küberturvalisus meid kõiki. Kõikidel, kes seda artiklit loevad, on võimalus ennast internetiga ühendada. Ka selle artikli leidsid sa kõikvõimsa sotsiaalmeedia, Google’i või näiteks tuttava kaudu, kes pärast su mitmeid „Ärge avage mu postitusi, mul on viirus!“ postitusi selle sulle saadab või su mõne postituse all ära märgib. Kõik see annab aga märku, et ühel või teisel moel puudutavad nii küber, IT kui tehnoloogia ka sind isiklikult. Ja mitte ainult siis, kui loed seda kirjutist arvutist, vaid ka siis, kui loed seda oma nutitelefonist, nutitelerist või isegi nutikellast. Küberturvalisus algab iga kasutaja internetikäitumisest ning järgida tuleks peamisi turvalisuse põhimõtteid, mis laienevad nii öelda pärismaailmast kübermaailma.

Paroolid ja kasutajakontod

Igasse tänapäeva keskkonda konto loomiseks on vaja valida endale kontoga seotav meiliaadress või kasutajanimi ning keskkonnas kasutatav parool. Mitmed Eesti teenusepakkujad võimaldavad turvalist kaheastmelist sisselogimist kas ID-kaardi, mobiil-ID või Smart-IDga. Need on kättesaadavad kõikidele ning kasutajatel pole vaja luua eraldi kontot ega meeles pidada veel üht parooli. ID-kaart on kohustuslik isikut tõendav dokument kõikidele Eesti kodanikele ja kehtib Euroopa Liidus ka reisidokumendina. Samuti on võimalik omale tellida mobiil-ID – kõikidele mobiiltelefonidele saadaolev isiku tõendamise ja digitaalse allkirja lahendus. Erinevalt Smart-IDst ei ole mobiil-ID kasutamiseks vaja nutitelefoni. Kuna kõik Eesti pangad sulgevad 2018. aasta jooksul klientide koodikaardid, ei kajasta me neid sisselogimisvõimalusena. Lisalugemist koodikaartidest loobumise kohta leiab nii RIA veebilehelt kui ka pankade kodulehtedelt.

Portaali sisenemine. Sisene ID-kaardiga. Sisene Mobiil IDg. Sisene panga kaudu.

Ekraanipilt riigiportaali eesti.ee sisselogimislehest.

Kui pead looma konto keskkonda, kuhu ei ole võimalik ID-kaardi, mobiil-ID või Smart-ID abil siseneda, on sul vaja kasutajanime ja parooli. Paljudesse keskkondadesse on võimalik siseneda olemasoleva sotsiaalmeedia või Google’i (Gmaili) konto kaudu. Näiteks Postimees online’i keskkonda sisenemiseks on võimalik luua eraldi konto või kasutada olemasolevat Facebooki, Twitteri või Google’i kontot.

Konto loomine: e-posti aadress, salasõna, korda salasõna, loo konto. Lisavariantidega nupuf: logi sisse Facebookiga:, logi sisse Google'iga, logi sisse Twitteriga.

Ekraanipilt Postimees Online’i konto loomise lehest koos sisselogimise võimalustega

Enamasti, eriti väiksemate teenusepakkujate juures, tuleb omale luua aga eraldi kasutajakonto.

Registreeritud kasutaja. Oman juba kontot. E-posti aadressi lahter, parooli lahter, link: unustasin parooli, nupp: sisene.

Ekraanipilt tavalisest sisselogimislehest väikese teenusepakkuja keskkonnas

Kui sa ei kasuta paroolihaldurit, mis sulle iga keskkonna jaoks eraldi parooli loob ning selle salvestab, tuleks kontot luues vastata turvalisuse huvides allolevatele küsimustele (paroolihaldurite soovitusi võid lugeda paroolisoovituste punktist). Samuti võiksid kriitiliselt mõelda ka oma olemasolevate kontode turvalisuse peale!

  1. Kas see kasutajanimi või meiliaadress on mul juba kusagil mujal kasutusel?
  2. Kas sama kasutajanimi ja parool koos on juba kusagil mujal kasutusel?
  3. Kas mu valitud parool vastab turvalise parooli nõuetele, et keegi seda lihtsasti ära arvata ei saaks?
  4. Kas valitud parool on juba mujal kasutusel koos teise kasutajanimega?
  5. Kas keskkond pakub kahetasemelist autentimist ja kas olen selle juba aktiveerinud?
  6. Kas olen aktiveerinud tundmatutest asukohtadest sisse logimise teavituse?
  7. Kas olen määranud Facebookis usalduskontakti, kes saab vajadusel minu isikut kinnitada, et saaksin oma konto tagasi?

Kui vastasid esimesele neljale küsimusele jaatavalt, pea meeles – kui su parool on nõrk ja sa ei kasuta kaheastmelist autentimist, võib pahatahtlik tuttav või sootuks küberkurjategija su kontole sisse logida ja seal omasoodu tegutsema hakata. Näiteks saata sinu nimel sõnumeid või jagada pahatahtliku sisuga linke, mis võivad su sõprade seadmeid pahavaraga nakatada.

Ukse ees olevas turvariivis on metallpulga asemel maisikepike.

Kasutajanime admin ja parooli admin turvalisuse tase. Allikas: https://knowyourmeme.com/photos/1379666-cheeto-lock

Parooli valides mõtle oma konto turvalisuse peale ning pea meeles järgmised soovitused:

  1. Parool peab sisaldama suuri ja väikeseid tähti.
  2. Parool peab sisaldama numbrit ja/või erimärki.
  3. Parool ei tohi olla kergesti äraarvatav (näiteks sinu või pereliikme ees- ja perekonnanimi või sünniaeg, lemmiklooma nimi, ametinimetus vms).
  4. Väldi parooli ristkasutust ehk ära kasuta sama parooli mitmes kohas.
  5. Uuenda oma paroole regulaarselt ja ära jaga neid teistega.
  6. Veendu, et veebileht, kuhu on tarvis isiklikke andmeid sisestada ja/või sisse logida, on kaitstud turvalise krüpteeritud ühendusega (httpS).
  7. Proovi vältida ühiskasutatavate ja avalike seadmete kasutamist. Kui see ei ole võimalik, veendu, et oled kõikidest külastatud ja sisselogitud kohtadest alati välja loginud.
  8. Kui keskkond võimaldab kaheastmelist autentimist, siis aktiveeri see kindlasti. (Populaarsemate keskkondade puhul saad juhiseid siinsest blogist: Gmail, Microsoft, Facebook ja Twitter)
  9. Unikaalse ja meeldejääva paroolipõhja loomiseks võid kasutada lehte https://rabool.eu.
  10. Kasuta paroolihaldurit. See aitab sul iga veebilehe jaoks genereerida unikaalse parooli, säästab sind paroolide meeles pidamise vaevast ja lihtsustab veebilehtedele sisse logimist, täites sinu eest automaatselt kasutajanime ja parooliväljad. Tuntumad paroolihaldurid on näiteks LastPass, Bitwarden, 1Password, Dashlane ja KeePass.

