Category Archives: eesti.ee

Küsimused ja vastused: RIA infopäeva teine päev 18.11.2020

RIA koostööpartnerite virtuaalse infopäeva teisel päeval keskenduti suuresti küberturvalisusele ja infoturbele, kuigi alustati siiski ühtsest digiväravast ja riigiportaalist eesti.ee. Kõik esitlused on järelevaadatavad RIA Youtube’i kanalil. Vastame kirjalikult vaatajatele tekkinud küsimustele.

RIA koostööpartnerite virtuaalset infopäeva modereeris ajakirjanik ja saatejuht Eeva Esse. Fotod: Kertu Kärk/RIA

SDG, artiklivaramu ja riiklik postkast, Raimo Reiman

Kas 2021. aastal hakkab RIA asutuste eest nende teenuste kasutust mõõtma? Mil moel seda tehniliselt tehakse?
RIA hakkab koos MKMiga koos raamistikku looma, et teenuste tarbimise statistika automaatselt teenuste kataloogi jõuaks.

Milliseid numbreid näitab 2020. aasta tagasiside ja analüütika? Kuidas on olukord Eestis võrreldes teiste EL riikidega?
Riigiportaali rahulolu on kõrge, teiste riikidega võrdlusmoment hetkel puudub, tuleb koos SDG rakendumisega.

Kes artiklivaramut modereerima hakkab, et sinna lisatud info oleks ka ühtse stiiliga ja keeleliselt õige?
Vastutus sisu eest on teabevaldajal, eesti.ee-s olevaid artikleid jäävad modereerima RIA toimetajad.

Kui paljud inimesed üldse on oma riikliku postkasti ära suunanud, et riigi kirju kätte saada?
450 000. Tegeleme sellega, et @eesti.ee aadressile saaksid kõik asutused kirju saata ning inimestel oleks alati üks koht, kus kindlasti kogu riigi kommunikatsioon olemas on.

Kas Artiklivaramu ja (eestikeelse) Wikipedia vahel on mingi põhimõtteline vahe?
Artiklivaramu hoiab infot riigi teenuste kohta ning nende vahelisi seoseid.

Millal kättetoimetamise teenus kasutusele võetakse (st asutus saaks teada, kas on sõnum kohale jõudnud)?
Juba praegu on võimalik saata @eesti.ee aadressi suunanud inimestele avamiskinnitamisega dokumente. Kättetoimetamiskeskkonna edasiarendustega alustame aastal 2021.

Kas Facebooki kaudu teavituste saatmise potentsiaalsed riskid ja ohud on ka korralikult kaardistatud? #cambridgeanalytica #jälgimisühiskond. Facebooki huvid on riigi huvidest väga erinevad.
Selleks on meil alternatiivsete kanalite analüüs, kus oleme ka infoturbe ohte kaardistanud.

Soovitan Kohustuste Kalendri asemel kasutada midagi pehmemat, nt Võimaluste Kalender vmt. Samuti Kättetoimetamiskeskkonna asemel midagi personaalsemat, nt “Sulle” vmt.
Nõus!

eesti.ee kasutajate rahulolu-uuring, Raimo Reiman

Millal hakkab eesti.ee artiklivaramut ise kasutama?
Eesti.ee juba kasutab artikleid sellisel kujul nagu nad artiklivaramus on, tegeleme sellega, et sisuhalduse kasutajaliides ka partneritele kasutatav oleks.

Kas kättetoimetamisteenust saaksid tulevikus kasutada ka omavalitsused (või on see mõeldud vaid riigile teadete edastamiseks kodanikele/ettevõtetele).
Omavalitsused saavad juba praegu @eesti.ee süsteemi teavituste edastamiseks kasutada.

Millised tegevused sellele uuringule nüüd järgnevad?
Kasutame sisendina ettevõtja ja eraisiku vaate ning riikliku postkasti lahenduste parandamiseks.

Milline on eesti.ee 5 aasta pärast?
Automaatne ja taustal toimiv süsteem, mis aitab riigi info ja teenused kokku tuua kasutaja jaoks eelistatud kanalis.

Millal eesti.ee vana kujundus lõplikult kaob?
2021. aasta lõpuks.

Millal see ettevõtjate ühtne portaal valmis saab?
Ettevalmistavad tööd on alanud, soovime 2021. aasta jooksul esimeste lahendustega avalikuks tulla.

Mis on EU CyberNet, Siim Alatalu

Kuidas seda küberabi koroonatingimustes võimalik anda on?
See on naelapea pihta küsimus. Koroonaviirus tegelikult ei peatanud Euroopa Liidu abiprojektide tööd. Meie enda inimesed RIAstki on jätkanud teiste riikide nõustamist. Nüüd on need toimunud peamiselt virtuaalses vormis. Projektid kohandusid kiiresti ja ma arvan, et online-kursused jäävad toimuma ka järgmistel aastatel. Kõik eksperdid siiski ootavad võimalust minna reaalselt kohapeale ning inimestega näost näkku suhelda, sest seda ei asenda miski.

Kui palju teil juba eksperte või taotlusi ekspertidelt on?
Ma numbrit siin ei ütle, aga eesmärgini 500 liigume täna mind rahuldavas tempos.

Kui ELil juba mitu teist sarnast projekti on, kas siis EU CyberNet pole üleliigne?
EU CyberNet ei ole üleliigne. Selle järelduseni jõudsid Euroopa rahvad juba eelmisel aastal, et sellist projekti on vaja. Aga nali naljaks. Nagu võisite näha, erinevad EL projektid tegelevad teatud niššidega ning EU CyberNeti ülesanne on tekitada nende vahele kooskõla ja koherentsust. Teised projektid võivad kasutada meie andmebaasi omale parimate ekspertide leidmiseks.

