Author Archives: Kertu Kärk

AEO – küberruumi lahtimõtestaja ja küberohtude ennetaja

Riigi Infosüsteemi Ameti küberturvalisuse teenistuse neljast struktuuriüksusest kõige rohkem väljapoole suunatud on kahtlemata analüüsi- ja ennetusosakond (AEO), mille kõige kaalukam ülesanne on Eesti küberruumi suundumuste ja trendide analüüsimine. Olulist eesmärki täitva osakonna tegemisi tutvustab osakonna juhataja Märt Hiietamm.

Riigi Infosüsteemi Ameti analüüsi- ja ennetusosakond

Küberruumis tekivad ohud kiiresti ning neist on vaja ka kiiresti rääkida, sest vastasel korral jõuab äsja avastatud turvanõrkus või uus pahavara rohkelt kahju tekitada. Just AEOs valmivad regulaarsed ja erineva tihedusega (nädal, kuu, kvartal, aasta) küberturvalisuse ülevaated (https://www.ria.ee/et/kuberturvalisus/olukord-kuberruumis.html).

Kuigi pahavarad ja viirused tulevad ja lähevad, on nende käekiri üldiselt sarnane. Sellepärast hakkasime koos RIA intsidentide käsitlemise osakonnaga (CERT-EE) koostama ohuhinnanguid (https://www.ria.ee/et/kuberturvalisus/ohuhinnangud.html). Sel moel saame nii ettevõtteid kui ka avalikkust operatiivselt küberruumi uusimate ohtude ja rünnakute eest hoiatada ning anda soovitusi, kuidas end nende eest kaitsta. Tihti valmib mõni artikkel või blogipostitus, mis võtab konkreetse teema süvitsi ette. Ka sel kevadel üllitatud RIA ajaloo esimese aastaraamatu https://www.ria.ee/sites/default/files/content-editors/RIA/ria_aastaraamat_2020_48lk_est_veeb_0.pdf) panid kokku analüüsi- ja ennetusosakonna analüütikud. Kõik meie koostatud avalikud küberanalüüsid jõuavad RIA kodulehte, sotsiaalmeediat ja uudiseid jälgides pea igaüheni.

Küberruum on piirideta ja tohutu ning kõiki uusi trende pole füüsiliselt võimalik analüüsida ega lahendada. Tahaksime igat arvutikasutajat aidata, kuid selleks ei ole kunagi piisavalt inimesi. Ja isegi kui oleks piisavalt töötajaid, kes jõuaksid uutest ohtudest rääkida, satuksid arvutikasutajad ikka petiste ja kurjategijate küüsi. Seepärast ongi parim vahend inimeste kaitsemiseks ennetamine. Vahet pole, kui palju on tuletõrjujaid, kõige säästlikum viis tulekahju ohjamiseks on selle ära hoidmine.

Kas sa mäletad 2019. aasta sügisel nii teles, veebis kui ka tänavapildis silma hakanud ennetuskampaaniat „Ole IT-vaatlik“ (https://itvaatlik.ee/)? Või aprillis eriolukorrast tingitud kaugtöö turvalisusele keskendunud väiksemat teavitust „Ole eriolukorras eriti IT-vaatlik“? Need puhus elule AEO koos partneritega. Praegu valmistame ette kaht uut kampaaniat. Sel sügisel on meie fookuses Eesti väikeste ja keskmise suurusega ettevõtete küberturvalisus ning muukeelne vanemaealine elanikkond. Eesti inimeste teavitamise abil nende küberteadlikkuse tõstmine ning sel moel erineva tõsidusega küberintsidentide ennetamine suurendab üldist turvatunnet riigis ning hoiab ära nii andmete kui ka rahalist kadu.

Eeltoodust võib üsna loogiliselt järeldada, et AEO inimesed väga hästi kursis kõigi küberohtudega. Minult on seetõttu küsitud, et kuidas ma kõike seda teades üldse internetis toimetada julgen. Vastan alati, et lisaks riskidele tunnen ka nende maandamise võimalusi ning seetõttu saan enda kaitsmisega küberruumis edukalt hakkama. Sama kehtib kõigi mu kolleegide kohta. Meie suur eesmärk on, et enda kohta võiksid nõnda väita kõik meie kaasmaalased.