Eestlaste paroolide top 20

123456, parool, qwerty, 123456789, lammas, 12345, minaise, maasikas, kallis, killer, armastus, lollakas, samsung, 123123, teretere, lilleke, martin, 12345678, kiisuke, kallike

Eestlaste paroolide top 20

Loe täpsemalt

Õngitsuslehed ja õngitsuskirjad

Õngitsuslehtede ja -kirjade eesmärk on varastada kasutaja isiklikke andmeid ja/või finantsinfot. Kirjade loomisel pööratakse kõige enam rõhku visuaalsele sarnasusele ja usaldusväärsusele – lehel olev sisu peab olema sarnane päris kaubamärgiga. Õngitsuskirjas sisalduv tekst peab olema võimalikult sarnane kirjale, mille teenuseosutaja sulle probleemi korral saadaks. Kui satud kirja kaudu sellisele lehele, kontrolli alati, kas veebiaadress on täht-tähelt seesama, mis peaks olema. Väga levinud on nii asutuse IT-teenistuse kui ka meiliteenuste (näiteks Gmaili, Hotmaili, Yahoo või näiteks kodumaise Online.ee) nimel saadetavad õngitsuskirjad, mille eesmärk on kasutajainfo (kasutajanimi ja parool) kalastamine hilisemaks meilikonto kasutamiseks. Eesmärk võib olla selle meiliaadressi kaudu arvukalt õngitsuskirju levitada; teha finantspettuseid, näiteks krediidipakkumisi; saata reklaamposti või tegelik huvi töötaja postkasti sisu vastu. Lisalugemist ülevõetud kontode kasutamise kohta:

Tihti on õngitsuskirja sisu ähvardav, näiteks teatatakse, et kui kasutaja oma kontot ei kinnita, siis see sulgetakse. Mõnikord teatatakse, et kontolimiit on ületatud, kuid tegelikult on seda tänapäevaste postkastide suurust arvestades üsna raske saavutada. Praegu on tavapärane tasuta antava kirjakasti suurus 1–2 gigabaiti, kunagi oli see 10 megabaiti (https://et.wikipedia.org/wiki/Bait).

"Teie e-posti konto on praegu ületanud selle ladustamispiirangu, suurema suurusega sissetulevad kirjad on ootel. On aeg oma uue kohustusliku turvalisuse täiustamiseks isikupärastatud soovitustega, et tugevdada piiramatu salvestusruumi e-posti konto turvalisust. Värskendamiseks järgige alltoodud kiiret protsessi."

Ekraanipilt õngitsuskirjast, mis hoiatab ladustamispiirangu ületamise eest.

Ekraanipilt õngitsuskirjast, mis teavitab blokeeritud sõnumitest

Ekraanipilt õngitsuskirjast, mis kutsub identiteeti kinnitama

Ekraanipilt IT-teenistuse nimel saadetavast õngitsuskirjast

Ekraanipilt õngitsuskirjast, mis hoiatab kasutajat, et on kahtlus – keegi teine kasutab tema PayPali kontot

Ekraanipilt kasutajainfot kalastavast õngitsuslehest

Ekraanipilt PayPali kontode õngitsuslehest

Ekraanipilt Facebooki kasutajatele suunatud õngitsuslehest

Ekraanipilt Gmaili kasutajatele suunatud õngitsuslehest

Ekraanipilt Office365 kasutajatele suunatud õngitsuslehest

Vältimaks kasutajainfo sisestamist õngitsuslehele ning hilisemaid probleeme konto taastamisel:

  1. Veendu, et veebiaadress, mida külastad, on täht-tähelt seesama, mis peaks olema (google.com vs g00gle.com).
  2. Ära usu ähvardavaid ja kiiret tegutsemist nõudvaid kirju tundmatutelt saatjatelt, kellest sa pole kunagi varem kuulnud või kellega sul pole kunagi tegemist olnud.
  3. Kahtluse korral tee teises aknas lahti otsingumootor ning sisesta sinna soovitud kaubamärgi või teenusepakkuja nimi. Otsingumootorites kuvatakse eespool just tegeliku kaubamärgi ametlik koduleht.
  4. Veebiaadressis veendumiseks ei loeta aadressi mitte vasakult paremale, vaid aadressiribal olevast kõige vasakpoolsemast kaldkriipsust (/) kaks kohta vasakule. Vasakult lugedes kuvatakse esimestena alamdomeenid, näiteks mail.google.com tähistab Google’i meiliteenust Gmail.
  5. Pea meeles, et kui su kasutajanime ja parooli küsitakse telefonitsi, ei saa olla tegemist sinu IT-osakonnaga, sest neil ei ole vaja sinu kontole sinu parooliga sisse logida.

Kui oled õnnetul kombel oma kasutajainfo õngitsuslehele sisestanud, vaheta kohe oma konto parool ning veendu, et sul on aktiveeritud kaheastmeline autentimine. Samuti vaheta parool kõikides keskkondades, kus sama parooli kasutad ning väldi edaspidi parooli ristkasutamist (ehk sama parooli kasutamist mitmes kohas).