Mis olid kõige suuremad katsumused projekti loomise juures?

Ma tahaks loota, et katsumused alles tulevad. Nagu iga projektijuht teab – kõik algab inimestest, kõik algab ajast ja kõik algab rahast. Ma usun, et see projekt on kõigis neis nurkades hästi kaetud.

Kas Venemaa küberturbe eksperdid on samuti projekti kaasatud?
Nagu ma vihjasin, riigid, kellele heidetakse ette teiste ründamist, neil kahtlemata Euroopa Liit paremaks muutuda ei aita.

Kas igaüks, kes valdkonda tunneb, võib eksperdiks hakata ja millised on sellega kaasnevad hüved?
Suurim hüve, kui oled motiveeritud ja vabatahtlik, on võimalus muuta maailma. Sa saad minna kohapeale ja reaalselt aidata mõnel riigil saada vähemalt sama küberturvaliseks kui Eesti. Kui mõelda praktilistele meetmetele, siis kõigi ekspertide lähetusi rahastab Euroopa Liit vastavalt oma tingimustele.

Projekti raames on valmimas tehniline multifunktsionaalne platvorm. Mis funktsionaalsused sellel platvormil olema saavad?
EU CyberNeti tehniline platvorm kujuneb projekti nö online koduks. Selle eesmärk on aidata nii ehitada üleeuroopalist küberekspertide kogukonda ehk tuua kokku eksperdid omakeskus. Sama oluline on aidata ka viia kokku ekspertiisi nõudlus ja pakkumine ehk eksperdid konkreetsete väljaõppemissioonidega. Platvormile saavad isikliku ligipääsu nii eksperdid kui ka üleeuroopaline küberasutuste kogukond ehk EU CyberNet Stakeholder Community. Platvormi arendatakse spetsiaalselt meie projekti jaoks.

CERT-EE, Eesti küberruumi valvur. 2020/2021 suurimad küberohud, Tõnu Tammer

Millistest riikidest meid kõige rohkem rünnatakse?
Seda on keeruline öelda, sest internetis paistab välja vaid riik, kust tuleb ründav pakett. Millises riigis arvuti taga istub ründaja, kes teises riigis asuvat serverit kasutab, on raske pelgalt paketti vaadates tuvastada.

Mis on pahavaralevitajate peamine eesmärk? Kui mu lapse arvutisse see satub, siis ehk ei saa see palju kurja teha?
Peamiselt leviv pahavara teeb kaht: varastab arvutist andmeid ning loob ründajale võimaluse kasutada arvutit edaspidi järgmisteks pahatahtlikeks tegevusteks. Kui pahavara sattub lapse arvutisse, siis esimese asjana tuleks arvestada, et pahavara varastab ära erinevad arvutisse salvestatud paroolid.

Kui sageli rünnatakse poes ostetud seadmete abil. Näiteks akupanga või USB-klaviatuuri abil?
Enamik kodus olevatest tehnilistest lahendustest ja seadmetest on ostetud ning seadmete soetusviis antud kontekstis oluline ei ole. Kuigi teoorias on ründed ühe või teise seadme abil võimalikud, ei ole viidatud seadmed otse ühendatud internetiga. Pigem tuleks olla tähelepanelik nende seadmete soetamisel, millel on internetti ühendumise võimekus (nt WiFi kaamera).

Milline on Tõnu jaoks kõige keerulisem või värvikam intsident?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kuidas CERT-EE näeb pankade tegevust õngitsusrünnakutega seoses – enamus õngitsuslehti paistab olevat suunatud panga klientide püüdmiseks – mida teeb RIA vs pangad nende lõppemiseks?
Riigi Infosüsteemi Amet hoiatab pidevalt erinevatest internetis levivatest skeemidest. Samuti oleme korraldanud mitu küberteadlikkuse tõstmise kampaaniat ning jätkame ühiskonna teavitamist ka edaspidi. Samuti oleme jaganud avalikult soovitusi, mille abil on ettevõtetel võimalik oma head nime sh. domeeni kaitsta võltsimise eest. Selleks, et saavutada hea küberturvalisuse tase on ühest küljest vaja tehnoloogiliste standardite ja parimate praktikate rakendamist kui ka inimeste teadlikkust ja tähelepanelikkust.

Kas kõigist ohtudest ja rünnakutest nii teadlik olles vahel endal hirmus ei hakka?
Hirmul ei tohi lasta võitu saada ning selle asemel, et muretseda ühe või teise teema pärast on palju mõistlikum võtta see aeg ning teha endal mõni asi paremaks. Üks praktiline tegevus, mis tasuks ära teha oleks paroolihalduri kasutusele võtmine ning kõikides kasutatavates keskkondades paroolide vahetus. Sedasi on kindel, et igale poole saab unikaalne ja pikk parool, mida peab meeles paroolihaldur.

Kas oled ise ka mõne küberrünnaku ohvriks sattunud?
Jah, minu krediitkaardi andmed on varastatud/lekkinud 3 korda.

Millistel äämuslikel juhtudel RIA soovitab lunavara nõude välja maksta? (Tulenevalt esineja väitest)
Me ei soovita kunagi lunaraha maksta. Ennem kui ründajaga suhtlusesse laskuda tuleks ühendust võtta CERT-EE-ga, kes oskab tuge pakkuda tekkinud olukorras.

