Kriis tugevdas Eesti e-selgroogu

Kui eelmise aasta septembri alguses avalikukstati Eesti ID-kaardi turvaprobleem, hakkasime potentsiaalsete häkkeritega võidu jooksma. Kaks kuud hiljem, novembri alguses, peatati turvariskiga ID-kaartide sertifikaadid, sest aeg sai otsa. Risk, et keegi võiks reaalselt omada võimekust ID-kaardi turvaviga kuritegelikul eesmärgil ära kasutada, oli muutunud suureks.

Infotehnoloogiamaailmas on ajafaktori kriitilisus tuttav teema. Panga- ja muude intensiivselt kasutatavate infosüsteemide uuendamiseks on aastas ainult paar perioodi, mil kasutajaid on vähem ja kus on võimalik leida 12tunnine aken vanade süsteemide sulgemiseks ning uuendatud süsteemide käivitamiseks. ID-kaardi turvavea puhul mõjutas ajafaktor meid aga eriti valusalt. Eestis on kasutuses umbes 800 000 ID-kaarti. Kui tavalises korras suudetakse päevas uuendada 2000 kaarti, siis polnud võimalik tagada, et piiratud ajaga suudetaks uuendada kõik vahetamist vajavad sertifikaadid.

Kui turvaprobleem ilmnes, ei olnud esialgu teada, kui palju on meil aega turvariskiga sertifikaatide peatamiseni (hiljem selgus, et seda oli kõigest  kaks kuud). Sellises määramatuses tuli lahendada laias laastus kaks küsimust – esiteks, kuidas tagada Eesti kui e-riigi usaldusväärsus, ning teiseks, kuidas lahendada probleem tehniliselt.

Praeguseks, neli kuud pärast turvaprobleemi avalikustamist ja kaks kuud pärast sertifikaatide peatamist, on peaaegu pooled peatatud sertifikaadiga ID-kaartidest uuendatud. See tähendab seda, et need, kes kasutavad ID-kaarti igapäevategevustes, on seda nüüdseks juba teinud. Vähemalt 200 000 inimest peaks oma ID-kaardi sertifikaadi lähiajal uuendama, et olla valmis elektroonilise tuludeklaratsiooni esitamiseks. Praeguseks on kriis lahendatud, tehniline pudelikael läbitud ja probleem on kontrolli alla saadud.

Tekkinud olukorrast teavitamisel ja asjade arengust informeerimisel olid mõjusalt pildil nii peaminister Jüri Ratas kui ka majandusminister Urve Palo. Mõlemad, nii pea- kui ka majandusminister, andsid tugeva signaali, et ID-kaardi turvaprobleem on tähtis teema riigi tipptasemel ning et selle lahendamine on kõrge prioriteediga. Ei oleks oodanud nendelt ka teistsugust lähenemist, kuivõrd elektrooniline ID ongi riigi toimimise alustala. On kiitust väärt, et riigi tippjuhtide kommunikatsioon (koos riigi infosüsteemide ametiga ning politsei- ning piirivalveametiga) sai ühiselt paika, oli julgustav ning usaldav. See on väga hea, et kõik riigi institutsioonid olid ühel pool rindejoont ning seisid ühiselt meie huvide eest.

Kriisi tehniline lahendamine sertifikaatide uuendamise protsessi etapiviisiliseks tegemise kaudu, kus võimaldati aktiivsematel kasutajatel ja kriitilisematel rollidel seda eelisjärjekorras teha, oli loogiline ja ainuvõimalik tee. Kasutajad aga ei saanud sellest piisavalt hästi aru ning see tõi kaasa terava kriitika ühiskonna ning ID-kaardi omanike poolt. Infot nappis ja tekkis nõukogudeaegse defitsiidiga sarnane seis: kasutajad kartsid, et sertifikaadid saavad otsa ja neile ei jätkugi. Tegelikult ju see nii ei olnud!

Niisiis õpetas ID-kaardi kriis meile seda, et parandada tuleb organisatsioonilist võimekust ID- ja ka teiste kriitiliste teenuste tagamiseks. See vajab investeeringuid nii infrastruktuuri kui ka organisatsiooni ja inimestesse ning kommunikatsiooni. Inimesed ei taha ega saagi paberipõhisele asjaajamisele tagasi minna. Seetõttu tuleb tagada kõikidele aktiivsetele elektroonilise tuvastus- ja allkirjastamisteenuse kasutajatele mitme kanali võimalus. Võiks kaaluda kampaaniaid, mis suunaks aktiivseid kasutajaid mobiil-ID ning Smart-ID teenuse juurde. Kui üks kanal või kasutamiseks mõeldud seade tõrgub, siis saab kasutada teist.

Kokkuvõttes väljus Eesti ID-kaardi kriisist võitjana. Oleme IT-maailmas innovaatori rollis ja purjetame sageli tundmatutel vetel. Sellistes olukordades tuleb juhinduda lõppeesmärkidest ja kohaldada jooksvaid otsused hetkeolukorrast lähtuvalt. Saime sellega suurepäraselt hakkama. Ükskõik millise ID-kaardi probleemi ilmnemine oli aja küsimus ja kindlasti ei jää see kriis viimaseks. Peame tegema õiged järeldused ning peame investeerima alternatiivkanalite arendamisse ja kommunikatsiooni.