Author Archives: Grete Kivi

Küsimused ja vastused: RIA infopäeva teine päev 18.11.2020

RIA koostööpartnerite virtuaalse infopäeva teisel päeval keskenduti suuresti küberturvalisusele ja infoturbele, kuigi alustati siiski ühtsest digiväravast ja riigiportaalist eesti.ee. Kõik esitlused on järelevaadatavad RIA Youtube’i kanalil. Vastame kirjalikult vaatajatele tekkinud küsimustele.

RIA koostööpartnerite virtuaalset infopäeva modereeris ajakirjanik ja saatejuht Eeva Esse. Fotod: Kertu Kärk/RIA

SDG, artiklivaramu ja riiklik postkast, Raimo Reiman

Kas 2021. aastal hakkab RIA asutuste eest nende teenuste kasutust mõõtma? Mil moel seda tehniliselt tehakse?
RIA hakkab koos MKMiga koos raamistikku looma, et teenuste tarbimise statistika automaatselt teenuste kataloogi jõuaks.

Milliseid numbreid näitab 2020. aasta tagasiside ja analüütika? Kuidas on olukord Eestis võrreldes teiste EL riikidega?
Riigiportaali rahulolu on kõrge, teiste riikidega võrdlusmoment hetkel puudub, tuleb koos SDG rakendumisega.

Kes artiklivaramut modereerima hakkab, et sinna lisatud info oleks ka ühtse stiiliga ja keeleliselt õige?
Vastutus sisu eest on teabevaldajal, eesti.ee-s olevaid artikleid jäävad modereerima RIA toimetajad.

Kui paljud inimesed üldse on oma riikliku postkasti ära suunanud, et riigi kirju kätte saada?
450 000. Tegeleme sellega, et @eesti.ee aadressile saaksid kõik asutused kirju saata ning inimestel oleks alati üks koht, kus kindlasti kogu riigi kommunikatsioon olemas on.

Kas Artiklivaramu ja (eestikeelse) Wikipedia vahel on mingi põhimõtteline vahe?
Artiklivaramu hoiab infot riigi teenuste kohta ning nende vahelisi seoseid.

Millal kättetoimetamise teenus kasutusele võetakse (st asutus saaks teada, kas on sõnum kohale jõudnud)?
Juba praegu on võimalik saata @eesti.ee aadressi suunanud inimestele avamiskinnitamisega dokumente. Kättetoimetamiskeskkonna edasiarendustega alustame aastal 2021.

Kas Facebooki kaudu teavituste saatmise potentsiaalsed riskid ja ohud on ka korralikult kaardistatud? #cambridgeanalytica #jälgimisühiskond. Facebooki huvid on riigi huvidest väga erinevad.
Selleks on meil alternatiivsete kanalite analüüs, kus oleme ka infoturbe ohte kaardistanud.

Soovitan Kohustuste Kalendri asemel kasutada midagi pehmemat, nt Võimaluste Kalender vmt. Samuti Kättetoimetamiskeskkonna asemel midagi personaalsemat, nt “Sulle” vmt.
Nõus!

eesti.ee kasutajate rahulolu-uuring, Raimo Reiman

Millal hakkab eesti.ee artiklivaramut ise kasutama?
Eesti.ee juba kasutab artikleid sellisel kujul nagu nad artiklivaramus on, tegeleme sellega, et sisuhalduse kasutajaliides ka partneritele kasutatav oleks.

Kas kättetoimetamisteenust saaksid tulevikus kasutada ka omavalitsused (või on see mõeldud vaid riigile teadete edastamiseks kodanikele/ettevõtetele).
Omavalitsused saavad juba praegu @eesti.ee süsteemi teavituste edastamiseks kasutada.

Millised tegevused sellele uuringule nüüd järgnevad?
Kasutame sisendina ettevõtja ja eraisiku vaate ning riikliku postkasti lahenduste parandamiseks.

Milline on eesti.ee 5 aasta pärast?
Automaatne ja taustal toimiv süsteem, mis aitab riigi info ja teenused kokku tuua kasutaja jaoks eelistatud kanalis.

Millal eesti.ee vana kujundus lõplikult kaob?
2021. aasta lõpuks.

Millal see ettevõtjate ühtne portaal valmis saab?
Ettevalmistavad tööd on alanud, soovime 2021. aasta jooksul esimeste lahendustega avalikuks tulla.

Mis on EU CyberNet, Siim Alatalu

Kuidas seda küberabi koroonatingimustes võimalik anda on?
See on naelapea pihta küsimus. Koroonaviirus tegelikult ei peatanud Euroopa Liidu abiprojektide tööd. Meie enda inimesed RIAstki on jätkanud teiste riikide nõustamist. Nüüd on need toimunud peamiselt virtuaalses vormis. Projektid kohandusid kiiresti ja ma arvan, et online-kursused jäävad toimuma ka järgmistel aastatel. Kõik eksperdid siiski ootavad võimalust minna reaalselt kohapeale ning inimestega näost näkku suhelda, sest seda ei asenda miski.

Kui palju teil juba eksperte või taotlusi ekspertidelt on?
Ma numbrit siin ei ütle, aga eesmärgini 500 liigume täna mind rahuldavas tempos.

Kui ELil juba mitu teist sarnast projekti on, kas siis EU CyberNet pole üleliigne?
EU CyberNet ei ole üleliigne. Selle järelduseni jõudsid Euroopa rahvad juba eelmisel aastal, et sellist projekti on vaja. Aga nali naljaks. Nagu võisite näha, erinevad EL projektid tegelevad teatud niššidega ning EU CyberNeti ülesanne on tekitada nende vahele kooskõla ja koherentsust. Teised projektid võivad kasutada meie andmebaasi omale parimate ekspertide leidmiseks.

Mis olid kõige suuremad katsumused projekti loomise juures?

Ma tahaks loota, et katsumused alles tulevad. Nagu iga projektijuht teab – kõik algab inimestest, kõik algab ajast ja kõik algab rahast. Ma usun, et see projekt on kõigis neis nurkades hästi kaetud.

Kas Venemaa küberturbe eksperdid on samuti projekti kaasatud?
Nagu ma vihjasin, riigid, kellele heidetakse ette teiste ründamist, neil kahtlemata Euroopa Liit paremaks muutuda ei aita.

Kas igaüks, kes valdkonda tunneb, võib eksperdiks hakata ja millised on sellega kaasnevad hüved?
Suurim hüve, kui oled motiveeritud ja vabatahtlik, on võimalus muuta maailma. Sa saad minna kohapeale ja reaalselt aidata mõnel riigil saada vähemalt sama küberturvaliseks kui Eesti. Kui mõelda praktilistele meetmetele, siis kõigi ekspertide lähetusi rahastab Euroopa Liit vastavalt oma tingimustele.

Projekti raames on valmimas tehniline multifunktsionaalne platvorm. Mis funktsionaalsused sellel platvormil olema saavad?
EU CyberNeti tehniline platvorm kujuneb projekti nö online koduks. Selle eesmärk on aidata nii ehitada üleeuroopalist küberekspertide kogukonda ehk tuua kokku eksperdid omakeskus. Sama oluline on aidata ka viia kokku ekspertiisi nõudlus ja pakkumine ehk eksperdid konkreetsete väljaõppemissioonidega. Platvormile saavad isikliku ligipääsu nii eksperdid kui ka üleeuroopaline küberasutuste kogukond ehk EU CyberNet Stakeholder Community. Platvormi arendatakse spetsiaalselt meie projekti jaoks.

