SDG, artiklivaramu ja riiklik postkast, Raimo Reiman

Kas 2021. aastal hakkab RIA asutuste eest nende teenuste kasutust mõõtma? Mil moel seda tehniliselt tehakse?
RIA hakkab koos MKMiga koos raamistikku looma, et teenuste tarbimise statistika automaatselt teenuste kataloogi jõuaks.

Milliseid numbreid näitab 2020. aasta tagasiside ja analüütika? Kuidas on olukord Eestis võrreldes teiste EL riikidega?
Riigiportaali rahulolu on kõrge, teiste riikidega võrdlusmoment hetkel puudub, tuleb koos SDG rakendumisega.

Kes artiklivaramut modereerima hakkab, et sinna lisatud info oleks ka ühtse stiiliga ja keeleliselt õige?
Vastutus sisu eest on teabevaldajal, eesti.ee-s olevaid artikleid jäävad modereerima RIA toimetajad.

Kui paljud inimesed üldse on oma riikliku postkasti ära suunanud, et riigi kirju kätte saada?
450 000. Tegeleme sellega, et @eesti.ee aadressile saaksid kõik asutused kirju saata ning inimestel oleks alati üks koht, kus kindlasti kogu riigi kommunikatsioon olemas on.

Kas Artiklivaramu ja (eestikeelse) Wikipedia vahel on mingi põhimõtteline vahe?
Artiklivaramu hoiab infot riigi teenuste kohta ning nende vahelisi seoseid.

Millal kättetoimetamise teenus kasutusele võetakse (st asutus saaks teada, kas on sõnum kohale jõudnud)?
Juba praegu on võimalik saata @eesti.ee aadressi suunanud inimestele avamiskinnitamisega dokumente. Kättetoimetamiskeskkonna edasiarendustega alustame aastal 2021.

Kas Facebooki kaudu teavituste saatmise potentsiaalsed riskid ja ohud on ka korralikult kaardistatud? #cambridgeanalytica #jälgimisühiskond. Facebooki huvid on riigi huvidest väga erinevad.
Selleks on meil alternatiivsete kanalite analüüs, kus oleme ka infoturbe ohte kaardistanud.

Soovitan Kohustuste Kalendri asemel kasutada midagi pehmemat, nt Võimaluste Kalender vmt. Samuti Kättetoimetamiskeskkonna asemel midagi personaalsemat, nt “Sulle” vmt.
Nõus!

eesti.ee kasutajate rahulolu-uuring, Raimo Reiman

Millal hakkab eesti.ee artiklivaramut ise kasutama?
Eesti.ee juba kasutab artikleid sellisel kujul nagu nad artiklivaramus on, tegeleme sellega, et sisuhalduse kasutajaliides ka partneritele kasutatav oleks.

Kas kättetoimetamisteenust saaksid tulevikus kasutada ka omavalitsused (või on see mõeldud vaid riigile teadete edastamiseks kodanikele/ettevõtetele).
Omavalitsused saavad juba praegu @eesti.ee süsteemi teavituste edastamiseks kasutada.

Millised tegevused sellele uuringule nüüd järgnevad?
Kasutame sisendina ettevõtja ja eraisiku vaate ning riikliku postkasti lahenduste parandamiseks.

Milline on eesti.ee 5 aasta pärast?
Automaatne ja taustal toimiv süsteem, mis aitab riigi info ja teenused kokku tuua kasutaja jaoks eelistatud kanalis.

Millal eesti.ee vana kujundus lõplikult kaob?
2021. aasta lõpuks.

Millal see ettevõtjate ühtne portaal valmis saab?
Ettevalmistavad tööd on alanud, soovime 2021. aasta jooksul esimeste lahendustega avalikuks tulla.

Mis on EU CyberNet, Siim Alatalu

Kuidas seda küberabi koroonatingimustes võimalik anda on?
See on naelapea pihta küsimus. Koroonaviirus tegelikult ei peatanud Euroopa Liidu abiprojektide tööd. Meie enda inimesed RIAstki on jätkanud teiste riikide nõustamist. Nüüd on need toimunud peamiselt virtuaalses vormis. Projektid kohandusid kiiresti ja ma arvan, et online-kursused jäävad toimuma ka järgmistel aastatel. Kõik eksperdid siiski ootavad võimalust minna reaalselt kohapeale ning inimestega näost näkku suhelda, sest seda ei asenda miski.

Kui palju teil juba eksperte või taotlusi ekspertidelt on?
Ma numbrit siin ei ütle, aga eesmärgini 500 liigume täna mind rahuldavas tempos.

Kui ELil juba mitu teist sarnast projekti on, kas siis EU CyberNet pole üleliigne?
EU CyberNet ei ole üleliigne. Selle järelduseni jõudsid Euroopa rahvad juba eelmisel aastal, et sellist projekti on vaja. Aga nali naljaks. Nagu võisite näha, erinevad EL projektid tegelevad teatud niššidega ning EU CyberNeti ülesanne on tekitada nende vahele kooskõla ja koherentsust. Teised projektid võivad kasutada meie andmebaasi omale parimate ekspertide leidmiseks.

Mis olid kõige suuremad katsumused projekti loomise juures?

Ma tahaks loota, et katsumused alles tulevad. Nagu iga projektijuht teab – kõik algab inimestest, kõik algab ajast ja kõik algab rahast. Ma usun, et see projekt on kõigis neis nurkades hästi kaetud.

Kas Venemaa küberturbe eksperdid on samuti projekti kaasatud?
Nagu ma vihjasin, riigid, kellele heidetakse ette teiste ründamist, neil kahtlemata Euroopa Liit paremaks muutuda ei aita.

Kas igaüks, kes valdkonda tunneb, võib eksperdiks hakata ja millised on sellega kaasnevad hüved?
Suurim hüve, kui oled motiveeritud ja vabatahtlik, on võimalus muuta maailma. Sa saad minna kohapeale ja reaalselt aidata mõnel riigil saada vähemalt sama küberturvaliseks kui Eesti. Kui mõelda praktilistele meetmetele, siis kõigi ekspertide lähetusi rahastab Euroopa Liit vastavalt oma tingimustele.

Projekti raames on valmimas tehniline multifunktsionaalne platvorm. Mis funktsionaalsused sellel platvormil olema saavad?
EU CyberNeti tehniline platvorm kujuneb projekti nö online koduks. Selle eesmärk on aidata nii ehitada üleeuroopalist küberekspertide kogukonda ehk tuua kokku eksperdid omakeskus. Sama oluline on aidata ka viia kokku ekspertiisi nõudlus ja pakkumine ehk eksperdid konkreetsete väljaõppemissioonidega. Platvormile saavad isikliku ligipääsu nii eksperdid kui ka üleeuroopaline küberasutuste kogukond ehk EU CyberNet Stakeholder Community. Platvormi arendatakse spetsiaalselt meie projekti jaoks.

CERT-EE, Eesti küberruumi valvur. 2020/2021 suurimad küberohud, Tõnu Tammer

Millistest riikidest meid kõige rohkem rünnatakse?
Seda on keeruline öelda, sest internetis paistab välja vaid riik, kust tuleb ründav pakett. Millises riigis arvuti taga istub ründaja, kes teises riigis asuvat serverit kasutab, on raske pelgalt paketti vaadates tuvastada.

Mis on pahavaralevitajate peamine eesmärk? Kui mu lapse arvutisse see satub, siis ehk ei saa see palju kurja teha?
Peamiselt leviv pahavara teeb kaht: varastab arvutist andmeid ning loob ründajale võimaluse kasutada arvutit edaspidi järgmisteks pahatahtlikeks tegevusteks. Kui pahavara sattub lapse arvutisse, siis esimese asjana tuleks arvestada, et pahavara varastab ära erinevad arvutisse salvestatud paroolid.

