Eesti uudised

RIA aastaraamat: juba 2021 peaksid tulema m-valimised?

Kas Smart-ID sööb mobiil-ID Eestist välja? (4)

Viljar Voog, 24. aprill 2020, 13:05
Smart-IDFoto: Ilmar Saabas / Ekspress Meedia
Kui Eesti inimene soovib nutiseadme kaudu riigi või näiteks pangaga suhelda, on variantideks kas Smart- või mobiil-ID. 2019. aasta näitas, et Smart-ID on rünnakutele haavatavam, aga seda kasutab ikkagi üle kahe korra rohkem inimesi ja seetõttu võib mobiil-IDd peagi oodata hukk, vahendab Riigi Infosüsteemi Ameti (RIA) aastaraamat.

ID-kaart on Eesti elanikele kohustuslik. Seega pole üllatav, et kaarte on riigi peale laiali üle 1,35 miljoni. Elektroonilises kasutuses on neist ligikaudu 930 000, millega tehakse igas kuus keskmiselt umbes 20 miljonit digitaalset toimingut – olgu selleks siis digiallkirjastamine või mõnda e-teenusesse sisselogimine. ID-kaart tuleb aga kasutamiseks füüsiliselt lugerisse sisestada (katsetused viipekaartidega käivad, kuid see pole veel piisavalt turvaline) ja tänapäeva mugavust hindavas maailmas otsivad inimesed nutikamaid lahendusi.

Smart-ID kaks korda populaarsem

Teada ja tuntud variant nutiseadmetes digiallkirjade andmiseks on 2007. aastal kasutusele võetud mobiil-ID. 2019. aasta seisuga tehti läbi mobiil-ID 22 protsenti kõigist riikliku autentimisteenuse isikutuvastustest. Kokku on sel üle 234 000 kasutaja.

Mobiil-IDga käib kaasas üks väga suur „aga“. Sarnaselt ID-kaardiga toimib see kiibipõhiselt ehk läbi konkreetse telefoni SIM-kaardi. Smart-ID on selles osas tunduvalt mugavam – üks kord tuleb rakendus ID-kaardi abil käivitada ja edasi töötab see omapäi ludinal.

Mobiil-IDFoto: Stanislav Moškov

Samal teemal

Smart-ID on oma kaugest sugulasest mobiil-IDst täpselt 10 aastat noorem, aga juba praegu on sel üle poole miljoni kasutaja. Poolteist aastat on selle kaudu saanud anda ka digiallkirja ehk tulevikus võib valik üha rohkem kalduda Smart-ID poole puhtalt selle kasutajamugavuse poolest. Seda enam, et mobiil-ID kohal ripub peagi kätte jõudev daatum.

„Mobiil-ID hankeleping lõpeb 2021. aastal. Mis saab pärast seda?“ küsitakse RIA aastaraamatus „Kindlat vastust me veel anda ei saa. Teame, et riik peab väljastama igale kodanikule kaks alternatiivset eID (elektroonilise identiteedi- V.V.) vahendit. Vähemalt järgmise viie aasta jooksul on üks neist endiselt ID-kaart. Mis saab olema teine riigi väljastatav elektroonilise identiteedi kandja, pole praegu selge. See võib, aga ei pruugi olla mobiil-ID.“

Turvalisus tähtsam mugavusest

Samas on mobiil-ID-l rivaaläpi ees üks väga konkreetne eelis: sarnaselt ID-kaardile pole seda kordagi üle võetud. 2019. aastal sattusid aga paarkümmend Smart-ID kontot õnnestunud rünnaku alla.

„Aprillis aga leiti viis, kuidas õngitsussõnumeid ja -lehti kasutades luua ohvrite nimel uued Smart-ID kontod. Kasutajate mobiiltelefoni saadeti panga nimel sõnum, mis suunas näiliselt panga sisselogimislehele. Seal juhatati ohver mobiil-IDga sisse logima. Kui ta sisestas õngitsuslehel oma kasutajatunnuse, isikukoodi ja PIN 1, alustasid kurjategijad samal ajal taustal uue Smart-ID konto loomist. Kui see tehtud, logisid kurjategijad ohvri nimel panka ja kandsid sealt raha välja,“ kirjeldatakse aastaraamatus skeemi.