AEO kolmas suur töösuund on Euroopa Liidu suunaline ja rahvusvaheline koostöö, sh suuremad või väiksemad rahvusvahelised küberprojektid, millest oleme praeguse seisuga kaasatud kolme. Uusim neist kannab nime EU CyberNet, mis on esmakordne näide ELi projektist, mida RIA juhib, selmet olla lihtsalt kaasatud. Projekti tulemusel luuakse 2023. aasta augustiks Euroopa Liidu ülene ekspertvõrgustik, mida liikmesriigid ja ELi institutsioonid saavad kasutada küberturvalisusega seotud arengukoostööprojektide elluviimiseks väljaspool ELi. Ka selline, üleilmse iseloomuga toimimine on oma olemuselt teavitus- ja ennetustegevus, mis piirideta küberruumi tulevikus turvalisemaks muudab.

AEOs töötab üheksa inimest – kolm naist ja kuus meest. Vanused jäävad vahemikku 27–43 aastat, staaž RIAs varieerub seitsmest kuust kuue aastani. Haridus on enamikul meist humanitaarvaldkonnast – nt politoloogia või ajakirjandus –, mis kirjutamise eest palka saava seltskonna puhul on ka täitsa loogiline. Osal meist on seljataga aastatepikkune karjäär Eesti riigisektoris (mh kaitse-, sise- ja välisministeeriumist), teised on varemalt leiba teeninud meedias. Neli inimest oli väga otseselt seotud Eesti 2017. aasta eesistumisega Euroopa Liidu Nõukogus, neist kolm töötas toona Brüsselis ja kaks tegeles ka siis just küberteemadega. Veel üks meie seast on varemalt Brüsselis Eesti heaks diplomaatilist tööd teinud. Üks veetis kolm ja pool aastat ERRi korrespondendina Washingtonis. Üks treenib iganädalaselt Eesti jalgpalli meistriliiga meeskonnaga FC Kuressaare (tõsi, mängib ta praegu veel nende duubli eest jalgpallipüramiidi neljandal tasandil). Nagu näha, on meeskond hoolimata hariduslikest sarnasustest väga erinevate kogemuste ja oskustega, mis teebki meist tugeva ja asjaliku tiimi, kes koos arutab ja otsustab nii murede, rõõmude kui ka proovikivide üle. Mitmekesisuses peitub teadagi jõud.

Märt Hiietamm

AEO juhataja

E-riik eriolukorras

Märtsi keskel välja kuulutatud eriolukorra tõttu pidid paljud nii era- kui ka avaliku sektori ettevõtted ja asutused töö kiirelt ümber korraldama. Peaaegu kõik suhtluskanalid muutusid elektrooniliseks. Kas muutusi toimus ka riigi infosüsteemis? Kuidas e-riik eriolukorraga kohanes?

eID vahendite kasutamine kasvas

Alustame oma ülevaadet muutustest elektroonilise identiteedi (eID) kasutamises. Siin saame võrrelda päringute mahtu kolmel perioodil: veebruaris, kui elu toimis tavapäraselt, märtsis, kui pärast 12 tööpäeva muutus töökorraldus enamikus ettevõtetes, ning aprillis, kui elektroonilised lahendused olid saanud uueks normaalsuseks.

DigiDoc4 klient on rakendus, mida teavad pea kõik, kes kunagi ID-kaardiga allkirja andnud. Jooniselt on näha, et elektrooniliselt antud allkirjade arv suurenes märkimisväärselt sõltumata vahendist – nii ID-kaarti, mobiil-IDd kui Smart-IDd kasutati tavapärasest rohkem. Lõviosa allkirju anti ID-kaardi abil (aprillis 72% kõigist allkirjadest), kuid Smart-IDga anti aprillis neli korda rohkem allkirju kui veebruaris ning mobiil-ID allkirju anti DigiDoc4 abil aprillis kolm korda rohkem kui veebruaris.

Riigi autentimis- ja allkirjastamisteenus

Riigi autentimisteenuse abil saab sisse logida päris paljudesse Eesti e-teenustesse. Mai alguseks oli riigi autentimisteenusega liitunud 35 asutust lausa 114 erineva rakendusega. RIA enda teenustest on ehk tuttavad eesti.ee, millest varsti lähemalt räägime, ja sahver.eesti.ee, kus saab sõpradega dokumente jagada.