Kui sageli rünnatakse poes ostetud seadmete abil. Näiteks akupanga või USB-klaviatuuri abil?
Enamik kodus olevatest tehnilistest lahendustest ja seadmetest on ostetud ning seadmete soetusviis antud kontekstis oluline ei ole. Kuigi teoorias on ründed ühe või teise seadme abil võimalikud, ei ole viidatud seadmed otse ühendatud internetiga. Pigem tuleks olla tähelepanelik nende seadmete soetamisel, millel on internetti ühendumise võimekus (nt WiFi kaamera).

Milline on Tõnu jaoks kõige keerulisem või värvikam intsident?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kuidas CERT-EE näeb pankade tegevust õngitsusrünnakutega seoses – enamus õngitsuslehti paistab olevat suunatud panga klientide püüdmiseks – mida teeb RIA vs pangad nende lõppemiseks?
Riigi Infosüsteemi Amet hoiatab pidevalt erinevatest internetis levivatest skeemidest. Samuti oleme korraldanud mitu küberteadlikkuse tõstmise kampaaniat ning jätkame ühiskonna teavitamist ka edaspidi. Samuti oleme jaganud avalikult soovitusi, mille abil on ettevõtetel võimalik oma head nime sh. domeeni kaitsta võltsimise eest. Selleks, et saavutada hea küberturvalisuse tase on ühest küljest vaja tehnoloogiliste standardite ja parimate praktikate rakendamist kui ka inimeste teadlikkust ja tähelepanelikkust.

Kas kõigist ohtudest ja rünnakutest nii teadlik olles vahel endal hirmus ei hakka?
Hirmul ei tohi lasta võitu saada ning selle asemel, et muretseda ühe või teise teema pärast on palju mõistlikum võtta see aeg ning teha endal mõni asi paremaks. Üks praktiline tegevus, mis tasuks ära teha oleks paroolihalduri kasutusele võtmine ning kõikides kasutatavates keskkondades paroolide vahetus. Sedasi on kindel, et igale poole saab unikaalne ja pikk parool, mida peab meeles paroolihaldur.

Kas oled ise ka mõne küberrünnaku ohvriks sattunud?
Jah, minu krediitkaardi andmed on varastatud/lekkinud 3 korda.

Millistel äämuslikel juhtudel RIA soovitab lunavara nõude välja maksta? (Tulenevalt esineja väitest)
Me ei soovita kunagi lunaraha maksta. Ennem kui ründajaga suhtlusesse laskuda tuleks ühendust võtta CERT-EE-ga, kes oskab tuge pakkuda tekkinud olukorras.

Kui ajakirjanik Eeva saab oma postkasti tundmatu kirja, ja ta peab selle avama sest tegemist võib olla hea vihjega, siis kuidas ta saab veenduda, et tegemist ei ole viirusega?
Selleks, et oma arvutit kaitsta on oluline regulaarselt paigata operatsioonisüsteemi, brauserit, e-postitarkvara ning teisi arvutis olevaid tarkvarasid. Igapäevaselt peab uuendama antiviiruse tarkvara tuvastuse signatuure ning soovitame antiviiruse tarkvarade puhul kasutada ka tootja teadmusbaasi põhist kontrolli. Juhul, kui kahtlus võimaliku pahavara olemuse kohta püsib, soovitame pöörduda CERT-EE poole või kasutada meie pakutavat avalikuks kasutamiseks mõeldud pahavara süvaanalüüsi keskkonda Cuckoo: https://cuckoo.cert.ee

Milline on aasta 2020 suurimat kahju tekitanud küberintsident, mis tekitas Tõnu näole avapildil näidatud ilme?
Viidatud Eestis toimunud intsident leidis kajastust hiljuti meedias.

Kas iOS vajab antiviirust? Kui jah, siis palun soovitusi.
iOSile on võimalik antiviiruse tarkvara paigaldada. Tulenevalt iOS toimimise loogikast ei ole antiviirus iOS seadmetel samaväärselt tõhus kui mujal. Kuid iOS seadmete keskkonnas on pahavara levitamine ka keerukam, sest rakendusi või äppe saab paigaldada vaid Apple App Store vahendusel ning Apple kontrollib ka levitatavaid rakendusi.

Küberkuu 2020. ja 2019. aasta IT-vaatliku kampaania kokkuvõte, Lauri Tankler

Millal tuleb uus IT-vaatliku kampaania ja kellele see suunatud on?
Järgmine kampaania on suure tõenäosusega suunatud Eesti venekeelsetele elanikele. Kõik ajakava ja sisu veel täpsustub.

Kas teid saab kutsuda ka asutusse töötajaid koolitama?
Küsida võib ikka, eks siis arutame RIAs, kas või kuidas kellelgi aega on. Kampaaniate ajal on ehk vast isegi lihtsam inimesi endale kooli meelitada. Aga pigem soovitaksin küsida otse mõnelt oma tuttavalt küberspetsialistilt, kas ta võiks tulla teile koolitust tegema.

Kuidas seletada vanaemale või 5-aastasele lapsele, et mis asi on küberturvalisus?
Hea võrdlus oleks oma majaga: kui sa head ukselukku ei pane, siis võivad sisse tulla inimesed, keda sa ei taha sinna. Kui sa mõne aja tagant oma katuse läbilaskmist ei kontrolli, siis võib ühel hetkel vihma hakata läbi sadama. Ja kui sul ei ole akende ees kardinaid, näevad mööduvad inimesed sulle tuppa sisse. Kõik see kehtib ka küberruumis: paroolid on lukud, uuendused aitavad su arvutil tõrjuda välisvaenlasi, ja privaatsussätted on su kardinad akende ees.

Mida lisaks kampaaniatele inimeste teadlikkuse suurendamiseks teete?
RIA jagab perioodiliselt informatsiooni ohtude kohta küberruumis – iga kuu, kvartal, aasta – ning ka siis, kui parasjagu mingi suurem küberoht meid varitseb. Meid võib jälgida sotsiaalmeedias ja püüame pidevalt ka oma hoiatavate näidetega ajakirjanduses pilti saada.

Kas on võimalik saavutada olukord, kus kõik Eesti inimesed on IT- vaatlikud?
Kuna turvalisus ei ole kunagi lõplik, ei ole ka kõik inimesed lõpuni turvateadlikud. Kõik inimesed on mingil määral niikuinii oma elus ettevaatlikud, ka it-vaatlikud, kuid iga väiksemgi proaktiivne tegevus selle turvalisuse tõstmiseks tuleb kasuks.

Kas CIS20 on ka mõeldud pigem just 0, 1 kuni 100 töötajaga ettevõttele?
CIS20 on mõeldud ettevõtetele, kellel on töötajaid, keda koolitada; arvutisüsteeme, mida hallata; teenuseid, mis on IT-lahendustega. Seda raamistikku peaks saama kasutada ettevõte nii 10 töötajaga, kui ka 20000 töötajaga. Loe lähemalt https://www.cisecurity.org/controls/

Kas vanaema, kel on nuputelefon ja arvutis loeb vaid ajalehti, peaks ka IT-vaatlik olema?
Kui vanaema arvutis ei ole brauser uuendatud, millega ta lehti loeb, võib tema arvutisse sattuda pahavara. See võib omakorda teha palju pahandust kohalikus arvutivõrgus või hakata ründama teisi süsteeme üle interneti. Seega jah, kõik arvutit ja internetti kasutavad inimesed peaksid vähemasti teadma, et mõned küberturvalisuse teemad on olulisemad kui teised.

