Taavi Kotka e-Eestist: usaldus tekib, kui sa räägid nii võitudest kui ka tagasilöökidest
Majandus- ja kommunikatsiooniministeeriumi side ja riigi infosüsteemide endise asekantsleri Taavi Kotka sõnul peame harjuma sellega, et e-riigi ehitamine on pidev – kui tarvis, uuendame tarkvara, kui tarvis, vahetame kaardid välja.
Mis teie arvates juhtus?
ID-kaardi puhul avastati teoreetiline turvarisk. Väga hea, et avastati. See pole esimene kord, avastatakse igal aastal. RIA spetsialistid hindavad partneritega turvariske ja lahendavad situatsioonid.
Kas peaksime vähem digitaalsed olema?
Eesti on e-riik, mistõttu oleme harjunud, et enamikku asju saab ajada digitaalselt, ja tagasi paberile minek ei ole enam võimalik. Küsimus pole selles, kas peaksime ajas tagasi minema, vaid selles, et kogu digitaalmaailm toimiks laitmatult.
Juhtumi taustal tuleb siiski küsida: kas e-Eesti on turvaline?
Näitlikult võiks iseloomustada, et oleme alati proovinud hoida turvataset 100 juures. Ometi on hetki, kui teadlased, spetsialistid ja teised eksperdid juhivad tähelepanu puudujääkidele, mille kõrvaldamata jätmise korral ei ole see tase enam 100, vaid kukub näiteks 80-le. See ei tähenda, et e-riik on hukas ja peame paberile tagasi minema. See tähendab, et tasemele 100 jõudmiseks tuleb tehnoloogiat paremaks muuta.
Eestis on küberteemadesse tõsiselt suhtutud ning igast võimalikust ohust räägitakse võimalikult vara ja kõiki riske arvesse võttes. Näiteks eelmisel aastal oli kõne all, et vanad lepingud tuleb üle allkirjastada, sest tehnoloogia, mida aastaid kasutati, on aeguma hakanud. See on normaalne elu.
Kas ja kuidas mõjutab juhtum e-residentsuse programmi?
Me teavitame e-residente arengutest ja selgitame, mida nad omalt poolt tegema peavad või ei pea. Märkasime probleemi, midagi pole reaalselt juhtunud ja probleem on teoreetiline, kuid mahavaikimise asemel ütleme otse, et tegeleme ja mis on lahendus.
Alles hiljuti teatas Instagram miljonite kontode häkkimisest. Probleeme on olnud Facebookil, Dropboxil ja teistel armastatud keskkondadel. See pole lõpetanud nende kasutamist. Eesti puhul me ei räägi üldse sellisel tasemel probleemidest, midagi ei ole ju häkitud. On avastatud teoreetiline probleem ja enne kui see võiks meile midagi paha teha, oleme hakanud tegutsema.
Kas see juhtum heidab varju e-Eesti mainele?
Maine ei tulene ainult headest uudistest, rääkida tuleb ka probleemidest ja tagasilöökidest. Eesti kogemus ongi rahvusvaheliselt hinnatud seetõttu, et peale edulugude toome alati esile ka negatiivse. Näiteks kui räägime ettevõtte asutamise lihtsusest, siis räägime ka levivatest käibemaksupettustest ja sellest, mida nende vastu ette võtta.
Eesti kübereksperdid on maailmas tuntud, sest nad on päriselt olnud kübersõjas ja uuenduste eesliinil.
Aga mis on ikkagi riskid?
ID-kaardi suurimad riskid seisnevad pigem selles, kui Eesti riik ei huvituks teadlaste avastustest ega räägiks neist avalikkusele. Ohud oleksid pigem selles, kui pidevalt ei pöörataks tähelepanu turvasüsteemide uuendamisele ega mõeldaks välja uusi ja ajakohaseid tooteid nagu Mobiil-ID ja Smart-ID.
Digimaailmas tuleb turvalisust pidevalt parandada ja suurendada. Siin ei ole midagi häbeneda. Me oleme harjunud, et Google seab Gmaili kasutajatele järjest tugevamaid turvanõudeid nagu kaheastmeline autentimine. Te uuendate oma telefonis äppe ja Microsoft sunnib installima uue Windowsi versiooni.
Samuti nagu Google peab Eesti seisma silmitsi arenevate turvariskidega. Me peame arvestama, et arvutid lähevad võimsamaks ja seetõttu vanad turvalahendused ei tööta. Pahalased muutuvad nutikamaks ning meile on oluline astuda teadlaste ja koostööpartneritega neist samm eespool.
Kõned meie e-edusammudest ei tohi luua inimestele pettekujutelma, justkui kõik oleks valmis ja miski ei saa seda enam muuta. Kui me tõesti tahame kiireid pangaülekandeid, köögilaua taga istudes ettevõtet juhtida ja mõne minutiga makse maksta, peame harjuma sellega, et e-riigi ehitamine on pidev. Kui tarvis, uuendame tarkvara, kui tarvis, vahetame kaardid välja.
Ja kui vaja, tühistame e-valimised?
Valimised on valimised. Turvalisus peab olema tasemel 100. Valimiskomisjon on siin kõige kompetentsem otsustama.
Iseenesest poleks e-valimiste ühekordses mittetoimumises midagi hullu, kui riskide pärast tuntakse end ebakindlalt.
2014. aastal läksime tänavale inimestelt küsima, mis juhtuks, kui selgub, et keegi on e-valimisi edukalt rünnanud. Nende seisukoht oli, et see oleks iseenesest kahetsusväärne ja tulemused tuleks loomulikult tühistada, aga kuna neile meeldib e-valida, siis tehke tehnoloogia korda.
Ja teie ei muretse?
Ei. Meil on lihtsalt üks uus teoreetiline probleem, mis vajab lahendamist.
Kokkuvõttes: kõige turvalisem ID-kaart on selline, millega ei saa mitte midagi teha.
