Tag Archives: X-tee

RIA-t külastab aastas ligi sadakond välisdelegatsiooni

21. mail külastasid RIA-t Rwanda partnerasutuse liikmed. Foto: Nelli Pello

Keskpäevane kohtumine Vietnami delegatsiooniga. Pärastlõunased külalised esindasid rahvusvahelist organisatsiooni OECD. Vaid tunnike hiljem kohtumine Saksamaa delegatsiooniga. Need nopped ei pärine pelgalt ühest nädalast, vaid ühest päevast ja ilmestavad hästi, kui tihe on RIA rahvusvaheline suhtlus.

„Meil käib külalisi igast maailmajaost. Väga raske on leida riiki, kust meil ei oleks külas käidud või kus meie enda inimesed pole käinud,“ ütleb RIA rahvusvaheliste suhete juht Piret Urb, kes võtab aastas RIA-s vastu ligi sadakond välisdelegatsiooni. Viimase kahe kuu jooksul on RIA-t väisanud külalised näiteks Rwandast, Prantsusmaalt, Bruneist, Tšehhist, Poolast, Lõuna-Aafrika Vabariigist, Luksemburgist, Rootsist, USA-st, Jaapanist, Singapurist, Taiwanist, Ukrainast, Kamdodžast, Türgist, Austraaliast, Arubast ja Kosovost. Kui võtta kõik kohtumised kokku ühe märksõnaga, siis on selleks kahtlemata Eesti digiriigi edu. Kitsamaks minnes tunnevad väliskülalised kõige rohkem huvi X-tee, e-teenuste ja küberturvalisuse vastu.

Kõik need kolm teemat olid kõneaineks 21. mail toimunud kohtumisel RIA partnerasutusega Rwandast. „Rwandalased on just praegu selles ristkohas, kus nad otsivad viise, kuidas panna käima andmevahetus oma asutuste vahel. Rääkisime neile oma X-teest, kuidas see ligi 18 aastat tagasi alguse sai ning kuidas see töötab. Ei ole mõtet jalgratast uuesti leiutada, kui meil on see juba olemas ja nö lastehaigused on läbi põetud. Sellepärast jagamegi alati hea meelega oma kogemusi,“ tõdeb Piret. X-tee vastu tundsid 20. mail toimunud visiidi käigus huvi ka prantslased, kes on samuti otsimas viise asutustevaheliseks andmevahetuseks ning tutvuvad eri riikide kogemustega.

21. juunil külastasid RIA-t Jaapani inseneride föderatsiooni esindajad, kes tutvuvad Euroopa riikide kogemustega tuuma- ja küberturvalisuses. Jaapanlased tundsid huvi meie küberturvalisuse põhimõtete ja CERT-i töö vastu ning uurisid, kuidas on korraldatud kriitilise infrastrukuuri kaitse ja kuidas me rakendame ISKE-t. Väliskülalised kiitsid meie X-teed, mille on nemadki osaliselt kasutusele võtnud.

Jaapani inseneride föderatsiooni esindajad RIA-s 21. juunil. Foto: Nelli Pello

Kahepoolsed koostöölepped

Kõige tihedam koostöö on RIA-l Soome, Läti, Saksamaa, USA, Prantsusmaa ja Jaapaniga. Viimasel ajal on märgatavalt tugevnenud suhtlus Austraalia ja Lõuna-Koreaga. Digilahenduste ja küberkaitse teemadel on RIA-l väga hea koostöö Iisraeliga, kellega on sõlmitud eelmise aasta novembris digilahenduste arendamise koostöölepe. Sarnased koostöölepped küberturvalisuse tõhustamiseks on RIA-l ka mõnede teiste riikidega. Mitmed on veel huvitatud nende sõlmimisest.