Kas on plaanis ka e- valimistega seotud teadlikkuse koolitusi?
Seda tuleb veel vaadata ja kaaluda, sest iga selline teema nõuab eelarvet. E-valimise õpetamist on vaja üha vähem, sest inimesed on Eestis sellega juba niivõrd harjunud ning aitavad ka üksteist. Küll aga peame vajalikuks toonitada, et hea oleks hääletada oma arvutist, mille puhul sul pole kahtlust, et see oleks nakatunud mingi pahavaraga. Küll me leiame võimaluse seda sõnumit levitada.

Kas RIA teeb koolituste osas koostööd ka HTM-ga, et küberturbe küsimused oleksid kooli õppekavades sees?
Haridus- ja teadusministeeriumi all tegutsev Harno (mille koosseisu liideti ka varasem Hariduse Infotehnoloogia Sihtasutus HITSA) pöörab küberturvalisusele koolides palju tähelepanu ning see küsimus on kindlasti üks, mis neil on kaalumisel. Küsimus on siis pigem selline: kas küberturvalisus peaks olema eraldi õppeaine, läbiv teema või mõlemat. Iga uuema valdkonna õppekavadesse liitmine peab tähendama ka seda, et keegi oleks võimeline neid aineid õpetama. Kui seda teha pelgalt kohustuse pärast, ei pruugi sellest head nahka tulla.

Öeldi, et avalikule sektorile võimaldatakse testi tegemist, see on puhas vale! ETO-d on samuti avalik sektor, kuid ETO-le keelduti testi võimaldamisest!
Eeldan, et juttu on Küberhügieeni Digitestist. DigiTest on suunatud eelkõige valitsussektorile, sh valitsusasutused, põhiseaduslikud institutsioonid ja kohalikud omavalitsused, kuid skoopi on laiendatud ka perearstikeskuste ja üldhariduskoolide personalile. Üheks eelduseks on liitumine Riigivõrguga. ETOsid on muidugi on nii avalikus kui ka erasektoris. Kirjutage digitest@ria.ee, et teada saada, millised on teie asutuse võimalused seda õppeplatvormi kasutada.

Milleks ja kellele Eesti uus infoturbestandard, Ilmar Toom

Miks on meile vaja järjekordset standardit?
Eks igal sellisel lahendusel ole oma elukaar ning olemasoleva oma on jõudmas sinna, et aeg on küps uue jaoks. Ka organisatsioonide küpsusaste kasvab tasapisi ning üha rohkemad on valmis võtma kasutusele standardit, mis pakub lisaks etalonturbele ka riskipõhist lähenemist.

Kas RIA hakkab ka uue standardi täitmist kontrollima?
Jah, RIA teostab järelevalvet infoturbemeetmete rakendamise üle nagu praegugi.

Kui palju on iske rakendamise nõuete vastu eksimise eest trahvitud?
RIA ei tee asutustele trahvi. Kui tuvastatakse puuduseid, mida mõistliku aja jooksul ei kõrvaldata, siis saab määrata sunniraha. Seda saab teha korduvalt, senikaua kuni puudused kõevaldatakse.

Kas olete ISKE ise läbi lugenud?
ISKE ei ole juturaamat, et see kaanest kaaneni läbi lugeda. Pigem on see käsiraamatu laadne teatmik, kust vastavalt vajadusele saab infot otsida. Rakendusjuhend jms üldise dokumendid on muidugi mõistlik läbi lugeda.

Kui ISO on olemas, miks siis üldse uut standardit vaja on?
ISO ei sobi kõigile. Kõik asutused ei soovi või ei jaksa ISOt rakendada. Kuid kes soovib, siis palun väga – ISO 27001 sertifikaadi olemasolu korral loetakse infoturbemeetmed rakendatuks.

Kes asutuses peaks e-ITSi kasutusele võtmisega tegelema hakkama või seda kasutuselevõttu algatama?
Iga selline ettevõtmine on terve maja projekt, kõik peavad sellega tegelema ning arusaama, mida ja milleks tehakse. Mõistagi jagunevad tööülesanded erinevate rollide vahel, kuid, nagu enamasti, algatus ja üldvastutus on tippjuhtkonna juures, sealt edasi äriprotsesside omanikud jne.

Kas uue standardi rakendamise toetamiseks luuakse ka tööriist, rakendus vmt?
Esimeses järgus luuakse portaalile, kus standard asuma hakkab, API, mille abil on standardit lihtne integreerida asutuses juba olemasolevasse töövoohaldusesse. Järgmisel aastal tegeleme ka eraldi tööriista loomise küsimusega.

Kui enne oli 5000 lk ja nüüd 500 lk, kas midagi siis jäeti lihtsalt välja?
Standardi loomisel pandi suurt rõhku mh ka sellele, et esitada materjal võimalikult lühidal ja kontsentreeritud kujul. Sellega seoses on seal vähem korduseid, kirjeldavaid taustalugusid ja üldharivat teksti. Kõik oluline on olemas.

Millal ISKE kinni pannakse?
2024 alguses. ISKE saab siis 20-aastaseks.

Kuidas sündis uue standardi nimi? Kas oli ka alternatiive lisaks E-ITSile?
E-ITS on akronüüm standardi pikast nimest. Kas sellet saab ka lõplik nimi, näitab aeg. Praegu on E-ITS nö tööversioon ning kui kellelgi on silmapaistvalt häid ideid, siis andke meile teada. Jah, meil oli ka erinevaid alternatiive.

Kas ja kui paljudele organisatsioonidele on RIA sel aastal sunnirahasid või trahve määranud? Sanktsioneerimine ei ole kunagi olnud RIA eesmärk. Meie eesmärk on ikkagi see, et asutustes oleksid infoturbemeetmed rakendatud. Kui seda on võimalik saavutada ilma sunniraha määramata, siis see on kahtlemata meie eelistus. Alati see siiski ei õnnestu ja mõnedel puhkudel oleme määranud sunniraha.

Kes hakkab uut standardit auditeerima? Kas neid partnereid on juba olemas?
ISKE puhul on endiselt auditi partneritest puudus. Uut standardit hakkavad auditeerima audiitorid, tõenäoliselt paljuski samad, kes senigi. Ma ei tea, et mõni audit oleks tegemata jäänud põhjusel, et ei ole auditeerijat.

Kust saab alla laadida E-ITSi kavandit?
E-ITS ei hakka olema terviklikuna allalaetav dokument, PDF vms. E-ITS hakkab asuma portaalis, nii nagu ISKE praegugi. Portaal muutub avalikult kättesaadavaks jaanuaris.

Kas E-ITS koolitust on plaanis korraldada üle interneti, arvestades praegust COVID seisu?
Kõige parema meelega korraldaksime füüsilise kohaolekuga koolitusi, kuid meid ümbritsevast keskkonnast tulenevaid mõjusid arvestades võib juhtuda, et peame neid tõepoolest tegema üle veebi.

Miks mitte jääda ISO-27001 juurde selle asemel, et ise leiutada?
ISO puhul on seda “ise leiutamist” oluliselt rohkem kui E-ITSi puhul. E-ITSist on soovi korral võimalik võtta etalonturbe meetmed, ilma et peaks neid ise leiutama hakkama. ISO puhul sellist võimalust ei ole.

Kas riik võiks standardi genereerimiste asemel tegeleda toe/teenuse pakkumisel riskide haldamisel/kaardistamisel/lahendamisel?
Riik ei saa tulla ühegi asutuse riske kaardistama ega haldama, see on ikka iga asutuse enda töö. Mõistagi oleme pakkunud tuge ja koolitusi riskianalüüside läbiviimiste jms teemal ning jätkame seda ka tulevikus. Aga ühegi asutuse eest riske kaardistama ega haldama tulla riik ei saa ega tohi.

RIA juhtkonna paneel – Mida toob 2021 RIA-le ja tema partneritele?

Kas RIA saaks või peaks riigiasutuste koostööd küberturvalisuse tagamisel kuidagi paremaks muuta ja milles see võiks väljenduda?
Kindlasti saaks, aga kvalitatiivseks hüppeks oleks vaja küberturvalisusesse rohkem investeerida. Ja mitte ainult RIAsse, vaid laiemalt.