CERT-EE, Eesti küberruumi valvur. 2020/2021 suurimad küberohud, Tõnu Tammer

Millistest riikidest meid kõige rohkem rünnatakse?
Seda on keeruline öelda, sest internetis paistab välja vaid riik, kust tuleb ründav pakett. Millises riigis arvuti taga istub ründaja, kes teises riigis asuvat serverit kasutab, on raske pelgalt paketti vaadates tuvastada.

Mis on pahavaralevitajate peamine eesmärk? Kui mu lapse arvutisse see satub, siis ehk ei saa see palju kurja teha?
Peamiselt leviv pahavara teeb kaht: varastab arvutist andmeid ning loob ründajale võimaluse kasutada arvutit edaspidi järgmisteks pahatahtlikeks tegevusteks. Kui pahavara sattub lapse arvutisse, siis esimese asjana tuleks arvestada, et pahavara varastab ära erinevad arvutisse salvestatud paroolid.

Kui sageli rünnatakse poes ostetud seadmete abil. Näiteks akupanga või USB-klaviatuuri abil?
Enamik kodus olevatest tehnilistest lahendustest ja seadmetest on ostetud ning seadmete soetusviis antud kontekstis oluline ei ole. Kuigi teoorias on ründed ühe või teise seadme abil võimalikud, ei ole viidatud seadmed otse ühendatud internetiga. Pigem tuleks olla tähelepanelik nende seadmete soetamisel, millel on internetti ühendumise võimekus (nt WiFi kaamera).

Milline on Tõnu jaoks kõige keerulisem või värvikam intsident?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kuidas CERT-EE näeb pankade tegevust õngitsusrünnakutega seoses – enamus õngitsuslehti paistab olevat suunatud panga klientide püüdmiseks – mida teeb RIA vs pangad nende lõppemiseks?
Riigi Infosüsteemi Amet hoiatab pidevalt erinevatest internetis levivatest skeemidest. Samuti oleme korraldanud mitu küberteadlikkuse tõstmise kampaaniat ning jätkame ühiskonna teavitamist ka edaspidi. Samuti oleme jaganud avalikult soovitusi, mille abil on ettevõtetel võimalik oma head nime sh. domeeni kaitsta võltsimise eest. Selleks, et saavutada hea küberturvalisuse tase on ühest küljest vaja tehnoloogiliste standardite ja parimate praktikate rakendamist kui ka inimeste teadlikkust ja tähelepanelikkust.

Kas kõigist ohtudest ja rünnakutest nii teadlik olles vahel endal hirmus ei hakka?
Hirmul ei tohi lasta võitu saada ning selle asemel, et muretseda ühe või teise teema pärast on palju mõistlikum võtta see aeg ning teha endal mõni asi paremaks. Üks praktiline tegevus, mis tasuks ära teha oleks paroolihalduri kasutusele võtmine ning kõikides kasutatavates keskkondades paroolide vahetus. Sedasi on kindel, et igale poole saab unikaalne ja pikk parool, mida peab meeles paroolihaldur.

Kas oled ise ka mõne küberrünnaku ohvriks sattunud?
Jah, minu krediitkaardi andmed on varastatud/lekkinud 3 korda.

Millistel äämuslikel juhtudel RIA soovitab lunavara nõude välja maksta? (Tulenevalt esineja väitest)
Me ei soovita kunagi lunaraha maksta. Ennem kui ründajaga suhtlusesse laskuda tuleks ühendust võtta CERT-EE-ga, kes oskab tuge pakkuda tekkinud olukorras.

Kui ajakirjanik Eeva saab oma postkasti tundmatu kirja, ja ta peab selle avama sest tegemist võib olla hea vihjega, siis kuidas ta saab veenduda, et tegemist ei ole viirusega?
Selleks, et oma arvutit kaitsta on oluline regulaarselt paigata operatsioonisüsteemi, brauserit, e-postitarkvara ning teisi arvutis olevaid tarkvarasid. Igapäevaselt peab uuendama antiviiruse tarkvara tuvastuse signatuure ning soovitame antiviiruse tarkvarade puhul kasutada ka tootja teadmusbaasi põhist kontrolli. Juhul, kui kahtlus võimaliku pahavara olemuse kohta püsib, soovitame pöörduda CERT-EE poole või kasutada meie pakutavat avalikuks kasutamiseks mõeldud pahavara süvaanalüüsi keskkonda Cuckoo: https://cuckoo.cert.ee

Milline on aasta 2020 suurimat kahju tekitanud küberintsident, mis tekitas Tõnu näole avapildil näidatud ilme?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kas iOS vajab antiviirust? Kui jah, siis palun soovitusi.
iOSile on võimalik antiviiruse tarkvara paigaldada. Tulenevalt iOS toimimise loogikast ei ole antiviirus iOS seadmetel samaväärselt tõhus kui mujal. Kuid iOS seadmete keskkonnas on pahavara levitamine ka keerukam, sest rakendusi või äppe saab paigaldada vaid Apple App Store vahendusel ning Apple kontrollib ka levitatavaid rakendusi.

Küberkuu 2020. ja 2019. aasta IT-vaatliku kampaania kokkuvõte, Lauri Tankler

Millal tuleb uus IT-vaatliku kampaania ja kellele see suunatud on?
Järgmine kampaania on suure tõenäosusega suunatud Eesti venekeelsetele elanikele. Kõik ajakava ja sisu veel täpsustub.

Kas teid saab kutsuda ka asutusse töötajaid koolitama?
Küsida võib ikka, eks siis arutame RIAs, kas või kuidas kellelgi aega on. Kampaaniate ajal on ehk vast isegi lihtsam inimesi endale kooli meelitada. Aga pigem soovitaksin küsida otse mõnelt oma tuttavalt küberspetsialistilt, kas ta võiks tulla teile koolitust tegema.

Kuidas seletada vanaemale või 5-aastasele lapsele, et mis asi on küberturvalisus?
Hea võrdlus oleks oma majaga: kui sa head ukselukku ei pane, siis võivad sisse tulla inimesed, keda sa ei taha sinna. Kui sa mõne aja tagant oma katuse läbilaskmist ei kontrolli, siis võib ühel hetkel vihma hakata läbi sadama. Ja kui sul ei ole akende ees kardinaid, näevad mööduvad inimesed sulle tuppa sisse. Kõik see kehtib ka küberruumis: paroolid on lukud, uuendused aitavad su arvutil tõrjuda välisvaenlasi, ja privaatsussätted on su kardinad akende ees.

Mida lisaks kampaaniatele inimeste teadlikkuse suurendamiseks teete?
RIA jagab perioodiliselt informatsiooni ohtude kohta küberruumis – iga kuu, kvartal, aasta – ning ka siis, kui parasjagu mingi suurem küberoht meid varitseb. Meid võib jälgida sotsiaalmeedias ja püüame pidevalt ka oma hoiatavate näidetega ajakirjanduses pilti saada.

Kas on võimalik saavutada olukord, kus kõik Eesti inimesed on IT- vaatlikud?
Kuna turvalisus ei ole kunagi lõplik, ei ole ka kõik inimesed lõpuni turvateadlikud. Kõik inimesed on mingil määral niikuinii oma elus ettevaatlikud, ka it-vaatlikud, kuid iga väiksemgi proaktiivne tegevus selle turvalisuse tõstmiseks tuleb kasuks.