Samamoodi nagu käiakse palju külas RIA-l, käime ise teistes riikides kogemusi vahetamas. Kutseid suurtele digiteemade konverentsidele, töötubadele, seminaridele ja õppustele üle maailma tuleb igal nädalal. Kõige rohkem käiakse tööreisidel Brüsselis, aga ka Bukarestis, mis on praegu EL-i eesistuja maa. Maikuus käisid RIA eksperdid jagamas Eesti digiriigi kogemusi ja suhteid loomas näiteks Riias, Sydneys, Bukarestis, Londonis, Varssavis, Amsterdamis, Vilniuses, Reykjavikis, Singapuris, Genfis ja nimekiri läheb aina edasi. „Väga oluline on leida õige inimene, kes oskab rääkida just sellel teemal, mida meilt oodatakse ning mille vastu tunneb kuulajaskond huvi,“ täpsustab Piret. Seetõttu on rahvusvaheliste suhte hoidmine ka logistiliselt korralik ettevõtmine, sest inimeste graafikud on tihedad ning sobivate aegade leidmine võib olla paras väljakutse.

Diplomaatiline kunst

Rahvusvaheline suhtlus on mõistagi suur diplomaatiline kunst, sest kursis tuleb olla paljude nüanssidega. „Tuleb teada riikide tausta ja millised suhted Eestil nende riikidega on. Millised on riikide omavahelised suhted? Peab teadma riikide kohalikke tavasid ja kombeid ning ajalugu. Kas oleme riikidega meile olulistes küsimustes sama meelt ÜRO-s ja teistes rahvusvahelistes organisatsioonides? Millised on Eesti välispoliitika prioriteedid?“ loetleb Piret.

Oluline on tunda ka riikide kultuurilisi eripärasid. Näiteks armastavad jaapanlased viia end enne välisreisi väga põhjalikult kurssi külastatava riigi ja asutuse taustaga, muidugi ka kõnealuse teemaga, aga lisaks soovivad nad tutvuda ka nende inimeste CV-dega, kellega nad kohtuvad. Jaapanlased ulatavad visiitkaardi alati kahe käega ning selle juurde käib väike kummardus. India ja Bangladeshi delegatsioonidega on aga juhtunud, et keset ettekannet on osa grupist püsti tõusnud ja läinud võtma endale teisest toast kohvi või lihtsalt koridoris jalgu sirutanud. „Nende jaoks on see täiesti tavaline, aga meile oli see ja on siiani suureks üllatuseks. Aja jooksul jäävad sellised asjad meelde ning nendega harjub ära,“ tõdeb Piret, kes on puutunud nii RIA-s kui ka varem välisministeeriumis töötades kokku kõikvõimalike väliskülalistega seotud ootamatute situatsioonidega, mis tuleb kiirelt ära lahendada.

Jaapani inseneride föderatsiooni juht Kaoru Naito RIA-s 21. juunil. Foto: Nelli Pello

Rahvusvahelises suhtluses tuleb olla alati valvas, sest esindatakse ju Eesti riiki ja RIA puhul Eesti digiriigi mainet. „Minu jaoks on väga oluline, et RIA välissuhtlus on kooskõlas Eesti välispoliitiliste prioriteetidega ja et Eesti oleks digiteemadel maailmas nähtav. Sellepärast me ei käigi pelgalt konverentsidel osalemas, vaid RIA inimesed on valdavalt kutsutud ekspertideks, kes teevad ise ettekandeid, juhivad debatte või osalevad töötubades. Eestil on ikkagi väga tugev digiriigi maine ja oleme neil teemadel maailmas esiviisikus.“

Kõige suurem rahvusvaheline projekt

RIA kõige suurem rahvusvaheline projekt on Euroopa Liidu arenguabiprojekt Cyber Resilience for Development ehk lühidalt Cyber4D, mida kutsutakse ka NICO projektiks. Selle eesmärk on toetada Aafrika ja Aasia riikide küberturvalisuse tõstmist ning projekti veavad eest RIA töötajad Liina Areng ja Martin Indrek Miller. „Läbi selle projekti saavad paljud RIA töötajad külastada kaugeid ja eksootilisi maid, et jagada oma parimaid teadmisi ja kogemusi küberturvalisusest. Eelmise aasta suvest on ligi kümme kolleegi käinud Sri Lankal, Botswanas ja Mauritiusel. Paari nädala pärast toimub CERT-ide koolitus Ugandas ning aasta teises pooles plaanime alustada tegevust ka Rwandas,“ räägib Liina, kes on olnud projekti juures alates taotluse esitamisest saadik neli aastat tagasi.