IT minister ütles, et tema ei saa kinnitada ilma väliste audititeta Eesti e-valimiste turvalisust. Kas RIA peadirektor saab kinnitada, et e-valimised on senini olnud turvalised.
Täna ei ole ühtegi põhjust väita, et e-Valimised ei ole turvalised. Uute valimiste osas kindluse saamiseks on kindlasti igasugused auditid teretulnud. Mida põhjalikumad, seda parem.

Eesti on siiani suuresti läinud rätsepatööna tehtud IT hankimise ja arendamise teed. Kas näete, et siinses ökosösteemis on midagi suurt, mida saaks ka nö karbitootena osta või erasektorile delegeerida
Kindlasti saaks riik rohkem sisse osta ja pikajalises vaates ka sellised plaanid on. Nt arvutitöökohtade haldus või pilve kasutamine jne.  

Kui palju MKM kui RIA katusorganisatsioon dikteerib Eesti küberturvalisusest arengusuundi?
Võiks rohkem dikteerida. Täna peamiselt läbi standardi, järelevalve ja kogukonna kaasamise. Samas võiks riigis olla mitmed kesked RIA poolt hallatud lahenduste kasutamine olla kohustuslik ja mitte valikuline a’la riigivõrk, riigiportaal, keskne autentimine jms lahendused.

Ühes kohas väidetakse, et e-valimsed ei ole turvalised, sest auditeerimist pole tehtud, teises kohas väidetakse, et e-valimised on turvalised. Keda me nüüd usume? Kes auditeeris lahenduse või mitte?
Siiani 15 aasta jooksul toimunud valimiste auditeerimiste kohta on info kättesaadav riigi valimisteenuste kodulehelt. Sealt leiab vastused ka korduma kippuvatele küsimustele.

Miks riik kaasab niivõrd vähe tunnustatud tippeksperte väljaspoolt avalikku sektorit? Kas riik on tõesti veendunud, et kogu tippkompetents on avalikus sektoris?
Riik kasutab väga palju erasektori tippspetsialiste. Seda erinevates valdkondades sh nt arenduses ja infoturbes.

Rahast rääkides – kui raha paneb tellija paremini läbi mõtlema – mis on muidugi õige, siis miks ei võiks tellija ise otsustada, millisele tarnijale ta oma raha viib?
Reeglina võibki. Teatud valdkondades tuleb arvestada ka julgeoleku aspektidega ja siin ei ole mõtet võtta liigseid riske.

Riigiasutused saavad oma raha riigieelarvest. Kui riigiasutused hakkavad oma tulu teenima, siis kas see riigieelarveline tugi ei ole ebavõrdne konkurentsieelis erasektori ees?
Riigisektori IKT on olnud ja on jätkuvalt teatud ulatuses alarahastatud ning kui omatulu ka teenitakse, siis kulub see enamasti eelarveaukude lappimiseks. Riik ei peaks riigiarvelise raha eest pakkuma konkurentsi erasektori teenustele, kui see just ei aita kokku hoida riigi enda raha (nt Riigi autentimisteenus).

eID vahendite kasutamine kasvas

Alustame oma ülevaadet muutustest elektroonilise identiteedi (eID) kasutamises. Siin saame võrrelda päringute mahtu kolmel perioodil: veebruaris, kui elu toimis tavapäraselt, märtsis, kui pärast 12 tööpäeva muutus töökorraldus enamikus ettevõtetes, ning aprillis, kui elektroonilised lahendused olid saanud uueks normaalsuseks.

DigiDoc4 klient on rakendus, mida teavad pea kõik, kes kunagi ID-kaardiga allkirja andnud. Jooniselt on näha, et elektrooniliselt antud allkirjade arv suurenes märkimisväärselt sõltumata vahendist – nii ID-kaarti, mobiil-IDd kui Smart-IDd kasutati tavapärasest rohkem. Lõviosa allkirju anti ID-kaardi abil (aprillis 72% kõigist allkirjadest), kuid Smart-IDga anti aprillis neli korda rohkem allkirju kui veebruaris ning mobiil-ID allkirju anti DigiDoc4 abil aprillis kolm korda rohkem kui veebruaris.

Riigi autentimis- ja allkirjastamisteenus

Riigi autentimisteenuse abil saab sisse logida päris paljudesse Eesti e-teenustesse. Mai alguseks oli riigi autentimisteenusega liitunud 35 asutust lausa 114 erineva rakendusega. RIA enda teenustest on ehk tuttavad eesti.ee, millest varsti lähemalt räägime, ja sahver.eesti.ee, kus saab sõpradega dokumente jagada.

Kuigi autentimisteenusega liitus vaadeldavate kuude jooksul uusi kliente, tegid rohkem päringuid ka juba varem liitunud teenused. Enda isikut tuvastati rohkem nii ID-kaardi, Smart-ID, mobiil-ID, pangalingi kui ka Euroopa Liidu vahendite abil (just sellises suurusjärjestuses). Kõige suurem hüpe toimus Euroopa Liidu vahenditega isikutuvastamisel – aprillis tehti peaaegu kolm korda rohkem päringuid kui veebruaris. Arvud ise on muidugi küllaltki väikesed, moodustades vaid 0,01% kõigist isikutuvastustest. Kõigi autentimiste arv oli aprillis kokku 27% suurem kui veebruaris.

Riigi allkirjastamisteenus on veel lapsekingades lahendus, mille abil saavad infosüsteemid moodustada allkirjaümbrikke mobiil-ID ja ID-kaardi allkirjadega. Kuna veebruaris oli kasutajaid õige vähe (umbes täpselt 2), oli aprilliks protsentuaalne antud allkirjade kasv üsna märkimisväärne. Aprillis pandi allkirjastamisteenuses kokku 60 korda rohkem allkirjaümbrikke kui veebruaris. Umbes sama palju tõusid nii ID-kaardi kui ka mobiil-ID abil tehtud toimingute mahud.

Andmevahetus X-teel

Seega, kui elektrooniliste isikutuvastuste arv kasvas üksnes veidi, siis elektroonilisi allkirju anti varasemast palju rohkem. Aga mis toimus mujal riigi infosüsteemis, näiteks andmevahetuskanalis X-tee?

X-tee tegevuste arvu saame vaadelda lausa nädalate lõikes. Võtame ette perioodi 2020. aasta 9. nädalast (27. veebruarist) kuni 17. nädalani (lõpeb 26. aprilliga). Eriolukorra kehtestamine 12. märtsil toimus 11. nädalal. X-tee kaudu tegid sellel perioodil kõige rohkem päringuid tervise ja heaolu infosüsteemide keskus, politsei- ja piirivalveamet ning kohtutäiturite ja pankrotihaldurite koda. Kõige rohkem infot päriti haigekassa, maksu- ja tolliameti ning registrite ja infosüsteemide keskuse infosüsteemidest.

Kui avaliku sektori ettevõtete päringute arv oli sellel perioodil üsna stabiilne, siis erasektori ettevõtete päringute arv kasvas nädalatel 11–14 (vahetult pärast eriolukorra väljakuulutamist) võrreldes 9. nädalaga pea 50%. Hiljem stabiliseerus päringute arv endisele tasemele. Absoluutarvudelt kasvas eriolukorra ajal kõige rohkem politsei- ja piirivalveameti infosüsteemis, kohtutäiturite ja pankrotihaldurite koja täite- ja pankrotimenetluse infosüsteemis ning Ridango ASi piletisüsteemis tehtud päringute hulk. Vähem päringuid hakati tegema näiteks piirikontrolli andmekogus, tollideklaratsioonide infosüsteemis ning politsei- ja piirivalveameti broneeringusüsteemis. Tervishoiuteenuste infosüsteemides (nt apteekide infosüsteem, tervishoiuteenuste osutajate infosüsteem, haigekassa jm) kerkis päringute hulk 11.–14. nädalal tavapärasest tunduvalt kõrgemale ning stabiliseerus pärast seda.