Kui küberkurjategijad on üle võtnud mõne su tuttava meilikonto ja kasutavad seda nt laenupakkumiste või rahasaatmispalvete saatmiseks, siis ära kindlasti vasta sellisele kirjale. Teavita tuttavat kohe mõnda teist kanalit pidi. Soovita tal kindlasti vahetada parool ning aktiveerida kaheastmeline autentimine. Kui sinuni jõuab kiri tuttavalt või mõnelt kunagiselt äripartnerilt, kes on nimepidi tuvastatav, kuid sul puudub tema kontaktaadress, edasta kiri CERT-EE meeskonnale (cert@cert.ee). NB! Kui meiliaadressi järgi ei ole võimalik inimest tuvastada, näiteks on kasutajanimi kiisuke666, võid kirja kohe kustutada.

Ekraanipilt ülevõetud Gmaili kontolt. Kasutaja kontaktidele saadetud kiri, milles „kasutaja“ kojusaamiseks raha palub

Lisalugemist samal teemal

Sotsiaalmeedia, mu õnn ja rõõm!

Libaloteriide eesmärk võib olla nii klikisööt lehe külastatavuse suurendamiseks ja selle hilisemaks kõrgema hinnaga edasimüümiseks või kasutajate tasulise sõnumiteenusega liitmine. Klikisööt põhineb eelkõige pilkupüüdvatel (“Tasuta!”) pealkirjadel või pisipiltidel, mis suunavad kasutaja lõpplehele, kuhu parimal juhul ei ole pahavara paigaldatud ning tahetakse lehe küljastajate arvu suurendada. Kuidas saada aru, et tegemist on pettusega?

  • Lihtne matetmaatika. Libapakkumistes lubatakse tavaliselt ära kinkida sadu või tuhandeid hinnalisi tooteid. Kui tegemist oleks tegeliku kampaaniaga, kaasneks ettevõttele sellega suur majanduslik kahju.
  • Absurdsus. “Anname ära X (suur arv) toodet, sest pakend on kahjustatud ja neid ei saa enam müüa”. Kui mõelda firma seisukohast, on kasulikum need tooted uuesti pakendada või hinda 5–10% võrra langetada, mitte avatud kile tõttu mitmekümne või isegi mitmesaja tuhande euro väärtuses tooteid ära anda. Huumoriga peaks suhtuma kampaaniatesse, kus firma jagab konkurendi tooteid, näiteks Samsung annab ära Apple’i telefone.
  • Osalemistingimused. Võltsloosimiste puhul on ettevõtte ja/või loositava auhinna taustainfo puudulik. Enamasti ei selgu, miks loosimist korraldatakse (kas on tegu näiteks koolilõpu-, jaanipäeva- või jõululoosiga). Sageli on puudu ka osalemistingimused ja see, millal loosimine toimub, kuidas valitakse võitjad ning kuidas nendega ühendust võetakse.
  • (Liiga) uued leheküljed. Enamasti on ettevõtetel sotsiaalmeediakontod juba mitu aastat ning neil on ka vastav verifitseerimismärk. Sotsiaalmeediateenuse pakkuja kinnitab selle märkega, et kontoomaniku taust on üle kontrollitud ning leht tõepoolest kuulub sellele inimesele või asutusele. Kui Mercedese eile loodud leht pakub tasuta uut luksklassi autot , tuleks valida Facebookis “Esita kaebus” ja Instagramis “Report page.” Sel moel saad sobimatust lehest teada anda ning sellega ehk nii mõnelegi vähem turvateadlikule kasutajale abiks olla.

Pikemalt libaloosimistest ja “seinal hiilgavast” kullast

Ekraanipilt libaloosimiste kampaaniast, millega lubati kasutajatele 2 aastat tagasi pankrotti läinud Estonian Airi lennukipileteid ning hiljem teiste lennufirmade tasuta lennukipileteid

Lisalugemist ja kuulamist Estonian Airi libaloterii kohta.

Lisaks ülaltoodud põhitõdedele sotsiaalmeedia rumaluste vältimiseks, soovitame lisaturvalisuse tagamiseks ja sotsiaalmeediast tuleneda võivate probleemide vältimiseks järgida allolevaid põhimõtteid:

  1. Ära aktsepteeri tundmatute kasutajate sõbrakutseid. Sa ei tea, kes nad on ja mida nad sinu kontolt saadava informatsiooniga peale võivad hakata. Soovi korral saad piirata, kes sulle näiteks Facebookis sõbrakutseid saata saavad. Selleks vali Seaded -> Privaatsus -> How people can find and contact you – > kes saavad sulle sõbrakutseid saata -> Sõprade sõbrad (juhul kui on kunagi tarvis sõbralisti lisada keegi, kellega ühised sõbrad puuduvad, on võimalik kas korraks seadeid muuta või üksteisega esmalt postkasti kaudu kontakteeruda.
  2. Ära jaga endast paljastavaid pilte või videosid võõrastele või juhututtavatele. Siinkohal tuleb ka meeles pidada tehnoloogia ajastu eripärasid, kus sa võid küll usaldada inimest, kellele foto või video saadad, kuid sa ei saa veenduda, et tema arvuti või nutiseade pole pahavaraga nakatunud ning su pilt ei satu kellegi tundmatu kätte.
  3. Vaata üle oma sotsiaalmeedia profiili seaded ning veendu selles, et su seinal olevad postitused on nähtavad ainult sõbralisti liikmetele.
  4. Facebooki kasutajad saavad Seaded-> Privaatsusseaded alt valida “Piira sõprade sõpradega või avalikult jagatud postitusi.” Pärast “piira” vajutamist muutuvad ka kõik eelnevad postitused nähtavaks ainult sõbralisti liikmetele.

Pahavara

Pahavara on tarkvara, mille eesmärk on ühel või teisel moel kasutaja seadmele kahju teha. Näiteks krüpteerida andmed ja nende avamise eest raha nõuda, kasutada arvuti jõudlust krüptoraha kaevandamiseks (mille saab endale loomulikult keegi teine), kasutaja seadmest infot varastada või liita seade robotvõrgustikuga, et seda hiljem rünnete läbiviimiseks ära kasutada. Pikka aega on liikvel olnud väärarusaam, et pahavara levib ainult e-kirjade kaudu. Pahavaraga saab nakatuda ka veebilehte külastades, pahatahtlikku mobiilirakendust alla laadides või ka tundmatuid mälupulki arvutisse ühendades juhul, kui arvutis on lubatud automaatkäivitus. Pahavarast ja selle eriliikudest saad lugeda näiteks http://www.arvutikaitse.ee/arvutikaitse-algtoed/ ja https://en.wikipedia.org/wiki/Malware. Lisalugemist ametlike rakenduste äratundmise kohta leiad blogipostitusest “Kuidas internetist ostes raha, närve ja arvutit säästa”.