Kui ajakirjanik Eeva saab oma postkasti tundmatu kirja, ja ta peab selle avama sest tegemist võib olla hea vihjega, siis kuidas ta saab veenduda, et tegemist ei ole viirusega?
Selleks, et oma arvutit kaitsta on oluline regulaarselt paigata operatsioonisüsteemi, brauserit, e-postitarkvara ning teisi arvutis olevaid tarkvarasid. Igapäevaselt peab uuendama antiviiruse tarkvara tuvastuse signatuure ning soovitame antiviiruse tarkvarade puhul kasutada ka tootja teadmusbaasi põhist kontrolli. Juhul, kui kahtlus võimaliku pahavara olemuse kohta püsib, soovitame pöörduda CERT-EE poole või kasutada meie pakutavat avalikuks kasutamiseks mõeldud pahavara süvaanalüüsi keskkonda Cuckoo: https://cuckoo.cert.ee

Milline on aasta 2020 suurimat kahju tekitanud küberintsident, mis tekitas Tõnu näole avapildil näidatud ilme?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kas iOS vajab antiviirust? Kui jah, siis palun soovitusi.
iOSile on võimalik antiviiruse tarkvara paigaldada. Tulenevalt iOS toimimise loogikast ei ole antiviirus iOS seadmetel samaväärselt tõhus kui mujal. Kuid iOS seadmete keskkonnas on pahavara levitamine ka keerukam, sest rakendusi või äppe saab paigaldada vaid Apple App Store vahendusel ning Apple kontrollib ka levitatavaid rakendusi.

Küberkuu 2020. ja 2019. aasta IT-vaatliku kampaania kokkuvõte, Lauri Tankler

Millal tuleb uus IT-vaatliku kampaania ja kellele see suunatud on?
Järgmine kampaania on suure tõenäosusega suunatud Eesti venekeelsetele elanikele. Kõik ajakava ja sisu veel täpsustub.

Kas teid saab kutsuda ka asutusse töötajaid koolitama?
Küsida võib ikka, eks siis arutame RIAs, kas või kuidas kellelgi aega on. Kampaaniate ajal on ehk vast isegi lihtsam inimesi endale kooli meelitada. Aga pigem soovitaksin küsida otse mõnelt oma tuttavalt küberspetsialistilt, kas ta võiks tulla teile koolitust tegema.

Kuidas seletada vanaemale või 5-aastasele lapsele, et mis asi on küberturvalisus?
Hea võrdlus oleks oma majaga: kui sa head ukselukku ei pane, siis võivad sisse tulla inimesed, keda sa ei taha sinna. Kui sa mõne aja tagant oma katuse läbilaskmist ei kontrolli, siis võib ühel hetkel vihma hakata läbi sadama. Ja kui sul ei ole akende ees kardinaid, näevad mööduvad inimesed sulle tuppa sisse. Kõik see kehtib ka küberruumis: paroolid on lukud, uuendused aitavad su arvutil tõrjuda välisvaenlasi, ja privaatsussätted on su kardinad akende ees.

Mida lisaks kampaaniatele inimeste teadlikkuse suurendamiseks teete?
RIA jagab perioodiliselt informatsiooni ohtude kohta küberruumis – iga kuu, kvartal, aasta – ning ka siis, kui parasjagu mingi suurem küberoht meid varitseb. Meid võib jälgida sotsiaalmeedias ja püüame pidevalt ka oma hoiatavate näidetega ajakirjanduses pilti saada.

Kas on võimalik saavutada olukord, kus kõik Eesti inimesed on IT- vaatlikud?
Kuna turvalisus ei ole kunagi lõplik, ei ole ka kõik inimesed lõpuni turvateadlikud. Kõik inimesed on mingil määral niikuinii oma elus ettevaatlikud, ka it-vaatlikud, kuid iga väiksemgi proaktiivne tegevus selle turvalisuse tõstmiseks tuleb kasuks.

Kas CIS20 on ka mõeldud pigem just 0, 1 kuni 100 töötajaga ettevõttele?
CIS20 on mõeldud ettevõtetele, kellel on töötajaid, keda koolitada; arvutisüsteeme, mida hallata; teenuseid, mis on IT-lahendustega. Seda raamistikku peaks saama kasutada ettevõte nii 10 töötajaga, kui ka 20000 töötajaga. Loe lähemalt https://www.cisecurity.org/controls/

Kas vanaema, kel on nuputelefon ja arvutis loeb vaid ajalehti, peaks ka IT-vaatlik olema?
Kui vanaema arvutis ei ole brauser uuendatud, millega ta lehti loeb, võib tema arvutisse sattuda pahavara. See võib omakorda teha palju pahandust kohalikus arvutivõrgus või hakata ründama teisi süsteeme üle interneti. Seega jah, kõik arvutit ja internetti kasutavad inimesed peaksid vähemasti teadma, et mõned küberturvalisuse teemad on olulisemad kui teised.

Kas on plaanis ka e- valimistega seotud teadlikkuse koolitusi?
Seda tuleb veel vaadata ja kaaluda, sest iga selline teema nõuab eelarvet. E-valimise õpetamist on vaja üha vähem, sest inimesed on Eestis sellega juba niivõrd harjunud ning aitavad ka üksteist. Küll aga peame vajalikuks toonitada, et hea oleks hääletada oma arvutist, mille puhul sul pole kahtlust, et see oleks nakatunud mingi pahavaraga. Küll me leiame võimaluse seda sõnumit levitada.

