Toomas Hendrik Ilves: kiip on tehniline asi, vähem paanikat, rohkem fakte ja mõistust
President Toomas Hendrik Ilves ütles eile hilisõhtul antud usutluses Eesti Päevalehele ja Delfile, et kui me tahame teada, mida elevant meist mõtleb, siis pole kinnituse küsimises välismaa ekspertidelt midagi halba, kuid pigem on Eesti see riik, kes annab teistele nõu. Teisalt kavatseb Ilves rääkida Ühendriikide krüpto-ja turvalisuse asjatundjatega, kui saab Eestist rohkem tehnilisi detaile.
Teisipäeva pärastlõunal avalikustati, et Eesti ID-kaardil, täpsemalt siis kiibil, on teoreetiline turvarisk. Mida see tähendab Eesti kui e-riigi mainele? Või on siin tegemist siiski vaid tehnilise küsimusega?
Praegu on kõige olulisem tuvastada, milles on häda. See, mida meist arvatakse, on küsimus, mille juurde tuleme siis, kui saame paremini aru, milles tegelikult probleem on. Selge on, et kas otseselt või koosmõju kaudu avas uue kiibi kasutusele võtmine - mis on puhtalt tehniline asi - ühe riski.
Teiseks. Mõelgem tarkvarauuendustele, mida meil oma arvutis aeg-ajalt teha tuleb. Pea alati soovitatakse tarkvarauuendus laadida alla nii kiiresti kui võimalik. Vahel kaasneb uuendusega mõni tore lisavõimalus, aga tavaliselt tuleb seda teha seetõttu, et tarkvaraettevõte on avastanud turvaaugu, mis vajab tarkvarauuendusega lappimist. Kui tegu on erafirmaga, siis tavaliselt tarkvara uuendamise põhjust ei teatata. Riik erinevalt erafirmast aga ei saa endale lubada vaikimist, ta peab olema täiesti avalik ning seetõttu teavitab ka võimalikest probleemidest.
Ükskõik, kas te kasutate Mac’i või Microsofti, tulevad aeg ajalt ikka teated tarkvara uuendamiseks ja on väga oluline, et seda siis ka tehtaks. Parim näide on WannaCry lunavara, mis tabas vana, uuendamata Windowsi kasutavaid arvuteid.
Meie, Eesti, oleme avatanud ja avalikud ja see eeldab pigem kiitust. Piisab, kui me ütleme, et asjad on nüüd nii.
Te ütlesite, et probleem tekkis seoses uue kiibi tulekuga...
... jah, see on selge. Kas häda on vaid uues kiibis või on see seotud uue kiibi rakendamisega, ei saa mina öelda. Selleks on tarvis täpsemat tehnilist infot. Seni aga hoiatan igasuguste võhikute sõnavõttude eest. Olen sellega (digitemaatikaga) tegelenud 23 aastat ja näinud ohtu, mis kaasneb hüsteeriliste arvamustega nende poolt, kes ei saa täpselt aru, millega tegu. Olen seda mitmel korral näinud mujal Euroopas, kui olen rääkinud IT-st laiemalt. Kui kellegi on midagi asjalikku öelda, siis kuulan hea meelega. Kui see on aga katse lõigata poliitilist profiiti, siis tehke palun seda pärast seda, kui IT eksperdid on oma sõna öelnud.
Oleme avastanud ID-kaardi kiibiga seotud turvaprobleemi. Kiip on tehniline asi, e- riik sellest ei sõltu ja toimib edasi.
Paanikat on rohkem kui asi väärt?
Ma soovitaksin: vähem paanikat, rohkem fakte ja mõistust.
Tõsi, mõnes mõttes on Eesti riik ja valitsus väikeses kahvlis. Nad täitsid oma kohust. Erievalt tarkvarafirmadest, kes saab varjata probleeme tarkvarauuenduse taha, pidid nad avalikkust probleemist informeerima.
Teisalt, kui valitsus teeb õiget ja õilsat asja, siis tulevad paraku ka need, kes tahavad seda ära kasutada.
Juba on palju juttu e-valimiste ära jätmisest. On see ikka otstarbekas?
See turvaauk on teoreetiline, matemaatiliselt võimalik turvaauk ühe lahenduse puhul, ühe identimise puhul, ühe inimese kohta, ühe korra kohta. See on nii töömahukas arvutus ja nagu aru saan, võtaks selle kalkuleerimine umbes 12 tundi väga suurt arvutimahtu. Kui seda tahetaks tõepoolest väärkasutada, siis oleks kulu ühe väärkasutuse eest umbes 50 000 dollarit.
