I026 - Kevad 2017 - E-riik - ohud ja kasu inimeste jaoks
E-riik - ohud ja kasu inimeste jaoks
Autorid: Filip Fjodorov, Dmitri Kiriljuk, Jevgeni Jurtšenko
Sissejuhatus
Me valisime ITSPEA rühmatöö temaks “E-riik - ohud ja kasu inimeste jaoks”, kuna meie Eesti riigis on väga hästi arendatud erinevad e-teenused ja selliste teenuste erinevad küljed on igapäevaselt lähevad väga tähtsamaks. Selles töös me tahame anda lühike ülevaade e-riigi ohtude ja kasu kohta. Eesti riik on maailmas tuntud uudsete infotehnoloogiliste lahenduste poolest. Just seepärast on Eestit iseloomustatud ka kui e-riiki. E-riik (e-valitsus) on riigi valitsuse informatsiooniline aspekte meetod, mis põhineb IKT-süsteemide kasutamisel. Samuti tähistab see uut tüüpi riiki, mis põhineb selliste tehnoloogiate kasutamisel. Elektrooniline riik tähendab toetust nii täitevvõimu ("e-valitsus") kui ka parlamendi ("e-parlament") ja kohtunike ("e-õiguskeskkond") IKT tegevuse abil. Mõiste "elektrooniline riik" vastab enim ingliskeelsele mõistele “e-valitsus”. Samas tuleb arvestada, et kaasaegsetes rahvusvahelistes õigusaktides, eriti Euroopa Inimõiguste Kohutu omades, kasutatakse terminit “valitsus” sageli ka riigi kui sellise tähenduses. Samamoodi, väljendis «kolm valitsemisharu» räägitakse kolmest osast riigi harudest tervikuna, mitte ainult täitevvõimust. E-riik on e-majanduse osaks. [1]
Mis kasud e-riigi teenused pakkuvad inimestele.
Eesti peetakse Euroopa IT valdkonnas väga arendatud riigiks tänuks smart kaartide lai kasutamisele. See omakorda vähendab bürokraatiat kodanikutele riigi asjade ajamises. Näiteks, kõikidel Eestis püsivalt viibivatel vähemalt 15-aastastel Eesti kodanikel peab olema isikutunnistus ehk ID-kaart. Sellega saab ka digitaalselt allkirja anda ja tehinguid sooritada. Vajalikud on ID-kaardi lugeja, PIN-koodid ning spetsiaalne tarkvara “DigiDoc klient”, mille saab tasuta aadressilt http://installer.id.ee/. Digitaalne allkiri kehtib samamoodi nagu käsitsi kirjutatud allkiri. ID-kaardi ja interneti abil on elanikul riigi ja kohalike omavalitsustega lihtne suhelda. ID-kaardiga on võimalik valida Riigikogu, Euroopa Parlamenti ja kohalikku omavalitsust ning osaleda rahvahääletusel. ID-kaardiga saab isik kaasa @eesti.ee meiliaadressi. Riigiportaali www.eesti.ee kaudu on inimestel võimalik suhelda riigiasutustega elektroonselt. See on turvaline veebikeskkond, mis pakub mitmesuguseid e-lahendusi. Eesti elanik saab riigiportaali vahendusel korraldada palju selliseid asju, milleks tal varem tuli kohale sõita, pabereid täita ning rohkesti aega kulutada. Tugevas kodanikuühiskonnas võivad elanikud avalike asjade arutamisel ning otsustamisel kaasa rääkida. Eestis on selleks loodud veebikeskkond www.osale.ee. Selle vahendusel saavad kodanikuühendused ja kõik elanikud öelda oma arvamuse ühiskonnale olulistes küsimustes. Osalusveebis www.osale.ee on igal inimesel võimalik esitada valitsusele ettepanekuid, koguda allkirju kodanikualgatuse toetuseks, avaldada arvamust valitsuse eelnõude kohta. [2]
E-riigi ohud
Maailm meie ümber on täis igasuguseid ohtusid. Mõned neist on lihtsamini hoomatavamad, mõnede puhul läheb vaja spetsiifilisemat oskust. Tänapäeval on inimeste jaoks üheks selliseks valdkonnaks kindlasti infotehnoloogia. Me elame ajastul, kus erinevad küberründed on võimelised halvama mitte ainult üksikuid inimesi või asutusi, vaid omavad potentsiaali “lülitada välja” terveid linnu, riike ja regioone. IT-turvalisuse tagamine ei ole lihtsalt ühe inimese või osakonna teha, sest kett on ikka täpselt nii tugev nagu tema nõrgim lüli. Olulisemad valdkonnad inimese vaatest on: küberohtude alase teadlikkuse