Kas RIA teeb koolituste osas koostööd ka HTM-ga, et küberturbe küsimused oleksid kooli õppekavades sees?
Haridus- ja teadusministeeriumi all tegutsev Harno (mille koosseisu liideti ka varasem Hariduse Infotehnoloogia Sihtasutus HITSA) pöörab küberturvalisusele koolides palju tähelepanu ning see küsimus on kindlasti üks, mis neil on kaalumisel. Küsimus on siis pigem selline: kas küberturvalisus peaks olema eraldi õppeaine, läbiv teema või mõlemat. Iga uuema valdkonna õppekavadesse liitmine peab tähendama ka seda, et keegi oleks võimeline neid aineid õpetama. Kui seda teha pelgalt kohustuse pärast, ei pruugi sellest head nahka tulla.

Öeldi, et avalikule sektorile võimaldatakse testi tegemist, see on puhas vale! ETO-d on samuti avalik sektor, kuid ETO-le keelduti testi võimaldamisest!
Eeldan, et juttu on Küberhügieeni Digitestist. DigiTest on suunatud eelkõige valitsussektorile, sh valitsusasutused, põhiseaduslikud institutsioonid ja kohalikud omavalitsused, kuid skoopi on laiendatud ka perearstikeskuste ja üldhariduskoolide personalile. Üheks eelduseks on liitumine Riigivõrguga. ETOsid on muidugi on nii avalikus kui ka erasektoris. Kirjutage digitest@ria.ee, et teada saada, millised on teie asutuse võimalused seda õppeplatvormi kasutada.

Milleks ja kellele Eesti uus infoturbestandard, Ilmar Toom

Miks on meile vaja järjekordset standardit?
Eks igal sellisel lahendusel ole oma elukaar ning olemasoleva oma on jõudmas sinna, et aeg on küps uue jaoks. Ka organisatsioonide küpsusaste kasvab tasapisi ning üha rohkemad on valmis võtma kasutusele standardit, mis pakub lisaks etalonturbele ka riskipõhist lähenemist.

Kas RIA hakkab ka uue standardi täitmist kontrollima?
Jah, RIA teostab järelevalvet infoturbemeetmete rakendamise üle nagu praegugi.

Kui palju on iske rakendamise nõuete vastu eksimise eest trahvitud?
RIA ei tee asutustele trahvi. Kui tuvastatakse puuduseid, mida mõistliku aja jooksul ei kõrvaldata, siis saab määrata sunniraha. Seda saab teha korduvalt, senikaua kuni puudused kõevaldatakse.

Kas olete ISKE ise läbi lugenud?
ISKE ei ole juturaamat, et see kaanest kaaneni läbi lugeda. Pigem on see käsiraamatu laadne teatmik, kust vastavalt vajadusele saab infot otsida. Rakendusjuhend jms üldise dokumendid on muidugi mõistlik läbi lugeda.

Kui ISO on olemas, miks siis üldse uut standardit vaja on?
ISO ei sobi kõigile. Kõik asutused ei soovi või ei jaksa ISOt rakendada. Kuid kes soovib, siis palun väga – ISO 27001 sertifikaadi olemasolu korral loetakse infoturbemeetmed rakendatuks.

Kes asutuses peaks e-ITSi kasutusele võtmisega tegelema hakkama või seda kasutuselevõttu algatama?
Iga selline ettevõtmine on terve maja projekt, kõik peavad sellega tegelema ning arusaama, mida ja milleks tehakse. Mõistagi jagunevad tööülesanded erinevate rollide vahel, kuid, nagu enamasti, algatus ja üldvastutus on tippjuhtkonna juures, sealt edasi äriprotsesside omanikud jne.

Kas uue standardi rakendamise toetamiseks luuakse ka tööriist, rakendus vmt?
Esimeses järgus luuakse portaalile, kus standard asuma hakkab, API, mille abil on standardit lihtne integreerida asutuses juba olemasolevasse töövoohaldusesse. Järgmisel aastal tegeleme ka eraldi tööriista loomise küsimusega.

Kui enne oli 5000 lk ja nüüd 500 lk, kas midagi siis jäeti lihtsalt välja?
Standardi loomisel pandi suurt rõhku mh ka sellele, et esitada materjal võimalikult lühidal ja kontsentreeritud kujul. Sellega seoses on seal vähem korduseid, kirjeldavaid taustalugusid ja üldharivat teksti. Kõik oluline on olemas.

Millal ISKE kinni pannakse?
2024 alguses. ISKE saab siis 20-aastaseks.

Kuidas sündis uue standardi nimi? Kas oli ka alternatiive lisaks E-ITSile?
E-ITS on akronüüm standardi pikast nimest. Kas sellet saab ka lõplik nimi, näitab aeg. Praegu on E-ITS nö tööversioon ning kui kellelgi on silmapaistvalt häid ideid, siis andke meile teada. Jah, meil oli ka erinevaid alternatiive.

Kas ja kui paljudele organisatsioonidele on RIA sel aastal sunnirahasid või trahve määranud? Sanktsioneerimine ei ole kunagi olnud RIA eesmärk. Meie eesmärk on ikkagi see, et asutustes oleksid infoturbemeetmed rakendatud. Kui seda on võimalik saavutada ilma sunniraha määramata, siis see on kahtlemata meie eelistus. Alati see siiski ei õnnestu ja mõnedel puhkudel oleme määranud sunniraha.

Kes hakkab uut standardit auditeerima? Kas neid partnereid on juba olemas?
ISKE puhul on endiselt auditi partneritest puudus. Uut standardit hakkavad auditeerima audiitorid, tõenäoliselt paljuski samad, kes senigi. Ma ei tea, et mõni audit oleks tegemata jäänud põhjusel, et ei ole auditeerijat.

