Henrik Roonemaa: Miks ma Smart-ID teemal jauran?

Eelmisel reedel avaldasime Geeniuses loo pealkirjaga “Hullem kui ID-kaardi kriis: Smart-ID turvaauk ajab pangad ja eksperdid ärevile”. See polnud minu välja mõeldud võrdlus, vaid LHV Panga turvajuhi. Smart-ID teenust pakkuva firma ja teiste asjaosaliste reaktsioon kogu juhtumile on olnud pehmelt öeldes kummaline ja mul on tekkinud tõsised kahtlused, kas nad ikka saavad aru, mis teenust nad tegelikult pakuvad.

Ma tahaks kohe alguses öelda, et mulle väga meeldib Smart-ID. Olen olnud esimestest päevadest selle väga rahulolev kasutaja ning minu jaoks on täiesti selge, et tehnoloogiliselt on ta palju parem, kui senine Mobiil-ID. Kiirem, paindlikum ja nii edasi.

Teiseks tahaks ma öelda, et sarnaselt kõigile Eesti IT-spetsialistidele pole mul mingit kahtlust, et Smart-ID taga olev tehnoloogia kui selline on tõesti turvaline. Võtmete genereerimine, andmete liikumine minu telefoni, äpi, SK serverite ning pankade vahel ja nii edasi. Ma pole tehnoloogiat kunagi kahtluse alla seadnud ega tee seda ka praegu.

Kolmandaks, ma saan väga hästi aru, miks IT-inimesed ütlevad, et tegemist on tavalise õngitsemisega, kus kasutajad on ise pettuse ohvriks langenud ning probleem on tooli ja arvuti vahel. See ongi täpselt nii, Smart-ID tehnoloogia pole selles grammigi süüdi.

IT-inimeste ajud kohtuvad teistega

Aga minu arvates tuleb tähele panna, et selle juhtumi puhul on kohtunud IT-inimeste ajud ning minusuguste mitte IT-inimeste ajud ning me näeme selle probleemi olemust lihtsalt veidi erinevalt. Ühed ütlevad, et tehnoloogiaga on ju kõik hästi ja kasutaja ise on süüdi, kui ta loll on. Põhimõtteliselt jah, aga minu jaoks ei piirdu asi sellega.

Õngitsuspettusi on Eestis tulnud ette varem ja tuleb edaspidi ka. Kasutajad on enne tähelepanematud olnud ja on edaspidi ka. Politseil on tulnud nende juhtumitega enne tegeleda ja tuleb edaspidi ka. Vahe on lihtsalt selles, et minu jaoks on väga suur vahe, kas petturid õngitsevad ühe korra ära su Mobiil-ID või saavad ligipääsu su Gmailile või juhtub see, nagu praegu, et nad saavad õnnestunud pettuse korral piiramatu ligipääsu kogu su digitaalsele identiteedile, mis alates mullu sügisest on võrdne omakäelise allkirjaga.

See, mis Smart-ID puhul ära õngitsetakse, on lihtsalt liiga suur asi, et sellesse suhtuda kui järjekordsesse tavalisse õngitsusjuhtumisse, kus probleem on kasutajas ja kus korda peab looma politsei.

Õngitsed kasutaja ühe korra ära, ja sa oledki tema. Käid pangas ja maksuametis, logid äriregistrisse, annad siduvaid digiallkirju ja seda kõike üsna segamatult. Võib-olla näiteks järgmistel valimistel annad ka tema eest hääle?

Liiga hullud tagajärjed

Minu arvates on see kohutavalt suur probleem, et meil on nii võimas tehnoloogia, mida saab nii lihtsasti (suhteliselt) ära õngitseda ja millel on nii hullud tagajärjed.

Jah, ma saan ka aru, et ID-kaardi probleemil ja Smart-ID probleemil on väga erinevad ulatused. Ühel puhul oli teoreetiline risk väga paljude Eesti inimeste digitaalsete identiteetide jaoks, teisel puhul on väga praktiline risk väga väheste jaoks.

Ma ei arvagi, et sarnaselt ID-kaardi kriisile peaks Jüri Ratas olema kokku kutsunud pressikonverentsi ning ministrite ja politseijuhtidega murelikult laua taga istuma. Küll aga arvan ma, et SK peaks aru saama ning avalikult tunnistama, et neil on probleem ja sellega tegelema.