Riigiportaali eesti.ee äkiline hüpe

Põikame nüüd veel korraks eesti.ee juurde, mis koondab e-Eesti infot ja e-teenuseid. Selgub, et erinevate teenuste poole tehtud päringute arv kasvas pisut 10.–13. nädalal ning tegi suure hüppe (kaks korda rohkem päringuid kui tavapärane) 14. nädalal (aprilli algus). Pärast seda langes tehtavate päringute arv madalamale kui veebruari lõpus. Kokkuvõtvalt toimus e-Eestis samasugune trend nagu füüsilises Eesti Vabariigis – hetkeks kerkis nõudlus erinevate süsteemide ja info järele lakke. Pärast ühte kuud olukord stabiliseerus, vaid digitaalseid allkirju anti tunduvalt rohkem kui varem.

Annika Kluge, elektroonilise identiteedi osakonna projektijuht

Kuidas saab inimene @eesti.ee e-posti aadressi?

Riik loob eraisikule isikukood@eesti.ee aadressi koos ID-kaardi väljastamisega, juriidiline isik saab selle, kui asutab ettevõtte.

 Kes tohib saata @eesti.ee aadressile kirju?

• nimi.perenimi@eesti.ee aadressile tohib kirja saata igaüks
• asutusenimi@eesti.ee aadressidele tohib kirja saata igaüks
• isikukood@eesti.ee ja registrikood@eesti.ee aadressile lubatakse kirju saata ainult riigiasutustel ja riigi nimel teenust osutavatel ettevõtetel, seda teenust saab kasutada kahel viisil:
  • läbi selleks ettenähtud releeteenuse koos vastavate pääsupiirangutega.
  • üle X-tee teavitusteenuse

Kust on pärit @eesti.ee meiliaadress ja mis on selle mõte?

See on tegelikult süsteemne osa meie elektroonilisest identiteedist, mis baseerub avaliku võtme infrastruktuuril (PKI) ja see  võimaldab üheselt ja turvaliselt inimese tuvastada.

@eesti.ee lõpuga meiliaadress tekib RFC822 standardile vastava SAN-välja väärtusena meie igaühe ID-kaardil oleva isikutuvastuse sertifikaadi koosseisus kujul isikukood@eesti.ee  niipea kui inimene saab omale ID-kaardi. Isikukoodi, mitte nime kasutamine sertifikaadil oleva meiliaadressi osana, tagab selle, et infosüsteemidel ei teki probleeme täpitähtede töötlemisega. Lisaks on see alati unikaalne.

NB! Veelkord – isikukood@eesti.ee aadressile saavad kirju saata ainult RIA-ga vastava teenuse kasutamise lepingu sõlminud riigiasutused.

Lühidalt – tunnustatud sertifikaatide puhul on e-posti kontaktaadressi väli standardist tulenev komponent, mis võimaldab sertifikaadi omanikuga ühendust võtta. Meie juhtumi puhul otsustati kunagi võtta kasutusele @eesti.ee domeen.

ID-kaardi infrastruktuuriga seotud meiliaadressi olemasolu tagab tegelikult seda, et aadressi omanik on ikka see päris õige inimene. Häda oli ainult selles, et kuidas see päris inimene päriselt sinna õnnetu e-posti aadressi külge saada. ID-kaardil endal ju postiserverit küljes ei ole. Seetõttu sai projekti algusaegadel veidi aega @eesti.ee aadressi kasutamise võlu nautida ainult väike ring e-riigi entusiaste.

Aga kuidas ID-kaardil olev meiliaadress ja eesti.ee portaal omavahel seotud on?

Alguses ei olnudki. Osadele ärksatele inimestele tundus, et oleks palju lihtsam, kui nad saaksid riigiga seotud teenuseid kasutada võimalikult lihtsal moel ja ei peaks kolistama internetis ringi erinevate asutuste veebilehti ja vorme otsides. Nii sündiski eesti.ee portaal, mis lihtsustatult pakub lõppkasutajale riigi teenuste kohta infoartikleid, juurdepääsu X-tee andmekogudele ja pinutäit teisi lisavõimalusi. Ja nende lisavõimaluste hulka kuulub ka @eesti.ee „postkast“. 

Täpsemalt võib lugeda eesti.ee portaaliga ja selle teenustega seotud vanemaid kirjatükke siit:
https://blog.ria.ee/e-riigi-teejuht/
https://blog.ria.ee/riigiportaalist-ei-pea-pogenema/
https://blog.ria.ee/aj/

Mis asi on eesti.ee “postkast” oma olemuselt?

Teen ühe asja kohe selgeks. See ei ole kunagi olnud postkast e-posti kui teenuse mõttes (nagu näiteks Gmail seda pakub) ja ei saa selleks tõenäoliselt mitte kunagi.

Juba kümmekond aastat on e-posti teenusepakkujaid turul piisavalt palju ning enamik suuri teenusepakkujaid pakuvad seda eraisikutele aastaid täiesti tasuta (Google Gmail, Microsofti Outlook). Ja nad teevad seda väga kvaliteetselt. Seega võib ajas tagasi vaadates tõdeda, et veel ühe meiliteenuse ehitamine riigi nappide vahenditega ei oleks olnud kuigi nutikas idee.

Probleem, et @eesti.ee ei ole päriselt „postkast“ e-posti teenuse mõttes, lahendati sellega, et eesti.ee portaali loodi võimalus oma @eesti.ee aadress suunata enda vabalt valitud ja tegelikult aktiivselt kasutuses olevale e-posti kontole.

Teenus osutus niisugusel kujul päris populaarseks ja paljud hakkasid seda kasutama. Meie vaatest oli aga halb see, et meil tekkis paras ports „surnud“ suunamisi, mis tegelikult erinevatel põhjustel ei toimi (postkast on täis, ei eksisteeri, meiliaadressiga on eksitud jmt).

Nende „surnud“ suunamistega tegeleme tänaseni ja see töö ei saa kardetavasti kunagi otsa. Küll aga tuleb kaaluda käsitöö asemel tegevuse arvutile delegeerimist – pisitilluke moodne kratt lihtsalt eemaldab perioodiliselt mittetoimivad suunamised ja jätab inimese eesti.ee „postkasti“ viisaka teate, et vot selline asi leidis aset.

Oluliste riigi teavituste kodanikule kättesaadavuse tagamise lahenduseks (eelkirjeldatud murede valguses) võetigi selle aasta alguses kasutusele virtuaalne „postkast“ mille mõte on selles, et vaatamata inimese poolt määratud suunamistele säilitatakse volitatud saatjate poolt isikukood@eesti.ee aadressile saadetud sõnumite koopia ka eesti.ee portaalis ning tagatakse selle terviklikkus ja kättesaadavus teatud perioodi (hetkel pole veel otsustatud, kui pikk see on). Seega tekib inimesel võimalus igal ajal minna ja kiigata eesti.ee portaalis oma „postkasti“ kui on vähimgi kahtlus, et suunatud meil ei ole mingil põhjusel kohale jõudnud.

NB! Kõik eesnimi.perenimi.xxx@eesti.ee aadressile saadetud meilid suunatakse siiski ilma neid salvestamata jätkuvalt edasi nii nagu inimene ise on määranud, sest me loeme seda inimese eraasjaks kuhu RIA-l pole õigust sekkuda.