Kust saab alla laadida E-ITSi kavandit?
E-ITS ei hakka olema terviklikuna allalaetav dokument, PDF vms. E-ITS hakkab asuma portaalis, nii nagu ISKE praegugi. Portaal muutub avalikult kättesaadavaks jaanuaris.

Kas E-ITS koolitust on plaanis korraldada üle interneti, arvestades praegust COVID seisu?
Kõige parema meelega korraldaksime füüsilise kohaolekuga koolitusi, kuid meid ümbritsevast keskkonnast tulenevaid mõjusid arvestades võib juhtuda, et peame neid tõepoolest tegema üle veebi.

Miks mitte jääda ISO-27001 juurde selle asemel, et ise leiutada?
ISO puhul on seda “ise leiutamist” oluliselt rohkem kui E-ITSi puhul. E-ITSist on soovi korral võimalik võtta etalonturbe meetmed, ilma et peaks neid ise leiutama hakkama. ISO puhul sellist võimalust ei ole.

Kas riik võiks standardi genereerimiste asemel tegeleda toe/teenuse pakkumisel riskide haldamisel/kaardistamisel/lahendamisel?
Riik ei saa tulla ühegi asutuse riske kaardistama ega haldama, see on ikka iga asutuse enda töö. Mõistagi oleme pakkunud tuge ja koolitusi riskianalüüside läbiviimiste jms teemal ning jätkame seda ka tulevikus. Aga ühegi asutuse eest riske kaardistama ega haldama tulla riik ei saa ega tohi.

RIA juhtkonna paneel – Mida toob 2021 RIA-le ja tema partneritele?

Vasakult: RIA peadirektor Margus Noormaa, peadirektori asetäitja küberturvalisuse alal Lauri Aasmann ja peadirektori asetäitja riigi infosüsteemi alal Margus Arm.

Kas RIA saaks või peaks riigiasutuste koostööd küberturvalisuse tagamisel kuidagi paremaks muuta ja milles see võiks väljenduda?
Kindlasti saaks, aga kvalitatiivseks hüppeks oleks vaja küberturvalisusesse rohkem investeerida. Ja mitte ainult RIAsse, vaid laiemalt.

IT minister ütles, et tema ei saa kinnitada ilma väliste audititeta Eesti e-valimiste turvalisust. Kas RIA peadirektor saab kinnitada, et e-valimised on senini olnud turvalised.
Täna ei ole ühtegi põhjust väita, et e-Valimised ei ole turvalised. Uute valimiste osas kindluse saamiseks on kindlasti igasugused auditid teretulnud. Mida põhjalikumad, seda parem.

Eesti on siiani suuresti läinud rätsepatööna tehtud IT hankimise ja arendamise teed. Kas näete, et siinses ökosösteemis on midagi suurt, mida saaks ka nö karbitootena osta või erasektorile delegeerida
Kindlasti saaks riik rohkem sisse osta ja pikajalises vaates ka sellised plaanid on. Nt arvutitöökohtade haldus või pilve kasutamine jne.  

Kui palju MKM kui RIA katusorganisatsioon dikteerib Eesti küberturvalisusest arengusuundi?
Võiks rohkem dikteerida. Täna peamiselt läbi standardi, järelevalve ja kogukonna kaasamise. Samas võiks riigis olla mitmed kesked RIA poolt hallatud lahenduste kasutamine olla kohustuslik ja mitte valikuline a’la riigivõrk, riigiportaal, keskne autentimine jms lahendused.

Ühes kohas väidetakse, et e-valimsed ei ole turvalised, sest auditeerimist pole tehtud, teises kohas väidetakse, et e-valimised on turvalised. Keda me nüüd usume? Kes auditeeris lahenduse või mitte?
Siiani 15 aasta jooksul toimunud valimiste auditeerimiste kohta on info kättesaadav riigi valimisteenuste kodulehelt. Sealt leiab vastused ka korduma kippuvatele küsimustele.

Miks riik kaasab niivõrd vähe tunnustatud tippeksperte väljaspoolt avalikku sektorit? Kas riik on tõesti veendunud, et kogu tippkompetents on avalikus sektoris?
Riik kasutab väga palju erasektori tippspetsialiste. Seda erinevates valdkondades sh nt arenduses ja infoturbes.

Rahast rääkides – kui raha paneb tellija paremini läbi mõtlema – mis on muidugi õige, siis miks ei võiks tellija ise otsustada, millisele tarnijale ta oma raha viib?
Reeglina võibki. Teatud valdkondades tuleb arvestada ka julgeoleku aspektidega ja siin ei ole mõtet võtta liigseid riske.

Riigiasutused saavad oma raha riigieelarvest. Kui riigiasutused hakkavad oma tulu teenima, siis kas see riigieelarveline tugi ei ole ebavõrdne konkurentsieelis erasektori ees?
Riigisektori IKT on olnud ja on jätkuvalt teatud ulatuses alarahastatud ning kui omatulu ka teenitakse, siis kulub see enamasti eelarveaukude lappimiseks. Riik ei peaks riigiarvelise raha eest pakkuma konkurentsi erasektori teenustele, kui see just ei aita kokku hoida riigi enda raha (nt Riigi autentimisteenus).