Pahavaraga nakatumise kaitseks toimi nii:

  1. Veendu, et kasutad seadmes legaalset tarkvara ja selle uusimat versiooni ning turvauuendused on paigaldatud.
  2. Lae tarkvara alla ainult tootja ametlikelt kodulehtedelt.
  3. Paigalda arvutisse või nutiseadmesse viirusetõrje ainult tootja kodulehelt või ametliku poe edasimüüjalt.
  4. Laadi telefonirakendused ainult ametlikust poest (Google Play pood, Apple App Store, Microsoft Store).
  5. Ära sisesta oma arvutisse tundmatuid mälupulki ning keela seadmetes irdmeedia automaatkäivitus.
  6. Ära ava tundmatuid kirju, linke ja manuseid. Kui tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati üle, millega on tegu, eriti juhul, kui manuse nimi pole sulle näiteks tööga seoses tuttav (nt: juhtkonna_koosolek_kuupäev.docx)
  7. Tee oma telefonis ja arvutis olevatest olulistest asjadest regulaarselt tagavarakoopiaid ning veendu, et need ka toimivad. Tagavarakoopiate tegemise juhiseid uusimatele enamkasutatavatele operatsioonisüsteemidele leiab: Windows 10, Mac OS X.

Ekraanipilt Windowsi arvutist, mis teavitab kasutajat, et uuenduste paigaldamiseks on vaja seade taaskäivitada

Lunavara

Lunavara on üks pahavara alaliike, mis muudab kasutaja arvutis (praegusel ajal ka juba nutiseadmetes) olevad failid kasutuskõlbmatuks ning nõuab nende tavapärase töö taastamiseks üldjuhul lunaraha virtuaalses krüptorahas BitCoin. Loe pikemalt krüptorahade ja virtuaalse kaevandamise kohta.

Lunavara levitatakse nii e-kirjade kui ka veebilehtede kaudu. Sarnaselt õngitsuskirjadega kasutatakse ka lunavara sisaldavate kirjade puhul manipuleerivaid võtteid, et manus kindlasti avataks. Näiteks sisaldavad väga paljud lunavara manusega kirjad infot maksmata arve või muu finantstehingu kohta.

Kui varem oli võimalik selliseid kirju tuvastada kirjavigade järgi, siis praegu on ka küberkurjategijad muutunud teadlikumaks ning kirjade grammatika järgi neid enam väga lihtne eristada pole. Küll aga tuleks alati selliste kirjade puhul tähelepanelikult vaadata saatja aadressi. Näiteks ei saada DHL kohe kindlasti kirju aol.com või gmail.com aadressilt. Samuti tuleks tähelepanu pöörata meilis olevale allkirjale ning edastatud lisainfole. Kui ettevõtte põhitegevusala on näiteks lillede müük, ei ole reaalne saada inkassohoiatusi tasumata arve eest rebaste müügiga tegelevalt ettevõttelt.

Ekraanipilt tüüpilisest lunavara sisaldava manusega kirjast

Lunavaraga nakatumise ennetamise vältimiseks leiad juhiseid ja soovitusi:

Kui su seade või süsteemid on õnnetu juhuse tõttu juba lunavaraga nakatunud, soovitame intsidendist teavitada CERT-EE meeskonda, kes saab jagada soovitusi seadme või süsteemide töö taastamiseks juhul, kui konkreetsele lunavarale on ka juba väljastatud dekrüptor. Lunavara puhul soovitame kindlasti nõutud raha mitte maksta, sest puudub garantii, et failid saab tagasi. Lisaks finantseeritakse lunaraha makstes kuritegevust, mis paneb küberkurjategijaid veelgi suurema summa teenimiseks oma tegevust laiendama.
Lisainfot leiad No More Ransom projekti lehelt.

Nutiseadmete turvalisus

Üks tänapäeva maailma lahutamatu osa on nutitelefon. Nutitelefonid on kaasas kõikjal ning tihti ka magatakse nutitelefoni kõrval. Kuigi seadme nimes on „telefon“, ei täida seade enam ammu üksnes helistamise ja SMSide saatmise funktsiooni.

Allikas: https://imgur.com/gallery/sYzqutd

  1. Kasuta nutiseadmes tarkvara uusimat versiooni ning veendu, et sul on automaatsed turvauuendused sisse lülitatud.
  2. Juhul kui soetad seadme, mis tuleb vaikeparoolidega (default password), vaheta esimese asjana vaikeparool turvalise salasõna vastu. Vaikeparoolid on enamasti internetist leitavad ning neid saab kasutada kõikides konkreetsetes mudelites.
  3. Telefoni rakendusi ehk äppe laadi alla vaid ametlikust tootja poest (Google Play Store, Apple App Store ja Microsoft Store). Rakenduste allalaadimisel vaata ka rakenduse arendaja infomatsiooni ning kasutajate tagasisidet.
  4. Kontrolli rakenduse privaatsussätteid (ka pärast uuendusi) ning kontrolli üle, millisele telefonis olevale infole rakendused ligi pääsevad.
  5. Paigalda ka nutitelefoni viirusetõrje ning veendu, et see on aktiveeritud ja kasutusel.
  6. Kasuta oma telefoni ja privaatsuse kaitseks klahvilukku. Lisaks on võimalik paigaldada erinev parool/turvakood ka rakendustele, et isiklikku infot paremini kaitsta. Ära kasuta klahviluku puhul enimlevinud lihtsaid mustreid ega numbrikombinatsioone.
  7. Ära ava tundmatuid kirju, linke ja manuseid. Kui tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati millega tegu on. Kuna nutiseadmed asendavad paljudele juba tavalist arvutit, on loodud ka nutiseadmetele suunatud pahavara.
  8. Kasuta võimalusel avalikes kohtades Wi-Fi asemel mobiilset andmesidet. Eemalda vähemalt kord poole aasta jooksul mittevajalikud Wi-Fi võrgud.
  9. Tähtsate kontaktide ja failide kaotsimineku vältimiseks tee oma telefonis leiduvatest failidest ja infost regulaarselt tagavarakoopiaid kas telefonisisesele mälukaardile või telefoniga seotud kontole.
  10. Lisaturvalisuse tagamiseks krüpteeri võimalusel Seadete alt kogu telefoni sisu. Samuti lülita telefonil sisse “Leia mu seade/Find my phone” funktsioon, et telefoni kaotsiminekul oleks võimalik see üles leida.