Kas CIS20 on ka mõeldud pigem just 0, 1 kuni 100 töötajaga ettevõttele?
CIS20 on mõeldud ettevõtetele, kellel on töötajaid, keda koolitada; arvutisüsteeme, mida hallata; teenuseid, mis on IT-lahendustega. Seda raamistikku peaks saama kasutada ettevõte nii 10 töötajaga, kui ka 20000 töötajaga. Loe lähemalt https://www.cisecurity.org/controls/

Kas vanaema, kel on nuputelefon ja arvutis loeb vaid ajalehti, peaks ka IT-vaatlik olema?
Kui vanaema arvutis ei ole brauser uuendatud, millega ta lehti loeb, võib tema arvutisse sattuda pahavara. See võib omakorda teha palju pahandust kohalikus arvutivõrgus või hakata ründama teisi süsteeme üle interneti. Seega jah, kõik arvutit ja internetti kasutavad inimesed peaksid vähemasti teadma, et mõned küberturvalisuse teemad on olulisemad kui teised.

Kas on plaanis ka e- valimistega seotud teadlikkuse koolitusi?
Seda tuleb veel vaadata ja kaaluda, sest iga selline teema nõuab eelarvet. E-valimise õpetamist on vaja üha vähem, sest inimesed on Eestis sellega juba niivõrd harjunud ning aitavad ka üksteist. Küll aga peame vajalikuks toonitada, et hea oleks hääletada oma arvutist, mille puhul sul pole kahtlust, et see oleks nakatunud mingi pahavaraga. Küll me leiame võimaluse seda sõnumit levitada.

Kas RIA teeb koolituste osas koostööd ka HTM-ga, et küberturbe küsimused oleksid kooli õppekavades sees?
Haridus- ja teadusministeeriumi all tegutsev Harno (mille koosseisu liideti ka varasem Hariduse Infotehnoloogia Sihtasutus HITSA) pöörab küberturvalisusele koolides palju tähelepanu ning see küsimus on kindlasti üks, mis neil on kaalumisel. Küsimus on siis pigem selline: kas küberturvalisus peaks olema eraldi õppeaine, läbiv teema või mõlemat. Iga uuema valdkonna õppekavadesse liitmine peab tähendama ka seda, et keegi oleks võimeline neid aineid õpetama. Kui seda teha pelgalt kohustuse pärast, ei pruugi sellest head nahka tulla.

Öeldi, et avalikule sektorile võimaldatakse testi tegemist, see on puhas vale! ETO-d on samuti avalik sektor, kuid ETO-le keelduti testi võimaldamisest!
Eeldan, et juttu on Küberhügieeni Digitestist. DigiTest on suunatud eelkõige valitsussektorile, sh valitsusasutused, põhiseaduslikud institutsioonid ja kohalikud omavalitsused, kuid skoopi on laiendatud ka perearstikeskuste ja üldhariduskoolide personalile. Üheks eelduseks on liitumine Riigivõrguga. ETOsid on muidugi on nii avalikus kui ka erasektoris. Kirjutage digitest@ria.ee, et teada saada, millised on teie asutuse võimalused seda õppeplatvormi kasutada.

Milleks ja kellele Eesti uus infoturbestandard, Ilmar Toom

Miks on meile vaja järjekordset standardit?
Eks igal sellisel lahendusel ole oma elukaar ning olemasoleva oma on jõudmas sinna, et aeg on küps uue jaoks. Ka organisatsioonide küpsusaste kasvab tasapisi ning üha rohkemad on valmis võtma kasutusele standardit, mis pakub lisaks etalonturbele ka riskipõhist lähenemist.

Kas RIA hakkab ka uue standardi täitmist kontrollima?
Jah, RIA teostab järelevalvet infoturbemeetmete rakendamise üle nagu praegugi.

Kui palju on iske rakendamise nõuete vastu eksimise eest trahvitud?
RIA ei tee asutustele trahvi. Kui tuvastatakse puuduseid, mida mõistliku aja jooksul ei kõrvaldata, siis saab määrata sunniraha. Seda saab teha korduvalt, senikaua kuni puudused kõevaldatakse.

Kas olete ISKE ise läbi lugenud?
ISKE ei ole juturaamat, et see kaanest kaaneni läbi lugeda. Pigem on see käsiraamatu laadne teatmik, kust vastavalt vajadusele saab infot otsida. Rakendusjuhend jms üldise dokumendid on muidugi mõistlik läbi lugeda.

Kui ISO on olemas, miks siis üldse uut standardit vaja on?
ISO ei sobi kõigile. Kõik asutused ei soovi või ei jaksa ISOt rakendada. Kuid kes soovib, siis palun väga – ISO 27001 sertifikaadi olemasolu korral loetakse infoturbemeetmed rakendatuks.

Kes asutuses peaks e-ITSi kasutusele võtmisega tegelema hakkama või seda kasutuselevõttu algatama?
Iga selline ettevõtmine on terve maja projekt, kõik peavad sellega tegelema ning arusaama, mida ja milleks tehakse. Mõistagi jagunevad tööülesanded erinevate rollide vahel, kuid, nagu enamasti, algatus ja üldvastutus on tippjuhtkonna juures, sealt edasi äriprotsesside omanikud jne.

Kas uue standardi rakendamise toetamiseks luuakse ka tööriist, rakendus vmt?
Esimeses järgus luuakse portaalile, kus standard asuma hakkab, API, mille abil on standardit lihtne integreerida asutuses juba olemasolevasse töövoohaldusesse. Järgmisel aastal tegeleme ka eraldi tööriista loomise küsimusega.

Kui enne oli 5000 lk ja nüüd 500 lk, kas midagi siis jäeti lihtsalt välja?
Standardi loomisel pandi suurt rõhku mh ka sellele, et esitada materjal võimalikult lühidal ja kontsentreeritud kujul. Sellega seoses on seal vähem korduseid, kirjeldavaid taustalugusid ja üldharivat teksti. Kõik oluline on olemas.

Millal ISKE kinni pannakse?
2024 alguses. ISKE saab siis 20-aastaseks.

Kuidas sündis uue standardi nimi? Kas oli ka alternatiive lisaks E-ITSile?
E-ITS on akronüüm standardi pikast nimest. Kas sellet saab ka lõplik nimi, näitab aeg. Praegu on E-ITS nö tööversioon ning kui kellelgi on silmapaistvalt häid ideid, siis andke meile teada. Jah, meil oli ka erinevaid alternatiive.

Kas ja kui paljudele organisatsioonidele on RIA sel aastal sunnirahasid või trahve määranud? Sanktsioneerimine ei ole kunagi olnud RIA eesmärk. Meie eesmärk on ikkagi see, et asutustes oleksid infoturbemeetmed rakendatud. Kui seda on võimalik saavutada ilma sunniraha määramata, siis see on kahtlemata meie eelistus. Alati see siiski ei õnnestu ja mõnedel puhkudel oleme määranud sunniraha.

Kes hakkab uut standardit auditeerima? Kas neid partnereid on juba olemas?
ISKE puhul on endiselt auditi partneritest puudus. Uut standardit hakkavad auditeerima audiitorid, tõenäoliselt paljuski samad, kes senigi. Ma ei tea, et mõni audit oleks tegemata jäänud põhjusel, et ei ole auditeerijat.

Kust saab alla laadida E-ITSi kavandit?
E-ITS ei hakka olema terviklikuna allalaetav dokument, PDF vms. E-ITS hakkab asuma portaalis, nii nagu ISKE praegugi. Portaal muutub avalikult kättesaadavaks jaanuaris.