Kuigi autentimisteenusega liitus vaadeldavate kuude jooksul uusi kliente, tegid rohkem päringuid ka juba varem liitunud teenused. Enda isikut tuvastati rohkem nii ID-kaardi, Smart-ID, mobiil-ID, pangalingi kui ka Euroopa Liidu vahendite abil (just sellises suurusjärjestuses). Kõige suurem hüpe toimus Euroopa Liidu vahenditega isikutuvastamisel – aprillis tehti peaaegu kolm korda rohkem päringuid kui veebruaris. Arvud ise on muidugi küllaltki väikesed, moodustades vaid 0,01% kõigist isikutuvastustest. Kõigi autentimiste arv oli aprillis kokku 27% suurem kui veebruaris.

Riigi allkirjastamisteenus on veel lapsekingades lahendus, mille abil saavad infosüsteemid moodustada allkirjaümbrikke mobiil-ID ja ID-kaardi allkirjadega. Kuna veebruaris oli kasutajaid õige vähe (umbes täpselt 2), oli aprilliks protsentuaalne antud allkirjade kasv üsna märkimisväärne. Aprillis pandi allkirjastamisteenuses kokku 60 korda rohkem allkirjaümbrikke kui veebruaris. Umbes sama palju tõusid nii ID-kaardi kui ka mobiil-ID abil tehtud toimingute mahud.

Andmevahetus X-teel

Seega, kui elektrooniliste isikutuvastuste arv kasvas üksnes veidi, siis elektroonilisi allkirju anti varasemast palju rohkem. Aga mis toimus mujal riigi infosüsteemis, näiteks andmevahetuskanalis X-tee?

X-tee visualiseering: https://logs.x-tee.ee/visualizer/EE/

X-tee tegevuste arvu saame vaadelda lausa nädalate lõikes. Võtame ette perioodi 2020. aasta 9. nädalast (27. veebruarist) kuni 17. nädalani (lõpeb 26. aprilliga). Eriolukorra kehtestamine 12. märtsil toimus 11. nädalal. X-tee kaudu tegid sellel perioodil kõige rohkem päringuid tervise ja heaolu infosüsteemide keskus, politsei- ja piirivalveamet ning kohtutäiturite ja pankrotihaldurite koda. Kõige rohkem infot päriti haigekassa, maksu- ja tolliameti ning registrite ja infosüsteemide keskuse infosüsteemidest.

Kui avaliku sektori ettevõtete päringute arv oli sellel perioodil üsna stabiilne, siis erasektori ettevõtete päringute arv kasvas nädalatel 11–14 (vahetult pärast eriolukorra väljakuulutamist) võrreldes 9. nädalaga pea 50%. Hiljem stabiliseerus päringute arv endisele tasemele. Absoluutarvudelt kasvas eriolukorra ajal kõige rohkem politsei- ja piirivalveameti infosüsteemis, kohtutäiturite ja pankrotihaldurite koja täite- ja pankrotimenetluse infosüsteemis ning Ridango ASi piletisüsteemis tehtud päringute hulk. Vähem päringuid hakati tegema näiteks piirikontrolli andmekogus, tollideklaratsioonide infosüsteemis ning politsei- ja piirivalveameti broneeringusüsteemis. Tervishoiuteenuste infosüsteemides (nt apteekide infosüsteem, tervishoiuteenuste osutajate infosüsteem, haigekassa jm) kerkis päringute hulk 11.–14. nädalal tavapärasest tunduvalt kõrgemale ning stabiliseerus pärast seda.

Riigiportaali eesti.ee äkiline hüpe

Põikame nüüd veel korraks eesti.ee juurde, mis koondab e-Eesti infot ja e-teenuseid. Selgub, et erinevate teenuste poole tehtud päringute arv kasvas pisut 10.–13. nädalal ning tegi suure hüppe (kaks korda rohkem päringuid kui tavapärane) 14. nädalal (aprilli algus). Pärast seda langes tehtavate päringute arv madalamale kui veebruari lõpus. Kokkuvõtvalt toimus e-Eestis samasugune trend nagu füüsilises Eesti Vabariigis – hetkeks kerkis nõudlus erinevate süsteemide ja info järele lakke. Pärast ühte kuud olukord stabiliseerus, vaid digitaalseid allkirju anti tunduvalt rohkem kui varem.