Kuidas viia edasi Euroopa küberjulgeolekut?

RIA analüüsi ja poliitika osakonna juhataja Hannes Krause tekst ilmus mais 2018 Eesti välispoliitika ajakirjas Diplomaatia.

Ekraanipilt WannaCry failide krüpteerimise teatest.

Selline nägi eelmise aasta mais välja WannaCry lunarahanõue, mis omistati Põhja-Koreale. Foto allikas: Wikipedia.

Euroopa Liit kui tervik on hakanud küberjulgeolekut tõsisemalt võtma

Eesti eesistumine Euroopa Liidu (EL) Nõukogus, mis oli kõikide riigiametnike ja ka meie positsiooni jaoks Euroopa Liidus märgilise tähendusega, sai läbi täpselt sel hetkel, kui kõigile asja sees olnutele hakkas tunduma, et Euroopa asjade vedamine on juba natuke käppa saanud. Üks olulisi teemasid, mille osas tegime meie pooleaastase eesistumise jooksul suuri samme edasi, oli kindlasti ELi kui terviku küberjulgeoleku edendamine. Alljärgnevalt väike sissevaade globaalsesse olukorda küberjulgeolekus, Euroopa arengutesse selle taustal ja ka sellesse, milliseid samme peaksime ise selles valdkonnas astuma.

Kõigepealt olukorrast Euroopa küberjulgeolekus. Konflikt üleilmses küberruumis muutub iga aastaga järjest intensiivsemaks ja siin ei olnud erandiks ka eelmine aasta. Seda, et ohvreid mittevalivad kuritegelikud ründekampaaniad muutuvad iga aastaga järjest suuremahulisemaks, kavalamaks ja intensiivsemaks, võtavad kõik küberturvalisuse eest vastutavad asutused üle maailma juba tõsiasjana, millega tuleb lihtsalt harjuda ja kohanduda. Kuid eelmine aasta oli märgiline ennekõike selle poolest, et esmakordselt toimusid globaalse mõjuga küberkampaaniad, mille suhtes on mitmed riigid tänaseks jõudnud otsuseni omistada vastutus nende rünnete eest Põhja-Koreale ja Venemaale.

Kui mais pühkis üle Euroopa WannaCry kampaania, mille tulemusel seiskusid haiglad Ühendkuningriigis, autotootmine Prantsusmaal ja telefoniside Hispaanias, oli ka Brüsselis järsku kõigile selge, et küberrünnete ja nende laastava majandusliku mõju eest enam pead liiva alla peita ei saa. Kui veidi aega hiljem käis üle Euroopa ka NotPetya, mis seiskas näiteks globaalse laevandushiiu Maersk tegevuse, sai see tõdemus veel märksa selgemaks.

Eestis on aastate jooksul pidevalt üritatud vähendada nende operatsioonisüsteemide kasutamist, millele tootjad enam toetust ei paku, ja tehtud süsteemselt tööd tervishoiuvaldkonna küberturbe arendamisel – selle tõttu pääsesime nendest globaalselt märgilistest rünnakutest ilma suurema kahjuta. Kuid Euroopas tervikuna oli kahju sündinud ja vastama pidi küsimusele, mida teha, et nii enam ei juhtuks – ja ootused meie läheneva eesistumise suhtes kasvasid tuntavalt.

Kevadsuviste laastavate rünnete järel Euroopas jõuti esmalt tõdemuseni, et muutma peab kõikide nende riikide kalkulatsioone, kes seni olid küberkampaaniaid kas ise läbi viinud või nende toimumist oma territooriumil soodustanud. Nende riikide jaoks on enamasti küberrünnete kasutamine oma eesmärkide saavutamiseks olnud mugav tööriist – sest karistust kas majanduslike või poliitiliste meetmetega pole keegi kartma pidanud. Eriti kehtis see Euroopa Liidu kui terviku kohta – karistust maailma olulisima majandusühenduse kui terviku poolt ei pidanud kohe kindlasti kartma. Selle olukorra muutmiseks jõutigi vahetult enne meie eesistumise algust arusaamale, et EL kui tervik peab olema võimeline vastama küberrünnetele kõikide oma käsutuses olevate vahenditega – alates diplomaatilistest sammudest kuni majandussanktsioonideni välja.

Meie ülesandeks järgmisel poolaastal jäi juhtida EL kokkuleppeni selle kohta, kuidas see kõik toimuma peaks. Selle klassikalise eesistujaülesandega saime me sujuvalt hakkama ja oktoobri keskpaigast alates on euroliidul olemas reeglid, kuidas küberrünnetele vastamine välispoliitiliste vahenditega käima peaks. Sama kinnitas üle ka Üldasjade Nõukogu oma 20. novembri järeldustes, mis rõhutasid, et sellise reeglistiku vastuvõtt peaks suurendama rahvusvahelist stabiilsust küberruumis, „pannes paika ühise välispoliitika vahendid (sealhulgas majandussanktsioonid), mida on võimalik kasutada kas küberrünnete ärahoidmiseks või siis neile vastamiseks“. Ja kutsus üle regulaarselt selle raamistiku kasutamist ka harjutama.

Ka teiste riikide sarnast käitumist ei pidanud eelmisel sügisel kaua ootama. USA sisejulgeolekuministri 19. detsembri avaldus selle kohta, et WannaCry rünnaku eest on vastutav Põhja-Korea, ja fakt, et selle seisukohaga ühinesid Jaapan, Ühendkuningriik, Austraalia ja Uus-Meremaa, andis kindlasti julgustuse ka Euroopale ühiseks tegevuseks. Ja signaali selle kohta, et maailm oli astunud ajastusse, kus küberrünnete puhul vastavad riigid ka kõikide muude vahenditega oma arsenalist, mitte pelgalt omaenda küberjulgeoleku edasiarendamisega.

