Category Archives: ID-kaart

eID juht Margus Arm: turvalisuse arvelt mugavust ei looda

Margus Arm. Foto: Nelli Pello

Enamikul Eesti elanikel on ID-kaart. See fakt loob e-teenuste omanikele kindluse, et pea igal inimesel on võimalik kasutada nende poolt pakutavaid e-teenuseid. Teised kaks eID vahendit (Mobiil-ID ja Smart-ID) kokku katavad umbes 50% elanikest ja ainult nendest ei piisaks laiapõhjaliseks e-teenuste kasutamiseks.

Elektroonilises kasutuses on umbes 800 000 ID-kaarti. Igakuiselt tehakse sellega umbes 20 miljonit digitaalset toimingut (sisenetakse e-teenusesse või antakse digiallkiri), lisanduvad veel kliendikaardina kasutused. Erinevatel tehnilistel põhjustel on selle aasta jooksul 164 kaarti lukustunud. See on toonud kaasa olukorra, kus lukustunud kaardi omanikud on pidanud Politsei- ja Piirivalveameti teeninduses uut kaarti taotlema, sest lukku läinud kaardiga ei saa e-riigiga asju ajada. Arusaadavalt tekitab olukord pahameelt ja ebamugavusi. Kas oleme ID-kaardi üles ehitanud liigselt turvalisusele mõeldes, jättes tagaplaanile selle kasutusmugavuse? Kas pingutame turvalisusega üle?

Mina nii ei arva. Kaardi lukustumine on väga üldistatult pigem positiivne. ID-kaardi kiip on üles ehitatud selliselt, et mingi tarkvara või erinevate tarkvarade kombinatsiooni tulemusel tekkinud tehnilise tõrke tõttu (arvuti operatsioonisüsteem, veebilehitseja, spetsiifiline kaardilugeja, uuendamata eID tarkvara, mingi kindel e-teenus jms pöördub kiibi poole valede käskudega) tajub kaart teatud arv kordi kasutamist kui rünnakut ning enesekaitseks lukustab ennast. Kaardid käituvad nii nagu see on ette nähtud – kaitsevad enda valdajat. Kaardi lukustumine on küll kasutaja jaoks ebameeldiv ja toob kaasa aega nõudvat asjaajamist, kuid kokkuvõttes on selline ebamugavus kordades väiksema mõjuga, kui õnnestunud rünnak ja identiteedi vargus.

Lukustunud on nii eelmise kui ka uue põlvkonna ID-kaardid ning hetkel on RIA prioriteet selgitada välja, mis on need päringud, mis põhjustavad kaardi lukustamise ehk mis komponent või erinevate komponentide kombinatsioon ei toimi. Kuid ID-kaardi ökosüsteemi keerukust ja avarust arvestades on see paras väljakutse, kui mitte öelda, et nõela otsimine heinakuhjast. Meil on umbes 800 000 kasutajat, ca 600 000 ID-kaardi tarkvaraga seadet ehk arvutit (erinevate seadistustega), üle 5000 e-teenuse pakkuja, erinevad kaardilugejad, mitmed operatsioonisüsteemid, veebilehitsejad, jne – see kõik on üks suur süsteem, mille toimepidevus sõltub iga ahela lülist. Ei ole mõistlik eeldada, et selline süsteem toimib 100% tõrgeteta. Jah, meie eesmärk on neid tõrkeid ennetada, vigu pidevalt parandada, nagu ka praegusel juhul, kuid me peame arvestama, et see on meie igapäevaelu – ebamugavusi tuleb ette, neid ei saa välistada.

E-Eesti mured on meie mured

eID süsteemi töös hoidmine ning arendamine nõuab igapäevaselt prioriteetide seadmist. Kui laual on kümme väga olulist ja samaväärset asja, tuleb teha valikuid. Pidevalt tuleb arvestada sellega, mis oli eile, mis on täna ja mis tuleb homme-ülehomme. Arvestada tuleb ka kasutajagruppide suurustega ehk millise kliendisegmendi mured tuleb lahendada esmajärjekorras.