Annika Kluge, elektroonilise identiteedi osakonna projektijuht

Smart-ID ja valimised

Eestis saab valimistel elektrooniliselt oma hääle anda ID-kaardi või mobiil-ID abil. Paljudes avalikes teenustes on võimalik end autentida ka Smart-ID rakendust kasutades, seetõttu võib tekkida küsimus, kas edaspidi võiks võimaldada ka Smart-IDga hääletamist. Seda teemat arutas ka Vabariigi Valimiskomisjon, kelle 20. mail toimunud koosoleku protokollis märgiti, et 2021. aasta valimistel Smart-ID kasutamist ei toetata. Artiklis on välja toodud mõned Smart-ID erisused võrreldes seniste e-hääletamisel kasutatud isikutuvastuse ja allkirjastamise viisidega, mis aitavad seda otsust paremini mõista.

1. Smart-ID on rahvusvaheliselt kasutatav rakendus

Smart-ID rakendus on sertifitseeritud Euroopa Parlamendi ja Euroopa Liidu Nõukogu määruse alusel (Electronic Identification, Authentication and Trust Services ehk eIDAS) ning see vastab kvalifitseeritud allkirjastamisvahendi tasemele. Teisisõnu vastab Smart-ID kui elektroonilise allkirjastamise vahend ELis paika pandud kõrgetele turvanõuetele, seda auditeeritakse regulaarselt ning sellega antud allkirja tuleb tunnustada ka teistes Euroopa riikides. Lisaks Eestile on Smart-ID laialt kasutusel Lätis ja Leedus, ent kui Eestis on kõik Smart-ID kontod ühesuguse kõrge turvatasemega, siis Lätis ja Leedus on kasutusel ka nõrgema turvalisuse tasemega, nn basic Smart-ID, mille kasutusvõimalused on piiratumad. Igal juhul võib arvata, et kuna Smart-ID kasutusala on Eestist laiem, võib küberkurjategijatel olla ka rohkem motivatsiooni töötada välja efektiivseid ründe- ja ülevõtmismeetodeid.

2019. aasta kevadsuvel õnnestus kurjategijatel luua mitukümmend Smart-ID libakontot nii Eesti kui ka teiste Balti riikide elanike nimel ning mitmel juhul nende abil ka ülekandeid teha (mobiil-ID ega ID-kaardi puhul pole sellised pettused õnnestunud). Kui Eesti tunnustaks Smart-IDd hääletamisvahendina ja küberkurjategijatel õnnestub rünnata sama toote vähem turvalist varianti teistes riikides, võib see kaudselt heita halba varju ka meie e-valimistele.

2. Smart-ID ei ole riigi väljastatav isikut tõendav dokument

Smart-ID juriidiline staatus erineb oluliselt mobiil-ID ja ID-kaardi omast. Viimased kaks on riigi poolt isikut tõendavate dokumentide seaduse alusel välja antavad dokumendid. Smart-ID on eraettevõttele kuuluv isikutuvastuse ja digitaalse allkirjastamise rakendus, mille arendaja ega tellija ei ole riik. Seejuures on riik hinnanud selle toote piisavalt usaldusväärseks, et lubada inimestel end Smart-IDga autentida paljudes avalikes teenustes (nt eesti.ee portaal, maksuamet ja paljud teised).

Smart-ID kasutuse laiendamine lisaks praegustele avalikele teenustele ka elektroonilisele hääletamisele oleks aga põhimõtteline muudatus. Hääleõigus valimistel on erinev näiteks õigusest deklareerida makse või vaadata oma andmeid rahvastikuregistrist – see on demokraatlikus riigis keskse tähtsusega põhiõigus. Oma häälega mõjutab inimene otseselt riigi valitsemist ja ühiskonnaelu korraldamist tervikuna. Smart-IDga hääletamise võimaldamisel oleks uuenduslik ja erinev just see, et mobiil-IDd arendab ja kontrollib riik, Smart-IDd aga mitte, ning tulevikus võib Smart-ID kõrval turule tulla teisigi samalaadseid rakendusi. Kui riik loobuks nõudest, et valida saab ainult riigi välja antud dokumendiga, tuleks paika panna mingid muud väga selged kriteeriumid, mille alusel erasektori lahendusi hinnata.