Kui selle aasta veebruaris järgnes enam-vähem samade riikide poolt avalik ja kollektiivne ründe omistamine ka NotPetya kampaania suhtes, millega ühines ka Eesti, siis oli kõigile asja sees olijatele selge, et selline vastus küberrünnetele lääneriikide poolt on saamas pigem reegliks. Olukorda muutis aga selle aasta veebruaris Euroopa Liidu jaoks see, et ründe riikliku omistamisega tuli esmakordselt lagedale riik, kelle staatus ELis lähematel aastatel kindlasti ei muutu ja kes viitas selle juures otsesõnu oma majandusele tehtud kahjule. Taani laevandusettevõtte Maersk kahjuhinnang suurusjärgus 300 miljonit eurot andis mõistagi selleks ka ju alust.

„Kõige ohtlikum on häkkida selleks, et teha kahju. Venelased on tõstnud selle tegevuse tähenduse senisest kõrgemale, kus see tekitab sõjalise tegevusega võrreldavat kahju,“ kommenteeris veebruaris Taani kaitseminister Frederiksen. Kui nüüd panna see avaldus kehtiva rahvusvahelise õiguse konteksti, nagu seda on kirjeldanud Tallinn Manual, siis saame aru, et sisuliselt võrdles NATO ja ELi liikmesriik seda avaldust tehes küberrünnakut sõjalise tegevusega – mis on kindlasti üsna tugev samm iga riigi poolt. Selles kontekstis on selge, et EL ei saa kindlasti loobuda ühisest tegevusest ja vastusest nendele rünnetele. Sellist rahvusvahelist tausta peavad kindlasti arvestama ka Eesti poliitikud – küberrünnete omistamine on keeruline, kuid kindlasti mitte võimatu ja sõltub ennekõike poliitilisest tahtest. Suure mõjuga küberintsidendid on viimase paari aasta jooksul suudetud Eestis ära hoida ennekõike tänu süsteemsele tegevusele, kuid toredana näivast reaalsusest ei peaks me kindlasti laskma end uinutada – ja oma rahvusvahelises tegevuses peaksime ka ise olema valmis sarnaselt käituma. Võime olla seega üsna kindlad, et rahvusvahelistes suhetes on küberrünnete korraldajaid ees ootamas kollektiivsete vastuste ajajärk, kus kindlasti osaleb ka Euroopa Liit.

Kui eeltoodu on kindlasti oluline Euroopa ühises arengus kübervallas pealinnadest vaadatuna, siis Brüsseli vaatepunktist oli eelmise aasta olulisim samm küberjulgeoleku valdkonnas Euroopa Komisjoni poolt septembris meie eesistumise raames laualepandud uus küberpakett, mille juhatas sisse ELi uus küberstrateegia. Hoolimata sellest, et pealinnadest vaadatuna ei pruugi ilusad ja ambitsioonikad paberid, mille koostamine teadagi Brüsselis hästi välja tuleb, just palju tähendada, ei tasu seda dokumenti siiski alahinnata, sest just selles pannakse paika euroliidu lähiaastate kübertegevuste põhisuunad.

„Meie tulevik sõltub suutlikkusest arendada meie võimet kaitsta Euroopa Liitu küberohtude eest, sest nii kriitiline infrastruktuur kui ka sõjaline suutlikkus tuginevad turvalistele digitaalsetele süsteemidele,“ tõdeb strateegia oma sissejuhatuses. Seega on selle strateegiaga saanud küberjulgeolek euroliidus teemaks, millest sõltub kogu selle tulevik. Kuid millega siis plaanitakse seda korralikku ambitsiooni sisustada? Ja mis võiks sellest ambitsioonist olla meie jaoks kõige olulisem?

Strateegias on sisu mõistagi igas küberjulgeolekuga otseselt või kaudselt seotud valdkonnas, mille lahtikirjutamiseks oleks vaja ilmselt tervet käesoleva väljaande mahtu, kuid käsitlen alljärgnevalt kahte valdkonda, mille tähtsust võiks tulevikku vaatavalt pidada Eesti vaatepunktist kõige suuremaks – teadus- ja arendustegevuste toetamine ja ühisturu arendamine küberturvalisuse valdkonnas.

Euroopa Liidul on alati kõige paremini välja tulnud üks asi – ühiste ressursside suunamise kaudu selle esilekutsumine, et liikmesriigid tahaks teha omavahel järjest rohkem koostööd. Kui digitaalne ühtne turg ehk digitaalsete teenuste piiriülene pakkumine euroliidus on ametisoleva Euroopa Komisjoni üks prioriteetidest, siis küberjulgeoleku tagamisel liiga palju ambitsiooni piiriüleseks koostööks enne seda strateegiat veel polnud. Nii panigi see strateegia aluse initsiatiivile, mille eesmärgiks on suunata ELi liikmesriike tegema senisest tõhusamat koostööd küberjulgeoleku teadus- ja arendustegevuste valdkonnas. Nagu tõdeb ka strateegia – selleks, et EL ja tema tööstus jõuaks kas või mingil määral järele globaalset valdkondlikku turgu valitsevatele USAle ja Hiinale, on vaja valmisolekut suuremahulisteks investeeringuteks, mis Euroopas saavad tekkida ainult toetades riikidevahelist koostööd senisest otsesemalt, kuna digitaalse ühisturu tingimustes on vaja ka lahendusi küberturbes, mis aitaks kõikidel ELi riikidel suuremate sammudega edasi liikuda.

Kuid küllap küsib iga valdkonnas veidikene orienteeruv inimene sellist initsiatiivi kuuldes kohe, kas Euroopas igasugu kompetentsikeskusi (eriti kübervaldkonnas) juba piisavalt pole. Tõsi ta on – ja seda näitavad ka Euroopa Komisjoni ses valdkonnas läbiviidud küsitluse tulemused. Kuid puudu on riikides olemasolevate uurimis- ja arenduskeskuste suuremast koostööst, mida saab ressursse targalt suunates tekitada ainult Euroopa Liit.