tõstmine küberkaitsevõimekuse loomine ja tõstmine pidev kontroll, testimine ja arendamine Koos paratamatu maailma digitaliseerimisega kasvab ka märkimisväärselt küberkuritegevuse kasv. Võrdselt riist- ning tarkvarasse tehtavate investeeringutega on siinkohal vajalikud ka investeeringud inimestesse ning nende teadlikkuse kasvatamisse. Kas inimesed teavad, millised ohud neid kübermaailmas varitsevad? Kas nad oskavad ohtudele adekvaatselt reageerida? Öeldakse, et tänapäeval kulutavad häkkerid vaid 20% oma ressursist organisatsioonide infosüsteemidesse sissemurdmiseks väljastpoolt. Kuhu kulub ülejäänud 80%? Veel mõned mõtlemapanevaid fakte: aastal 2015 tuli iga päev välja keskmiselt 1000 uut variatsiooni pahavarast toimus keskmiselt 90 000 õnnestunud rünnakut päevas 46% pahavaradest nakatumistest toimus läbi e-kirjade pahavara kaudu teenitud “kasumiks” ennustatakse 2016. aastal 1 miljard USD ning järgmise kolme aasta jooksul see summa kahekordistub [3]
Ristvaralise valdkonnast võib mainida Elioni süsteemirike, mis juhtus jaanuaris aastal 2013 ja kestis kaks päeva, jättis paljud kodud telepildita ning tekitas probleeme internetis. See ettevõte on ennast reklaaminud kui väga kvaliteetse teenuse pakkuja, mille eest kliendilt ka korralikku tasu küsitakse. Ent praegune juhtum näitab, et telekommunikatsiooni valdkonnas ei ole sajaprotsendilisi süsteemigarantiisid ning seadmete ja tehnoloogiate täiustamistele vaatamata võivad neid ikka tabada tagasilöögi Meie riik ja valitsus on juba aastaid hoidnud kindlat suunda, arenemaks silmapaistvaks e-riigiks, kes teistele, ka endast palju võimsamatele ja rikkamatele, oleks teenäitajaks. Ja mis seal salata, meie elu ongi seetõttu muutunud oluliselt lihtsamaks, protsessid kiiremaks ja mugavamaks. Ülekannete tegemiseks ei pea enam minema panka, kontserdi- või lennupileti ostmiseks piisab interneti ja arvuti olemasolust, lepingu sõlmimine mõne elektrienergiat müüva ettevõttega polegi muidu võimalik kui ainult interneti abil. Ent nagu juba öeldud, pole sidesüsteemid siiski haavamatud ning me peame tõsiselt kaaluma, kui suurt osa oma riigist ja igapäevasest asjaajamisest me saame ja julgeme toppida küberruumi, ilma et me ei satuks abitusse olukorda sääraste probleemide ilmnedes. Olgu, kui e-rikked ei võimalda kasutada internetti meelelahutuseks. Aga kui selle tagajärjel jäävad kättesaamatuks digiretseptid või lennupiletid, on asi juba märksa tõsisem. [4]
Soovitused 2017 aasta küberturvalisuse osas
29 märtsis avalikustatud Riigi Infosüsteemi Ameti küberturvalisuse aastaraamat analüüsib Eesti küberruumi tervist ja rünnatavust aastal 2016 ning annab hulga soovitusi levinud ohtudega toimetulekuks. Mulluste riskide ja rünnete mustrist joonistuvad selgelt välja nii ohud kui ka viisid nendega toimetulekuks. Sealjuures ei ole kahtlustki, et igapäevase mugava digitaalse eluviisi kaitse on igaühe enese kätes ning riik on ennekõike ohtude seiraja, suurte rünnete ennetaja, taristu kaitsja.
1.Elutähtsate teenuste kübersõltuvus kasvab.
Kasvav arv elutähtsate teenuste osutajaid sõltub kriitilisel määral digitaalse taristu toimimisest ja paljudel juhtudel on need sõltuvused väljaspool ettevõtja enda kontrolli või lausa väljaspool riigipiire. Katkestuste mõju ühiskonna ja majanduse toimimisele ning riigi julgeolekule on üha olulisem. Ennekõike tähendab see, et elutähtsate teenuste omanikud – olgu see riik või erasektor – ei tohi näha küberturvalisust või oma võrkude kaitset kui oma isiklikku muret, vaid peavad vaatama laiemat konteksti. Mida avatumalt ollakse valmis riskidest ja juhtumitest rääkima, seda suurema tõenäosusega on võimalik ka teistelt õppida.