Kas E-ITS koolitust on plaanis korraldada üle interneti, arvestades praegust COVID seisu?
Kõige parema meelega korraldaksime füüsilise kohaolekuga koolitusi, kuid meid ümbritsevast keskkonnast tulenevaid mõjusid arvestades võib juhtuda, et peame neid tõepoolest tegema üle veebi.

Miks mitte jääda ISO-27001 juurde selle asemel, et ise leiutada?
ISO puhul on seda “ise leiutamist” oluliselt rohkem kui E-ITSi puhul. E-ITSist on soovi korral võimalik võtta etalonturbe meetmed, ilma et peaks neid ise leiutama hakkama. ISO puhul sellist võimalust ei ole.

Kas riik võiks standardi genereerimiste asemel tegeleda toe/teenuse pakkumisel riskide haldamisel/kaardistamisel/lahendamisel?
Riik ei saa tulla ühegi asutuse riske kaardistama ega haldama, see on ikka iga asutuse enda töö. Mõistagi oleme pakkunud tuge ja koolitusi riskianalüüside läbiviimiste jms teemal ning jätkame seda ka tulevikus. Aga ühegi asutuse eest riske kaardistama ega haldama tulla riik ei saa ega tohi.

RIA juhtkonna paneel – Mida toob 2021 RIA-le ja tema partneritele?

Vasakult: RIA peadirektor Margus Noormaa, peadirektori asetäitja küberturvalisuse alal Lauri Aasmann ja peadirektori asetäitja riigi infosüsteemi alal Margus Arm.

Kas RIA saaks või peaks riigiasutuste koostööd küberturvalisuse tagamisel kuidagi paremaks muuta ja milles see võiks väljenduda?
Kindlasti saaks, aga kvalitatiivseks hüppeks oleks vaja küberturvalisusesse rohkem investeerida. Ja mitte ainult RIAsse, vaid laiemalt.

IT minister ütles, et tema ei saa kinnitada ilma väliste audititeta Eesti e-valimiste turvalisust. Kas RIA peadirektor saab kinnitada, et e-valimised on senini olnud turvalised.
Täna ei ole ühtegi põhjust väita, et e-Valimised ei ole turvalised. Uute valimiste osas kindluse saamiseks on kindlasti igasugused auditid teretulnud. Mida põhjalikumad, seda parem.

Eesti on siiani suuresti läinud rätsepatööna tehtud IT hankimise ja arendamise teed. Kas näete, et siinses ökosösteemis on midagi suurt, mida saaks ka nö karbitootena osta või erasektorile delegeerida
Kindlasti saaks riik rohkem sisse osta ja pikajalises vaates ka sellised plaanid on. Nt arvutitöökohtade haldus või pilve kasutamine jne.  

Kui palju MKM kui RIA katusorganisatsioon dikteerib Eesti küberturvalisusest arengusuundi?
Võiks rohkem dikteerida. Täna peamiselt läbi standardi, järelevalve ja kogukonna kaasamise. Samas võiks riigis olla mitmed kesked RIA poolt hallatud lahenduste kasutamine olla kohustuslik ja mitte valikuline a’la riigivõrk, riigiportaal, keskne autentimine jms lahendused.

Ühes kohas väidetakse, et e-valimsed ei ole turvalised, sest auditeerimist pole tehtud, teises kohas väidetakse, et e-valimised on turvalised. Keda me nüüd usume? Kes auditeeris lahenduse või mitte?
Siiani 15 aasta jooksul toimunud valimiste auditeerimiste kohta on info kättesaadav riigi valimisteenuste kodulehelt. Sealt leiab vastused ka korduma kippuvatele küsimustele.

Miks riik kaasab niivõrd vähe tunnustatud tippeksperte väljaspoolt avalikku sektorit? Kas riik on tõesti veendunud, et kogu tippkompetents on avalikus sektoris?
Riik kasutab väga palju erasektori tippspetsialiste. Seda erinevates valdkondades sh nt arenduses ja infoturbes.

Rahast rääkides – kui raha paneb tellija paremini läbi mõtlema – mis on muidugi õige, siis miks ei võiks tellija ise otsustada, millisele tarnijale ta oma raha viib?
Reeglina võibki. Teatud valdkondades tuleb arvestada ka julgeoleku aspektidega ja siin ei ole mõtet võtta liigseid riske.

Riigiasutused saavad oma raha riigieelarvest. Kui riigiasutused hakkavad oma tulu teenima, siis kas see riigieelarveline tugi ei ole ebavõrdne konkurentsieelis erasektori ees?
Riigisektori IKT on olnud ja on jätkuvalt teatud ulatuses alarahastatud ning kui omatulu ka teenitakse, siis kulub see enamasti eelarveaukude lappimiseks. Riik ei peaks riigiarvelise raha eest pakkuma konkurentsi erasektori teenustele, kui see just ei aita kokku hoida riigi enda raha (nt Riigi autentimisteenus).

Küsimused ja vastused: RIA infopäeva esimene päev 17.11.2020

17. novembril 2020 toimus RIA virtuaalse infopäeva esimene pool. Infopäeva avanud RIA peadirektori Margus Noormaa sõnul pole vähimatki kahtlust, et digitiiger on täiesti ärkvel ning hüppab suurte sammudega edasi. Mitmeid arenguid digiteenustes demonstreerisid ka esitlused, mis on järelevaadatavad RIA Youtube’i kanalil.

RIA peadirektor Margus Noormaa. Fotod: Grete Kivi/RIA

Ühe tähelepanuväärse näitena võib välja tuua nõusolekuteenuse, mille abil saab juba peagi kontrollida enda isikuandmetega toimuvat, ning mis võimaldab andmepõhist innovatsiooni erasektoris. Seda teemat puudutav esitlus pälvis ka kuulajatelt elavat tähelepanu. Avaldame vastused vaatajatele tekkinud küsimustele.

Riigi infosüsteemi haldussüsteem RIHA ja selle arengud, Riho Kerge

Klassifikaatorid olid vanas RIHA-s, nüüd toodi osad (valik tehti mingi kummalise loogika järgi) üle uude ja tuli info, et vana RIHA pannakse aasta lõpus kinni. Mis saab nendest vanadest klassifikaatoritest (mida RIHA vanast keskkonnast üle pole toodud)?
RIHA vanast keskkonnast toodi üle viimase kahe aasta jooksul uuendatud klassifikaatorid. Klassifikaatorite süsteemi koorineeriv Statistikaamet on arvamusel, et küllaltki suur osa vanas keskkonnas olevatest klassifikaatoritest polegi ilmselt klassfikaatorid, vaid infosüsteemi siseseks kasutamiseks loodud loendid. Ministeeriumide vahel on kooskõlastamisel klassifikaatorite süsteemi määruse eelnõu, mis näeb mh ette, et Statistikaamet selgitab välja, millised on (riigisisesed) klassifikaatorid ja kehtestab need või teeb ettepaneku klassifikaatori haldajale need kehtestada ühe aasta jooksul pärast määruse jõustumist. Eelnõu kohaselt kehtestatakse klassifikaatorid ministri määruse või asutuse juhi käskkirja. Ka seetõttu pole otstarbekas vanast RIHAst rohkem klassifikaatoreid üle tuua. (Põhjendatud juhul oleme siiski valmis enne 2020. aasta lõppu soovitud klassifikaatori(d) üle tooma, palun kirjutage meie kasutajatoele help@ria.ee.)