Smart-IDFoto: Ilmar Saabas / Ekspress Meedia

„2019. aasta 1. juulist muutus Smart-ID aktiveerimine veidi keerukamaks, aga oluliselt pettusekindlamaks,“ nenditakse RIAs järgnenud sammude kohta. „Me kõik soovime, et e-teenustesse sisenemine ja digiallkirjastamine oleks võimalikult lihtne ja kiire. Sama märkamatult võiks käia eID kandja aktiveerimine. Teisele kaalukausile peame aga panema turvalisuse – kui pole seda, kaob usaldus ja koos sellega e-teenused.

Oleme veendunud, et turvalisuse arvelt mugavust ei looda. Kui kasutajalt paari ekraanivajutuse või hiireklõpsu lisaks küsimine muudab eID kandja oluliselt turvalisemaks, tuleb seda teha.“

***
2021 valimised mobiilis?

RIA annab oma aastaraamatus lootusrikka vastuse küsimusele, millal saab valimistoiminguid teha mobiiltelefonis.

„Soovime teha valimised kättesaadavaks ka nutitelefonides, mida me igapäevaselt üha rohkem kasutame. Loodame, et m-valimiste võimalus lisandub juba 2021. aasta kohalike omavalitsuste valimisteks, aga enne peame olema veendunud nende turvalisuses.“

E-hääletanute osakaalFoto: RIA aastaraamat

***
Tulevikus piisab ühest sisselogimisest

Soovime seda tava muuta ja katsetame, kas riigi autentimisteenuses saaks kasutada ühekordset sisselogimise teenust (SSO). Nagu nimi vihjab, nõuab selline lahendus vaid ühte autentimist: kui kasutaja on riikliku autentimisteenuse kaudu mõnda e-teenusesse sisenenud, saab ta kasutada ka teisi e-teenuseid ilma, et peaks neis kõigis end uuesti tuvastama,“ kirjutatakse RIA aastaraamatus. Ajaraamistikku mugavale uuendusele ei pakuta.

***
Probleemideks pätid, aga ka katkestused

Riigi Infosüsteemi Ametile antakse aasta-aastalt üha rohkem teada erinevatest võimalikest küberintsidentidest – mullu 24 369 korral. Reaalset mõju omanud intsidentide arv on aga püsinud stabiilsena 3000+ piiril. 2019. aastal oli teabe või süsteemide konfidentsiaalsus, terviklus või kättesaadavus häiritud kokku 3164 korral. Suurim summa, mis õngitsuse tagajärjel (firma) pangakontolt varastati, oli 112 000 eurot, kuid see õnnestus pankade koostöö tulemusel tagasi saada.

Teiseks suuremaks murekohaks 2019. aastal olid ulatuslikud teenusekatkestused: tarkvaraviga jättis septembris 20 minuti jooksul häirekeskuse telefonid tummaks; riigivõrgu kaablite tähelepanuta jäänud purunemise tõttu olid novembris tundide kaupa kättesaamatud digiretsept ja riigiportaal, seejärel oli digiretsept detsembris veel korduvalt kättesaamatu vananevate süsteemide hoolduse tõttu. Mobiil-ID üleminek uutele süsteemidele lõi selle autentimis- ja allkirjastamisviisi mais 24 tunniks maha; samuti tõrkusid rahvastikuregister, riiklik autentimisteenus, X-tee uus versioon jne.

„Teenusekatkestused olid 2019. aastal põhjustatud enamasti inimlikest eksimustest, administreerimisvigadest või looduslikest põhjustest, kuid haavatavad süsteemid võivad sattuda ette ka pahatahtlikele inimestele ja riiklike seostega ohustajatele, kes ei hooli ei meie ohutusest ega tervisest,“ selgitab RIA.

„Näeme, et digitaalne ja pärismaailm on omavahel nii tihedalt seotud, et neid pole enam võimalik eraldi hoida, ning Eesti inimesed mõistavad seda aina enam. E-teenused on igapäevaelus järjest olulisemad ja nüüd häirib ka juba tunniajane katkestus e-teenuste töös inimeste elu märgatavalt,“ tõdes RIA peadirektor Margus Noormaa. „E-teenuste tuules jooksevad ka küberkurjategijad, kes on muutunud üha leidlikumaks ning leiavad uusi viise, kuidas pahaaimamatuid inimesi ära kasutada. Seega tuleb panustada järjest rohkem, et meie teenused töötaksid iga ilmaga ja igas olukorras. Samal ajal ei tohi unustada inimeste harimist. Digimaailma ohud muutuvad ja järjest rohkem satuvad sihikule ka meie elanikud ja ettevõtted. Riigi ülesanne on neid ohte varakult tuvastada ja maandada.“

REKLAAM JA KUULUTUSED

reklaam@ohtulehtkirjastus.ee