Category Archives: varia

RIA juht Margus Noormaa: e-riigi areng sõltub poliitilistest otsustest

Riigikontrolör Janar Holm ütles eelmise nädalal Postimehes, et e-riigi strateegiline eesmärk ei saa olla olemasolevate süsteemide putitamine, vaid progress. Tema nägemus riigist kui arhitektist, mitte sanitaarremondi tegijast, on igati asjakohane ning ka ootuspärane.

Küberruumis on kõik riigid teineteise naabrid, mistõttu tuleb osata kaitsta end mahukate rünnakute eest. FOTO: RIA

Digiriigi eesmärk peab olema ambitsioonikas. Praegu on meie prioriteet hoida ja kaitsta tehtut, kuid soov luua uusi ja paremaid võimalusi ei ole kuskile kadunud. Lihtsalt nende eesmärkide seadmine ja saavutamine eeldab tugevat poliitilist soovi ja tuge.

Oleme 20 aasta jooksul üles ehitanud turvalise ja mugava e-ühiskonna, mille sarnast mujal maailmas ei leia. Selle aja jooksul oleme andnud 1,3 miljardit digiallkirja ning e-teenustesse logitakse e-identiteedi vahendiga ca 5 miljonit korda kuus. Meil on riigi ja eraettevõtluse peale kokku üle 5000 unikaalse e-teenuse ning eesseisva kohalike valimiste ajal saame anda juba 12. korda e-hääle.

E-riigi selgroo X-tee kaudu tehakse kuus juba üle 200 miljoni päringu ning selle turvalise andmevahetuse kiirteega on liitunud üle 600 ettevõtte ja asutuse. Rohkem kui 90% riigiasutustest kasutab turvalist ja kiiret internetiühendust, mida pakub RIA riigivõrk. Võrguliiklust ja seal taga olevaid seadmeid jälgib 24/7 töötav riiklik intsidentide lahendamise tiim CERT-EE, kes registreerib aastas tuhandeid intsidente ning hoiab ära kordades rohkem süsteemidesse pääsemise katseid.

Praegune õigusruum on võrreldes 10 ja 20 aasta taguse ajaga oluliselt muutunud. 2018. aastal vastuvõetud küberturvalisuse seadus andis meile paremad võimalused riigina sekkuda ja aidata ettevõtteid intsidendi korral. Selged nõuded teevad asutuste elu lihtsamaks – neile on teada, mida neilt oodatakse.

Sõltuvus muudab meid haavatavaks

Eesti digiriigi tervis on päris hea. Riik ei ole kannatanud küberrünnakute tagajärjel olulise mõjuga kahjusid nagu USA, Suurbritannia või mõni teine suurriik ning Eesti inimesed usaldavad ja kasutavad e-teenuseid. Meie vähene puutumus ülemaailmsetest küberrünnakutest ei ole tingitud üksnes heast võimekusest süsteemi kaitsta, vaid sellest, et võrreldes suurriikidega ei ole me veel nii ahvatlev saak.

Miks peaks kurjategija murdma maha hästi kaitstud ust, kui on olemas avaus, mille kaudu pääseb lihtsamalt sisse. Kui uksi aga korralikult ei lukustata ega kaitsta, siis varem või hiljem saab meist sihtmärk. Seega on aja küsimus, millal kurjategijad meieni jõuavad ning selleks, et ellu jääda, tuleb ettevalmistusi teha juba täna. Õpime teiste vigadest.

Meie vähene kokkupuutumine ülemaailmsete küberrünnakutega on tingitud ka sellest, et suurriikidega võrreldes ei ole me veel nii ahvatlev saak.

Eesti muudab haavatavaks suur digiteenustest sõltuvus. IT ei ole täna tugiteenus, vaid digitaalsed lahendused on põimunud igasse elu valdkonda, aidates asju teha kiiremini, mugavamalt ja odavamalt. E-pangandus ei ole lihtsalt mugavus, vaid see ongi peamine viis, kuidas pank ja kliendid asju ajavad.  Ilmselt ei ole Eestis ühtegi valdkonda, kus ei oleks kasutusel digitaalseid lahendusi. Seetõttu oleme kogenud e-teenuste kasutajatena muutunud mugavaks ja nõudlikuks. Oleme pahased, kui mobiil-ID teenus on pool tundi häiritud või kirume riigijuht ja -asutusi, kui ei pääse pärast esimesi katseid digiregistratuuri, teades, et seda proovib samal ajal teha pool Eesti elanikkonnast.