Seega selleni jõudmine on nii töömahukas, et inimestele, kes on mures e-valimiste pärast, soovitan võrdlust paberhääletusega. Praeguse teoreetilise turvaaugu puhul maksaks arvutis ühe hääle mõjutamine 50 000 dollarit. Paberhääletuse puhul – juhul, kui kellelgi selline kavatsus oleks - võiks sama summa eest saada 5000 häält, andes 10 eurot 5000-le inimesele, et nad läheksid ja hääletaksid x või y erakonna eest.
Suuremat probleemi ja muret näen võhiklike käsitluste pärast mujal. Ühte juba märkasin. Artikkel ise oli korralik, aga pealkiri oli halvustav. Hea näide sellest, kui räägitakse sellest, millest palju ei teata. Eesti e-riigi arhitektuur on laitmatu ja seda on kõikjal tunnistatud. Pigem võetakse meie süsteeme üle teiste riikide poolt. Hiljuti olin Ladina-Ameerikas ja näiteks Panama on üle võtnud meie x-tee. Ka Mehhiko on x-tee üle võtnud ja teeb seda praegu enda tarbeks ümber. Seega, pole kahtlust, et meie tehtud lahendused töötavad väga hästi.
Ometi – mis saab olema see mõju, kui e-valimised ikkagi otsustatakse ära jätta?
Sel juhul on see poliitiline otsus, mis on tehtud pigem psühholoogia tasandil, sest nagu ma ütlesin - tehniliselt midagi mõjutada on niivõrd kallis. Olgu, seda võib ju teha ühe inimese puhul, aga et oleks mõju valimistele, on seda summat - 50 000 dollarit - vaja korrutada kümneid tuhandeid kordi. Aga kellel on sellist raha? Lisaks, nagu ütlesin, iga arvutus vältab umbes 12 tundi.
On ka kõlanud arvamusi, et praegusel hetkel peaks tehnilisi lahendusi arutatama ka välismaa ekspertidega. Mida teie sellest arvate?
Pigem on Eesti see riik, kes annab teistele nõu. Muidugi, kui me tahame teada, mida elevant meist mõtleb, siis pole kinnituse küsimises midagi halba. Me kuuleme, et eestlastel on õigus ja see on tore. Aga et keegi teaks praegu neist küsimustest paremini kui meie – seda ma ei usu.
Vähem kui kuu aja pärast toimub Eestis digi-tippkohtumine. Eesti eriesindaja EL-i institutsioonide juures Matti Maasikas ütles, et Eesti teavitab liidu institutsioone ID-kaardi turvariskist ning et ID-kaartide turvalisuse küsimus võib Eesti jaoks olla mitte õnnetus, vaid õnnistus. Võimalus näidata, kuidas me suudame selles valdkonnas olulise probleemi lahendada olukorras, kus meid vaatab kogu Euroopa.
Aga nii ongi. Eesti on läbipaistev riik, me ei varja oma hädasid. Me pole nagu mõni riik, kes varjab oma võlgu mitu aastat. Ja praegu, 11 tundi pärast seda kui Eesti probleemi avalikustas (intervjuu on tehtud teisipäeva hilisõhtul), ütleb minu hästiinformeeritud allikas Brüsselis, minu poeg (Luukas Kristjan Ilves on diginõunik ja nö esimene piksevarras Eesti digiküsimustes Brüsselis Eesti alalises esinduses Euroopa Liidu juures-K.A.), et talle pole veel kellegi poolt mingisugust negatiivset signaali tulnud. Seega, reaktsioonidest on pisut vara rääkida.
Aga kas te olete saanud signaale Stanfordi Ülikoolist, kus te töötate?
Peale ühe artikli, mida ka eespool mainisin, ei ole vastukajasid olnud. See nimetatud artikkel ilmus Ühendkuningriigi poolkollases väljaandes. Samuti pole keegi mulle veel kirjutanud. Ka need inimesed mitte, kes alati küsivad.
Kui ma saan Eestist rohkem tehnilisi detaile, kavatsen ma rääkida paari Ühendriikide krüpto-ja turvalisuse asjatundjaga. Inimestega, kes on kogu oma elu sellega tegelnud. Neid on siin Stanfordis üsna mitmeid.