Projekt sai alguse seetõttu, et saada häid kogemusi ja tutvustada Eesti kogemust küberturvalisuse valdkonnas. „Kindlasti aitab see tõsta ka Eesti positiivset kuvandit maailmas ning on hea võimalus panna kolleegidel proovile oma koolitajaoskused. Vähemtähtis pole ka see, et nii suure projekti juhtimine aitab meil teha paremat koostööd projekti partnerite Suurbritannia ja Hollandiga ning kokkuvõttes aitab saada nö jala ukse vahele ka teistele suurtele rahvusvahelistele projektidele,“ lisab Liina.

Martin Indrek Miller NICO projektiga Rwandas. Foto: erakogu

Nelli Pello
RIA kommunikatsiooniosakond

Tugevam e-riik

Uku Särekanno, RIA küberturvalisuse teenistuse juht

Uku Särekanno, Riigi Infosüsteemi Ameti peadirektori asetäitja küberturvalisuse alal

Kett on täpselt nii tugev, kui tugev on selle nõrgim lüli. 2018. aastal juhtus mõndagi, mis seda ütlust kinnitab.

Mitukümmend Eesti ettevõtet kirjutasid korstnasse kokku sadu tuhandeid eurosid arvepettuste tõttu. Maakataster pääses napilt maani maha põlemisest. Mitmel korral kadus kogu riigis võimalus pangakaardiga maksta, häirekeskuse liinid olid terve päeva tummad ühe suure mobiilsideoperaatori klientidele, kopamehed lõikasid ära Baltikumi suurima tanklaketi kõik automaattanklad. Lekkisid delikaatsed isikuandmed sõjaväelaste ja koolilaste kohta, pandi toime rünnakuid meediaportaalide vastu, pressiti lunavara välja suurettevõtteilt ja perearstikeskustelt. Intsidentide loetelu võib jätkata pikalt — registreerisime 17 000 pöördumist, mida on enam kui 60 protsenti rohkem kui aasta varem.

Ometi oli 2018. aasta hea ja turvaline aasta. Hüppeliselt kasvanud pöördumiste arvule vaatamata registreeriti kriitilisi intsidente kokkuvõttes vähem kui aasta varem. NotPetya ja Wannacryga võrreldavaid suuri ja rahvusvahelisi kampaaniaid ei kordunud. E-riigi alustalad, nagu ID-kaart ja X-tee, toimisid stabiilselt ja suuremate tõrgeteta.

Politsei- ja piirivalveamet sulges mais 11 000 ID-kaarti e-teenuste kasutamiseks ning RIA eksperdid murdsid lahti vigase kiibiga ID-kaardi. Sellega sai sisuliselt punkti 2017. aasta ID-kaardi kriis. Õppetunnid olid käes, uusi turvanõrkusi pole ilmnenud ning aasta lõpust asuti väljastama juba täiesti uut ja seni Eesti ajaloo kõige turvalisemat ID-kaarti.

2018. aastal said paika mitmed eeldused, et Eesti e-riik püsiks turvalistel alustel. Korrastus õiguslik raamistik ning valitsus otsustas eraldada IKT valdkonnale oluliselt lisaraha: 2019. aastal 21 miljonit ning järgmise nelja aasta jooksul kokku 118,4 miljonit eurot. Euroopa Liidu tasandil jõustus andmekaitse üldmäärus (GDPR) ning võrgu- ja infoturbe direktiiv (NIS), Eestis aga küberturvalisuse seadus ja isikuandmete kaitse seadus.

Võeti vastu küberturvalisuse strateegia aastateks 2019–2022, mille kolm peamist fookust on uue infoturbestandardi väljatöötamine, riikliku küberturbekeskuse loomine ning süsteemne ennetustegevus. Kogu uut strateegiat kannab arusaam, et investeering halva ära hoidmisse on mitu korda odavam kui tagajärgedega tegelemine. Täpselt nii, nagu politsei pöörab tähelepanu kuriteo ennetusele ja päästeamet tuleohutusele. Riskide väljaselgitamine ja nende maandamine on kokkuvõttes tulemuslikum ja odavam.

RIA ülesandeks on seadusest tulenevalt maandada riske, tõsta teadlikkust ja tagada e-riigi võtmekomponentide turvaline toimimine. Me pakume 400 asutusele Eesti kõige turvalisemat riigivõrku, 15 suurele ettevõttele võrguseire teenust, kümnetele ettevõtetele turbeteste ning sadadele ohuteateid. Kõikidele Eesti kodanikele ja asutustele aga turvalisi lahendusi autentimiseks, digitaalallkirjastamiseks ja andmevahetuseks.