Kõik e-riigi ahela lülid ei ole aga meie kontrollida ega hallata, peame arvestama suurte rahvusvaheliste korporatsioonide (nt Microsoft, Apple, Google jms) arengute ja koostöövalmidusega. E-riigina oleme küll eesrindlikud, kuid meie mured e-riigi toimimise tagamisega on suurte ettevõtete silmis siiski marginaalsed. Meie kasutajate hulk on sedavõrd väike. Ka neil on oma prioriteedid, mis sõltuvad paljuski kasutajate hulgast. Kui mõnel suurettevõttel on miljardeid kasutajaid, siis ei saa oodata, et vähem kui miljoni kasutajaga Eesti mured on neile esimeseks prioriteediks. Ei ole. Aga olenemata sellest oleme oma e-riigi mainega suutnud tekitada koostöömudeli ning välistada või lahendada suuremad probleemid töö käigus lahendada. Teeme seda iga päev.

Meile kõigile meeldib, kui Eestit teistele eeskujuks tuuakse. Jah, suunanäitaja, pioneer on raske olla. Me teeme esimesena ja õpime enda vigadest, kuigi võiks ka vastupidi? Võtta seda e-hoogu maha, teha asju teiste järgi ja teiste tempos? Pigem mitte. Ja kas nüüd pole juba hilja sellisteks mõteteks? Tuleb lihtsalt arvestada sellega, et me lähmegi asjadega natuke eest ära ning osapooled, kellest meie e-riigi töövõime kas või osaliselt sõltuvad, ei jõua kohe ühe hooga järgi. Neid tuleb aidata ja see võib mõnikord rohkem aega võtta.

Elame muutuste ja uuenduste ajastul

ID-kaart on osa igapäevasest elust, mis areneb, vananeb ja kulub. Nagu kõik asjad meie ümber. Pidevad uuendamised, nagu ka asjade parandamine ja värskendamine, käib selle juurde. Näiteks nutiseadme regulaarne tarkvara uuendamine. See võib näida paljudele tüütu, aga turvalisuse vaates on see vältimatu. Või nagu auto puhul – keegi ei taha sõita hooldamata autoga, mille pidurite töökindlust ei ole pikalt kontrollitud. Eelmine ID-kaardi hange ulatub 2009. aastasse, viimased selle hanke kaardid kehtivad veel rohkem kui neli aastat. See teeb 15 aastat, mis on tehnika maailmas igavik. Seetõttu tuleb meil leppida, et ajaga kaasas käimiseks ja kõigi turvalisuse tagamiseks tuleb tehnikat uuendada, sealhulgas ka ID-kaarti.

Veel täna, pool aasta pärast uute ID-kaartide tulekut ei ole kõik e-teenuse pakkujad kaarti toetavate arendustega lõpuni jõudnud. Eeskätt puudutab see neid teenuseid, kelle jaoks ei ole ID-kaardi lahendused kõige olulisemad, kuid mis ei tähenda, et nad ei töötaks selle kallal. Kui e-teenused olid seadistatud vana kiibiiga töötamiseks, siis uue kaardi tulekuga tuli kõik ümber seadistada. See tähendab erinevate tarkvarade kasutusele võtmist, mis nõuab ressursse. Samuti prioriteetide seadmist. Igal e-teenuse pakkujal on erinevad prioriteedid ja põhitegevus. Enamuse puhul ei ole need ID-kaardiga seotud arendused. Kui ostad koju või kontorisse uue printeri, siis tuleb selle kasutamiseks arvuti ümber seadistada. Ainult nii saad arvutist printida. Sama kehtib ka uue ID-kaardi toe lisamisega.

E-riigi laiem mõte seisneb selles, et inimeste elu on mugav ja turvaline. Mugavuse pealt ei tahaks ohverdada turvalisust ja usaldusväärsust, mida on raske võita, ent väga kerge kaotada.

Margus Arm
RIA elektroonilise identiteedi osakonna juhataja