2.Avalik sektor on nii juhuslike kui suunatud rünnete sihtmärk.
Avaliku sektori peamised küber riskid on seotud teenusekatkestustega süsteemides, mille toimimisest sõltub riigi julgeolek, ning suunatud rünnetega rahalisel, poliitilisel või ideoloogilisel motiivil. Iseäranis kohalikel omavalitsustel napib nii teadmisi kui ressursse küberohtude ennetamiseks. Riigiasutuste osutavate kriitiliste teenuste toimepidevuse tagamine vajab tõsist tähelepanu ning investeeringuid, et kindlustada teenuse käideldavus, ent vähem tähtis ei ole töötajate harimine ja infoturbe tähtsustamine juhtimistasandil.
3.Erasektori teadlikkus küberriskidest on lünklik – see käib nii üksikisikute kui ettevõtjate kohta.
Üksikute kõrge turvateadlikkusega ettevõtjate ja valdkondade kõrval paistab silma, et üldiselt peetakse küberturvalisust või selle puudumist jätkuvalt „tehniliseks probleemiks“, mitte ettevõtte põhitegevuse riskiks. Iseäranis väikeettevõtjad ja vabaühendused ei pea end küberohtude sihtmärgiks ning turvalisusse ei investeeri. Digitaalne ühiskond nagu me oleme, peame õppima mõistma, et IT-teenus ei ole üheski valdkonnas enam pelgalt tugiteenus, vaid selle toimimiseta ei saa enam ka organisatsiooni põhitegevuses kindel olla.
4.Küberkuritegevus on üha professionaalsem.
Pahavara levitamisviisid on üha viimistletumad ning näha on keskendumist aegkriitilistest andmetest sõltuvatele valdkondadele, kus küberturvalisust pole seni oluliseks peetud (tervishoid). Suunatud ründed võivad olla äärmiselt usutavaks viimistletud. Ka ei ole küberkuritegevus enam üksnes väheste valitute pärusmaa, vaid soovitud „teenust“ on võimalik kurjategijatelt osta ka neil, kel endal vajalikke oskusi ei ole.
5. Eesti on jätkuvalt Venemaa mõjutustegevuse sihtmärk.
Venemaa kasutab küberoperatsioone käsikäes traditsioonilise mõjutustegevusega vastavalt tehnoloogilisele võimekusele, doktriinile ja välispoliitilistele võimalustele. 2017. aastal eesseisvate oluliste sündmustega seoses tuleb valmis olla küberrünnete hoogustumiseks. RIA on teinud ettevalmistusi ja töötab koos partneritega, et väljakutseteks valmis olla.
6. Arenevad tehnoloogiad ja teenused on haavatavad ning turvalisus ei jõua tehnoloogia arenguga sammu pidada.
Nutiseadmete ja esemevõrgu seadmete kasutusala laieneb. Ühes sellega laieneb nende turvalisusriskide mõju, aga ka atraktiivsus küberkurjategijate jaoks. Praegu ei ole täit arusaama, millised riskid kiirelt arenevate digitaalsete toodete, teenuste ja ettevõtlusvormidega kaasnevad. Tõenäoliselt näeme esemevõrgu seadmete rünnete puhul seniste rekordite purustamist nii mahu kui uute ründeviiside mõttes. Suureneb ka surve esemevõrgu seadmete turvalisuse parandamiseks.
7.Enamiku registreeritud küberintsidentide põhjus või seda soodustav tegur on aegunud tarkvara.
Aegunud veebihaldustarkvara kasutamine Eestis on epideemiline. Iga veebilehe pidaja võiks oma veebiarendajalt küsida, kas ta on tarkvarauuendustega kursis ning need tema veebilehel rakendanud. Erakasutaja jaoks on olulised väikesed lihtsad asjad nagu esimesel võimalusel tarkvarauuenduste paigaldamine nii oma arvutisse kui nutiseadmesse.
8.Üksnes salasõnadel põhinev autentimine ei ole enam turvaline.
Üha suurenev salasõnade hulk ning keerukamad nõuded paroolidele ei ole kasutajatele jõukohased. Kasutajate kohanemismeetodid (sh paroolide ristkasutus) suurendavad haavatavust. Kasvab surve võtta kasutusele turvalisemad isikutuvastusmeetod nagu kaheastmeline autentimine, biomeetrilised autentimismeetodid. Teenusepakkujatel ja riigiasutustel soovitame seadistada kaheastmeline autentimine igal pool, kus võimalik.