Ei soovi klassifikaatorit uuendada vaid et see toodaks üle uude RIHA-sse. Kasutusel ongi versioon, mis on vanas RIHA-s, seda sellepärast, et EU-s ei ole versioon muutunud.
Palun kirjutage meie kasutajatoele help@ria.ee ja leiame lahenduse

Kas asutused peavad nüüd kahele organisatsioonile oma infosüsteemide kohta aru andma ja kirjeldama? Statistika amet kogub samuti infot nüüd ülevaadet riigi infosüsteemi kuuluvate andmekogude kohta.
Statistikaamet on seaduseandja tahtel asunud riigis koordieerima andmehaldust. Selleks vajavad nad ülevaadet riigi infosüsteemi kuuluvate andmekogude kasutamisega seotud korralduslikest tegevustest. Sellist teavet RIHAsse ei koguta. Statisitikaamet on meile teadaolevalt seda infot kogunud/kogumas vaid ühekordse kaheosalise küsitlusega.

“Tuleb sisse logida” ja “anonüümne” ei ole väga kooskõlalised väited. Kas tõesti peab tagasiside andmiseks sisse logima?
RIHA kasutamise kohta tagasiside andmiseks ei ole sisselogimine nõutud. Anonüümse tagasiside saate jätta aadressil https://www.riha.ee/Tagasiside

Kas eelanalüüs on avalik dokument ja sellega võimalik tutvuda?
Dokumendiga tutvumiseks kirjutage palun RIHA tootejuhile

Millal RIHAKE valmis võiks saada?
Planeerime RIHAKEse valmimist 2021. aasta lõpuks.

Mis ikka saab X-tee alamsüsteemidega RIHA-s? Kas RIHA-s neid peale kustutamist ei näe ja peab otsima mujalt?
X-tee alamsüsteemid ei kuulu alates 2. detsembrist 2020 enam RIHAs registreerimisele ja seal täna olevad X-tee alamsüsteemid eemaldatakse RIHAst 2020 aasta detsembri teises pooles. Kõik X-tee alamsüsteemid leiab X-tee kataloogist https://www.x-tee.ee/service-catalog.

Miks seda RIHAKE-st jms kaasnevat kõike vaja on? X-tee teenuste wsdl-ides on objektid ja tüübid ju kirjas. Kas see lisatöö annab mingit lisaväärtust?
RIHA-le vaatamata puudub riigis ajakohane ja piisavalt usaldusvääre ülevaade riigis töödeldavatest andmetest. Kohati puudub selline ülevaade ka asutustel endil. Seni on puudunud ka standard võrreldavate andmekirjelduste loomiseks.
Statistikaamet on selle loonud. RIHAKE-sest saab asutuste andmehalduse töövahend – standardil põhinevate andmekirjelduste loomiseks ja edastamiseks RIHA-sse.
Seega loob RIHAKE-se kasutusele võtmine eeldused riigis töödeldavatest andmetest ajakohase ülevaate saamiseks (olemasolevate X-tee teenustega ei pakuta kasutamiseks kogus asutustes hallatavat andmestikku) ja andmete kiireks leidmiseks. RIHAKE-sega luuakse eeldused andmete paremaks kasutamiseks teenuste osutamisel ja otsuste tegemiseks.

Nõusolekuteenus – iga nõusolek loeb, Sander Randorg

Kas kõiki nõusolekuid antakse tasuta või kunagi saab neid ka hinnastada läbi selle platvormi?
Hinnastamist ei ole täna platvormi funktsionaalsuste hulka planeeritud.

Nõusolek ei ole isikuandmete kaitse üldmääruse alusel avaliku sektorile sobilik õiguslik alus isikuandmete töötlemiseks. Seega avalikus sektoris see ei töötaks. Kas NT kasutajaks on alati erasektor?
Praktikas on tõesti nõusolekuteenuse põhilised kasutajad erasektoris, kelle huviks on inimestele andmepõhiseid teenuseid pakkuda. Oluline on aga mõista, et nõusolekuteenuses antav nõusolek antakse tegelikult just avaliku sektori andmekogule, et eksisteeriks õiguslik alus andmete väljastamiseks, mis on üks isikuandmete töötlemise vorme. Andmete edasist töötlemist andmesaaja (näiteks ettevõtte) poolel reguleerib üldjuhul aga eraldi leping tema ja andmesubjekti vahel, mida ei hallata enam nõusolekuteenuses.

Teoorias on võimalik ka see, et avaliku sektori asutus küsib inimeselt mingit sorti lisateenuse pakkumiseks nõusolekut

(https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdF lk 39), siiski sellistele kasutusjuhtudele me enda lahenduses ei keskendu.

Kui asutus kasutab kliendile teenuse andmiseks 12 erineva registri andmeid, kas pole oht et selle ühe avalduse töötlemiseks jookseb see keskne nõusoleku rakendus kokku? Meil on kümneid asutusi riigis.
Süsteemi perspektiivist annab inimene sellisel juhul 12 erinevat ja erinevale registrile mõeldud nõusolekut. Andmete väljastamisel kontrollib iga register just talle adresseeritud nõusolekut. Seega andmete liikumine toimub tegelikult mitmete erinevate registrite ja andmesaaja vahel, nõusolekuteenuses kontrollitakse lihtsalt seda “kas tohib?”.

Piloteerimise faasis on RIA ainus nõusolekuteenuse pakkuja, aga arhitektuuris arvestame aktiivselt vajadusega tulevikus nõusolekute haldus erinevate valdkondade vahel ära jagada, et vältida võimalikke halduskoormusest, jõudlusest, turvalisusest või muudest teguritest tingitud probleeme. Kindlasti jääb aga inimese jaoks nõusolekuteenuse keskkond riigiportaali, et kindlustada ühtlane kasutuskogemus.

Riik osutab teenuseid seaduste alusel, seetõttu kas riigiasutus peab üldse küsima neid nõusolekuid inimeselt?
Riiklikul andmekogul peab olema õiguslik alus enda käes olevate isikuandmete väljastamiseks. Riigiasutusel on seega vaja nõusolekut, kui ta tahab väljastada andmeid osapoolele, kellel pole ühtki muud seaduslikku alust nende andmete saamiseks. Lihtsustatult – kui ettevõte tahab riigi käest isikuandmeid, peab selle jaoks sellelt inimeselt luba küsima.

Kas isik võib nt volitada Google’it (või kedagi teist) oma andmeid saama perioodiliselt, et Google saaks mulle paremaid teenuseid osutada?
Nõusolekuteenuses antav nõusolek kehtib kindla ettemääratud aja, mille vältel on andmepäringud võimalikud. Google ei ole aga kindlasti osapool, kellega meil nähtavas tulevikus ühtki plaani oleks.

Kas nõusoleku tagasivõtmine kehtib ainult etteulatuvalt? St, ei pea tagantjärele mingeid nõusoleku alusel küsitud andmetega midagi tegema hakkama?Nõusoleku tagasivõtmine mõjutab ainult edasist andmeväljastust. Kuna juba edastatud andmetel on uus vastutav töötleja mõne ettevõtte näol, on näiteks “õigus olla unustatud” juba inimese ja selle ettevõtte vaheline küsimus.

Kas ma näen, kas minu antud nõusolekut on reaalselt kasutatud või mis andmeid andmete omanik reaalselt edastas?
Andmete edastamine peab olema võimalikult läbipaistev. Inimene saab analoogselt tänase andmejälgijaga ülevaate sellest, mis hetkel ja mis nõusoleku alusel andmed liikusid. Sellest, mis andmeid edastama hakatakse, saab inimene ülevaate juba hetkel, kui ta nõusolekut andma hakkab. Loomulikult on ülevaade sellest näha ka hiljem.