Seda kõike on üksjagu, ent mitte piisavalt. Üle kõige on vaja laiemat suhtumise muutust — arusaama, et küberturvalisus väärib tähelepanu ning see pole IT-osakonna või tehnikute asi. See on ennekõike juhtkonna asi, kes otsustab äriportsessi ja investeeringute üle. Vastasel juhul kannatavad tooted/teenused, kaob maine, kliendid ja raha. Juht annab tegevustele suuna, tunnetuse ja prioriteedid. RIA saab olla siinkohal hea partner ja konsultant. Ent vajadust ja vastutust peab mõistma iga juht ise. Ei tasu olla nõrgim lüli.

Loe täpsemalt aastaraamatust “Küberturvalisus 2019”

Sissejuhatus X-teesse (osa 1)

Anto Veldre, RIA analüütik

Käesoleva kirjutise eesmärk on selgitada X-tee olemust lihtsas ning arusaadavas keeles. Kirjutis on suunatud isikutele, kes puutuvad esimest korda sügavamalt kokku X-teega (näiteks töötavad ettevõttes/asutuses, mis plaanib X-teele minekut). Käsitleme X-teega seonduvat keerukat mõistetesüsteemi aeglaselt, alalhoidlikult ja algõpetuse vormis ning viime lugeja järgmisele teadmustasemele, kust tal on kergem edasi liikuda tehniliselt keerukamate ja täpsemate tekstide juurde.

Millest juttu teeme:

  • Osas 1 (ehk siinsamas allpool):
    • Kuidas käib moodne riigikorraldus ning miks seejuures vajatakse IT-d?
    • Mida on vaja teada andmekogude turvalisusest?
    • Püüame taastada arutluskäiku, mis viis kord X-tee tekkeni. Miks see loodi?
  • Osas 2:
    • Inimeste äranummerdamine kui moodsa e-riigi aluspõhimõte.
    • Mis elukas on turvaserver ning mis otstarvet see täidab?
  • Osas 3:
    • X-tee osalised ja nende rollid: kes täpselt mida teeb ja mis sellest kõigest kasu on.
    • Mõned keerulised mõisted ning teadmiste kontroll.

Enne kui üldse läheneda…

Taustateadmised

Alustada tuleks ju sellest, et igal tarkvaral on mingi otstarve – tarkvara on ju ikka loodud mingi kindla ülesande lahendamiseks. Mistõttu on tarkvarast võimatu rääkida ilma kontekstita, st tegemata juttu ülesandest, mille lahendamiseks see (konkreetne) tarkvara on mõeldud.

Kui jutt käib tekstiredaktorist, siis tekstiredaktori kasutamine täiesti ilmselt eeldab inimeselt kirjaoskust. Et sellesama tekstiredaktoriga kirjutada avaldust, peab kirjutaja aga kursis olema dokumendi­standarditega (mida panna päisesse, mida pealkirjaks). Proovige näiteks Amazonase jõgikonna pärismaalastele selgitada, mis on tekstiredaktor – karta on, et jääte hätta, kuivõrd sealses ühiskonnas kirjalikke avaldusi ja CV-sid ei tunta.

Edasi, kui anda tavainimesele kätte töötav AutoCAD, siis ülima tõenäosusega ei suuda ta sellega maja projekteerida – mitte et see poleks võimalik, vaid kuivõrd tal on puudu oluline kogus taustateadmisi. Tõenäoliselt ei suuda vanaema toime tulla lapselapse arvutimänguga, sest vanaemal on puudu oluline kogus taustateavet (keda hittida, miks ja millise klahviga).

Nii ka X-tee olemust pole võimalik mõista ilma teatavate taustateadmisteta nagu ka üldse tunnetada vajadust säärase keeruka süsteemi järele.

Allpool anname kõigest vajalikust esmased eelteadmised.

Algteadmised riigikorraldusest

X-tee selgitamisel saab tavaliselt komistuskiviks asjaolu, et see tarkvara pole mõeldud mitte eraisikule koduseks kasutamiseks, vaid riigiasutustele ja organisatsioonidele oma ülesannete täitmiseks.