Oleme unustanud, milline oli asjaajamine enne digiallkirja ja e-teenuste saabumist. On päris raske ette kujutada, kuidas muu maailm veel tänase päevani allkirjaga dokumente faksiga edastab. Kõik see pahameel on suuresti õigustatud, selline peabki olema nõudliku digiühiskonna suhtumine, sest mistahes digiriigi tagasilöögi puhul saab häiritud paljude inimeste elu. Oleme seda häiritust näinud korduvalt ka tervisekriisi lahendamise ajal.

Poliitilised otsused peavad toetama IT arengut

20 aastaga ehitatud süsteemid vajavad pidevat hoolt ja edasiarendamist. Täna sõltume digiriigi arendustes peaasjalikult Euroopa Liidu erinevateks projektideks ja toetusteks mõeldud rahast. Keeruliseks teeb olukorra see, kui seda raha ei õnnestu planeeritult saada või kui puuduvad võimalused vajaliku omafinantseeringu katmiseks. Rääkimata iga IT-arendusega vältimatult kaasnevatest püsikuludest. Ja rõhutamata infoturvet, mis on tänasel päeval lahutamatu osa kõigis IT-valdkonna tegemistes.

Ettevõtlus- ja infotehnoloogiaministri portfeli on tänavu jaanuarist reformierakondlase Andres Suti hoida. FOTO: Sander Ilvest

Seetõttu on ülimalt oluline, kuidas suhtuvad küberturvalisuse tagamisse meie riigi esindajad, ettevõtete juhid ning poliitika ja avaliku arvamuse kujundajad. Ja kuidas see seisukoht avaldub tegudes – otsustes ja eelarves.

Täna kuulub ettevõtlus- ja IT-ministri portfelli hulka erinevaid olulisi valdkondi alates transpordist kuni energeetikani välja. IKT-ga seotud küsimused on ühed paljude seast. Kui meie eesmärgiks on jätkuvalt edasi arendada e-riigi võimalusi, pakkuda maailma tasemel turvalisust ning olla seejuures teistele riikidele teenäitajaks, siis võib jääda väheks, kui IT on portfelli üks osa, vaatamata portfelli omaniku võimekusele. IT vajab tõhusamat esindatust poliitilisel tasandil valdkondliku ekspertiisi tasemel. Nii oskaksime riigina paremini hinnata otsuste mõju infosüsteemidele, sest suur osa otsustest on seotud IT-lahendustega. Digiriik on meie loodusvara ning see väärib suuremat tähelepanu. IT-ministeerium looks eeldused, et IKT valdkonna teemad on pidevalt ja läbivalt valitsuse tasandil parimal võimalikul moel esindatud.  

Aeg on küsida, kas digiriik saab Eestis sama palju tähelepanu kui väljaspool riigipiire.

Täna oleme veel paljudele riikidele eeskujuks ning meie saadikud on nõutud eksperdid, kes aitavad ehitada küberkogukonda erinevates maailmajagudes. Sügisel avab Dominikaani vabariik meie ekspertide vedamisel Ladina-Ameerika ja Kariibi mere piirkonna küberoivakeskuse. Botswanas aitasime nullist üles ehitada sellist riiklikku küberintsidenntide käsitlemise üksust nagu meie CERT-EE. Need on vaid mõned näited paljude seast, kuhu RIA panustab, rääkimata Eesti riigi kui terviku pingutustest.

Aeg on küsida, kas digiriik saab Eestis sama palju tähelepanu kui väljaspool riigipiire. Turvalise ja areneva e-riigi fassaadi tekivad tasapisi mõrad, kui sisemus jääb tähelepanuta.

Margus Noormaa
Riigi Infosüsteemi Ameti peadirektor

Artikkel ilmus 27. mail 2021 ajalehes Postimees.

