Eesti pääses ID-kaardi kriisist odavalt

Küberturbe valdkonna turumaht ületab paari aasta pärast 200 miljardi dollari piiri. See tähendab, et ettevõtted ja riigiasutused kulutavad kokku 0,25% ülemaailmsest majanduse koguproduktist, et tunda ennast turvalisemana ja maandada riske. Hinnanguliselt kasvab see number üle 10% aastas, sest üha enam tarbijaid nõuab turvalisemaid kodumasinaid, valvekaameraid ning muidugi ka riigi infosüsteeme.

Kuigi küberhügieenist räägitakse praegu rohkem kui kunagi varem, ei võta kõik seda valdkonda ühtmoodi tõsiselt. Halvaks näiteks lähiminevikust on USA krediidireitingute pakkuja Equifax, kelle kaudu lekkisid aastate jooksul 148 miljoni USA inimese delikaatsed isikuandmed. Ameerika Ühendriikides piirdub digitaalne identiteet enamasti nime, aadressi ja sotsiaalkindlustusnumbri komplektiga – nende andmete alusel saab varastada inimese identiteedi, võtta laenu või tellida krediit- või valijakaarti – ja just sellised komplektid 45% USA elanike andmetega lekkisid Equifaxi kaudu.

Meie standardite järgi hinnates olid andmed turvatud väga primitiivsete vahenditega. Eesti ID-kaardi kriisi eristab Equifaxi juhtumist see, et meil oli andmete turvalisus tagatud väga keerulise lahendusega. Sellest hoolimata avastati riistvaratootja viga, mis muutis ID-kaadi andmete lahtimurdmise teoreetiliselt võimalikuks. Kasutusel oleva krüptovõtme murdmine toore jõuga oleks olnud aga nii energiamahukas, et see lihtsalt ei oleks olnud vaeva väärt. Ka siis mitte, kui seal taga oleks olnud kogu Equifaxi andmevaramu ja veelgi enam ID-kaardi süsteemi puhul, kus lahtimurdmine andnuks ligipääsu vaid digitaalsele isikutuvastusele ja allkirjale, mis mõlemad on kasutusel ja oluliselt lihtsamini võltsitavad füüsilises vormis.

Lahenduse leidmine võttis aega mõne kuu, kuid tulemuseks saime uued krüptoalgoritmid ja ID-kaardi kiibid turvalisust enam ei ohusta. Uute krüptovõtmete murdmine pole mitte ainult ebamõistlik, vaid olemasoleva tehnoloogia juures ka võimatu. Nelja miljoni eurone investeering, mis on 0,017% Eesti sisemajanduse kogutoodangust, aitas leida lahenduse, mis tõestab, et Eesti on digitaalse identiteedi valdkonnas endiselt esirinnas.

Probleemseks osutus hoopis lahenduse viimine kõigi lõppkasutajateni ja kulus vähemalt nädal enne, kui vajalik läbilaskevõime saavutati. Kui midagi ette heita, siis planeerimist, aga nüüd vahest teavad kõik riigiasutused, kui olulised on koormustestid.

Selleks, et hinnata, kas miski on kallis või odav, tuleb numbrid panna perspektiivi. Kahjuks on IT-valdkonna probleemid, nende kaal ja lahenduste hind midagi, mida suurem osa meist ei suuda sobitada oma igapäevaste proportsioonidega. Seekord oli kõik korras. See oli väike hind, mida maksta selle eest, et väike Eesti oleks maailmas digitaalse identiteedi valdkonnas endiselt esirinnas.

Turvalisuse tagamine on oluline, kuid andmete turvaline kaitsmine ei saa olla ainus, mille suunas oma e-riiki edasi arendame. Vähemalt sama oluline on digitaalsete protsesside kasutajaloogika ja otstarbekus, et kodanike ja ettevõtete asjaajamine riigiga oleks efektiivne ja kohmakad protsessid asendataks järk-järgult uute, kasutajasõbralikumate ja turvalisematega.