See on täiesti müstiline, kui jäärapäiselt keeldub SK eesotsas oma juhi Kalev Pihliga tunnistamast, et sellel, kui mitmekümne inimese (või kui palju neid juba tänaseks õieti ongi) digitaalne identiteet on nende kehva protsessi tõttu ära varastatud, võiks SK-l selles ka mingi mure, vastutus ja roll olla.

Selle asemel on ta juba rohkem kui nädal aega igal pool rääkinud, et Smart-ID puhul on kõik hästi, nemad mingeid suuri muutusi ei plaani, kasutajad ise vastutagu, politsei uurigu.

Kas nad üldse saavad aru?

Minu pähe lihtsalt ei mahu, kuidas saab miljonitele inimestele omakäelise allkirjaga võrdset digitaalset identiteeti pakkuva ettevõtte juht suhtuda nii ülbelt sellesse, et mitmekümne tema kliendi kontod on ära varastatud ja probleemi tegelikust ulatusest puudub meil praegu isegi hea ülevaade. Kas SK üldse saab aru, mis äris nad on ja milline on nende vastutus? Nii tehnoloogiline kui moraalne.

Need kaks miljonit Smart-ID kasutajat ei ole lollid. Nad on tavalised inimesed, kes on usaldanud oma turvalisuse SK kätte ja nad teevad vigu. SK püha kohus on seda mõista ning proovida veakohti parandada, mitte käia ringi ja rääkida, et inimesed ise on süüdi. Kui nad seda tõesti ei mõista, siis on minu jaoks väga suur küsimus, kas selline silmaklappidega ettevõte peaks üldse tohtima pakkuda digitaalse ühiskonna jaoks niivõrd olulist ja mõjukat teenust nagu seda on digiallkiri. Kas tõesti nende suuremad kliendid nagu pangad ja ka Eesti riik vaatavad seda pealt ja kiidavad kaasa?

Eile saabus mu postkasti nädala kõige uskumatum pressiteade, kus Eesti panku ühendav Pangaliit ütles selliseid asju:

Esiteks, Smart-ID on turvaline.

Teiseks, petturid saavad kasutada isiku digitaalset identiteeti pikema aja jooksul ka teistes e-teenustes ja suudavad tekitada väga palju kahju.

Kolmandaks, kui Smart-ID on juba võõraste käsutusse sattunud, on selle kasutamist raske piirata.

Neljandaks, kasutajad peavad ise muretsema, et neid ära ei petetaks, käigu aeg-ajalt Smart-ID portaalis kontrollimas, mis seis nende kontodega on.

Kuidas need mõtted kõik ühte ja samasse teatesse mahuvad, on väga huvitav küsimus, aga näe mahtusid. Küll aga ei mahtunud sinna silpigi sellest, kas SK ise peaks midagi olukorra parandamiseks ette võtma ega ka sellest, et SK omanikud on ju tegelikult Swedbank ja SEB Eesti koos Telia Eestiga.

ERRis ilmus hoopis uudis pealkirjaga “Riik hindab Smart-ID-d ka pettustelaine järel turvaliseks lahenduseks”.

Päriselt?

Tehke midagigi

Ma väga loodan, et esiteks SK otsib oma vastutustunde kusagilt hingesopist üles ja suudab näidata, et nad on siiski paremad, kui mõni 1990ndate monopoolne riigiettevõte, kes oma klientidest ei pea ega tahagi midagi teada.

Teiseks loodan ma väga, et riik läbi juhtumit uuriva Riigi Infosüsteemi Ameti suudab kanna maha panna ning teha SK-le selgeks, et peale krüpto on kusagil siiski olemas ka inimesed, kelle peale tuleks mõelda. Ja et inimeste probleem on siiski ka SK probleem ning lõpuks terve riigi probleem.

Palju polegi ju vaja. Keegi ei räägi Smart-ID kinni panemisest ega tingimata isegi füüsilise isikutuvastuse sisseviimisest konto tegemise protsessi.

Võib-olla aitab siin Eesti idufirma Veriffi moodi kaugtuvastusteenus? Võib-olla saab välja mõelda mingisugusegi täiendava kontrollimehhanismi konto tegemise juurde, mitte lihtsalt loota, et sel hetkel sisestatud Mobiil-ID PIN2 oli ikka sisestatud õige inimese poolt.

Lihtsalt, et oleks midagigi. Kasvõi midagi lihtsat, aga mõistlikku.

Palun?

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.