Juhan Lepassaar: küberpotis oleme kõik koos

ENISA uus juht Juhan Lepassaar. Foto: Nelli Pello

Juuli keskel Euroopa küberagentuuri ENISA juhiks valitud Juhan Lepassaar lubab seista kogu Euroopa küberhuvide eest.

Kohtun Juhan Lepassaarega keset juulikuist leitsakut Tallinna Swissôtelis, kus ta peab küberdiplomaatia suvekoolis ettekande Euroopa Liidu digitaalsest siseturust ehk valdkonnast, mida ta tunneb läbi ja lõhki. Lepassaar töötas viimased kuus aastat Brüsselis Euroopa Komisjonis digitaalse siseturu valdkonda koordineerinud asepresidendi Andrus Ansipi kabinetiülemana. Uudis Lepassaare valimisest uueks ENISA juhiks sai teatavaks nädal tagasi. Intervjuu ajal tervitavad värsket juhti endised kolleegid Stenbocki majast, kes soovivad talle palju õnne uue ametikoha puhul.

Lepassaarel, kes nimetab end Twitteris täiskohaga euroliidu entusiastiks, on seljataga pikk ja keeruline ENISA juhiks valimise tee. Avalik konkurss algas juba eelmisel sügisel ja jõudis lõpuni alles juuli lõpus. „Mõned inimesed Eestis ja mujal arvavad, et eks see on loogiline, et küberagentuuri juht on eestlane, aga see ei ole passis kinni,” tunnistab Lepassaar. Tegeliku valiku taga on siiski terve trobikond tegureid – taust, oskused, juhtimiskogemus, nägemus ENISA rollist ja kuidas see kattub haldusnõukogu ootustega. Mitte vähemtähtsam ei olnud poliitiline toetus ja lobitöö, mida aitas teha RIA peadirektori asetäitja küberturvalisuse alal ja Eesti esindaja ENISA haldusnõukogus Uku Särekanno. Eesti riigi ja RIA toetuse eest on Lepassaar, kes seljatas ENISA juhiks saamisel 80 kandidaati, äärmiselt tänulik.

Sind valiti juuli keskel ENISA uueks juhiks. Räägi palun lähemalt, millega ENISA tegeleb ja kuidas mõjutab asutuse töö Eesti inimesi?
Küberjulgeolek on valdkond, kus kõik sõltuvad üksteisest. Eestis vastutab küberturbe eest RIA, aga ta saab oma tööd paremini teha, kui ka teised Euroopa riigid tegutsevad selle nimel, et küberriske maandada. ENISA aitab Euroopa riikidel üles ehitada oma võimekusi, et panna vastu küberrünnetele. ENISA liikmed on pika keti lülid ja ENISA ise peab käituma kui hoolitsev mehhaanik, kes hoiab ketti õlitatuna. Kui küberründajad testivad keti tugevust, siis peavad lülid sujuvalt koos töötama ja koos püsima.

Uue ülesandena tegeleb ENISA toodete ja teenuste sertifitseerimisega, et Euroopa siseturul oleksid teenused ja tooted küberturvalised. Füüsiliselt asub ENISA peakontor Kreekas. Praegu töötab ENISA-s 83 ametnikku, aga seoses uute rollidega see kasvab.

Mida soovid uue juhina korda saata?
Üks minu suur soov on aidata liikmesriikidel rakendada uut küberturvalisuse Euroopa õigusraamistikku, mille kaks peamist sammast on NIS direktiiv ehk võrguturbe direktiiv ja uus küberjulgeoleku akt. Seni ei ole olnud ENISA tegevus õigusaktidega nii selgelt fokusseeritud, aga need aktid toovad välja selge fookuse, millele on vaja keskenduda Euroopas – kuidas tagada paremini kriitilise infrastruktuuri kaitse, kuidas seda defineerida ja kus on augud, mida on vaja aidata kinni toppida.

Samuti on minu jaoks tähtis parimate praktikate jagamine ja erasektori kaasamine. Samuti vajadus rakendada uus kübersertifitseerimise süsteem. Euroopa siseturg on piirideta. Portugalist pärit küberteenusel peab olema minimaalne turvalisuse tase, et seda saaks kasutada ka näiteks Eestis.

Minu kolmas fookus on tagada, et eri valdkonnad saaksid aru, milline on nende roll küberturvalisuse tagamisel. Küberturvalisus ei ole enam pelgalt tehniline valdkond, vaid on muutunud horisontaalseks küsimuseks, kuhu peavad panustama otsuste tegijad erinevatest poliitilika valdkondadest ja ühiskond tervikuna. Igaüks peab teadvustama, millised on küberriskid ja millised on just tema rollid riskide maandamisel. ENISA üks ülesanne on ka tõlkida otsustajate jaoks üsna tehnilisi ja keerulisi küberküsimusi neile mõistetavamasse keelde.

Lõpetuseks tahaksin arendada välja üleeuroopalise küberekspertide võrgustiku ja panna eri osapooled ühiselt töötama, sest Euroopa on tugev siis, kui suudame teha koostööd. Meil on palju ärksaid ja häid eksperte ja teadmisi, aga meie tegevus on killustatud. ENISA-l võiks olla infopank võimekustest ja ekspertidest, kes saavad eri osapooli vajadusel aidata.

Kui palju võidab Eesti sellest, et uus ENISA juht on eestlane?
ENISA juhina seisan kogu Euroopa huvide eest. See on ka Eesti huvides, et siseturg oleks tervikuna üles ehitatud moel, kus küberriskidega osatakse arvestada ja neid osatakse maandada. Nagu öeldakse – supipoti ühes servas ei saa keeta paksemat suppi kui teises servas. Me oleme küberpotis kõik koos. Eestile on kindlasti kasulik, kui kõik osapooled võtavad vastu vajalikke samme küberriskide maandamiseks. Eesti on arenenud digitaalne ühiskond, aga digiareng kulgeb Euroopas ebaühtlaselt. Samas sõltub meie küberturvalisus ka teiste Euroopa riikide võimekustest.

Milline on nö keskmise eurooplase teadlikkus küberohtudest?
Mulle tundub, et viimaste aastate jooksul on teadlikkus kübermaailma riskidest küberinsidentide ja -rünnakute tõttu tõusnud. Haavatus on saanud nähtavamaks ja ohud ei üllata enam kedagi. Küll aga arvan, et saame ära teha palju tööd, et igaüks saaks muuta end vähem haavatavamaks. Selles osas on teadlikkus üsna madal. On sihtgruppe, kellega tuleb tegeleda – tarbijad, kodanikud, väiksed aga ka suured ettevõtted.

Teadmine elementaarsetest küberhügieeni printsiipidest on ebaühtlane ja oskusteave veelgi ebaühtlasem. Siseturul toimetavate ettevõtete kohustus peaks olema toimetada moel, et digitaalsed tooted ja teenused oleksid võimalikult küberturvalised. Et küberturvalisus oleks midagi, millele ei mõeldaks pärast, vaid kohe toote arenduse algstaadiumist peale. Sellised mõisted nagu security by design ja security by default võiksid käia toodete ja teenuste arendamisega kaasas.

Mis suunaks peaks liikuma Euroopa küberturvalisus?
Siin on mitu teemat. Kuidas tegeleda paremini tänase kriitilise infrastruktuuri riskide haldamisega? Kuidas osapooled oleksid ise huvitatud enese ja teiste võimekuste arendamisest?
Suur väljakutse on uued tehnoloogiad – tehisintellekt ning iseõppiv tarkvara, mis võib meid nii paremini turvata kui ka rünnata. Euroopal on vaja tervikuna suurendada teadlikkust ja võimekusi kasutada uusi tehnoloogiaid küberturbe hüvanguks. Seda võimekust täna liiga palju ei ole ja see on killustatud.

Koostöö on kindlasti üks võtmevaldkond. Koostöö põhineb usaldusel. Usaldust tuleb ehitada kivi kivi haaval ja alt üles. Seda ei saa kellelegi peale suruda. Koostööd peame ehitama ka Euroopast väljaspoole, sest me ei toimeta kübermaailmas üksi.

Milline võiks olla sinu arvates Eesti järgmine tiigrihüpe?
Ma näeksin hea meelega, et sünergia nn uue majanduse ja avaliku sektori vahel suureneks. Eestis on digitaalne infrastruktuur avaliku sektori põhine ja meil on palju vahvaid idufirmasid, aga koostöökohti nende vahel võiks olla rohkem. Ma ei näe palju edasiarendusi olemasolevast avalikust baasinfrastruktuurist.

Kui start up`id kõrvale jätta, siis tundub mulle, et traditsioonilisest majandusest ja ettevõtlusest ei ole Eestil ette näidata just liiga palju edulugusid ja innovatsiooni. Traditsioonilised majandussektorid võiksid kasutada rohkem uuenduslikke tulevikulahendusi. Viis, kuidas Eesti riik kasutab tarkvaralahendusi ühiskonnaelu korraldamisel, on miski, mida mujal maailmas veel ei ole, aga praeguse baasi peale saab veel palju uut ja huvitavat ehitada.

Oled töötanud viimased kuus aastat Brüsselis Euroopa Komisjonis. Millised on suurimad erinevused Eestis ja Brüsselis töötamise vahel?
Inimesed kipuvad olema üsna sarnased. Euroopa tasandil on probleemid veidi suuremahulisemad ja komplekssemad, aga Eestis on jälle lihtsam uusi lahendusi käima lükata. Iga väikse süsteemi probleemiks on samas kapseldumine ja kord rakendatud lahendustesse kinni jäämine. Tasub olla avatum ja ligitõmbavam sellele, mis toimub mujal Euroopas. Paljud põnevad digitaalseid arengud toimuvad Euroopas just erasektoris ja avalik sektor lonkab taga. Kasulik kogemus on nuusutada teise sektori või tasandi keskkonda. See annab suurema pildi ning raputab mõtted uuesti lahti.

Viimasel ajal on pakkunud FaceApp palju kõneainet. Kas inimesed teadvustavad endale, et vahva äpi kasutamisega annavad nad ligipääsu oma privaatsetele andmetele?
Inimeste teadlikkus eraandmete väärtusest on viimastel aastatel kasvanud. Kindlasti on oma roll olnud sellel, et oleme näinud, mis juhtub, kui eraandmeid kuritarvitatakse. Olen äärmiselt nigel rakenduste kasutaja, aga kuna ma olen ka lapsevanem, siis mul on hea meel, et Euroopas kehtib üldine andmekaitsemäärus, mis võimaldab rakendusele antud andmete kasutamise nõusoleku hiljem tagasi võtta. Euroopa on selles osas hästi toimetanud, et on olemas selged kasutajast lähtuvad põhimõtted eraandmete kaitseks.

Üldisemalt peaks vaatama aga seda, kuidas kasvavad meie digikodanikud ja kas nad õpivad koolides ka küberhügieeni algtõdesid. Peame loomulikuks, et koolist väljuvad inimesed, kes saavad aru matemaatikast ja füüsikast, aga tänapäeval on vaja aru saada ka sellest, millised ohud, aga ka võimalused on kübermaailmas.

Digiühiskonna kitsaskohaks on ehk liignegi nutisõltuvus. Kas sa ise piirad iseenda või oma lapse nutiseadmete kasutamist?
Meie perekonna nõukogu, kuhu kuulub ka minu laps, otsustas, et nutiseadmete kasutamine on meil ajaliselt piiratud. Eks ma olen ka ise saanud palju teadlikumaks, et telefoni otsas rippumine pole kasulik. See on laiem digihügieeni ja -kombekuse küsimus. Igasuguse uue innovaatilise arenguga tekib alguses vaimustuse periood, mis pärast lahtub ja kriitiline mõtlemine tuleb tagasi.

Samad küsimused olid ka kunagi, kui inimesed käisid ringi, Sony Walkmani klapid peas, ja kõik kartsid, et inimesed ei suhtlegi enam omavahel. Selliseid tehnoloogilisi arenguid on varemgi olnud, mis on tekitanud küsimusi, kuidas seda kasutada nii, et tehnoloogia ei segaks ühiskonna või perekonna sidusust. Mina olen optimist. Küllap me leiame selle õige tasakaalu.

Foto: Nelli Pello

Nelli Pello
RIA kommunikatsiooniosakond