9.Õiguskeskkond vajab ajakohastamist.
Küberturvalisust tagavate organisatsioonide õigused ja kohustused peavad olema sätestatud seadusega, mitte rakendusaktides või haldusesisestes dokumentides. Praegune küberturvalisuse regulatsioon on killustatud ja adressaatide jaoks läbipaistmatu. On oluline, et väljatöötamisel uus küberturvalisuse seadus neid kitsaskohti leevendaks. [5]
Kokkuvõtte
Maal ei kujuta elu e-lahendusteta enam ette. Seda on vaja nii lastele õppimiseks kui lapsevanemale ja õpetajatele. E-tervise süsteem ei tööta küll veel täie funktsionaalsusega, kuid muutub üha väljapääsmatumaks, ka suhtlus omavalitsuse ja riigiga käib interneti kaudu. E-teadlikkust nõuavad juba peaaegu kõik ametikohad. Seetõttu on meie maapiirkondadele eriti oluline, et inimestel on võimalus ja teadlikkus uut tehnoloogiat enda kasuks tööle panna. Riigikogu 14 saadikut kõikidest parlamendi erakkondadest asutasid e-Eesti toetusrühma, et tõugata tagant Eesti infotehnoloogilist arengut. Lõin toetusrühma, et saavutada meile olulistes teemades edasiminekuid. Üks kesksem väljakutse on, kuidas kasvatada IT abil majanduse efektiivsust ja seega ka inimeste heaolu. Oleme veendunud, et toimiv ja arenev e-riik on Eesti võimalus olla maailmas konkurentsivõimeline, vaatamata oma väiksusele ja kahanevale/vananevale elanikkonnale. Tehnoloogia areneb üha kasvava kiirusega ning me lihtsalt peame tegema kõik võimaliku, et pöörata see enda kasuks. Sügav kummardus kõikidele, kes on seda siiani teinud – Eesti on saavutanud korraliku tulemuse vundamendi ladumisel, nüüd on vaja astuda järgmine samm ja kõik seniloodu omavahel siduda, täie võimsusega tööle panna. Muuhulgas saame jõulise e-riigi arendamisega ellu viia riigiaparaadi reformi, hoides sedasi kokku miljoneid eurosid. Meie riigi unikaalne andmevahetus- ja id-süsteem tuleb teha lihtsamaks ning ettevõtlusele avatuks ning siduda Euroopa digitaalse ühisturuga, et luua tulusamaid töökohti ja paremaid ekspordivõimalusi. Tulemus: riigisektori üldkulud vähenevad, erasektori ja riigisektori vaheline suhtlus on sujuv, täisautomatiseeritud ja väga kõrgel tasemel kasutusmugavusega (väga paljudes valdkondades on see e-teenuste osas praegu kahjuks allpool igasugust arvestust). Tähtis on erasektori järele aitamine seni peamiselt riiklikult arendatud IT lahenduste kasutuselevõtuga. Täiesti arusaadavalt on paljusid väga vajalikke käike raske ühiskonnas selgitada, tehnoloogia areng on nii kiire, et juba homme kasutusel olevad lahendused tunduvad täna kuuluvat ulmevaldkonda. Võiksime meenutada, kuidas Uber ja Taxify on terve majandusharu pööranud pea peale. Lähiajal näeme, et ka töötegemise mõte on teistsugune kui seni. Uue majanduse pealetung – näiteks tuttavad Uber ja Taxify ning tärkavad tehismõistussüsteemid – tasub meil kiirelt pöörata enda kasuks, seadusandlikud takistused eemaldada, koolitada meid majanduses uusi võimalusi leidma. Meie inimeste e-haritus on meie konkurentsivõime seisukohast ellujäämise küsimus. Seetõttu tuleks IT niiöelda põhiharidus lülitada kõikidesse õppekavadesse, sõltumata erialast. See ei tähenda, et koolitame kõik inimesed programmeerijateks, kuid peame omama vähemalt niipalju teadmisi valdkonnast, et olla teadlikud tellijad. Meie e-riik, kas või teenuste portaalid, e-residentsus, id-süsteem ja e-valimised, väärivad uuenduskuuri ning praktilisemat ja julgemat rakendamist. Lõpuks, või õigemini peaks sellest alustama – seda vahvat e-maailma ei saa kasutada, kui neil pole taskukohast, töökindlat ja kiiret internetiühendust. Seetõttu jätkab Riigikogu e-Eesti toetusrühm lahenduste otsimist interneti valguskaabli meie kodude ja ettevõteteni väljaehitamisele. [6]