Riigi vaatenurgast oli ja on jätkuvalt vaja kodanikele ning ettevõtetele saata ametlikke teavitusi. Jah, seda saab teha tänaseni paberil, kasutades inimeste ja firmade ametlikke postiaadresse, aga selline lahendus on ressursse raiskav ning ebaefektiivne. @eesti.ee postkast on turvaline ja usaldusväärne kanal, mille kaudu saab riik inimest informeerida.

Üks põhjus, miks võtsime uue turvastandardi kasutusele, ongi see, et kurjategijad kasutasid ära @eesti.ee domeeni ning saatsid sellise lõpuga kirju inimeste trikitamiseks. See on negatiivse mõjuga nii inimesele kui ka kogu e-Eestile.

Vahepõige ajalukku

Umbes samal aja koos suunamise teenuse loomisega katsetati ka võimalust pakkuda @eesti.ee aadressi kasutust nii, et inimene saaks oma e-posti keskkonnas sättida meili saatja aadressiks oma @eesti.ee aadressi. Kõik ikka selleks, et @eesti.ee muutuks populaarsemaks ja leiaks laiemat kasutust.

Selline mõte oli tore ning eesrindlik, aga selle tegelik kasutajaskond üllatavalt tilluke. Seega võeti teenuse korrektse häälestamise võimalus umbes 4-5 aastat tagasi portaalist maha. Toona puudus oskus legacy ehk pärandvara täielikult eemaldada, vahepeal muutus kardinaalselt ka eesti.ee portaali tiim. Nii jäigi alles pilootteenus, mida edasi arendatud ega ka täielikult ära ei kaotatud. Teadlikud inimesed said seda edasi kasutada. . Ka RIA jaoks libises selline teenuse kasutamise võimalus „radari“ alla.

Tagasi tänasesse päeva

Mai lõpul lülitasime eesti.ee postisüsteemis efektiivsemaks pahalastega võitlemiseks sisse täiendava DMARC-i põhise kontrollmehhanismi. Ühtlasi tähendab see seda, et ühelt poolt läks kõigi @eesti.ee meilisuunamise kasutajate jaoks kõik paremaks, sest rämpspostitajaid ning õngitsejaid jäi kõvasti vähemaks.  Samas sai „pihta“ ka eelmainitud legacy staatuses pilootlahendust senini kasutanud inimesed. Nad ei saa enam oma väljamineva meili saatja aadressiks määrata eesnimi.perenimi.xxx@eesti.ee. Meil oli valida, kas lasta kurjategijatel ja õngitsejatel kasutada spämmimiseks @eesti.ee aadressi edasi või see peatada. Kuna @eesti.ee meilikonto on mõeldud selleks, et kohalik omavalitsus ja riik saaks kodanikule saata vajalikku ja usaldusväärset infot, siis me ei saa lubada, et @eesti.ee nime kasutatakse ära õngitsemiseks ja inimestelt raha väljapressimiseks.

Mida sellest kõigest järeldada?

Kõlab klišeena, aga tegijal juhtub. Me peame kindlasti senisest paremini haldama oma teenuste portfelli, et mitte unustada tiksuma sääraseid pilootteenuseid, mis tegelikult ei lähe täies ulatuses tööle ning võivad tekitada aastaid hiljem segadust ja ebameeldivusi. Saan kinnitada, et usin töö selle osas käib juba jupp aega. Peame varem ja paremini inimesi teavitama, kui teeme muudatusi teenustes. Muudatustest tuleb teada anda mõistliku ajavaruga. Siinkohal jäime hiljaks inimeste teavitamisega ning see on meiepoolne viga.

Küll aga peame praeguses tormilises küberruumis olema siiski jätkuvalt valmis kiireteks kannapööreteks, kus oluliste turvariskide ilmnemisel peame omama jätkuvalt meelekindlust probleemsete teenuste kiireks kinnipanekuks või parandamiseks. Sõltuvalt siis sellest, millega me täpselt silmitsi seisame.

Tarmo Hanga
RIA tehnoloogiaosakonna juht

Allikas: http://www.rarewallpapers.com/

Isikuandmete kaitse seadus lähtub seisukohast, et oma isikuandmete omanikuks on isik ise. Isikuandmetel on otsene puude isiku privaatsusega ning digiühiskonnas leidub ühtlasi ka hulk viise andmete kuritarvitamiseks. Mistõttu hea omanik ikka kontrollib aeg-ajalt üle, kuidas on tema isiku­andmetega ringi käidud – kes täpselt on andmeid vaadanud, mis otstarbel, kui sageli, mis põhjusel või kas need andmed riiklikes registrites on üldse õiged.

Eestis loovad X-tee ja ID-kaart üheskoos sääraseks kontrolliks tehnilise võimaluse. Puhuti levib rahvusvaheline müüt, justkui oleks meil andmekasutuse kontroll totaalne, võimalik Eesti kõigis riiklikes registrites. Tegelikult on seda omadust pakkuvate andmekogude nimekiri täna veel üpris lühike:

1. Rahvastikuregister – riigiportaalis eesti.ee sisestame otsinguauku “isikuandmete kasutamine,” valime “Isikuandmete kasutamine Rahvastikuregistris” või liigume otse päringulingile. Sellelt aadressilt paistab andmekasutus notarite, terviseportaali, riigiportaali jms poolt. Isegi Tallinna ühistranspordi piletirobot on käinud mu elukohaandmeid küsimas –arvatagi!
2. Isikut tõendavate dokumentide register – tegu pole küll otseselt teenusega stiilis “vaadata neid, kes vaatavad mind”, kuid vähemasti saab värskendada oma mälu dokumentide kehtivuse ja passipiltide osas (ikkagi täpsed isikuandmed või sedasi). Ja siis on veel üks pisut laiema skoobiga teenus, kust näeb, milline institutsioon on Sinu kohta pärinud andmeid politsei- ja piirivalveameti kodakondsus- ja migratsioonivaldkonna andmekogudest. Leidsin sealt oma isikuandmete vaatamisi vahemikus 2007–2017.
3. Karistusregister; sealtkaudu e-toimikusse. Saab vaadata omi karistusi, kui neid juhtub olema. Näha on ka iseenda poolt just tehtud päring, usutavasti paistaks välja ka naabrimehe või tulevase tööandja tellitud 4 eurot maksev päring.
4. Digilugu. Saab vaadata arsti juures käimisi (selgitus: arst oma arvutis ei saa kodaniku andmetele muidu ligi, kui peab olema külastusjuhtum). Minu hiljutine käik töötervishoiuarsti juurde oli kenasti näha koos arsti nime, nägemiskontrolli ja muu säärasega.
5. Digiretsept. Ehk teisisõnu – ei pea apteeki minema, et näha, kas perearst on retsepti välja kirjutanud. NB! Olenevalt tõve iseloomust võib tegu olla erakordselt delikaatse isikuandmega. Lisainfo nägemiseks klikime retsepti numbril. Näha on näiteks ravimi väljastanud apteekri nimi ja litsentsinumber, arsti omadest rääkimata. Kirss tordil asub all paremal nurgas – kerime lõppu ja vajutame menüüpunktile “Kes on retsepti vaadanud”. Proviisoritädi isikukood igatahes paistis.
6. SK toimingulogi – teisisõnu: ID-kaardi vms eID vahendiga toimepandud toimingute soorituslogi kuupäeva ja kellaaja kaupa (selgituseks: naljakad IP-aadressid selles logis on kesksed teenuseportaalid).

X-tee logo

Meie poliitikud ja müügimehed pole oma edukõnedes olnud ülemäära täpsed… vahel on kogemata või nimme jäetud mulje, justnagu oma andmekasutuse järelekaemine oleks mingi Eesti andmekogude või X-tee üleüldine omadus … Ent jah – miks pole? Võiks ju olla!?