Kas SOM ja E&Y analüüs saab olema avalik?
Kindlasti, tegemist on siiski paljusid osapooli puudutava ja sisult olulise dokumendiga.

Riigil on meeletult andmeid ja nende peale teenuseid saab ehitada lõputult. Paraku tohib andmeid töödelda vaid seaduse alusel, mis oluliselt pärsib nt erasektoril kasutada riigi kogutavaid andmeid oma teenuse ehitamiseks. Kas mingil hetkel me jõuame ka selleni, et erasektor saab (kasutaja nõusolekul) kasutada andmeid riiklikest andmekogudest seadusest tuleneva eesmärgita?
See ongi tänase teenuse peamine mõte. Teisisõnu – positiivse stsenaariumi korral jõuab see hetk kätte suvel 2021.

Kes vastutab tekkinud kahju eest, kui mu nõusolek oli olemas, et saada teenust, aga teenus oli aeglane ja enne teenuse saamist jõudsin nõusoleku tühistada?
Nõusolekuteenuse arhitektuur välistab valdava enamiku sellistest juhtudest, kuna enne iga andmeväljastust kontrollitakse nõusolekut uuesti ning igal sammul on lähtutud inimese õigusest igal hetkel ümber otsustada. Teoorias eksisteerib imeväike võimalus, et inimene võtab nõusoleku tagasi hetk pärast seda, kui andmekogu on edukalt nõusolekut kontrollinud, aga ei ole veel jõudnud andmeid väljastada. Nagu iga teise meediumi puhul, pole füüsiliselt võimalik, et süsteem reageeriks absoluutselt samaaegselt. Nõusolekuteenus on aga siiski mitme suurusjärgu võrra kiirem, kui ükskõik millised tänased vahendid.

Kui andmejälgija jalajälg on seni päris väike, siis kas nõusolekuteenusega liidestavatele andmekogudele saab andmejälgija kasutuselevõtmine kohustuslik olema?
Andmejälgija ja nõusolekuteenus moodustavad teenustena ansambli, kuna on mõlemad tugevalt isikuandmete töötlemisega seotud. Nende ühine kasutuselevõtt andmeid väljastava andmekogu poolt on seega loomulik ning ka osapooltele mõistlik lahendus, kuidas andmete edastamine läbipaistvaks muuta.

Miks me usume, et inimesed enda andmetest lugu peavad, kuidas nad seda tegema panna? Ma ju tahan laenu saada, mis mul üle jääb *klõpsan annan nõusoleku*.
Meie saame omalt poolt anda inimesele võimaluse enda andmete kasutamise üle otsustada, teha seda ühetaoliselt ja ühes keskkonnas, saame suurendada läbipaistvust, kuvada selgitusi ning vajadusel ka hoiatusi. Kui tänased võimalused oma andmete üle otsustamiseks on olnud ahtad, ei saa ka eeldada, et see lugupidamine tühja koha pealt tekiks. Suurenev avalik diskursus isikuandmete töötlemise võimaluste ja eetilisuse üle on aga igas vormis teretulnud.

Pangalingilt nõusolekute andmise näide. Milline saab olema avalik kommunikatsioon? Tavaline inimene ei saa aru, kuhu ja miks ta nüüd sattus.
Nõusoleku küsimine peab olema selge ja arusaadav protsess juba GDPR-ist lähtuvalt. Praktikas peab andmeid küsiv rakendus inimesele selgelt teada andma, et ta suunatakse nõusolekuteenusesse nõusolekut andma. Nõusolekuteenus ise saab olema lihtsasti mõistetav ning pakkuma hulgaliselt võimalusi teenuse sisuga tutvumiseks.

Küsimus andmekogu pidaja vaates: kas andmete väljastamise teenus võib olla ka tasuline?
Teoorias on see ilmselt võimalik, kuid sõltub palju konkreetse valdkonna isikuandmete jagamise suurematest eesmärkidest. Kui erasektori pakutavad teenused parandavad näiteks rahva tervist või aitavad võitluses rahapesu vastu, on kaudsed tulud tihti otsestest kuludest tähtsamad.

Sander, kas inimene annab/saab anda nõusoleku enda andmete kasutamiseks tähtajaliselt? Mille põhjal tekivad isiku andmetest komplektid, millele inimene õiguse annab ja kes neid komplekte haldab?
Jah, iga nõusolek, mis antakse, on tähtajaline. Isikuandmete komplektid määrab andmekogu pidaja, kes enda teenuseid nõusolekupõhiselt pakkuma hakkab. Komplekt võib olla nii olemasolev andmeteenus, selle osa või päris uus loodav teenus, mille skoop on selgelt määratud ja inimmõistetavalt kirjeldatud.

Kuna järgmised kasutusjuhtumid võiksid arenduseni jõuda?
Tänase plaani kohaselt liigume kursil suvi 2021.

Kuidas riik paneb andmete saajad selgelt sõnastama andmete kasutuse otstarbe? Kas see läheb nõusoleku küsimise protsessi sisse?
Andmete kasutamise otstarve ehk eesmärk on inimesele kuvatavas nõusolekutaotluses olulisel kohal. See, milline on mõistliku pikkusega ja oma sisult inimesele arusaadav eesmärk, on E&Y läbiviidava analüüsi üks punktidest.

Mis on uut X-teel, Joonas Heiter

Mis need x-ruumid on?
X-Ruumid on üks võimalik lähenemine publish-subscribe arhitektuurimustrile, kus senise 1:1 andmevahetusele lisaks ei pea andmevahetus olema samaaegne ning võib toimuda 1:mitmele.

Kas RIA on loonud või loomas lahendust turvaserveri logide pärimiseks/väljastuseks? Praegusel kujul pole pakendatud X-tee logide pärimine praktikas võimalik (võtab nädalaid ja kuid).
Hetkel universaalset lahendust kahjuks pakkuda ei ole. Küll aga on see arendusvajadusena uurimisel v7 osana.

Kas RIA sertifikaadid jäävad tasuta kõigile kasutamiseks?
Sertifikaate ei ole plaanis hinnastada.

Kas seose lisamine RIHAs oleva infisüsteemiga on kohustuslik või vabatahtlik?
Vabatahtlik, kuid võimalusel soovituslik.

Kas on ette teada, millal X-tee v6 tugi kaob, ehk et millal oleks viimane aeg v7-ga liituda? Kuna see üleminek on suur kulu ettevõtetele, oleks hea teada mingit ajaraami.
Üleminek algab aastal 2022 ning X-tee v7 väljatöötamisel on õpitud versioon 5 sulgemisest ehk v7 üleminek on pigem sarnane versioon 6 tarkvara uuendusega ning ei vaja eraldi suuri investeeringuid.

Millal X-tee v6 kasutusest välja läheb?
Eeldatavasti 2023. aasta jooksul.

Kui asutusel pole IT administraatorit ja arvatavasti on turvaserver uuendamata, kas mingist hetkest võib X-teega liitumine kaduda?
Vastavalt määrusele tuleb kasutada viimast või eelviimast tarkvara versiooni. RIA monitoorib turvaserverites kasutatavaid tarkvaraversioone, kuid kindlasti ei lülitata kedagi X-teelt automaatselt välja, vaid suheldakse otse turvaserveri administraatoriga ning vajadusel aitame tarkvara uuendada. Kindlasti võib siinkohal pöörduda RIA poole help@ria.ee

Kas RIA poolt väljastatud e-templi sertifikaate saab ka avalik sektor. Slaidil oli mainitud, et erasektor vaid ja viitasid väikestele raamatupidamisbüroodele.
RIA poolt väljastavad e-templi sertifikaadid on eelkõige mõeldud erasektori asutustele kasutamiseks. Sertifikaatide väljastatakse kõikidele asutustele, kuid avaliku sektori puhul rõhutame üle, et tegu ei ole kvalifitseeritud usaldusteenustega ning X-tee liikmel tuleb hinnata vastavalt oma asutuse infoturbepoliitikale riske.