3. Smart-ID väljastamise viise on mitu, kas need kõik on ühtmoodi turvalised?

Smart-ID konto loomiseks on neli võimalust. Tuleb alla laadida vastav rakendus ning isikustada see kas ID-kaardi või mobiil-ID abil, külastada pangakontorit ja tõestada oma isikut dokumendi alusel või biomeetria abil.

Biomeetriline isikustamine on võimalik juhul, kui inimene ei loo Smart-ID kontot esimest korda, vaid teeb aegunud konto asemele uue või loob täiendava konto uude seadmesse. Biomeetrilise isikustamise võimalus tekkis alles 2020. aasta veebruari lõpus, seega pole Eestil veel piisavalt kogemusi, mis selle täisautomatiseeritud meetodi usaldusväärsust kinnitaks või ümber lükkaks.

ID-kaart ja mobiil-ID on riigi välja antavad dokumendid ning nende abil oma kontot isikustades osaleb riik konto loomise protsessis vähemalt ühe osapoolena. Biomeetrilise isikutuvastuse puhul on vaja passi ning „näokontrolli“ teeb ära telefonis olev rakendus kaamera abil. Pangas Smart-ID kontot luues on samuti vaja näidata isikut tõendavat dokumenti, mille õigsust kontrollib pangateller.

Kõigi Smart-ID konto loomise viiside puhul on niisiis eelduseks riigi välja antud dokumendi olemasolu, ent täiendavat füüsilist isikutuvastuskontrolli riigiasutuses ette nähtud ei ole. Samuti ei ole võimalik eristada, millisel eelnimetatud moel konkreetne konto loodi. Tinglikult võib öelda, et riigile kõige mitteomasem on konto loomine pangakontoris. Biomeetriline isikustamine on aga veel nii uus lahendus, et selle turvalisust ja võimalikke riske ei ole võimalik terviklikult hinnata  ̶ vastavaid kriteeriume ja nõudeid pole Eestis veel välja töötatud.

4. Smart-ID tulevik ei ole riigi kontrolli all

Nagu juba välja toodud, kuulub Smart-ID teenus eraettevõttele. Seejuures pakub sama ettevõte praegu ka sertifikaatide kehtivuse kontrolli teenust mobiil-ID-le ja ID-kaardile, mis on vastavalt hädaolukorra seadusele elutähtis teenus. Lihtsalt öeldes – mobiil-ID ja ID-kaardi kasutamine sõltub niigi ühe eraettevõtte teenustest ning selline avaliku ja erasektori koostöö ning vastastikune sõltuvus tehnoloogia arendamisel on tavapärane ja igati tervitatav. Riigi seisukohalt on aga oluline, et ettevõtte usaldusväärsuse muutudes või mõne kriitilise turvanõrkuse ilmnedes on riigil võimalik kiiresti ja jõuliselt sekkuda. Nii tehti näiteks 2017. aasta ID-kaardi kriisi ajal, ent seda võimaldas suuresti just asjaolu, et ID-kaardi puhul on tegemist riigi enda tootega. Nii riigi sekkumine kui ka selle vajalikkuse hindamiseks õige info saamine võib täielikult erakätes oleva toote puhul olla märksa keerulisem.

5. Smart-IDga valida ei saa, aga mis saab edasi mobiil-IDst?

Mobiil-ID tuleviku osas oleme võtnud seisukoha, et igal inimesel peab olema võimalik omada kahte erinevat riigi väljastatavat elektroonilise identiteedi vahendit. Seni on nendeks olnud ID-kaart ja mobiil-ID ning nii jääb see vähemalt kuni 2021. aasta lõpuni. Praegu on koostöös politsei- ja piirivalveametiga kaalumisel erinevad uued lahendused, mis võiks tulevikus mobiil-IDd asendada. Sellist olukorda ei teki, kus ainsaks riigi väljastatavaks eID vahendiks jääb ID-kaart. Seega saab ka järgmistel kohaliku omavalitsuse valimistel 2021. aastal e-hääletada kasutades vähemalt kahte erinevat elektroonilise identiteedi vahendit.

SK Solutionsi andmetel on Eestis kasutusel ligikaudu 508 900 Smart-ID kontot ja ligi 235 000 inimesel on Mobiil-ID. Umbes 20%-l kasutajatest on olemas mõlemad rakendused.


Mark Erlich, elektroonilise identiteedi osakonna juhataja