E-riik eriolukorras

Märtsi keskel välja kuulutatud eriolukorra tõttu pidid paljud nii era- kui ka avaliku sektori ettevõtted ja asutused töö kiirelt ümber korraldama. Peaaegu kõik suhtluskanalid muutusid elektrooniliseks. Kas muutusi toimus ka riigi infosüsteemis? Kuidas e-riik eriolukorraga kohanes?

eID vahendite kasutamine kasvas

Alustame oma ülevaadet muutustest elektroonilise identiteedi (eID) kasutamises. Siin saame võrrelda päringute mahtu kolmel perioodil: veebruaris, kui elu toimis tavapäraselt, märtsis, kui pärast 12 tööpäeva muutus töökorraldus enamikus ettevõtetes, ning aprillis, kui elektroonilised lahendused olid saanud uueks normaalsuseks.

DigiDoc4 klient on rakendus, mida teavad pea kõik, kes kunagi ID-kaardiga allkirja andnud. Jooniselt on näha, et elektrooniliselt antud allkirjade arv suurenes märkimisväärselt sõltumata vahendist – nii ID-kaarti, mobiil-IDd kui Smart-IDd kasutati tavapärasest rohkem. Lõviosa allkirju anti ID-kaardi abil (aprillis 72% kõigist allkirjadest), kuid Smart-IDga anti aprillis neli korda rohkem allkirju kui veebruaris ning mobiil-ID allkirju anti DigiDoc4 abil aprillis kolm korda rohkem kui veebruaris.

Riigi autentimis- ja allkirjastamisteenus

Riigi autentimisteenuse abil saab sisse logida päris paljudesse Eesti e-teenustesse. Mai alguseks oli riigi autentimisteenusega liitunud 35 asutust lausa 114 erineva rakendusega. RIA enda teenustest on ehk tuttavad eesti.ee, millest varsti lähemalt räägime, ja sahver.eesti.ee, kus saab sõpradega dokumente jagada.

Kuigi autentimisteenusega liitus vaadeldavate kuude jooksul uusi kliente, tegid rohkem päringuid ka juba varem liitunud teenused. Enda isikut tuvastati rohkem nii ID-kaardi, Smart-ID, mobiil-ID, pangalingi kui ka Euroopa Liidu vahendite abil (just sellises suurusjärjestuses). Kõige suurem hüpe toimus Euroopa Liidu vahenditega isikutuvastamisel – aprillis tehti peaaegu kolm korda rohkem päringuid kui veebruaris. Arvud ise on muidugi küllaltki väikesed, moodustades vaid 0,01% kõigist isikutuvastustest. Kõigi autentimiste arv oli aprillis kokku 27% suurem kui veebruaris.

Riigi allkirjastamisteenus on veel lapsekingades lahendus, mille abil saavad infosüsteemid moodustada allkirjaümbrikke mobiil-ID ja ID-kaardi allkirjadega. Kuna veebruaris oli kasutajaid õige vähe (umbes täpselt 2), oli aprilliks protsentuaalne antud allkirjade kasv üsna märkimisväärne. Aprillis pandi allkirjastamisteenuses kokku 60 korda rohkem allkirjaümbrikke kui veebruaris. Umbes sama palju tõusid nii ID-kaardi kui ka mobiil-ID abil tehtud toimingute mahud.

Andmevahetus X-teel

Seega, kui elektrooniliste isikutuvastuste arv kasvas üksnes veidi, siis elektroonilisi allkirju anti varasemast palju rohkem. Aga mis toimus mujal riigi infosüsteemis, näiteks andmevahetuskanalis X-tee?

X-tee visualiseering: https://logs.x-tee.ee/visualizer/EE/

X-tee tegevuste arvu saame vaadelda lausa nädalate lõikes. Võtame ette perioodi 2020. aasta 9. nädalast (27. veebruarist) kuni 17. nädalani (lõpeb 26. aprilliga). Eriolukorra kehtestamine 12. märtsil toimus 11. nädalal. X-tee kaudu tegid sellel perioodil kõige rohkem päringuid tervise ja heaolu infosüsteemide keskus, politsei- ja piirivalveamet ning kohtutäiturite ja pankrotihaldurite koda. Kõige rohkem infot päriti haigekassa, maksu- ja tolliameti ning registrite ja infosüsteemide keskuse infosüsteemidest.

Kui avaliku sektori ettevõtete päringute arv oli sellel perioodil üsna stabiilne, siis erasektori ettevõtete päringute arv kasvas nädalatel 11–14 (vahetult pärast eriolukorra väljakuulutamist) võrreldes 9. nädalaga pea 50%. Hiljem stabiliseerus päringute arv endisele tasemele. Absoluutarvudelt kasvas eriolukorra ajal kõige rohkem politsei- ja piirivalveameti infosüsteemis, kohtutäiturite ja pankrotihaldurite koja täite- ja pankrotimenetluse infosüsteemis ning Ridango ASi piletisüsteemis tehtud päringute hulk. Vähem päringuid hakati tegema näiteks piirikontrolli andmekogus, tollideklaratsioonide infosüsteemis ning politsei- ja piirivalveameti broneeringusüsteemis. Tervishoiuteenuste infosüsteemides (nt apteekide infosüsteem, tervishoiuteenuste osutajate infosüsteem, haigekassa jm) kerkis päringute hulk 11.–14. nädalal tavapärasest tunduvalt kõrgemale ning stabiliseerus pärast seda.

Riigiportaali eesti.ee äkiline hüpe

Põikame nüüd veel korraks eesti.ee juurde, mis koondab e-Eesti infot ja e-teenuseid. Selgub, et erinevate teenuste poole tehtud päringute arv kasvas pisut 10.–13. nädalal ning tegi suure hüppe (kaks korda rohkem päringuid kui tavapärane) 14. nädalal (aprilli algus). Pärast seda langes tehtavate päringute arv madalamale kui veebruari lõpus. Kokkuvõtvalt toimus e-Eestis samasugune trend nagu füüsilises Eesti Vabariigis – hetkeks kerkis nõudlus erinevate süsteemide ja info järele lakke. Pärast ühte kuud olukord stabiliseerus, vaid digitaalseid allkirju anti tunduvalt rohkem kui varem.