Kuidas sahvris vahetatud AK dokumendid registreeritakse, mida nõuab AvTS?
Sahver on failivahetuskeskkond ning selles dokumente eraldi ei registreerita. AK dokumendid tuleb vastavalt AvTSile registreerida vastavas asutuse dokumendiregistris ning Sahvris on võimalik suurte andmemahtude korral neid teisele osapoolele edastada.

RIA roll valimiste korraldamisel, Alo Einla

Mis siis juhtuma hakkab, kui VIS3 õigeks ajaks valmis ei saa? Kas kasutakse VIS2?
VIS3 saab õigeks ajaks valmis. Rahvahääletuseks saab valmis minimaalselt võimalikud funktsionaalsused, mis on hädavajalikud valimissündmuse läbiviimsieks. VIS2 ei ole kasutatav.

Kas saab ka üksnes paberil hääletada?
E-hääletamine on seaduses sätestatud valimise viis. Seega järgmistel valimistel tuleb nii e-hääletamine kui ka paberil hääletamine.

Kas iseteenindusmoodulis saavad oma kandidatuuri KOV valimistel üles seada kõik soovijad?
Jah, kõik soovijad, kellel on selleks seadusest tulenev õigus.

Usaldusteenused – valmisolek uueks kriisiks ja NFC tugi, Andrei Kargin

Millal CRIIS’i soovitakse live‘is rakendada?
CRIISi valmidus toimetada sertifikaatide uuendamisega LIVE ID-kaartidel on planeeritud saavutada 2021 lõpp – 2022 alguses. 2021 aasta jooksul planeeritakse luua CRIISi valmidust TEST ahelas sertifikaatide uuendamiseks.

Hetkel on maailmas planeerimisel immuniseerimise sertifikaat. Kas on mõeldav, et selle tarvis vajalik info on ID-kaardi omanikel talletatud ID-kaardile? Ja mis arvate ise, kas on hea idee?
ARMIS projekt loob keskkonna, mis võimaldab lisada ID-kaardile rakendusi, mille kaudu saaks hallata ja esitada isikuga seotud erinevaid tõendeid, sealhulgas võiks olla ka immuniseerimise sertifikaat. Probleem on pigem, kuidas saab valideerida – kasutada selle sertifikaadi väljaspool Eesti ökosüsteemi. Selle probleemi lahenduse otsimisega me planeerime tegeleda eraldi.

Tartu ülikoolis öeldi, et ID-kaardi NFC töötab küll. Miks ei saa telefonis ID-kaardiga allkirja anda ja autentida?
NFC-liides on uutes ID-kaartides tõepoolest aktiivne ja selle kaudu saab kätte isikufailis olevaid andmeid ja isiku sertifikaate, kuid on keelatud kasutada autentimise ja signeerimise rakendusi. Piirang on seotud rakenduste sertifitseerimisega Qualified Electronic Signature Creation Device (QSCD) tasemele.

Kes on see partner või partnerid, kes CRIIS ja ARMIS teevad?
CRIISi projektis partneriteks on NORTAL, CYBERNETICA AS ja Clarified Security. ARMIS projektis partneriteks on NORTAL ja Clarified Security

Miks peab lisama kolmanda osapoole rakenduse info kaardile, kui kolmandad osapooled saavad juba kaardilt infot lugeda?
See kindlasti sobiks online teenustele, kuid võttes arvesse offline dokumente või tõendeid, siis kaardi peal olevaid andmeid nende jaoks kindlasti ei jätku.

Riiklik SSO ja selle arengud, Helen Raamat

Kas TARAga on kõik juba suuremalt jaolt liitunud või on oodata veel suurt kasutajaskonna kasvu?
Kindlasti on oodata veel olulist kasvu, arvestades, et meil on aastaga Riigi autentimisteenusega liitunute arv kasvanud poole võrra ning igakuine liitumiste arv järjest kasvab.

Miks mõned riigiasutused venitavad TARAga liitumist?
Võib eeldada, et selleks on erinevaid põhjusi, olgu selleks siis finantsiline (näiteks, ei leita vajalikku ressurssi liidesumiseks) või organisatoorne põhjus. Riigi autentimisteenuse poolel monitoorime igapäevaselt kliendivajadusi, mis võivad mõjutada nende liitumisotsusi ning püüame võimalusel need ka enda poolel lahendada.

Miks TARA väljastab infosüsteemile kasutaja nime suurtähtedes? Kui põhjus selles, et ID-kaardil õigel kujul nime ei ole, siis kas saaks selle sinna tulevikus panna?
Nimed loetakse sertifikaadi pealt ning edastatakse samal kujul Riigi autentimisteenusega liitunud infosüsteemile.

Kuhu Euroopas Eesti eIDga sisse saab?
Piiriülene koosvõime Eesti eIDga on loodud tänaseks 21s riigis, sh Austria, Belgia, Hispaania, Holland, Horvaatia, Itaalia, Kreeka, Leedu, Luksemburg, Läti, Malta, Norra, Poola, Portugal, Rootsi, Slovakkia, Sloveenia, Soome, Suurbritannia, Taani ja Tšehhi. Näiteks Taani on teavitanud umbes 55st erinevast e-teenusest, mis on kättesaadavad läbi Taani riigiportaali https://lifeindenmark.borger.dk/. Samuti ka paljudes teistes eelnimetatud riikides.

Millist kasu asutus TARAga liitumisest saab? Kas see muudab kuidagi töö tõhusamaks või hoiab raha kokku?
Autentimislahenduse haldus igas asutuses ja haldusalas eraldi on nii haldamise kui arendamise mõttes kulukas. Riigi autentimisteenusega liitudes saavutatakse oluline kulude kokkuhoid, kuna asutus ei pea enam ise oma autentimislahendusi välja arendama ja neid käitama. Kuna autentimispäringud kaetakse samuti keskselt läbi Riigi autentimisteenuse, siis kaob asutusel vajadus hallata eraldi lepinguid SK-ga ning sellega seotud päringuid oma eelarvest rahastada. Asutused, kellel lasub eIDAS määruse rakendamise järgne kohustus tunnustada oma e-teenustes Euroopa Liidu liikmesriikide hinnatud eID vahendeid, saavad selle funktsionaalsuse läbi Riigi autentimisteenuse, ilma ise keerukat piiriülest taristut implementeerimata.

Kas praegused TARA kasutajad on sellega rahul?
Meile laeunud pöördumiste põhjal võib järeldada, et kasutajad on TARAga rahul. Ainuke rahutuse märk esineb üksikutel juhtudel arendajate poolt, kes pole TARA kohta käivat dokumentatsiooni hoolikalt läbi lugenud ja satuvad seetõttu segadusse.

Millised on kasutajate kõige sagedasemad probleemid TARAga?
Arendajate poolt arenduse käigus muudetakse mingeid parameetreid (nt redirect-url või client_id) ja siis TARA poole pöördumisel saadakse viga. Testimisel live ID-kaardi või MID ei ole korrektselt serdid üles laetud SK demo lehele.