Andmejälgija

Eelmisel kevadel hakkas Riigi Infosüsteemi Ameti juures koos käima ekspertgrupp. Arutati, kuidas tagada kodanikule kontroll oma isikuandmete kasutamise üle. Ekspertgrupp pakkus välja lahenduse, et kui kui funktsionaalsus asuks X-tee mõne ehituskivi (näiteks turvaserveri) küljes, siis uue andmekogu ehitamisel tekiks kodanikule kontrolli võimalus peaaegu iseenesest.

Mõeldud, tehtud. Tegelikult toimus kenake hulk kohtumisi, kus pakuti välja hulk erinevaid lahendusi… avalikkus näeb neist seda, mis lõpuks peale hoolikat kaalumist ja turvaanalüüsi pinnale jäi:

Allikas: https://github.com/e-gov/AJ/blob/master/doc/spetsifikatsioonid/Tehniline_kontseptsioon.md

Diagrammi autor: Andres Kütt

Kuidas toimub andmepäring? Sooritatava infopäringu algataja istub Asutuses B (olgu näiteks Politseiametis) ning kasutab selle asutuse infosüsteemi. Muide, patrullpolitseinik kasutab oma Ameti infosüsteemi ka autos – selleks on tal ID-kaart kenasti kaasas. Päring aga esitatakse vastu Asutust A – olgu see meie näites Rahvastikuregister.

Kahe turvaserveri vahendusel, läbi Eraldusfiltri, jõuabki päring Rahvastikuregistrisse (ehk siis Infosüsteemi A). Eraldusfilter tagab, et Andmesalvestajasse satuvad vaid päringu põhifaktid (kes, millal, kelle kohta), mitte aga päringu üleliigsed detailid ega ammugi mitte andmekogust saadav vastus.

Andmesalvestajal on kaks otstarvet. Esiteks, päringuinfo salvestamine asutuses, kust andmeid küsitakse. Teiseks aga, kui hiljem Andmesubjekt ise (näiteks riigiportaalist eesti.ee) soovib teada, kes tema isikuandmeid pruukis, siis just Andmesalvestaja oskab anda vastuse. Seadistuste moodulis saab muuhulgas ära määrata näiteks ajalise kestuse, kui kaua kasutusandmeid alles hoitakse.

Võib juhtuda, et keegi ei taha/saa oma andmekasutuse uurimiseks ID-kaardiga sisse logida. Siis võib ta vastavale asutusele tigupostiga saata käsikirjaliku küsimuse. Sestap võiks igas suuremas asutuses leiduda üks kodanike kaebustele vastav isik, kes pääseks kodaniku jalajäljele ligi … ning otse loomulikult jääb jälg järele ka tema andme­vaatamistest. Sel otstarbel kuulub lahendusse (vt joonis) Sisekontrollija Rakendus, mis samuti saab oma päringutele vastused moodulilt Andmesalvestaja. Sel moel on tagatud, et käsikirjalikud päringud saavad vastuse.

Uuendust võib ette kujutada kui hajutatud andmekogu kõigist sooritatud andme­päringutest. Andmekogu paikneb hajutatult, iga logijupp samas asutuses, kust isikuga seotud andmeid küsiti. Siis ei pea looma keskset superandmebaasi ning ka kasutusinfo jääb asutusse, kus see niikunii on olemas, kuid lisandub kodanikuvaade.

Täiendus X-tee juurde sisaldab ka andmekasutust logivat moodulit. Süsteemilogi oli olemas ka varem, kuid nüüd kogutakse andmekasutuse andmeid suisa kodaniku enda kui andmete omaniku tarbeks. Sundust andmekogupidajatele vähemalt alguses ei tule – kui nad soovivad, võivad nad sama funktsionaalsuse valmis teha ka mõnel muul moel ega pea ilmtingimata kasutama ette valmistehtud standardtükikesi.

Ka pole praeguseks lõplikult ära otsustatud, kuidas kodanik oma digijalajäljele ligi hakkab pääsema. Mõned jalajäljeteenused just said mugava suunamise riigiportaali eesti.ee kaudu. Arendus aga hakkab toimuma avalikult ja moodsas stiilis – GitHubi vahendusel.

Tegemist on millegi väga põhimõttelisega kogu maailma mõõtmes – Eesti e-riik saab oma kodanikele pakkuda e-teenust, millel on demokraatia seisukohast väga oluline väärtus ning mida enamike riikide IT-selgroog üldse ei võimaldagi. Olen ühe Euroopa riigi parlamendiliikmelt kuulnud, et kui tema kodulinna arhiivist paluda naabrimehe kohta tõendit, siis väljastatakse see paberile trükituna ning mitte kusagile ei jää vähimatki märget, kas küsija üldse kunagi on päringu esitanud või vastuse saanud.

Kokkuvõtteks

Projekti nimi: Andmejälgija.

Kirjeldus: Tehniline universaallahendus võimaldamaks kodanikupoolset seiret oma isikuandmete kasutuse üle riigi X-teel (mistahes andmekogu puhul).

Millal tuleb: On juba kohal, realiseeritud X-tee version 6 standardmoodulina. Iga üksik andmekogu muutub andmejälgitavaks siiski alles pärast seda, kui vastav andmekogu on X-tee uuele versioonile üle viidud (ver 6 vs ver 5).

Kuidas ma oma jalajäljele ligi saan: Enamike teenuste puhul ju ikka läbi riigiportaali eesti.ee.

Andmejälgija tehniline lahendus on valminud Euroopa Regionaalarengu Fondi rahastusel.

Eesti riigiportaal luuakse uuesti puhtalt lehelt. Miks ja kuidas, kirjutas Riigi Infosüsteemi Ameti peadirektor Taimar Peterkop 16. mai 2016 ajalehes Postimees.

Riigiportaal sai võimalikuks koos interneti ja e-ühiskonna arenguga. Veel 20 aastat tagasi olnuks seda tüüpi portaali loomine täiesti võimatu – polnud andmeid, mida näidata, ja kasutajatel polnud internetti ega seadmeid, millega portaali siseneda.

Riigiportaal eesti.ee avati aastal 2003 ning sisuliselt oli Eesti esimene riik, kus riigiportaal sel kujul sündis – seda tänu tulevikku suunatud tööle, mida Eesti oli e-ühiskonna ja e-valitsemise korraldamisel teinud. Riigiportaali hinnates ei tulegi paralleele tõmmata mitte niivõrd kommertskeskkondadega, kuivõrd teiste riikide samalaadsete portaalidega.

Kolm eeldust

Kõigepealt: tänu ID-kaardile sai võimalikuks turvaline sisselogimine interneti kaudu. Paljud riigid on hädas olnud, et ei suuda oma kodanikku e-keskkonnas turvaliselt tuvastada. Kuivõrd ID-kaart on ühtlasi ka kodaniku kohustuslik dokument, siis lahendasime kaugautentimise küsimuse teistest riikidest aastaid varem.

Teine vaal, millele riigiportaal toetub, on X-tee – turvaline ühenduskeskkond riigi registrite ja andmebaaside vahel. Riigiasutused vajavad X-teed päringute tegemiseks ja siin ilmneb erinevus kommertsportaalidest, mis praegu tarvitavad X-teed vaid piiratud mahus.

Millenniumivahetuse paiku võeti Eestis vastu otsus mitte ehitada superandmebaase ega koondada turvatundlikke andmeid ühte kohta. Iga ametkond peab oma andmebaase ja registreid ise (või annab nende pidamiseks volitatud erafirmale). Kui tekkis vajadus ja võimalus luua kodanikuvaade riiklikult hoitavale andmestikule, siis kujunes eesti.ee väravaks, mille kaudu kodanik jõudis arvukate andmebaaside ja registriteni. Parimas vastavuses isikuandmete kaitse seadusega sai igaüks üle kontrollida nii oma andmete õigsuse kui ka jälgida nende praktilist kasutamist.