Annika Kluge, elektroonilise identiteedi osakonna projektijuht

@eesti.ee meiliaadressidest ja „postkastist“

Uue turvastandardi DMARC kasutusele võtmine @eesti.ee postiteenuse juures tekitas inimestes üksjagu segadust. Selleks, asi selgemaks saaks, tuleb alustada algusest. Proovime seda seekord teha läbi küsimuste ja vastuste.

Kuidas saab inimene @eesti.ee e-posti aadressi?

Riik loob eraisikule isikukood@eesti.ee aadressi koos ID-kaardi väljastamisega, juriidiline isik saab selle, kui asutab ettevõtte.

 Kes tohib saata @eesti.ee aadressile kirju?

  • nimi.perenimi@eesti.ee aadressile tohib kirja saata igaüks
  • asutusenimi@eesti.ee aadressidele tohib kirja saata igaüks
  • isikukood@eesti.ee ja registrikood@eesti.ee aadressile lubatakse kirju saata ainult riigiasutustel ja riigi nimel teenust osutavatel ettevõtetel, seda teenust saab kasutada kahel viisil:
    • läbi selleks ettenähtud releeteenuse koos vastavate pääsupiirangutega.
    • üle X-tee teavitusteenuse

Kust on pärit @eesti.ee meiliaadress ja mis on selle mõte?

See on tegelikult süsteemne osa meie elektroonilisest identiteedist, mis baseerub avaliku võtme infrastruktuuril (PKI) ja see  võimaldab üheselt ja turvaliselt inimese tuvastada.

@eesti.ee lõpuga meiliaadress tekib RFC822 standardile vastava SAN-välja väärtusena meie igaühe ID-kaardil oleva isikutuvastuse sertifikaadi koosseisus kujul isikukood@eesti.ee  niipea kui inimene saab omale ID-kaardi. Isikukoodi, mitte nime kasutamine sertifikaadil oleva meiliaadressi osana, tagab selle, et infosüsteemidel ei teki probleeme täpitähtede töötlemisega. Lisaks on see alati unikaalne.

NB! Veelkord – isikukood@eesti.ee aadressile saavad kirju saata ainult RIA-ga vastava teenuse kasutamise lepingu sõlminud riigiasutused.

Lühidalt – tunnustatud sertifikaatide puhul on e-posti kontaktaadressi väli standardist tulenev komponent, mis võimaldab sertifikaadi omanikuga ühendust võtta. Meie juhtumi puhul otsustati kunagi võtta kasutusele @eesti.ee domeen.

ID-kaardi infrastruktuuriga seotud meiliaadressi olemasolu tagab tegelikult seda, et aadressi omanik on ikka see päris õige inimene. Häda oli ainult selles, et kuidas see päris inimene päriselt sinna õnnetu e-posti aadressi külge saada. ID-kaardil endal ju postiserverit küljes ei ole. Seetõttu sai projekti algusaegadel veidi aega @eesti.ee aadressi kasutamise võlu nautida ainult väike ring e-riigi entusiaste.

Aga kuidas ID-kaardil olev meiliaadress ja eesti.ee portaal omavahel seotud on?

Alguses ei olnudki. Osadele ärksatele inimestele tundus, et oleks palju lihtsam, kui nad saaksid riigiga seotud teenuseid kasutada võimalikult lihtsal moel ja ei peaks kolistama internetis ringi erinevate asutuste veebilehti ja vorme otsides. Nii sündiski eesti.ee portaal, mis lihtsustatult pakub lõppkasutajale riigi teenuste kohta infoartikleid, juurdepääsu X-tee andmekogudele ja pinutäit teisi lisavõimalusi. Ja nende lisavõimaluste hulka kuulub ka @eesti.ee „postkast“. 

Täpsemalt võib lugeda eesti.ee portaaliga ja selle teenustega seotud vanemaid kirjatükke siit:
https://blog.ria.ee/e-riigi-teejuht/
https://blog.ria.ee/riigiportaalist-ei-pea-pogenema/
https://blog.ria.ee/aj/

Mis asi on eesti.ee “postkast” oma olemuselt?

Teen ühe asja kohe selgeks. See ei ole kunagi olnud postkast e-posti kui teenuse mõttes (nagu näiteks Gmail seda pakub) ja ei saa selleks tõenäoliselt mitte kunagi.

Juba kümmekond aastat on e-posti teenusepakkujaid turul piisavalt palju ning enamik suuri teenusepakkujaid pakuvad seda eraisikutele aastaid täiesti tasuta (Google Gmail, Microsofti Outlook). Ja nad teevad seda väga kvaliteetselt. Seega võib ajas tagasi vaadates tõdeda, et veel ühe meiliteenuse ehitamine riigi nappide vahenditega ei oleks olnud kuigi nutikas idee.

Probleem, et @eesti.ee ei ole päriselt „postkast“ e-posti teenuse mõttes, lahendati sellega, et eesti.ee portaali loodi võimalus oma @eesti.ee aadress suunata enda vabalt valitud ja tegelikult aktiivselt kasutuses olevale e-posti kontole.

Teenus osutus niisugusel kujul päris populaarseks ja paljud hakkasid seda kasutama. Meie vaatest oli aga halb see, et meil tekkis paras ports „surnud“ suunamisi, mis tegelikult erinevatel põhjustel ei toimi (postkast on täis, ei eksisteeri, meiliaadressiga on eksitud jmt).