Kas lokaalne autentimisserver võib või tohib tara teenust vahendada?
Kui küsimus käib kasutusjuhu kohta, kus asutusel on oma infosüsteem, mis delegeerib autentimist Riigi autentimisteenusele, siis selline kasutusjuht on lubatud eeldusel, et see on turvaliselt tehtud. Siinkohal lasub asutusel kohustus teavitada RIAt infosüsteemidest, kuhu autentimisteenust vahendatakse.

Tehnoloogiaosakond: RIA alustala

Riigi infosüsteemi ameti tehnoloogiaosakond eesotsas Tarmo Hangaga on see, kelle najal kogu RIA püsti seisab. Fotod: Grete Kivi/Riigi Infosüsteemi Amet

Riigi infosüsteemi ameti tehnoloogiaosakond on see, kelle najal kogu RIA püsti seisab. Just tänu neile toimivad meie tööks vajalikud kohtvõrk, seadmed ja serverid. Samuti haldavad nad pea kõiki asutuse infosüsteeme.

Tehnoloogiaosakond koosneb kahest tiimist – devopsid ja süsteemiadministraatorid. Devopsi tiimi ülesanne on tegeleda olemasolevate ja loodavate infosüsteemide automatiseerimise teemadega ning selleks vajaliku keskkonna ja teenuste pakkumisega.
Süsteemiadministraatorite tiim tegeleb aga infosüsteemide jooksva paigaldamise, haldamise ja igapäevatöös tekkivate küsimuste lahendamisega.

Lisaks on tehnoloogiaosakonnas kaks arhitekti, kellest üks tegeleb tarkvara arendamisega ehk vastab küsimusele, kuidas peaks tarkvara arendama nii, et see saaks hea ja toimiv ning sobiks kokku ülejäänud e-riigi tarkvaratükkidega, teine aga tarkvara käitamiseks sobiva keskkonna ja valmiskomponentide valikuga.

Pilvesolek ja teemaderohkus

Osakonnajuhi Tarmo Hanga sõnul on moodne aeg jõudnud ka RIA õuele ehk oleme sarnaselt muu maailmaga otsaga „pilves”. Tõsi, meie pilv on virtualiseerimiskeskond, mida kontrollib ja haldab just meie endi tehnoloogiaosakond. Väliseid pilveteenuseid kasutame vähe. Pilves olemine tähendab ennekõike seda, et enamik kõigist tööks vajalikest serveritest on virtualiseeritud, mis tähendab, et ühe päris serveri „kõhus” teeb tegelikult igapäevaselt tööd kümneid väiksemaid virtuaalservereid. Selline lähenemine tagab oluliselt suurema töökindluse (ühe päris serveri katkiminekul ei juhtu tegelikult suurt midagi) ja võimaldab olla palju paindlikum, sest kui on näha et mõne infosüsteemi koormus kasvab, saab anda kiiresti lisaressurssi. Nii saame päris serverite ressurssi maksimaalselt ära kasutada. Hetkeseisuga on tehnoloogiaosakonna hallatud keskkonnas umbes 1200 virtuaalmasinat ja pea 100 päris serverit, lisaks ports muid seadmeid.

Osakond tervikuna tegeleb päris mitme teemaga. Näiteks hoiavad nad töös kogu asutuse tööks vajalikku kohtvõrku, seadmeid ja servereid ning haldavad suurt osa meie asutuse infosüsteemidest. Haldamine tähendab seda, et  kui asutus on otsustanud mingisuguse tarkvara või veebirakenduse arendada ja tööle panna, siis on tehnoloogiaosakonna kohustus selle eest hoolitseda, et töötavad komponendid oleks heas korras, turvalised ja pahalaste eest kaitstud. Lisaks tegeleb tehnoloogiaosakond RIA teenuste halduse ja paigalduse automatiseerimisega ja kõigi seotud aluskomponentide arenduse, halduse ja toega.

Ühtaegu nii reaktiivne kui ka rutiinne

Tehnoloogiaosakonna töö iseloom on paljuski reaktiivne – kõigil tiimidel kulub väga suur hulk aega jooksvate küsimuste ja murede lahendamiseks, mis tekivad erinevate infosüsteemide arenduste ja töö käigus. Tarmo sõnul tunneb osakond suurt puudust ajast, mille jooksul saaks pikka aega „todo“ nimekirjas rippunud asjadele sisulisemat tähelepanu pöörata. Samas on neil siiski välja kujunenud ka mõned rutiinid, mis on olnud ühetaolised läbi aastate – näiteks on nad süstemaatiliselt teinud teenuste muudatusi siiski töövälisel ajal ja korralisi tarkvarauuendusi tehakse vähemalt kord kuus kõigis keskkondades. Kuna töö näeb ette ka väljaspool tööaega toimetamisi, siis ei harrastata tehnoloogiaosakonnas „tagumiktundide täisistumist“, vaid keskendutakse pigem sellele, et asjad oleks võimalikult hästi tehtud. Seega iseloomustab osakonna töökorraldust paindlik sisemine graafik.

Samuti püüab tehnoloogiaosakond oma asju nii teha, et nad ei leiutaks iga kord mingit ainulaadset lahendust, vaid pigem taaskasutaks olemasolevaid ja liiguks oma sisemiste asjadega samm-sammult automatiseerituse poole (infrastructure as a code). Tarmo arvab, et ehk seetõttu ei olnud „koroonakevad“ ka neile mingi elumuutev rutiinimuutus, sest väga paljusid asju on nad ka varasemalt teinud kodukontoris olles.

Vaikselt, aga visalt liigutakse ka selles suunas, et RIA teenused oleks automatiseeritud, ja tehnoloogiaosakond peab väga oluliseks, et ka teised tiimid saaks sisuliselt aru, mida nad tellivad ja mis on „karu kõhus“. Üks suurimaid saavutusi on neil loomulikult see, et kõiki RIA asju puudutavad alusteenused on tegelikult töökorras ja suuremaid probleeme pole viimastel aastatel olnud, seega järeldab Tarmo, et kokkuvõttes teevad nad siiski midagi õigesti.

Pärlid, trollid ja elundidoonorid

Kui rääkida osakonnas töötavatest inimestest, siis seal leidub nii värvikaid tegelasi kui ka tagasihoidlikumaid isendeid. Tarmo arvates on igaüks omamoodi pärl. Ta tunnistab, et vahepeal kipuvad nad küll omavahelise trollimisega liiale minema ja siis peab jälle veidi piire paika sättima. Aga see kõik hoiab meeled terava ja sotsiaalse fooni piisavalt kõrge.

Ka hobide poolest on tehnoloogiaosakonna inimesed väga mitmekülgsed. Nende harrastuste hulka kuuluvad nii matkajuhtimine, kalapüük, ellujäämiskursuste korraldamine, erinevad (spordi)harrastused, elektroonikaga nokitsemine, robootika, autodega nokitsemine. Tarmo lisab naljatades, et ekstreemsemate hobide hulka võib liigitada suhteliselt suure elundidoonorluse osakaalu (tõlge: suhteliselt suur mootorratturite suhtarv osakonna töötajate kohta) ning ehk ka Wim Hof’i meetodi katsetused enda peal. Samasse kategooriasse liigitub tõenäoliselt suitsusaun koos jääauguga ja lõpetuseks ehk lihtsalt päris tavaline lugemine (kui tänapäeval väljasuremisohus hobi).

Töö tehnoloogiaosakonnas võtab Tarmo kokku järgmiselt: „Igav ei hakka mitte kunagi. Kogu on aeg on tunne, et lidud jaamast lahkuval rongil sabas.“