Möödunud kümmekonna aasta jooksul on riigiportaal toiminud keskse ligipääsuväravana, mille kaudu kodanik on saanud ajada asju riigi ja omavalitsustega. Portaali külastatakse keskmiselt 7000 korda päevas. Riigi pakutava aadressi eesnimi.perenimi@eesti.ee on oma igapäevasele e-posti aadressile suunanud 274 486 inimest, andes sellega riigiasutusele või KOVile võimaluse saata teavitusivõi dokumente.

IT-süsteemide keskmine eluiga on kuni kümme aastat. Riigiportaali praegune arhitektuur on meid auga teeninud ja välja viinud maailma kõige edukamate e-ühiskondade hulka. Ometi teavad vaid tegijad ise, kui keerukaid probleeme tekitab vananeva süsteemi käigushoidmine tegelikult. Kuigi ametlikuks tööajaks on tavatööaeg, töötab portaal tegelikult 24/7 režiimis. On sadu portaalipartnereid, kes võivad oma infosüsteeme ootamatult uuendada. Seetõttu on saabunud aeg portaali infoarhitektuur üle vaadata ning projekteerida puhtalt lehelt portaali uusversioon – selline, mis suudaks Eesti inimesi teenida järgnevatel aastatel.

Tulevik

Uue riigiportaali makett on valmis, keskkonna projekteerimine ja programmeerimine jätkub ka aastal 2017. Iga valmis saanud moodul tuuakse kasutaja ette kohe, mis võimaldab arengut hinnata. Riigiportaali roll ja otstarve ei muutu – eesti.ee jääb mugavaks ja turvaliseks kanaliks kodaniku ja ettevõtja suhtlusel oma riigiga.

Eesti.ee on oma ülesannet täitnud hästi. Kuid aeg on vahepeal seitsmepenikoormasaabastega edasi liikunud. Kuklasse hingavad moodsa kujundusega äpid ja maailmanimega disainikontorid. Möödunud viie aasta jooksul on muutunud arusaam, missugune peaks vaatajale välja paistma hästi disainitud infosüsteem. Jutt ei käi siin üksnes kunstist, värvivalikust või nuppude kujust, vaid pigem portaali toimimisloogikast. Kuidas jõuda soovituni võimalikult kiiresti? Kuidas grupeerida sarnaseid või korduvaid tegevusi?

Ennekõike pangad juurutasid lähenemise hoida eraisiku ja ettevõtte vaade lahus. Praeguseks oleme eraettevõtete e-arenguga ja X-teele kaasatusega jõudnud arengujärku, kus ka meil on mõtet pakkuda ettevõtjale eraldi vaadet. Seetõttu hakkab uus eesti.ee portaal selgelt eristama kodaniku ja ettevõtja rolli ning pakub vastavalt rollivalikule ka täiesti erinevat infovaadet.

Riigiportaali põhiroll on olla infokataloog. Ning sarnaselt ettevõtlusmaailma reeglitega on infokataloog pigem teemapõhine, mitte asutusepõhine. Kasutaja soovib jõuda teenuseni võimalikult lihtsalt ja kiiresti, tundmata huvi, millise asutuse millisest serverist talle vajalikku teenust parasjagu pakutakse.

Eraldi eesmärgiks on seatud portaali kasutatavus uute ja moodsate seadmetega.

Teenused

Iga portaali kõige tähtsam osa on teenused. Keskne küsimus seisneb selles, milliseks kujuneb kodanikule ja ettevõtjale pakutavate teenuste nimekiri. Seejuures tuleb eristada teenuse vahetut pakkumist ja teenusele viitamist. Kasutaja seisukohast pole neil kahel palju vahet,
vähemasti seni, kuni ta jõuab soovitud tulemuseni.

Soov koondada e-riigi asjalikud teenused eesti.ee mütsi alla on viinud riigiportaali partnerite arvu märkimisväärse kasvuni. Iga partneriga tuleb läbi rääkida neile omane IT-lahendus. Riigiportaalil on lihtne suunata inimene viida abil valitud teenuseni, kuid kas kasutaja peab sinna veel (teist korda) sisse logima või saaksime hakkama ristautentimisega nagu pankades?RIA-le sõnastatud ootus on e-riigi teenuste kvaliteedi tõus. Selle ootuse valguses ei saa riigiportaal enam toimida asutuse infosüsteemi esitluskihina – asutuste hulk on liiga suur, arvestamaks iga lahenduse tehnoloogilisi detaile. See aga muudab portaalipidamise tehnoloogiliselt väga keerukaks – peame ju sadade teenuste puhul arvestama pakkuva asutuse IT-lahenduse detailidega.

Ühel hetkel avastasime, et meie portaalimeeskonna aur ei kulu enam mitte portaali sisulisele arendamisele, vaid tuhandete tehniliste pisiküsimuste lahendamisele. Kuidas sobitada eri süsteemide tootlikkust ülekoormuse olukorras, näiteks kõrgkoolidesse astumise perioodil? Kuidas koordineerida muutusi süsteemi toimimisloogikas, kui asutus otsustab oma e-teenust kardinaalselt muuta, kuid riigiportaali töötajate aeg on kaheks kuuks planeeritud? Iga välise asutuse projektiplaani muudatus mõjutas portaali töötajate tööplaani, ülejäänud e-teenuste testimiste ajakava, teenuse avalikustamist. Nüüdseks oleme saanud üsna selgeks, et senine esinduskiht ei ole meile enam jõukohane ega jätkusuutlik.

Seetõttu on eesti.ee puhul vastu võetud selge otsus: riigiportaal ei toimi asutuse infosüsteemi osana. Uus versioon riigiportaalist saab olema pigem infokataloog, mis pakub senisest paremat vaadet selle kohta, mida riik temast teab, ja ka seda, mida tal riigile teada oleva andmestiku põhjal on õigus saada või kohustus teha. Teemad on grupeeritud inimesele omaste, loomulike võtmesõnade kaupa. Kui kasutaja on teema välja valinud, suunatakse ta õige asutuse teenusteportaali. Endiselt jääb portaali vaade “Minu asjad”, kus sisselogitud kasutaja näeb ülevaadet oma andmetest eri registrites, talle saadetud teavitusi ja dokumente.

Praegu teeme jõupingutusi ainulogimise süsteemi arendamisel. See tähendab, et süsteemi kord sisse loginud kasutaja ei pea end korduvalt autentima. Teenuseserveri vahetumisel edastataks sisseloginu isikukood järgmisele teenusepakkujale. Tegemist on turvaülesandega, mis tuleb lahendada õigesti nii tehniliselt kui visuaalselt.

Läbipaistvus

Eesti e-lahendusi välisriikides tutvustades oleme vahel kuulnud meile ootamatut seisukohta: miks üldse peaks kodanik oma riiki usaldama? Meil õnneks seda probleemi pole – Eesti kodanikud usaldavad oma riiki ja hindavad omariiklust. See ongi meie endi riik – keda veel peaksime usaldama?!

Kuid usaldust ei saa üles ehitada paljalt sõnalistele väidetele. Kuidas saab kodanik veenduda, et riigivõim pole tema andmeid kuritarvitanud? Isikuandmete kaitse seadus ütleb, et andmesubjektil peab oma andmete kasutamise üle olema kontroll, ning portaal pakub selleks võimaluse.

Riigiportaali sisse loginud kodanik peab saama võimalikult palju teavet, kes on tema andmeid vaadanud ja mis asjaoludel. Praegu on säärane võimalus olemas vaid valitud hulga andmekogude puhul, kuid arvestades selle funktsionaalsuse tähtsust e-ühiskonnale, kasvatame läbipaistvust. Järgmise sammuna teeme inimesele kättesaadavaks tema digiallkirjade andmise ja tema kohta käivate X-tee päringute ajaloo.