Kui me rohkem kui 30 aastat tagasi Eestis digipöördega alustasime, oli enamus meie ametlikest andmetest paberkandjatel. Erinevates kataloogides ja kaustades, sisult tihti kattuvad või mitteklappivad.

Ajakohast tervikpilti – inimese tervis, töö- ja rahaasjad, load ja volitused, diplomid ja tunnustused – oli keeruline kokku panna ka inimesel endal.

Tänapäeval saame riigiportaalis lihtsalt ja turvaliselt ligi oma ametlikele andmetele, terviseportaalis oma terviseuuringutele ning retseptidele, pangarakendustes oma rahaasjadele, teenusepakkujate iseteeninduskeskkondades oma lepingutele ja kohustustele.

Isegi ilma funktsioonirohke riigiäpita, millest vähesed on puudust tundunud, on mobiiltelefonid muutunud digiteenuste turvalisuse tagamisel aasta-aastalt siiski järjest olulisemaks.

Ka neis olukordades, kus istume digikeskkonnas tegutsemiseks arvuti taha, eelistavad paljud ID-kaardi asemel kasutada teenusele turvaliselt ligipääsemiseks just Smart-ID või mobiil-ID varianti. Ka valimiste puhul oleme juba pikalt m-hääletamisest rääkinud, kuid asjade praeguses seisus õnneks mitte veel rakendanud. Nõudlus on siiski selgelt olemas.

Lisaks on erinevad tööks ja isiklikuks asjaajamiseks vajalikud kaheastmelise autentimise (2FA) lahendused tihti seotud just mobiiltelefoninumbri (läbi telefonikõne või SMS-kinnituse) või konkreetse mobiilse seadmega, millesse paigaldatud spetsiaalne autentimisrakendus.

Kelmid on selle kõigega kursis ning viimasel ajal loeme uudistest juba praktiliselt iga nädal sellest, kuidas erinevate digivõimestatud petuskeemidega inimestelt raha ja andmeid varastatakse. Mobiiltelefonidel on mugavusteenuse osana nendes pettustes keskne roll.

Ei ole põhjust loota, et üritatud pettuste hulk lähiaastatel väheneks. Kiirelt uuenevad tehnoloogilised lahendused muudavad petturite töö kiiremaks ja sageli ka odavamaks.

Sissetuleva kõne numbrit saab võltsida, sotsiaalmeedias jagatu põhjal saab kavandada efektiivsemaid rünnakuid, petukõnesid tegevate palgaliste inimeste asemel saab kasutada tehisintellektile ehitatud automatiseeritud süsteeme, sest nii tõlkelahendused kui ka kõnesüntees on teinud suuri arenguhüppeid. Vilets eesti keel petukirjas või petukõnes, mis varem töötas tugeva ohumärgina, on asendumas grammatiliselt korrektse ning toonilt õigega.

Ametkondlikud ja poliitilised reaktsioonid neile pettustele on läbinud päris mitu probleemi pisendavat faasi. Oleme "avastanud", et ohvriks ei lange sugugi mitte ainult vanemaealised või muukeelsed kodanikud.

Ohvrid on kõikjal meie ümber. Täna meie naaber või kolleeg, homme pereliige, ülehomme meie ise. Kõrg- ja algharidusega, maalt ja linnast, nädala kuluraha või kõiki säästusid kaotades. Üleolevad "Aga ära siis ole nii rumal, et…" stiilis etteheited on küünilised ja kasutud. Riigi esindajate lausutuna ka vastutustundetud.

Üht-teist oleme me kõigest sellest õppinud. Hiljutistest arengutest on väga tervitatavad nii rahandusministeeriumi kavandatav seadusemuudatus, mis lubab pankadel peatada pettusekahtlusega ülekanded, kui ka politsei- ja piirivalveameti plaan kelmuste ennetamise ja lahendamise keskuse loomiseks.

Süsteemne tegutsemine on hädavajalik, kuid see ei saa alata poolelt teelt ning piirduda ainult sümptomite leevendamisega. Vajame tervet digiteenuste teekonda katvat pilku.

Eesti on digiriigina jätkuvalt unikaalne. Isegi valdkondades, milles teised riigid on hilisemate alustajatena meist tehnoloogia mõttes nüüdseks ette jõudnud, on meil ainsana panna kaalukausile mitukümmend aastat ühiskondlikku kokkulepet ja harjumusi digilahenduste igapäevases kasutamises, nende turvalisuses ja elementaarsena käsitletavas läbipaistvuses.