Siinjuures on üsna märgilise tähendusega ka Eesti Infoturbe Assotsiatsiooni moodustamine selle aasta alguses Eesti valdkondlike ettevõtete, ülikoolide ja RIA koostöös. Sellel ettevõtmisel on kõik eeldused saada üheks osaks sellest uuest Euroopa võrgustikust, mille kaudu saame oma riigis ettevõtete ja riigi koostöös toimima pandud nutikad lahendused kübervaldkonnas Euroopa tasandile. Heaks näiteks on siinkohal see, kuidas oleme oma e-riigi turvalisuses ära kasutanud plokiahela tehnoloogiat, mis nii mõneski Euroopa riigis tundub veel puhtakujulise ulmena. Sest ei tasu ära unustada – meie e-riik on unikaalne platvorm, kus proovida uudseid ja julgeid lahendusi ka turvalisuse tagamiseks, mida ka seni on tehtud, ja uue algatuse kaudu on tekkimas ELi poolt senisest süsteemsem alus meie häid lahendusi ka Euroopa tasandil edasi arendada.

Teine viis riikidevahelise teadus- ja arenduskoostöö toetamise kõrval, kuidas euroliit saab Euroopa küberjulgeolekut märgatavalt edasi arendada, on vana hea tururegulatsioon Euroopa turul olevate toodete ja teenuste küberturvalisuse tõstmiseks. Kui paljudes valdkondades on täna olemas ühisturul kasutusel olev meetod, kuidas erinevate toodete või teenuste omadusi erinevates valdkondades ühise turu raames hinnata ja pärast neid omadusi ka teatud skaalade või skeemide alusel sertifitseerida?

Näiteks teab igaüks ilmselt võimalust pesumasinat ostes hinnata selle energiasäästlikkust ja selle alusel oma ostuotsust langetada. Küberturvalisuse valdkonnas selline võimalus veel puudub. Samal ajal tõdetakse küberturvalisuse valdkonnas tihti, et tarbijad ja toodete kasutajad ostavad sageli kõige ebaturvalisemaid tooteid, mille abil tekib küberrünnete korraldajatele lihtne ja kättesaadav ressurss, mida on võimalik ühte või teist tüüpi küberpahateoks ära kasutada. Ehk siis tänane olukord on üsna ebaõiglane tavalise arvutikasutaja suhtes, kellelt justkui oodatakse turvalisemate IT-toodete ja teenuste kasutamist, kuid samas ei anta ühtegi võimalust neid otsuseid informeeritult langetada.

Just seda olukorda üritabki Euroopa Komisjon oma eelmise sügise algatusega parandada, algatades küberturvalisuse sertifitseerimise korraldamiseks Euroopa-ülese süsteemi loomise. Täna on see valdkond korraldatud liikmesriikide poolt, kellel on olemas valdkonnas pädevad asutused ja sertifitseerimist korraldavad laborid, kes väljastavad küberturvalisuse valdkonnas sertifikaate ja teostavad selle juurde käivaid erinevaid muid protsesse. Säärane võimekus küberturvalisust tõsiseltvõetavalt sertifitseerida on praegu olemas vaid suurematel ELi liikmesriikidel ja ülejäänud liikmesriigid kas usaldavad nende poolt välja antavaid sertifikaate või ei tegele teemaga üldse.

Mida see olukord tähendab aga Eesti ettevõtetele, kes võib-olla sooviks oma lahendusi küberturvalisuse valdkonnas Euroopa turule viia? Seda, et ühe lahenduse müümiseks Saksamaal tuleb see sertifitseerida vastavalt Saksa süsteemile – mille läbitegemine ei taga aga võimalust müüa seda lahendust Prantsusmaal, kus tuleb läbida mõnevõrra teistsugune süsteem veidi teistsuguste nõuetega. Iga sertifitseerimisprotsessi läbitegemine on ju teadupärast üsna kulukas ettevõtmine, seega on tänane olukord kasulik ennekõike suurematele liikmesriikidele.

Seega võime tõdeda, et küberturvalisuse valdkonnas Euroopa ühist turgu praegu ei ole – ja kõiki neid vajakajäämisi üritabki algatus ühe korraga parandada. Kõige positiivsemal juhul võime olla viie aasta pärast olukorras, kus Euroopa ühisturul teatud valdkondades müüdavate toodete ja teenuste küberturvalisust on võimalik ka tavakasutajatel endil teatud määral hinnata – et siis langetada ka otsus turvalisema toote kasutamise kasuks. Eesti eesistumise ajal alustasime selle algatuse üle läbirääkimisi ja nende lõpuleviimise ülesanne saab olema järgmisel eesistujal Austrial. Mõistagi ei ole meie huvides, et tekiks mingi Euroopa regulatiivne süsteem, mis ei toodaks lisaväärtust (küberturvalisust) ja samal ajal ahistaks meie enda ettevõtteid. Oht just nimelt sellise regulatsiooni tekkeks on kahtlemata olemas ja selle ärahoidmiseks tuleb meil seista vastu soovile seda valdkonda, kuhu euroliit uue algatusega ju alles esmakordselt siseneb, liigselt üle reguleerida. Lihtsus ja läbipaistvus on võtmesõnad, millest siinjuures peaksime lähtuma.

Eelmise sügise sammud, mis astuti meie eesistumise ajal, saavad ELi kui terviku küberjulgeolekut suuresti arendada. Selleks, et välja käidud algatustest ka asja saaks, on ilmselt vaja veidike kannatust – omadus, mida meiesugusel efektiivsel väikeriigil enamasti just ülearu ei kipu olema. Euroopa kui terviku küberjulgeolek paraneb tunduvalt, kui küberrünnetele vastamiseks õpime ära kasutama kõiki Euroopa välispoliitilisi vahendeid, kui EL investeeringute toel suureneb riikide koostöö küberturvalisuse teadus- ja arendustegevuses ja kui tekib lihtne ja läbipaistev süsteem küberturvalisuse hindamiseks Euroopa turul. Loodame, et nii ka läheb.

 

 

RIA juht Taimar Peterkop: ID-kaardile ei ole täna veel kindlaid alternatiive

Taimar Peterkopi tekst avaldati 1. juunil 2018 Äripäeva arvamusrubriigis.

Taimar Peterkop seisab kõnepuldis

Taimar Peterkop ID-kaardi õppetundide konverentsil “The Lessons We Learned” 9. mail 2018.