Nende „surnud“ suunamistega tegeleme tänaseni ja see töö ei saa kardetavasti kunagi otsa. Küll aga tuleb kaaluda käsitöö asemel tegevuse arvutile delegeerimist – pisitilluke moodne kratt lihtsalt eemaldab perioodiliselt mittetoimivad suunamised ja jätab inimese eesti.ee „postkasti“ viisaka teate, et vot selline asi leidis aset.

Oluliste riigi teavituste kodanikule kättesaadavuse tagamise lahenduseks (eelkirjeldatud murede valguses) võetigi selle aasta alguses kasutusele virtuaalne „postkast“ mille mõte on selles, et vaatamata inimese poolt määratud suunamistele säilitatakse volitatud saatjate poolt isikukood@eesti.ee aadressile saadetud sõnumite koopia ka eesti.ee portaalis ning tagatakse selle terviklikkus ja kättesaadavus teatud perioodi (hetkel pole veel otsustatud, kui pikk see on). Seega tekib inimesel võimalus igal ajal minna ja kiigata eesti.ee portaalis oma „postkasti“ kui on vähimgi kahtlus, et suunatud meil ei ole mingil põhjusel kohale jõudnud.

NB! Kõik eesnimi.perenimi.xxx@eesti.ee aadressile saadetud meilid suunatakse siiski ilma neid salvestamata jätkuvalt edasi nii nagu inimene ise on määranud, sest me loeme seda inimese eraasjaks kuhu RIA-l pole õigust sekkuda.

Riigi vaatenurgast oli ja on jätkuvalt vaja kodanikele ning ettevõtetele saata ametlikke teavitusi. Jah, seda saab teha tänaseni paberil, kasutades inimeste ja firmade ametlikke postiaadresse, aga selline lahendus on ressursse raiskav ning ebaefektiivne. @eesti.ee postkast on turvaline ja usaldusväärne kanal, mille kaudu saab riik inimest informeerida.

Üks põhjus, miks võtsime uue turvastandardi kasutusele, ongi see, et kurjategijad kasutasid ära @eesti.ee domeeni ning saatsid sellise lõpuga kirju inimeste trikitamiseks. See on negatiivse mõjuga nii inimesele kui ka kogu e-Eestile.

Vahepõige ajalukku

Umbes samal aja koos suunamise teenuse loomisega katsetati ka võimalust pakkuda @eesti.ee aadressi kasutust nii, et inimene saaks oma e-posti keskkonnas sättida meili saatja aadressiks oma @eesti.ee aadressi. Kõik ikka selleks, et @eesti.ee muutuks populaarsemaks ja leiaks laiemat kasutust.

Selline mõte oli tore ning eesrindlik, aga selle tegelik kasutajaskond üllatavalt tilluke. Seega võeti teenuse korrektse häälestamise võimalus umbes 4-5 aastat tagasi portaalist maha. Toona puudus oskus legacy ehk pärandvara täielikult eemaldada, vahepeal muutus kardinaalselt ka eesti.ee portaali tiim. Nii jäigi alles pilootteenus, mida edasi arendatud ega ka täielikult ära ei kaotatud. Teadlikud inimesed said seda edasi kasutada. . Ka RIA jaoks libises selline teenuse kasutamise võimalus „radari“ alla.

Tagasi tänasesse päeva

Mai lõpul lülitasime eesti.ee postisüsteemis efektiivsemaks pahalastega võitlemiseks sisse täiendava DMARC-i põhise kontrollmehhanismi. Ühtlasi tähendab see seda, et ühelt poolt läks kõigi @eesti.ee meilisuunamise kasutajate jaoks kõik paremaks, sest rämpspostitajaid ning õngitsejaid jäi kõvasti vähemaks.  Samas sai „pihta“ ka eelmainitud legacy staatuses pilootlahendust senini kasutanud inimesed. Nad ei saa enam oma väljamineva meili saatja aadressiks määrata eesnimi.perenimi.xxx@eesti.ee. Meil oli valida, kas lasta kurjategijatel ja õngitsejatel kasutada spämmimiseks @eesti.ee aadressi edasi või see peatada. Kuna @eesti.ee meilikonto on mõeldud selleks, et kohalik omavalitsus ja riik saaks kodanikule saata vajalikku ja usaldusväärset infot, siis me ei saa lubada, et @eesti.ee nime kasutatakse ära õngitsemiseks ja inimestelt raha väljapressimiseks.

Mida sellest kõigest järeldada?

Kõlab klišeena, aga tegijal juhtub. Me peame kindlasti senisest paremini haldama oma teenuste portfelli, et mitte unustada tiksuma sääraseid pilootteenuseid, mis tegelikult ei lähe täies ulatuses tööle ning võivad tekitada aastaid hiljem segadust ja ebameeldivusi. Saan kinnitada, et usin töö selle osas käib juba jupp aega. Peame varem ja paremini inimesi teavitama, kui teeme muudatusi teenustes. Muudatustest tuleb teada anda mõistliku ajavaruga. Siinkohal jäime hiljaks inimeste teavitamisega ning see on meiepoolne viga.

Küll aga peame praeguses tormilises küberruumis olema siiski jätkuvalt valmis kiireteks kannapööreteks, kus oluliste turvariskide ilmnemisel peame omama jätkuvalt meelekindlust probleemsete teenuste kiireks kinnipanekuks või parandamiseks. Sõltuvalt siis sellest, millega me täpselt silmitsi seisame.

Tarmo Hanga
RIA tehnoloogiaosakonna juht