Mida sa RIAs/CERTis tehtud tööst esile tõstad?
Töö CERT-EE’s andis erakordselt hea ülevaate sellest, mis arvutisüsteemides ja traadi taga “tegelikult toimub” ning ühtlasi tehnilise põhja keerukatest küberohtudest arusaamiseks. Ent ohu äratundmisest on vähe – vahel on ravi diagnoosist keerulisem.
Väga palju tuli kokku puutuda inimeste ja nende käitumisega. Miks ikkagi inimesed klikivad netis kolades igasugustel pühademunadel, et pärast kangelaslikult tagajärgedega võidelda? Mind on tehnikast rohkem ikka huvitanud see, kuidas teadlikkuse tõstmist optimaalselt korraldada. Et millenniumlasest lihtkasutaja liigsest moraalilugemisest ära ei tüdineks ja et kuuldud jutust miskit ikka kõrvade vahele jääks.
Tegelik keerukus täna liigub eemale tehnilistest ohtudest, millele on olemas suhtkoht automaatne ravi programmide ja masinate näol (iseasi, et veel ei ole päris selge, kes ühiskonnas peab määratlema Tõe, mille järgi masinad bittides reha teevad). Küsimus on pigem tõejärgse ajastu nippides, et kuidas ikkagi pannakse Facebooki või teleka ette lorutama jäänud inimloom kellegi kolmanda huvides tegutsema. Ning olgem ausad, sõbraliku idanaabri veel sõbralikumad eriteenistused pole sugugi mitte ainukesed kündjad sel söötis põllul.
Mul on rõõm, et õnnestus CERT-EEs töötada neil aastatel, kui turvalisustamine polnud veel alanud ning juhtumeid oli (pärast otseste isikuandmete mahastrippimist) reeglina võimalik koolitus- ja ennetustöös kasutada. Pärast Maidani sündmusi on olukord mõneti muutunud ning paljugi huvitavat ning õpetlikku jääb liiga kauaks kardina taha.
RIAs töötades oli mul haruldane privileeg selgitada e-riigi toimimist päris mitme riigi ministritele, rääkimata siis RIA-sarnastest asutustest mujal. Säärastest kohtumistest saadud tagasiside oli alati väärtuslik, andes aimu, millise koleda pärandiga peavad rinda pistma riigid, mille tehnikud pole suutnud poliitikutele e-riiki õigeaegselt valmis meisterdada. Nii näiteks selgitas ühe ELi riigi IT-minister mulle ära: selleks, et oma riigis käibiv SSN taoline “parool” muuta Eesti isikukoodi taoliseks “kasutajanimeks”, on tal vaja palju miljoneid raha ning ümber teha riigi infosüsteemide kogu arhitektuur, päris põhjani välja. See, mida Läänes peetakse isikukoodide “lekkeks”, on meil tähenduseta pisiasi. Avalik asi ei saa lekkida.
Veel meenub, kuidas ajakirjanikud riigisektori kulutusi rappides küsisid, et miks käis üks turvaekspert kallil palmisaarel. Aga mis tal muud üle jäi, sest Microsoft otsustas oma turvakonverentsi just seal korraldada ja minemata jätmine tähendanuks infost ilmajäämist. Et teine turvaekspert nimega Anto käis samal perioodil teisel ingliskeelsel konverentsil tracki juhtimas ja tema lennu- ning hotellikulud maksti välismaise korraldaja poolt kinni, seda ei pannud ajakirjanikud üldse tähele. Polnud seksikas: riigi raha ju ei “raisatud”. Teisisõnu: väike tönge ajakirjanike suunas, nähke ikka puude taga metsa ka!