Viimase aasta jooksul on Eesti ID-kaart saanud kõvasti vatti. Nii sügisel avastatud turvarisk kui ka mai alguses kinnitust leidnud kahtlus privaatvõtmete genereerimise kohta väljaspool kiipi näitas selgelt, et meie e-riigi alustala, nagu iga teinegi tehnoloogia toode, ei ole kuulikindel. See vajab rohkem tähelepanu, hoolt ja edasi arendamist.

Oleme alates 2002. aastast, kui allkirjastati esimene dokument, teinud pika hüppe. ID-kaardi taha on tulnud tuhandeid e-teenuseid, selle elektrooniline osa on saanud juurde uusi võimalusi, mis on muutnud meie inimeste elu oluliselt lihtsamaks ja paberivabaks. Oleme hinnanud, et ID-kaardi elektroonilisele kasutamisega (kas siis digallkirja andmine või e-teenuste kasutamine) võidab iga inimene keskmiselt ühe lisanädala vaba aega aastas juurde. Iga päev antakse keskmiselt 300 000 digiallkirja ning ühe kuu jooksul sisenetakse ligi 10 miljonil korral erinevatesse e-teenustesse.

Kuid peame mõistma, et tehnika areneb meeletu kiirusega, see on mõjutatud välise keskkonna muutustest ning on haavatav. Tänast päeva ei saa võrrelda 15 aasta tagusega, kui puudusid nutiseadmeid ning IT-süsteemid olid oma arengu algusetapis. Esimeste digiallkirjade andmise ajal oli kõige populaarsem telefon nuppudega Nokia. Sellele platvormile loodi ka mobiil-ID, mis toimib väga hästi tänase päevani. Nutitelefonide levik ei ole mobiil-ID puhul muutusi kaasa toonud, küll aga on kasutajad kolinud rohkem mobiilsetesse seadmetesse ning tavapärane laua- ja sülearvuti on jäänud teisejärguliseks. Selline käitumisharjumuse pööre nõuab ka uusi ja paindlikke lahendusi.

Ei saa jätta tähelepanuta asjaolu, et isikut tõendavate dokumentide hankimine on pikaajaline ja keeruline protsess. Leping, mille alusel praegu kaarte välja antakse, allkirjastati pea kaheksa aastat tagasi ning nõuded täna kasutusel olevale ID-kaardile kinnitati 10 aastat tagasi. Uue ID-kaardi hankega alustati 2016, ehk kui uus kaart aasta lõpus või järgmise alguses välja antakse, on see tehnoloogia mõistes juba kolm aastat vana. IT-maailmas on see pikk aeg.

Tänased lahendused on homseks vananenud

Elektroonilise identiteedi osa ei saa olla jäik ja muutumatu kümme aastat järjest. Aga kuidas seda nutikalt ja täna kehtivate seaduste, nagu näiteks riigihankeseaduse, või siis kokkulepitud Euroopa Liidu nõuete tingimustes saavutada? Kuidas viia sisse uuendusi ja muuta sõlmitud lepingut ID-kaardi tootjaga nii, et mahuksime eelarvesse ja saaksime soovitud lahendused võimalikult kiiresti? Olemasoleva raha eest ei ole see ilmselt võimalik ning uuenduste finantseerimine peab olema paindlik. Kui praegu tegeleme sellega, et saada ID-kaart kontaktivabaks, käivad juba arutelud, et äkki oleme hiljaks jäänud ja nõudlus puudub? Kuidas hoida tempot ja arendada juba töös olevaid asju nii, et me ajale jalgu ei jää – see on võtmeküsimus!

Pikemas perspektiivis peame olema valmis plastikkaardist loobumiseks. IT-lahendused jõuavad peagi sinna maani, et isikutuvastamine ja allkirjastamine ei vaja füüsilist kaarti, vaid toimib muul moel. Seda eelkõige elektroonilise identiteedi kandja osas. Kuid miks mitte ka siseriiklikult füüsilise isikut tõendava dokumendina. Ühe lahendusena võiks tuvastamine käia näiteks mobiilis oleva rakenduse abil. Aga need muutused ei käi üleöö, ega ka paari aasta jooksul.

Ent kas ID-kaardile on tegelikult head alternatiivi? Pidevalt räägitakse, et isiku tuvastamiseks võiks võtta kasutusele biomeetria. Aga kui hea meelega inimesed oma biomeetriat jagavad? Riigile või erasektorile. Kui Apple küsib sõrmejälge või näopilti, siis antakse need üsna kergekäeliselt teadmata, kuhu need andmed liiguvad ja mida nendega tehakse. Ja kui tihti saab biomeetriat muuta? Ega saagi.

Samas on digiallkirjastamine Euroopa Liidu tasemel väga rangelt reglementeeritud vaatamata teadmisele, et arendustööd kvantarvuti kallal käivad ning prognoosi kohaselt areneb see viie kuni kümne aasta jooksul nii kaugele, et praegune standarditele vastav mudel kukub mingil hetkel kokku. Juba praegu otsime uusi lahendusi tulevikuks ning koostöös erasektoriga oleme leidnud alternatiivseid autentimisvahendeid nagu mobiil-ID ja smart-ID. Just alternatiivide olemasolu on väga vajalik, et välistada ühe riknemisel e-riigi seiskumist.

ID-kaardi ja sellega seotud tehnoloogia arendamisega tegelevate inimeste ring on väike. Oleme üheaegselt nii arheoloogid kui ka innovaatorid. Meil tuleb sorida ajaloos, et leida varasemaid kitsaskohti ja neid parandada, samas peame vaatama kümme aastat ette ning leidma parimaid lahendusi. Aga kuhu panustada rohkem, kas ajaloole või peaksime tegelema rohkem siiski tulevikuga?

Oleme kindlasti IT-riigina võrreldes paljude teistega eduseisus, meil on ajalugu ja kogemused. Välisriigid vaatavad ja imestavad, aga kas me oleme jätkusuutlikud ja on see kõik piisav tänapäeva kiires tehnoloogia arengus? Meie 15-aastane ajalugu vajab kaasajastamist, kiiresti. Üks asi on uue lahenduse välja toomine aga sellest üksi ei piisa. Inimesed peavad selle ka kasutusse võtma ja e-teenused oma teenustega liitma. Kuna aga kogu e-süsteem on nii lai ja seotud tuhandete erinevate süsteemide ja osapooltega, nõuab kõikide pusletükkide paikasaamine palju aega ja suurt koostöötahet.