Et riik saaks toimida, peab olema täidetud mitu eeltingimust:

  • Tuleb tuvastada isikute identiteet (et d’Artagnan ei saaks esineda Rootsi kunnina). Isikud nummerdatakse.
  • Numbriline identiteet omistatakse ka maatükkidele, sõidukitele, firmadele ja aadressidele.
  • Isikud, aadressid, maatükid jms on pidevalt muutuvates omavahelistes suhetes (keegi omab maatükki või müüb sõidukit). Seega tuleb kokku koguda ja säilitada terve hunnik suhte- ja tehingu- ja toiminguandmeid (n-ö näiteks: kes on kellega abielus, kas aastamaks ja rent on makstud, kas müügiluba on saadud või sõjaväekohustus täidetud).

Keerukus on seejuures üsna suur, säilitada tuleb isikute nimesid ja andmeid, nende elukohti, sugulus- ja ärisuhteid, tiitleid, maaomandi kaarte ning palju muud.

Ilma selliste süstematiseeritud andmeteta poleks ju tegemist riigiga, vaid lihtsalt ürgkarja või grupi seltsimeestega.

Vanasti peeti riiki savitahvlitel, seejärel pärgamendil ja siis paberil. Tänapäeval peetakse riiki arvutite ja andmebaaside abil – lihtsal põhjusel, et nii on kiirem ning sest sedasi saab moodustada üha keerukamaid seoseid. Paberplankide ja täidetavate lahtrite asemel on meil täna andmebaasid ja veebivormide sisestusväljad. Õiendid ja tõendid, mille hankimiseks tuli veel 30 aastat tagasi majavalitsuse uksi kulutada, on täna veebist mõne sekundiga välja prinditavad. Tõelise hullu­meelsusena näib aga fakt, et Eesti e-riigis ei pea enam isegi autojuhiluba kaasas kandma, Haigekassa roheline kaart aga on lootusetult unustatud.

Kui keskajal võis kellegi pärimisõiguse tõestamiseks kuluda kümme aastat arhiivitööd, siis täna, eeldusel, et seadus on sõnastatud loogikavigadeta ning et inimeste sugulussidemed on korralikult andmebaasi kantud, kulub sama päringu teostamiseks vähem kui sekund.

Kokkuvõttes – riik ilma oma kodanike kohta käivate andmeteta pole põhimõtteliselt võimalik, riigi võimekuse ja elanike elukvaliteedi tänapäeval määrab aga teeninduse kiirus.

Louvre'i muuseumis asuv sumeri ostu-müügileping savitahvlil. Fotograaf: Marie-Lan Nguyen

Louvre’i muuseumis asuv sumeri ostu-müügileping savitahvlil. Fotograaf: Marie-Lan Nguyen

Turvalisus

Turvalisusest rääkides mõeldakse eelkõige konfidentsiaalsust, ehk siis asjaolu, kellele ja mis tingimustel on mingi info kättesaadav. Teatud mõttes tuleb arvestada ka terviklusohtudega – ehk siis, kas keegi saab infot märkamatult muuta või kas saavad andmed ise hoiupurgis rikneda (mäletatavasti on Wanradt-Koelli katekismusest säilinud vaid 11 äranäritud lehekülge).

Üks kõige suuremaid ohtusid riiklusele on andmete kontrollimatu kogunemine ühte kesksesse andmebaasi. Mainitud oht ilmnes esmakordselt 1930-ndate Saksamaal, kus imporditud kartoteegisüsteemid (sisuliselt infotehnoloogia) leidsid kasutust teatud rahvastikugruppide selekteerimisel ja hävitamisel [IBM and Holocaust, Edwin Black].

Eestis realiseerus keskse andmebaasi oht aastal 1996, kui 26. septembri ETV Aktuaalses Kaameras demonstreeriti häkker Imre Perli loodud superandmebaasi. Ekraanil paistsid inimeste elukohad, parasjagu peaministriks oleva Tiit Vähi laenud ning üht-teist veel (EMT kõnede 3 kuu eristusi toona siiski ekraanil ei näidatud). [See seaduslik ebaseaduslik info…, Armin Berlin, Luup (1998) nr. 21, lk. 44–47].

