ID-kaart riikliku IT-julgeoleku seisukohast

May 03, 2007

Nüüd on vist juba kõigile selge, et küsimus pole ammu enam pronkssõduris, vaid Vene agressioonis. Üks osa sellest agressioonist on olnud ka küberründed, mis lähtuvad nii otse valitsusasutustest kui ka ajupestud kodanike poolt "spontaalselt" organiseerituna.

Selles valguses saab oluliseks küsimuseks, kuidas organiseerida IT-julgeolekut ja neile rünnetele vastu seista, et riigis normaalne elu tagada. Hetkelahendusena on paljudel saitidel välismaalt juurdepääs kinni keeratud. Seda on lihtne teha, eriti kui ründajad ei vaevugi eriti oma päritolu varjama nagu praegu. Aga pikemas perspektiivis ei ole selline lahendus vastuvõetav, sest muuhulgas tähendab see, et mulle ja paljudele Eesti kodanikele on riigiteenuste kasutamine ja riigiga suhtlemine võimatuks tehtud. Hetkel ei ole sellest midagi hullu, aga kui näiteks oleks tuludeklaratsiooni esitamise aeg ja ma seda Maksuametisse teha ei saaks, oleks asi päris halb.

Hetkel kaalutakse kindlasti erinevaid variante, kuidas pikemas perspektiivis IT-julgeolek tagada ja mis vahendeid selleks saab kasutada. Üks variant oleks teha nagu Hiinas, panna riigi "IT-piirile" püsti suur tulemüür ja kõik liiklus sealtkaudu läbi lasta ja tulemüür siis näo järgi vaatab, keda lubada ja keda mitte. Aga tegelikult on Hiina ainus riik, kes seda kasutab ja kaasaegses demokraatlikus Euroopas oleks see üsna ennekuulmatu, muuhulgas halvendaks ka teenuse kiirust ja kvaliteeti, kuna kuitahes võimas tulemüür lihtsalt ei jaksa kogu riigi liiklust läbi vaadata.

Variante on veel ja palju ja kindlasti lõpuks rakendatakse mingi kombinatsioon neist.

Ühe võimaliku variandina tuleb kindlasti kaalumisele ID-kaardi mõnevõrra laiem rakendamine riigiteenuste puhul. Kui praegu peab ID-ga sisse logima ainult siis, kui soovid nt X-tee kaudu mingit kaitstud infot vaadata, siis edaspidi võivad ka veebid olla turvatud ID-ga. Niisama lähenejatele näidatakse lihtsat tervituslehte, mida on märksa raskem pange ajada.

Selle kasuks räägib suhteline odavus -- kogu infrastruktuur serverite jaoks on täna olemas ja reaalselt kasutusel. Kliendi poolel on ID-kaart juba miljonil inimesel olemas ja neil, kellel pole, on võimalik see endale üsna lihtsalt hankida. Samuti käivad erinevad kampaaniad kaardilugejate levitamiseks. Veel mõni aasta tagasi maksis odavaim variant 300 kr, nüüd saab selle pankade käest 90 krooniga.

Mis on ID kasutamise plussid riikliku IT-julgeoleku seisukohast:

  • ei ole vaja rakendada geograafilisi piiranguid. Teenus on avatud kõigile elanikele sõltumata asukohast. (ID-kaarti saavad taotleda nii Eesti kodanikud kui elamis- ja tööloaga isikud, st kõik, kes Eestis pikemalt seaduslikult elavad, või elavad mujal maailmas, aga soovivad jääda Eesti kultuuriruumi.)
  • kuna ID-kaart ei ole kopeeritav, ei ole võimalik korraldada DDoS-rünnakuid muidu kui reaalselt paljude isikute kaartide abil (vt järgmine punkt).
  • tuvastus käib isiku(koodi), mitte IP alusel. Kõik toimingud on seostatavad konkreetse isikuga. Väärkasutuse korral saab isiku tuvastada ja vastutusele võtta.
  • kasutajate ring on piiratud Eesti kodanike ja elamis- ning tööloaga inimestega ehk nendega, kellel Eestiga ka reaalselt midagi pistmist on. Igasugu muud "našid" siia ei kuulu.

Peamiselt käib jutt riigiteenustest, millest reaalselt sõltub riigi toimimine ja julgeolek (nt politsei jne). Erateenuste, nt meedia puhul peab igaüks ise arvutama, kas talle see mõistlik tundub. Nt meedia puhul kindlasti langeks lugejate arv. Samas on võimalikud ka kombineeritud lahendused, nt lubada kõigil väljaannet lugeda, aga ainult ID-ga kommenteerida või mistahes. Samas EPL just leidis, et nemad teevad kommenteerimise kõigile lahti. Ja Rein Lang jällegi ei ole nõus.

Kindlasti toimub järgmistel aastatel selles vallas veel palju katsetamist ja eri lahenduste proovimist. Aga selge on see, et kindlasti peame edaspidi opereerima keskkonnas, kus tuleb arvestada vaenulike kavatsustega ja ennast nende eest kaitsta, tagades samas teenuse kättesaadavuse neile, kes oma normaalset elu ja tööd jätkama peavad.

Ahjah, kübersõja rinnetelt üks väike lahinguvõit ka. Veel eile oli sellel aadressil võimalik näha juhendit, kuidas Eesti riigiasutusi surnuks pingida ja spämmida. Sellise info näol on aga tegemist Google Notebooksi teenuse reeglite rikkumisega, mis ei luba avaldada ebaseaduslikku ega kedagi otseselt kahjustavat infot:

You agree to use Google services only for purposes that are legal, proper and in accordance with the Terms of Service and any applicable policies or guidelines.

Spämmimisjuhendite avaldamine ei ole ei "legal" (kindlasti mitte Eesti Vabariigi ja vaevalt, et ka Vene Föderatsiooni seaduste järgi) ega "proper".

Andsime siis sõpradega Google'ile sellest nende tavavormi kaudu teada. Tänaseks on leht maha võetud.

Kindlasti ei ole mul illusioone, et see oli ainus selline leht -- neid tehakse automaatselt hunnikute kaupa. Aga samas ei ole teenusepakkujatele neist teada andmine eriti keeruline ja üldiselt eemaldatakse selgelt ebaseaduslikud ja Interneti toimimist meelega häirivad materjalid hea meelega. Nii et kui keegi veel midagi sarnast näeb, andke aga lahkesti teenusepakkujale teada. Kui see teenusepakkuja ei asu *.ru all, siis ei usu, et see info eriti kauaks püsti jääb.