Meie elu on digilahendustega läbi põimunud viisil, mida enamiku riikide kodanikud ja poliitikakujundajad ei suuda isegi ette kujutada. Seetõttu peame me nii uute lahenduste ehitamisel kui ka olemasolevate muutmisel arvestama, et ka meie digiriskid on võrreldes Hispaania, Suurbritannia või Austraaliaga hoopis teise profiili ja mõjuga.

Seda kõike arvestades on lubamatu, et justiits- ja digiministeeriumis üldjoontes positiivset ja klientide rahakotile eeldatavasti soodsat mõju avaldavat numbriliikuvuse reformi planeerides näivad olevat täiesti tähelepanuta jäetud selle muudatuse küberturbealased riskid, justkui oleks mobiiltelefon meie taskus sama funktsiooniga, mis aastal 2006.

Me ei tohi minna "Aga teised riigid!" või "Aga Euroopa Liit!" argumentatsiooni teed ilma selleta, et analüüsiks alati ka muudatuste mõju just meie inimestele. Kui meie inimene jääb petturi eduka rünnaku tõttu ilma oma telefoninumbrist, siis erinevalt paljude teiste EL-i riikide kodanikest võib ta seetõttu kiirelt jääda ilma ka rahast oma pangakontol, oma terviseandmete salajasusest ning oma digitaalsest identiteedist, mille abil ta riigiga suhtleb.

Näiteks Smart-ID puhul, mis on autentimislahendusena järjest rohkem levinud, on selle turvalise juurutamisega seotud mitmeid väljakutseid ning turvalisust parandavate muudatuste kasutuselevõtt venib. Smart-ID populaarsus – see on mugav ja enamikes kasutusviisides turvaline – võimendab ka numbriliikuvuse reformi riske.

Neid riske tuleb teadvustada. Konkreetsed sammud, mida astuda, on käeulatuses. Kontrollkoodi valik Smart-ID rakenduses (kus kasutaja peab õige koodi valima, mitte lihtsalt kinnitama) võiks muutuda kohustuslikuks. Smart-ID+, mis on turvalisuselt samm edasi, peaks sobilike teenuste puhul muutuma standardiks. Nõrgemate või lohakamate turvalahenduste puhul peaks osapoolte riskid olema jagatud õiglasemalt. Iga digitaalse identiteedi vundamenti puudutav reform peaks sisaldama põhjalikku turvariskide hinnangut.

Meie digiriik on 35-aastane. Smart-ID tähistab peatselt oma 10. sünnipäeva. Ei digiteenuste loomise alguspäevil ega isegi kümme aastat tagasi ei olnud kellelgi täit ettekujutust nende tulevasest populaarsusest ega kelmide järjekindlusest. Meil polnud ettekujutust sellestki, kui palju võimalikke ründevektoreid nende ümber koondub ja mis on nende mõju rahakotile.

Isikutuvastus on digiteenuste ahelas kõigest üks lüli. Paljude infosüsteemide vundamendi mõned segmendid on ehitatud olukorras ja olukorraks, mis on nüüdseks lõplikult möödunud. Kasutajakäitumiseks, mis nüüdseks kardinaalselt muutunud. Tihti euroraha toel ehitatud, kuid ebapiisava hooldus- ja jätkuarenduseelarvega infosüsteemid on muutunud ohtlikult rabedaks.

See tõdemus nõuab teenuste sisse nii teadlikult ja kogemata ehitatud võlaga tegelemist, kuna tehnoloogiline, protseduuriline, ühiskondlik ning reaalsus-vastavuslik võlg on kasvanud üle taluvuspiiri.

Me teame seda kõike juba mõnda aega ning kaalutletud hetkedel on olnud kuulda ka poliitilist ahastamist, kuid nii riigieelarve koostamise kui ka valdkonna eest vastutava ministeeriumi reformide planeerimise ajal näib see teadmine olevat kui peast pühitud.

Me peame leidma tee, kuidas reaalset olukorda arvestades digi- ning telekomilahendustega seotud riske paremini hinnata, ning viisi, kuidas seda teha süstemaatiliselt ja tervet ahelat korraga vaadeldes. Me peame muutunud ootustel ning nüüdseks selgunult valedel eeldustel põhinevad digiriigi osad tugevamaks ehitama ja seda ei saa teha rapsides.

Digitaalsete isikutuvastussüsteemide abil sooritatavate rünnakute täielik ärahoidmine ei ole ilma teenuseid kasutuskõlbmatuks muutmata võimalik. Turvalisuse ja mugavuse vahel tasakaalu leidmiseks tuleb ohtusid adekvaatselt teadvustada. Ahastamise asemel tuleb tegutseda.