Miks on säärane andmebaas ohtlik? Sest kui riigil peaks olema monopol oma kodanike andmete haldamiseks, siis säärase andmebaasi abil saab üliedukalt riigihaldusse sekkuda. Nende ridade autor mäletab Tallinnas ringisõitmist aastal 1996. Kui mõni jõmm liikluseeskirju rikkus või valesti parkis, oli võimalik sülearvutist tema telefonumber järele vaadata ning talle otse rooli helistada ja epistlit lugeda – kindlasti väga efektiivne tegevus. Kuid samas andmebaasis sisaldus ka alamjaotis “suhtlusringkonna analüüs” ning säärane tegevus on mistahes riigikorra ajal ikkagi ette nähtud vaid eriteenistustele, kindlasti aga mitte turult superandmebaasi ostnud lihtkodanikele.

Ametlikult pole Imre Perli baasiga seotud andmeleket kunagi tunnistatud ega ole ka kedagi selle eest süüdi mõistetud, samas läks piinlik õppetund täie ette ning edaspidi on Eesti riigis üritatud keskseid andmebaase vältida. Keskse andmebaasi risk on teada ka muudest riikidest, näiteks nimetame nn Andersoni reeglit – Cambridge’is resideeruv infoturbe professor Ross John Anderson järeldas, et keskne suur andmebaas, mida on kerge kasutada, on ühtlasi ka kergesti kuritarvitatav. Kui kõrvaldada võimalused kuritarvitusteks, muutub keskne andmebaas paraku kasutamatuks.

Veel üks salakaval lõks on seotud andmeterviklusega. Kui iga asutus säilitaks oma keldris kõiki andmeid, siis paratamatult juhtuks, et isiku andmed ühes asutuses uuendatakse, teises asutuses aga mitte. Nii tekiks ühest isikust mitu erinevate andmetega teisikut ning pärast pole võimalik öelda, milline neist on õige ja täpseim. Mõned riigid on duplikaate üritanud vältida baaside sünkroniseerimise abil, kuid siin tuleb sisse ajaline nihe – polegi nii lihtne gigabaite turvaliselt teise linna toimetada. Panga ühe filiaali andmebaasi järgi on minu aastane krediidimäär juba ära kulutatud, teise filiaali andmebaasi järgi veel mitte – kas märkate probleemi?

Seevastu kui püstitada nõue, et kindlat liiki andmed tohivad paikneda vaid ühesainsas andmebaasis (originaal!), siis paraneb andmekvaliteet lausa maagiliselt.

X-tee

Idealistlik disain

Alustada võiks sellest, et teadmine on jõud. Mida rohkem andmeid, seda võimsam jõud. Samas, demokraatia peamine funktsioon on võimu hajutamine. Loogiliselt arutledes jõuamegi nüüd välja ideeni, et demokraatlikus ühiskonnas ei peaks andmebaasid kasvama liiga keskseteks ega liiga suurteks. Iga ametkond võiks pidada omaenda andmebaasi, kuid ei tohiks omada koopiat kõigest muust (ammugi siis piraatkoopiat Imre Perli kommertsiaalsest sala-andmebaasist).

Sel juhul aga tekib probleem vähegi keerukamate päringutega. Nii näiteks, kui on vaja leida hulkuva (kuid kiibistatud) kassi omanik, siis peaks esimese päringu tegema lemmikloomaregistrisse ja teise rahvastikuregistrisse. Sel moel arutledes peaks igas asutuses olema eriti suurte õigustega töötaja, kel oleks õigus siseneda igasse andmebaasi, kust jõuame kiiresti tagasi (ülalpool juba välistatud) keskse superandmebaasi idee juurde, mis liiatigi oleks oluliselt aeglasem (mitu järjestikust päringut) ning ohtlikum (päringuid ilmselt tehtaks üle avaliku Interneti).

Vastuolulisele probleemipuntrale lahendust otsides jõudsidki Eesti koolitatud pead aastal umbes 2000 välja tehnoloogiani, mida tänapäeval nimetatakse X-teeks. Seni pole olnud ühtegi platvormi seiskavat juhtumit, mis on kindel märk, et ka kõige kriitilisemates situatsioonides (nt kübersõda) toimib hajus arhitektuur kõige paremini.

