Eesti ID-kaartidel avastatud teoreetilise turvaaugu puhul on tegemist seni teadaolevalt suurima avastatud turvariskiga. Liisu Lass intervjueeris informaatikateadlast Dan Bogdanovit, et küsida, milline mõju võib olla sellel juhtumil meie ID-kaardi eduloole.

Kui palju te ise ID-kaarti igapäevaselt kasutate?

Ma olen rohkem olnud mobiil-ID kasutaja. Aga see on rohkem mugavusest, sest ma teen oma tehinguid mobiili peal. Kui ma kasutasin rohkem arvutit, siis loomulikult, ID-kaart oli mul pea igapäevane töövahend.

Kas nüüd, kui meil on avalikkusele öeldud, et ID-kaardi kiibis on teatud turvarisk, küll teoreetiline, siis kas te jätkate selle kasutamist?

Jaa, loomulikult, sellepärast, et kuniks ei ole selgeid detaile. Kuniks ei ole antud konkreetseid juhendeid, siis ei ole mul põhjust teisiti käituda

Räägime korraks sellest konkreetsest juhtumist. Teisipäeval valitsus ja riigipoolne esindus on justkui öelnud, et see on kriis. Ometi IT-valdkonna inimesed on öelnud, et selles ei ole midagi erakordset ja see on osa protsessist. Kuidas teie seda hindate?

Tegelikult turvalisus ongi protsess. Järjestikku kogu aeg on tseremoonia, turvalisus on tseremoonia, kuidas asju teha nii, et midagi halba ei juhtuks. Ja selleks, et meil kogu aeg oleks asjad püsivalt korras, tuleb ka see kogu aeg üle vaadata. Ja praegu tundubki olevat üks järgmine etapp, kus teavitati riskist, sellele järgnes kiire reageerimine, suhteliselt jõuline reageerimne. Ja seejärel on asutud probleemi lahendama. Ehk siis on seotud õiged ametkonnad, õiged eksperdid on toodud sisse, kes aitavad täpsustada, kui suur on võimalik risk, mis on selle mõjud ja mida me saame teha, et sellest riskist mööda minna.

Meile on öeldud teadlaste grupi poolt, et on olemas teoreetiline võimalus ID-kaardi kiibis on viga. Mis on see, mida IT-inimesed parandama hakkavad?

Nagu on avaldatud materjalides, siis tegelikult kiip ise on väga raske, see ei ole meie kontrolli all, see on konkreetse tootja kontrolli all ja seda me ise muuta ei saa. Küll aga saame me parandada seda tarkvaralist osa, mis on selle kiibi peal. Lihtsamalt öeldes, me saame ehitada enda süsteemid üles nii, et me ei puuduta katkist osa. Ja see ongi normaalne asi tarkvaraarenduses. Ehk siis iga natukese aja tagant tuleb uuendus.

Kas see tähendab, et need inimesed, keda see puudutab peavad uuendama, oma ID-kaardi tarkvara?

Mul puudub vastav informatsioon, aga ma näen, et see võib nii juhtuda.

Kas teoreetiliselt oleks saanud seda viga kuidagi ka vältida selle kiibi puhul?

Kogu aeg tegelikult on need uuringud, millised tehnoloogiad on mõistlikud, millised tehnoloogiad tuleb välja vahetada. Selleks riik tellib teatava regulaarsusega dokumendi, millel on keeruline nimi - krüptograafiliste algoritmide elutsükli uuring, mida Eestis on kirjutanud viimastel aastatel Cybernetica AS. Ja selles dokumendis on antud soovitused, millised tehnoloogiad tuleks jätta kõrvale, milliste aastate lõikes tuleks arvestada üleminek mingitele järgmistele lahendustele ja see protsess on pidev. Praegune muutus võib lihtsalt seda tempot kiiremaks.

Miks Eesti ID-kaardi osi toodavad ettevõtted väljaspool Eestit?

Ma kahtlustan, et Eesti ei ole piisavalt suur turg, et siin kohalikku tööstust püsti panna selleks.

Kas see juhtum tuli mingis mõttes äratuskellana Eesti inimestele, et see sama kaart, mida me oleme uskunud 15 aastat, mille teenused on iga aasta avardunud, nüüd kuidagi ikkagi kõigutab seda usku?

Ma ei usu seda. Sellepärast, et on olnud pigem protsess otsida kogu aeg täiendusi, parandusi, et mida me peaksime tegema, et see oleks püsivam. Ma olen täiesti kindel, et sellest väga suuri mõjutusi ei tule e-riigi kasutuses. Mingid meetodid jäävad meile kasutusele selleks, et me saaksime teha oma pangandust, oma asju. See ID-kaart on üks komponent puslest, mille Eesti riik on suutnud kokku panna. Kui vaja, siis vahetame ühe tüki välja või siis teeme tükke juurde, et pilt oleks suurem ja ilusam, siis ma ei näe selles muret.

Kui hoiatav on see meie e-valimiste süsteemile, mis on ka üles ehitatud sellele samale ID-kaardile?

E-valimised on samamoodi nagu iga teine teenus, kasutatakse konkreetselt autentimise lahendust ja seejärel saab inimene seda teenust ehk oma hääle esitust kasutada. Tõsi on, seal on mõned keerukamad täiendused, et tagada turvalisus, aga muidu ma ei ütleks, et e-valimised on kuidagi erilises rollis siin.

Kuidas saab inimene, kui ta ikkagi kahtleb, kas ta läheb ikkagi e-hääletama või valimisjaoskonda, oma häält kontrollida?

E-valimiste süsteemi arendatakse täpselt samamoodi edasi nagu teisi turvatehnikaid. Ka sellel sügisel on Eestis kasutusel märkimisväärsete täiendustega e-hääletuse süsteem, mis võtab arvesse mitmete rahvusvaheliste ekspertide tehtud kommentaare. Kõik on jälle tehtud paremaks, on õpitud sellest, mida on kritiseeritud ja uus süsteem on parem kui vana.

Siin on räägitud, et Eesti maine väljaspoolt Eestit on saanud tugeva hoobi või rasvase pleki. Mis teie sellest arvate?

Ma arvan, et Eesti mainet on ehitatud üles juba pikalt, et on olnud kriitilisi artikleid ka varem. Tegelikult on see, et kui normaalne inimene, kes kasutab igat sellist asja ja käib kusagil, siis ta ikka räägib oma tuttavatele, et vaata, mul on selline mugav asi, ma saan nii teha, mis tähendab seda, et tegelikkuses see foon ei löö kõikuma pelgalt ühest löögist.

Mida oleks saanud riik teha teisiti selle juhtumi puhul?

Turvalisus on üks valdkond, kus kõigi trendidega kaasa joosta ei tohi. Mingis mõttes on Eesti kasutanud läbiproovitud tehnoloogiaid. Ei ole mängitud väga tulega või millegagi, mis eile teadlased töötasid välja ja täna paneme Eesti jaoks tööle. Sellist asja ei tehta. asjad kaalutakse läbi. Ja need asjad, mis täna ei ole veel kindlalt läbi proovitud, pannakse tuleviku vaatega plaanidesse.