Eesti e-riigi hoidmine ei saa olla hobi

Eelmise aasta augusti lõpus sai Riigi Infosüsteemi Amet (RIA) teada, et enamikku kasutuses olevatest Eesti ID-kaartidest ohustab tõsine turvanõrkus. Sel hetkel oli tegemist teoreetilise turvanõrkusega, mille detailid ei olnud ka RIA-le teada ning polnud leitud ühtegi ründevahendit (või isegi selle kirjeldust), mis seda turvanõrkust ära kasutaks. Järgnenud kahe kuu jooksul töötati olemasoleva info põhjal välja lahendus, mis võimaldas inimestel oma ID-kaardil olevad krüptovõtmed turvaliste vastu välja vahetada. Märtsi lõpuks kasutas seda lahendust ümmarguselt pool miljonit kaardiomanikku ehk umbes 95% nendest, kes ID-kaarti elektrooniliste teenuste tarbimisel kasutavad.

RIA tellimusel uuris TTÜ selle juhtumi lahendamist, et riik saaks sellest õppida ja tulevasteks juhtumiteks paremini valmis olla. Toon välja need neli õppetundi, mis minu arvates on kõige suurema kaaluga.

Infoühiskonna vundamendi moodustavad erinevad infotehnoloogilised süsteemid ja nendel põhinevad teenused. Enamasti on tegemist raskesti hoomatavaid omavahelisi sõltuvusi omavate keeruliste süsteemidega. Turvanõrkuse leidmine ühes süsteemis võib seetõttu otse või kaudselt mõjutada paljusid teisi süsteeme.

Näiteks ilmnes, et ID-kaardist on kriitilises sõltuvuses mitu elutähtsat teenust, mille puhul ei olnud võimekust kiirelt üle minna alternatiivsele turvalisele autentimisvahendile, nagu Mobiil-ID. Sellest tulenevalt avati kaartide uuendamine esmajärjekorras just nende teenuste kasutajatele – arstidele, apteekritele jne.

Positiivseks vastunäiteks võib tuua pangad, mille kasutajatel on ID-kaardi kõrval teisi elektroonilisi autentimisvõimalusi ja lisaks veel võimalus kontoris teenust n-ö mitteelektroonilisel kujul tarbida.

Siit on võimalik tuletada kaks olulist õppetundi: esiteks, elutähtsate teenuste kriitiliste komponentide ja sõltuvuste kaardistus peab olema senisest täpsem, ning teiseks, süsteemide kavandamisel tuleb planeerida kriitilistele komponentidele alternatiivid ja nende uuendamise või väljavahetamise protsess.

Infosüsteemid ei saa kunagi päris „valmis“, nad peavad pidevalt arenema vastavalt tehnoloogia ja ohupildi muutumisele. Kui mõni algoritm tunnistatakse ebaturvaliseks, siis tuleb üle minna uuele algoritmile. Kui mõnda operatsioonisüsteemi versiooni enam ei toetata, siis tuleb kasutusele võtta toetatud versioon.

Keskkonna ja ohupildi kohta adekvaatse situatsioonipildi omamine vajab väga häid teadmisi süsteemis kasutusel olevatest tehnoloogiatest ja neid puudutavatest turbetrendidest. Kuid ainult teadmistest ei piisa – peab olema ka aega ja motivatsiooni, et sellega tegeleda. Riigi jaoks tähtsate teenuste turvalisena püsimine ei saa tugineda kellegi hobile või naiivsele lootusele, et häda korral keegi ikka aitab.

Selle asemel on vaja määratleda eksperdid, kelle tööülesanne on situatsioonipildi hoidmine ja vajaduse korral muudatusettepanekute tegemine ja elluviimine, ning järjepidevalt investeerida elutähtsate teenuste turvalisena hoidmisesse.

E-riik on andnud Eestile tugeva konkurentsieelise, kuid see vajab pidevat hoolt ja valvsust, et see ka edaspidi eelisena toimiks.

Autor: Rain Ottis