Meenutusi

Uuno Vallner on meenutanud: RISO algatas X-tee projekti umbes aastal 1998. Aastal 2000 sai valmis pilootprojekt, mida demoti avalikul konverentsil. Omavahel olid seotud kolm andmebaasi ning andmevahetus toimus üle XML-RPC. Põhilise töö ärategijad olid Tanel Tammet, Hanno Krosing ja Vello Kadarpik. Üks suurim väljakutse oli, kas kasutada mõne kommertsfirma omanduslikku vahekihitehnoloogiat või ajada läbi vaba tarkvaraga.

Uuno tegeles tollal SGML/ XML tehnoloogiate põhiste rakenduste loomise ja juurutamisega. Vello oli kasutanud XML teenuseid pangas töötades ja sealt pärines XML RPC idee. Aastal 2000 tellis RISO Tanel Tammetilt põhjalikuma kontseptsiooni (Tanel Tammet. XML rakendused ja XML-RPC põhine näidissüsteem) ning selle alusel asuti kirjutama hanget. Hankedokumendis sooviti kasutada SOAP tehnoloogiat, kuid konkursi võitja Assert (praegune Fujitsu ja Aktors) eelistas RPCd – sest SOAP oli tollal tehnoloogiana alles toores. Projekti vedasid Niilo Saard ja Aleksander Reitsakas. Asserti üks lepingupartnereid oli AS Cybernetica. Neil oli suur mõju X-tee loomisele, nad tegid sellele keskele logide aheldamise osa. Tänaseks on Cybernetica kujunenud X-tee põhitarnijaks. Muide, algselt ei olnudki lahenduse nimi X-tee, loojad kutsusid seda hoopis ristmikuks.

Aastal 2001 läks RISO tellitud X-tee käima ning füüsiliselt asus keskus Toompeal tollase Informaatikafondi keldris. X-teega tegelenud inimestest enamik olid tollal RISO palgal (Ahto Kalja, Riho Oks, Juhan Vene, Martin Undusk, Andres Kollist, Uuno Vallner, Katrin, Peeter), osa aga Informaatikafondi töötajad (Imre).

Tuleb aru saada, et eestlased mingit seniolematult uut infotehnoloogiat siiski kokku ei leiutanud, pigem leiutati olemasolevate infotehnoloogiate baasil uus riigipidamise viis (e-riigi tehnoloogia). Lahendus ise aga sai nimeks X-tee.

E-riigi teaduslik süvaanalüüs koos andmeturbesoovitustega on väga põhjalikult kirjeldatud Arne Ansperi teadustöös aastast 2001.

X-tee põhipostulaadid on järgmised:

  • lahendus käib üle üldotstarbelise avaliku neti (see on otseliinist odavam, kallimat me poleks suutnud kinni maksta);
  • iga ühendatud asutus on tuvastatav (krüptograafilise sertifikaadi abil). See välistab võimaluse, et häkker kusagilt lennujaama WiFist siseneb ja mõne andmebaasi tühjaks lutsutab;
  • et aga odavus turvet ei ohustaks, käib kogu side üle krüpteeritud sidekanali. Kui tavaline turvasideks pruugitav VPN huugab kogu aeg, siis X-teel pannakse krüpteeritud tunnelid püsti vaid hetkedeks, kui neid ka tegelikult vaja läheb (TSL/SSL);
  • andmevaldaja saab klientidelt nõuda, et iga päringut tegev isik tuvastataks (Eestis on see imelihtne – ID-kaart ja isikukood abiks);
  • kõigest jääb maha jälg, st iga päring logitakse, samuti loendatakse isiku ja/või asutuse esitatud päringute koguseid;
  • “vabu” päringuid (leia kõik mustad kassid Pimedal tänaval!) siiski teha ei saa. Kõik päringumallid on eelnevalt ette valmistatud. Ühtlasi saab ka päringulogisse kirjutada palju lühemalt – 2015. aasta juulikuu 5-ndamal päeval kell 13.00 ja 15 sekundit tegi isik 37412029381 asutusest (äriregistri koodiga) 12345678 päringu LemmikLoomaRegistrisse vastavalt mallile “koeraomaniku-tuvastamine.wsdl” (WSDL).

 

Loe edasi: