E-riik eriolukorras

Märtsi keskel välja kuulutatud eriolukorra tõttu pidid paljud nii era- kui ka avaliku sektori ettevõtted ja asutused töö kiirelt ümber korraldama. Peaaegu kõik suhtluskanalid muutusid elektrooniliseks. Kas muutusi toimus ka riigi infosüsteemis? Kuidas e-riik eriolukorraga kohanes?

eID vahendite kasutamine kasvas

Alustame oma ülevaadet muutustest elektroonilise identiteedi (eID) kasutamises. Siin saame võrrelda päringute mahtu kolmel perioodil: veebruaris, kui elu toimis tavapäraselt, märtsis, kui pärast 12 tööpäeva muutus töökorraldus enamikus ettevõtetes, ning aprillis, kui elektroonilised lahendused olid saanud uueks normaalsuseks.

DigiDoc4 klient on rakendus, mida teavad pea kõik, kes kunagi ID-kaardiga allkirja andnud. Jooniselt on näha, et elektrooniliselt antud allkirjade arv suurenes märkimisväärselt sõltumata vahendist – nii ID-kaarti, mobiil-IDd kui Smart-IDd kasutati tavapärasest rohkem. Lõviosa allkirju anti ID-kaardi abil (aprillis 72% kõigist allkirjadest), kuid Smart-IDga anti aprillis neli korda rohkem allkirju kui veebruaris ning mobiil-ID allkirju anti DigiDoc4 abil aprillis kolm korda rohkem kui veebruaris.

Riigi autentimis- ja allkirjastamisteenus

Riigi autentimisteenuse abil saab sisse logida päris paljudesse Eesti e-teenustesse. Mai alguseks oli riigi autentimisteenusega liitunud 35 asutust lausa 114 erineva rakendusega. RIA enda teenustest on ehk tuttavad eesti.ee, millest varsti lähemalt räägime, ja sahver.eesti.ee, kus saab sõpradega dokumente jagada.

Kuigi autentimisteenusega liitus vaadeldavate kuude jooksul uusi kliente, tegid rohkem päringuid ka juba varem liitunud teenused. Enda isikut tuvastati rohkem nii ID-kaardi, Smart-ID, mobiil-ID, pangalingi kui ka Euroopa Liidu vahendite abil (just sellises suurusjärjestuses). Kõige suurem hüpe toimus Euroopa Liidu vahenditega isikutuvastamisel – aprillis tehti peaaegu kolm korda rohkem päringuid kui veebruaris. Arvud ise on muidugi küllaltki väikesed, moodustades vaid 0,01% kõigist isikutuvastustest. Kõigi autentimiste arv oli aprillis kokku 27% suurem kui veebruaris.

Riigi allkirjastamisteenus on veel lapsekingades lahendus, mille abil saavad infosüsteemid moodustada allkirjaümbrikke mobiil-ID ja ID-kaardi allkirjadega. Kuna veebruaris oli kasutajaid õige vähe (umbes täpselt 2), oli aprilliks protsentuaalne antud allkirjade kasv üsna märkimisväärne. Aprillis pandi allkirjastamisteenuses kokku 60 korda rohkem allkirjaümbrikke kui veebruaris. Umbes sama palju tõusid nii ID-kaardi kui ka mobiil-ID abil tehtud toimingute mahud.

Andmevahetus X-teel

Seega, kui elektrooniliste isikutuvastuste arv kasvas üksnes veidi, siis elektroonilisi allkirju anti varasemast palju rohkem. Aga mis toimus mujal riigi infosüsteemis, näiteks andmevahetuskanalis X-tee?

X-tee visualiseering: https://logs.x-tee.ee/visualizer/EE/

X-tee tegevuste arvu saame vaadelda lausa nädalate lõikes. Võtame ette perioodi 2020. aasta 9. nädalast (27. veebruarist) kuni 17. nädalani (lõpeb 26. aprilliga). Eriolukorra kehtestamine 12. märtsil toimus 11. nädalal. X-tee kaudu tegid sellel perioodil kõige rohkem päringuid tervise ja heaolu infosüsteemide keskus, politsei- ja piirivalveamet ning kohtutäiturite ja pankrotihaldurite koda. Kõige rohkem infot päriti haigekassa, maksu- ja tolliameti ning registrite ja infosüsteemide keskuse infosüsteemidest.

Kui avaliku sektori ettevõtete päringute arv oli sellel perioodil üsna stabiilne, siis erasektori ettevõtete päringute arv kasvas nädalatel 11–14 (vahetult pärast eriolukorra väljakuulutamist) võrreldes 9. nädalaga pea 50%. Hiljem stabiliseerus päringute arv endisele tasemele. Absoluutarvudelt kasvas eriolukorra ajal kõige rohkem politsei- ja piirivalveameti infosüsteemis, kohtutäiturite ja pankrotihaldurite koja täite- ja pankrotimenetluse infosüsteemis ning Ridango ASi piletisüsteemis tehtud päringute hulk. Vähem päringuid hakati tegema näiteks piirikontrolli andmekogus, tollideklaratsioonide infosüsteemis ning politsei- ja piirivalveameti broneeringusüsteemis. Tervishoiuteenuste infosüsteemides (nt apteekide infosüsteem, tervishoiuteenuste osutajate infosüsteem, haigekassa jm) kerkis päringute hulk 11.–14. nädalal tavapärasest tunduvalt kõrgemale ning stabiliseerus pärast seda.

Riigiportaali eesti.ee äkiline hüpe

Põikame nüüd veel korraks eesti.ee juurde, mis koondab e-Eesti infot ja e-teenuseid. Selgub, et erinevate teenuste poole tehtud päringute arv kasvas pisut 10.–13. nädalal ning tegi suure hüppe (kaks korda rohkem päringuid kui tavapärane) 14. nädalal (aprilli algus). Pärast seda langes tehtavate päringute arv madalamale kui veebruari lõpus. Kokkuvõtvalt toimus e-Eestis samasugune trend nagu füüsilises Eesti Vabariigis – hetkeks kerkis nõudlus erinevate süsteemide ja info järele lakke. Pärast ühte kuud olukord stabiliseerus, vaid digitaalseid allkirju anti tunduvalt rohkem kui varem.

Annika Kluge, elektroonilise identiteedi osakonna projektijuht

Smart-ID ja valimised

Eestis saab valimistel elektrooniliselt oma hääle anda ID-kaardi või mobiil-ID abil. Paljudes avalikes teenustes on võimalik end autentida ka Smart-ID rakendust kasutades, seetõttu võib tekkida küsimus, kas edaspidi võiks võimaldada ka Smart-IDga hääletamist. Seda teemat arutas ka Vabariigi Valimiskomisjon, kelle 20. mail toimunud koosoleku protokollis märgiti, et 2021. aasta valimistel Smart-ID kasutamist ei toetata. Artiklis on välja toodud mõned Smart-ID erisused võrreldes seniste e-hääletamisel kasutatud isikutuvastuse ja allkirjastamise viisidega, mis aitavad seda otsust paremini mõista.

1. Smart-ID on rahvusvaheliselt kasutatav rakendus

Smart-ID rakendus on sertifitseeritud Euroopa Parlamendi ja Euroopa Liidu Nõukogu määruse alusel (Electronic Identification, Authentication and Trust Services ehk eIDAS) ning see vastab kvalifitseeritud allkirjastamisvahendi tasemele. Teisisõnu vastab Smart-ID kui elektroonilise allkirjastamise vahend ELis paika pandud kõrgetele turvanõuetele, seda auditeeritakse regulaarselt ning sellega antud allkirja tuleb tunnustada ka teistes Euroopa riikides. Lisaks Eestile on Smart-ID laialt kasutusel Lätis ja Leedus, ent kui Eestis on kõik Smart-ID kontod ühesuguse kõrge turvatasemega, siis Lätis ja Leedus on kasutusel ka nõrgema turvalisuse tasemega, nn basic Smart-ID, mille kasutusvõimalused on piiratumad. Igal juhul võib arvata, et kuna Smart-ID kasutusala on Eestist laiem, võib küberkurjategijatel olla ka rohkem motivatsiooni töötada välja efektiivseid ründe- ja ülevõtmismeetodeid.

2019. aasta kevadsuvel õnnestus kurjategijatel luua mitukümmend Smart-ID libakontot nii Eesti kui ka teiste Balti riikide elanike nimel ning mitmel juhul nende abil ka ülekandeid teha (mobiil-ID ega ID-kaardi puhul pole sellised pettused õnnestunud). Kui Eesti tunnustaks Smart-IDd hääletamisvahendina ja küberkurjategijatel õnnestub rünnata sama toote vähem turvalist varianti teistes riikides, võib see kaudselt heita halba varju ka meie e-valimistele.

2. Smart-ID ei ole riigi väljastatav isikut tõendav dokument

Smart-ID juriidiline staatus erineb oluliselt mobiil-ID ja ID-kaardi omast. Viimased kaks on riigi poolt isikut tõendavate dokumentide seaduse alusel välja antavad dokumendid. Smart-ID on eraettevõttele kuuluv isikutuvastuse ja digitaalse allkirjastamise rakendus, mille arendaja ega tellija ei ole riik. Seejuures on riik hinnanud selle toote piisavalt usaldusväärseks, et lubada inimestel end Smart-IDga autentida paljudes avalikes teenustes (nt eesti.ee portaal, maksuamet ja paljud teised).

Smart-ID kasutuse laiendamine lisaks praegustele avalikele teenustele ka elektroonilisele hääletamisele oleks aga põhimõtteline muudatus. Hääleõigus valimistel on erinev näiteks õigusest deklareerida makse või vaadata oma andmeid rahvastikuregistrist – see on demokraatlikus riigis keskse tähtsusega põhiõigus. Oma häälega mõjutab inimene otseselt riigi valitsemist ja ühiskonnaelu korraldamist tervikuna. Smart-IDga hääletamise võimaldamisel oleks uuenduslik ja erinev just see, et mobiil-IDd arendab ja kontrollib riik, Smart-IDd aga mitte, ning tulevikus võib Smart-ID kõrval turule tulla teisigi samalaadseid rakendusi. Kui riik loobuks nõudest, et valida saab ainult riigi välja antud dokumendiga, tuleks paika panna mingid muud väga selged kriteeriumid, mille alusel erasektori lahendusi hinnata.

3. Smart-ID väljastamise viise on mitu, kas need kõik on ühtmoodi turvalised?

Smart-ID konto loomiseks on neli võimalust. Tuleb alla laadida vastav rakendus ning isikustada see kas ID-kaardi või mobiil-ID abil, külastada pangakontorit ja tõestada oma isikut dokumendi alusel või biomeetria abil.

Biomeetriline isikustamine on võimalik juhul, kui inimene ei loo Smart-ID kontot esimest korda, vaid teeb aegunud konto asemele uue või loob täiendava konto uude seadmesse. Biomeetrilise isikustamise võimalus tekkis alles 2020. aasta veebruari lõpus, seega pole Eestil veel piisavalt kogemusi, mis selle täisautomatiseeritud meetodi usaldusväärsust kinnitaks või ümber lükkaks.

ID-kaart ja mobiil-ID on riigi välja antavad dokumendid ning nende abil oma kontot isikustades osaleb riik konto loomise protsessis vähemalt ühe osapoolena. Biomeetrilise isikutuvastuse puhul on vaja passi ning „näokontrolli“ teeb ära telefonis olev rakendus kaamera abil. Pangas Smart-ID kontot luues on samuti vaja näidata isikut tõendavat dokumenti, mille õigsust kontrollib pangateller.

Kõigi Smart-ID konto loomise viiside puhul on niisiis eelduseks riigi välja antud dokumendi olemasolu, ent täiendavat füüsilist isikutuvastuskontrolli riigiasutuses ette nähtud ei ole. Samuti ei ole võimalik eristada, millisel eelnimetatud moel konkreetne konto loodi. Tinglikult võib öelda, et riigile kõige mitteomasem on konto loomine pangakontoris. Biomeetriline isikustamine on aga veel nii uus lahendus, et selle turvalisust ja võimalikke riske ei ole võimalik terviklikult hinnata  ̶ vastavaid kriteeriume ja nõudeid pole Eestis veel välja töötatud.

4. Smart-ID tulevik ei ole riigi kontrolli all

Nagu juba välja toodud, kuulub Smart-ID teenus eraettevõttele. Seejuures pakub sama ettevõte praegu ka sertifikaatide kehtivuse kontrolli teenust mobiil-ID-le ja ID-kaardile, mis on vastavalt hädaolukorra seadusele elutähtis teenus. Lihtsalt öeldes – mobiil-ID ja ID-kaardi kasutamine sõltub niigi ühe eraettevõtte teenustest ning selline avaliku ja erasektori koostöö ning vastastikune sõltuvus tehnoloogia arendamisel on tavapärane ja igati tervitatav. Riigi seisukohalt on aga oluline, et ettevõtte usaldusväärsuse muutudes või mõne kriitilise turvanõrkuse ilmnedes on riigil võimalik kiiresti ja jõuliselt sekkuda. Nii tehti näiteks 2017. aasta ID-kaardi kriisi ajal, ent seda võimaldas suuresti just asjaolu, et ID-kaardi puhul on tegemist riigi enda tootega. Nii riigi sekkumine kui ka selle vajalikkuse hindamiseks õige info saamine võib täielikult erakätes oleva toote puhul olla märksa keerulisem.

5. Smart-IDga valida ei saa, aga mis saab edasi mobiil-IDst?

Mobiil-ID tuleviku osas oleme võtnud seisukoha, et igal inimesel peab olema võimalik omada kahte erinevat riigi väljastatavat elektroonilise identiteedi vahendit. Seni on nendeks olnud ID-kaart ja mobiil-ID ning nii jääb see vähemalt kuni 2021. aasta lõpuni. Praegu on koostöös politsei- ja piirivalveametiga kaalumisel erinevad uued lahendused, mis võiks tulevikus mobiil-IDd asendada. Sellist olukorda ei teki, kus ainsaks riigi väljastatavaks eID vahendiks jääb ID-kaart. Seega saab ka järgmistel kohaliku omavalitsuse valimistel 2021. aastal e-hääletada kasutades vähemalt kahte erinevat elektroonilise identiteedi vahendit.

SK Solutionsi andmetel on Eestis kasutusel ligikaudu 508 900 Smart-ID kontot ja ligi 235 000 inimesel on Mobiil-ID. Umbes 20%-l kasutajatest on olemas mõlemad rakendused.


Mark Erlich, elektroonilise identiteedi osakonna juhataja


KKK – küberturvaline kaugtöö ja kaugõpe

Foto: Pixabay

Kas eriolukorras esineb varasemast rohkem küberpettuseid?

Ei, pigem on RIA poolt registreeritud küberintsidentide arvukus jäänud kriisieelsega võrreldes sarnasele tasemele. Kuid kokkuvõttes on, arvestades praegust mastaapset kaugtöö tegemist, riskid siiski suurenenud. Oleme näinud, et küberkelmid nii Eestis kui mujal maailmas proovivad koroonaviirust uuel moel ära kasutada – näiteks on pahavara sisaldav e-kiri maskeeritud Terviseameti saadetud viirusealaseks infoks.

Täpsemalt vaata https://www.err.ee/1068027/tonu-tammer-kuberkurjamid-rakendasid-koroonaviiruse-oma-vankri-ette ja https://www.ria.ee/et/kuberturvalisus/olukord-kuberruumis.html.

Kas kaugtöö on ikka turvaline valik?

Seda õigesti ja teadlikult tehes on kaugtöö kindlasti turvaline. Kuigi täna kehtiv eriolukord, kus paljud inimesed töötavad kodust, suurendab ohtu, et ettevõtted ja nende töötajad satuvad küberrünnaku või -pettuse ohvriks, saab need riskid elementaarseid küberhügieeninõudeid järgides miinimumini viia. Turvaliselt kaugtööle jäädes maandad omakorda COVID-19-ga nakatumise riski nii enda kui teiste jaoks.

Millised on hetkel levinuimad ohud?

On vähe inimesi, keda COVID-19 viirusega seotud info hetkel ei huvitaks. Seda huvi kasutavad ära ka pahavara levitajad – nii saadetakse üle maailma laiali kirju, kus on manuses mõni dokument või juures link, mis justkui annaks kirja saajale uut informatsiooni viiruse leviku kohta. Samuti teame, et viiruse leviku kaarti kasutatakse peibutisena ära. Need kirjad nakatavad sinu arvuti pahavaraga, mis võib varastada sinu paroole ja muid andmeid.

Samamoodi kasutatakse ära kaugtöö kasvavat populaarsust. Kodus töötades tuleb tihtipeale liituda erinevate kesksete teenuste, failijaotusplatvormide ja suhtlusvõrkudega. Kui saad kirja, mis kutsub Sind klikkima järjekordsel lingil, mille kaudu liituda tööalase grupiga, tee kindlaks, et see on ikkagi tööandja poolt kokku lepitud grupp või teenus.

Töömeilide puhul tuleb kahtlemata meeles pidada, et küberkuritegevuses on üsna levinud arvepettused ja tegevjuhi petuskeemid. Kui ülemus (kellest oled hetkel tõenäoliselt eraldatud) palub sul teha ettevõtte arvelt ülekanne täiesti ootamatule pangakontole, küsi mõne teise kokkulepitud suhtluskanali kaudu üle, kas ta on selles kindel. Kui äripartner võõras riigis palub teenuste eest makse saata uuele pangakontole, siis kinnita see ka temaga telefonitsi või mõnd muud suhtluskanalit kasutades üle.

Viimasel ajal on taas aktiivselt levima hakanud palgakonto pettused, kus töötaja palub personalijuhil kanda järgmisest kuust oma palga uuele pangakontole. Tegelikult saadavad mainitud palve aga küberkurjategijad, kes ka raha endale saavad. Palgakonto petuskeemis saadavad küberkurjategijad töötaja nime alt lühikese, kuid suhteliselt veenvas eesti keeles kirjutatud e-kirja personalijuhile ning paluvad järgmisest kuust kanda palga uuele pangakontole. Selleks kasutatakse visuaalset pettust, näiteks asendatakse nimes mõni täht või muudetakse vaevumärgatavalt domeeni (ettevõte.ee vs ettveõte.ee). Samuti võidakse kasutada meilikonto puudulikku turvalisust ning teeseldakse ettevõtte töötaja aadressi, mida tavainimesel on keeruline märgata.

Kriisi alguses levisid Eestis ingliskeelsed telefonikõned, milles küsiti ligipääsu vastaja arvutile. Kõned tulid välismaistelt numbritelt ja helistaja tutvustas end rahvusvaheliselt tuntud ettevõtte esindajana. Viidates praegusele olukorrale, kus paljud töötavad kodukontoris, ja vajadusele hoida kaugtööks kasutatavad seadmed turvalisena, küsisid helistajad ligipääsu arvutile. Põhjenduseks tõid nad soovi kontrollida, kas seade on ikka piisavalt turvaline. Keeldumise korral ei lõpetanud helistajad kõnet, vaid  jätkasid visalt ligipääsu küsimist. Petturite eesmärk võis olla varastada paroole ja pangakaartide andmeid. Selliste kõnedega võidakse müüa ka hirmuvara (scareware) tooteid, mis justkui leiavad ohvri arvutist pahavara. Petturitele makstes saab kahjuks päriselt lahti rahast ja vaid näiliselt nn pahavarast, mida arvutis tegelikult polnudki.

Millist tarkvara peaks video- või telekonverentsi jaoks kasutama?

Eelkõige on oluline leppida kolleegide ja lähedastega kokku, milliste suhtluskanalite kaudu eriolukorraaegne kaugsuhtlus toimub. Samamoodi on näiteks ka sinu lapsed kokku leppinud oma õpetajate ja sõpradega, millistes kanalites nemad suhtlevad. Alati on hea nende suhtluskanalite kohta lisainfot uurida, et teha kindlaks, millised on lisaks kasutusmugavusele ka sõnumisaladuse mõistes kõige turvalisemad – juhuks kui pead näiteks äripartneritega ärisaladustest rääkima. Loe läbi kasutustingimused! Samas hoia silm peal ka sellel, millised suhtluskanalid on sinu lapse jaoks tema tervise ja heaolu mõistes kõige turvalisemad.

Kuna kaugtöö vajadus kestab nii Eestis kui ka mujal maailmas veel mõnda aega, on tõenäoliselt oodata kampaaniaid, kus kurjategijad püüavad erinevaid kaugtöörakendusi matkides levitada pahavara või varastada andmeid. On olnud näha, et pahavara levitamiseks kasutatakse ära mõne videokonverentsitarkvara populaarsust: ohvrile jäetakse mulje, et lingi on talle saatnud mõni selline programm või jagatakse näiliselt mõne sellise programmiga seotud lehekülgi, mille kaudu korjatakse kokku kasutajaandmeid.

Ministeeriumites või nende allasutustes töötavatele inimestele rõhutame eraldi, et asutusesiseseks kasutamiseks (AK) mõeldud teabe edastamiseks on lubatud kasutada ainult sellist videokonverentsisüsteemi, mis on teabevaldaja kontrolli all (majutatakse teabevaldaja IKT-taristul). Kui sellist süsteemi ei ole võimalik kasutada, ei tohi AK-teavet videokoosoleku kaudu edastada.

Millised on soovitused paroolide kohta?

Kaugtöö ja -õppe puhul tuleb pidevalt kuskile sisse logida ja paroole sisestada. See võib tekitada kiusatuse kasutada ühtainust (ja võimalikult lihtsat) parooli igal pool. Sellega sisenetaks nii tööle, kooli, poodi, sotsiaalmeediasse, jututubadesse kui ka mängukoobastesse. Kui aga see üks parool peaks lekkima (ja paroolid aeg-ajalt lekivad!), siis katsetavad häkkerid juba lekkinud paroolide ja kasutajanimedega, kas nendega saab sisse ka teistesse kohtadesse.

Üks võimalus kasutada erinevates kohtades eri paroole nii, et sa ei pea ise pikki paroole meeles pidama, on uurida paroolihaldurite võimalusi. Neid on mitu, neid saab kasutada tasuta (nt LastPass, Keepass, 1Password) ja nii on sul vaja meeles pidada vaid ühte pikka parooli oma paroolihalduri jaoks.

Kuna aga kodune töö, meiliaadressid ja kõiksugu kontod on praegu töö, õppimise ja suhtlemise jaoks üliolulised, siis on üks väga oluline abimees oma kontode kindlustamiseks mitmetasemeline autentimine. See tähendab, et isegi kui keegi saab kätte sinu parooli (õngitsuse, pahavara või varem lekkinud paroolide kaudu), ei saa ta sinu meilikontole sisse ilma sinu telefonis oleva koodita. Ei, sul ei tule iga kord oma koodi sisestada, kui sa Gmaili tahad sisse saada. Aga kui keegi soovib geograafiliselt kaugest kohast või uuest seadmest sinu meilikontole ligi saada, siis see tal ei õnnestu.

Kas kaugtööks või –õppeks kasutatud seadmeid tuleb kuidagi ette valmistada?

Tee kindlaks, et nii sinu kui ka su lapse arvutil või seadmel on kasutusel võimalikult viimane tarkvara. See on ülioluline! Näiteks võib aegunud tarkvara tõttu nakatuda sinu arvuti ainuüksi vale netilehekülge külastades.

Kui sa oskad otsida üles ka oma nutika teleri, oma ruuteri ja oma internetti ühendatud beebikaamera seaded, siis ka nende tarkvara tuleks regulaarselt uuendada. Kõike seda selleks, et sinu kodus asuvate seadmete kaudu ei saaks kedagi teist rünnata. Samamoodi ei taha sa ju olla viiruse edasikandja.

Lisaks on oluline üle vaadata, kas su seadmete viirusetõrje on saanud end regulaarselt uuendada. Viirusetõrje ei kaitse kunagi kõigi ohtude eest – pahavara loojad on alati sammu võrra viirusetõrjeprogrammidest ees. Kuid kui pahavara on juba mitu tiiru maailmale peale teinud, siis tunnevad ka viirusetõrjeprogrammid need ära ja takistavad neid enne, kui need jõuavad sinu või su lähedaste arvuti nakatada.

Kindlasti uuri, kas ka su lähedastel on arvutites operatsioonisüsteemide ja viirusetõrje viimased versioonid. Windowsi operatsioonisüsteemil tähendab see näiteks Windows Defenderi definitsioonide uuendamist.

Kuidas kindlustada andmete säilimine?

Praegusel ebatavalisel ajal on veel üks hea viis, kuidas vähendada ärevust oma töö ja õppimise suhtes: varundamine. Keegi ei taha tehtud tööd uuesti teha. Kuid me teame, et seadmed ütlevad aeg-ajalt üles või veelgi hullem – nakatuvad pahavaraga, mis ei lase enam andmetele ligi. Koolilastel võib olla esialgu tore öelda, et nad ei saanud kodutööd esitada, kui arvuti ei töötanud, kuid lõpuks peavad ka nemad selle töö ikkagi uuesti tegema. Oma tehtud töö kaotamine lunavara või ootamatult üles öelnud seadme tõttu on veelgi suurem mure.

Varundamiseks on olemas hulk kommertspilvelahendusi (Google Drive, Microsoft Onedrive, Amazon Drive, Dropbox), mis automaatselt interneti kaudu su dokumente varundavad. Sinu ülesanne on salvestada oma failid vaid õigele kettale ja kui seadmega midagi juhtub, otsida teisest seadmest oma dokumendid uuesti üles.

Soovitame kasutada ka välist kõvaketast või mälupulka, et enda kõige olulisemad andmed varundada. Suuremahuliste andmete puhul võib aidata see ühelt poolt kiiremini oma andmeid taastada, teisalt on suurte andmete hoidmine pilvelahendustes võrreldes väliste andmekandjatega ka kallim. Uuri ka oma tööandjalt, milliste varunduslahendustega ta üldse nõus on – kas näiteks töödokumente üldse tohib pilves hoida või on ettevõtte poliitika teistsugune.

Mu laps istub päevad läbi internetis – e-kool, suhtlus sõpradega, niisama ajaviide. Mida pean silmas pidama?

Tunne regulaarset huvi, mida laps arvutis istudes teeb. Mugavam on seda teha, kui lapse arvuti ekraan paikneb nõnda, et sellel toimuvat on võimalik möödudes kergesti tuvastada. Samuti tunne huvi, suhtle, küsi. Proovi selleks aega leida ka kaugtööd tehes.

Olen ettevõtte juht. Millele peaksin erilist tähelepanu pöörama?

RIA tegi 8. aprillil eesti keeles kättesaadavaks rahvusvaheliselt tunnustatud küberturvalisuse meetmete kogumi „CIS 20 Controls“. See on  tunnustatud küberturbeekspertide koostöös valminud tööriist, mida saavad kasutada IT-juhid ja kõik teised, kes vastutavad oma ettevõtte IT eest, et tagada oma asutuses küberturvalisus. CIS 20 meetmete viimane versioon eristab ka meetmeid, mis on mõeldud rakendamiseks nii suurtele kui ka väikestele ja keskmise suurusega ettevõtetele. Eestikeelne meetmekogum ning vastavad lühijuhendid ning õpivideod eesti ja vene keeles on leitavad https://www.ria.ee/et/kuberturvalisus/ennetus-ja-nouanded/nouanded.html.

Kuigi sul ei pruugi olla võimalik neid meetmeid enne praeguse eriolukorra lõppu rakendada, tasub seda järjekindlalt teha keskmist ja pikemat perspektiivi silmas pidades. Nõnda elad turvaliselt üle nii võimalikud tulevased ühekordsed küberrünnakud kui ka järgmised eriolukorrad.

Vt ka: https://www.itl.ee/uudised/itl-soovitab-ettevotetel-kaugtoo-korraldus-labi-moelda/

Kas eriolukorras kehtivad erireeglid isikuandmete töötlemise kohta?

Selle kohta on põhjalikud seisukohad avaldanud Andmekaitse Inspektsioon:

  1. https://www.aki.ee/et/uudised/tootajate-isikuandmete-tootlemisest-koroonaviiruse-kontekstis
  2. https://www.aki.ee/et/uudised/euroopa-andmekaitsenoukogu-avaldus-seoses-covid19-ga
  3. https://www.aki.ee/et/uudised/kas-tootajat-saab-kohustada-raakima-koike-oma-tervislikust-seisundist

Mida peaks kriisijärgselt silmas pidama?

Kriisi möödudes tuleks kõigil järjepidevalt jätkata küberhügieeni nõuete järgmist. Nii asutustel kui ka ettevõttetel tuleks meeles pidada tõsiasja, et IT pole enam ammu väike ja toetava rolliga killuke organisatsioonist, vaid vahel just kõige kriitilisem osa, sest kogu töö käib arvutites ning ettevõtte või asutuse toimimiseks vajalik info talletatakse serveritesse või kõvaketastele.

Mis on viis kõige olulisemat soovitust turvaliseks veebis käitumiseks?

  • Ära ava tundmatutelt saatjatelt saadud manuseid ega linke.
  • Ära usu ähvardavaid ja kiiret tegutsemist nõudvaid kirju tundmatutelt saatjatelt.
  • Ära anna tundmatule helistajale ligipääsu oma arvutile.
  • Veendu, et kasutad tarkvara värskeimat versiooni ning turvauuendused on paigaldatud.
  • Tee nii arvutis kui ka telefonis olevatest failidest regulaarselt tagavarakoopiaid.

Vt ka https://blog.ria.ee/ värskemaid sissekandeid.