Munad ühes korvis ehk mis ID-kaardi jamast õppisime?

Tere, head kuulajad, alustame oma Restarti saadet ja tänane saade on pühendatud ühele väiksele plastiktükile, mida küll see on Kiip, see on muidugi Eesti ID-kaart. Võiks arvata, et Eesti ID-kaardi kriis on läbi saanud ja mõnes mõttes ongi, mis tähendab, et nüüd on hea aeg seal tagasi vaadata, seda see nädal tehti ühe suuremat sorti ürituse raames. ID-kaardi siis kriisi õppetunnid. Üritust muide juhtis Andres Kütt ja tema on sellel põhjusel ja teistel põhjustel ka täna meil stuudios külas, tere, Andres. Tervist. Ja Taavi Kotk on meil ka külas.

Ja mina olen Hans Lõugas täna, siis saatejuht. Ja räägime

sellest, mis, mis, mis juhtus. Mis juhtus, hakkas juhtuma umbes aasta aega tagasi. Praegu on meil siis mai lõpp, kaks tuhat seitseteist aasta mai lõpus. Ei teadnud Eestis ilmselt veel keegi, et tulemuses on üks suuremaid sorti kriis. Sina, Andres, töötasid siis veel RIA-s, Riigi Infosainu Ametis. Olin

veel ametis, jah.

Sa olid IT-arhitekt. Just. Ja ei sina, ei sinul siis ega su kolleegidel ei olnud ka siis aimu, mis, mis see tähendab, et mis ID-kaardega juhtuma hakkab? Ei. Aga kui me lähme nüüd, püüame seda alaliini taastada. Siis tegelikult eelmisel aastal sai see kriis alguse sellest, et ühed teadlased, kellest osadeti tšehhid ja osad slovakid, tegid ühed, ühe läbimurde oma uurimistöös ja avastasid. Et ühes väga levinud krüptosüsteemis on üks viga.

Just, viga oli suhteliselt ebameiliv selles mõttes, et ta ei olnud mitte sedalaadi viga, et kust sa saad ukse lahti teha ja kohe sisse minna. Aga see oli sedalaadi viga, et noh, võib-olla natukene siit-sealt saab võib-olla natukene ligi. Võib-olla, kui teatud asjad nagu kohakuti lähevad. Et tegemist ei olnud mitte otseselt sellise suure auguga, vaid nõrga kohaga, ütleme nii.

Aga me võiksime nagu mõnes mõttes selle ära tõlkida, et, et tavainimesel aru saaks, et. Et noh, üldiselt on niimoodi, et noh, krüptomaailmas, et kui mingi ühe murjuta tegemist hinnatakse mingil rahalisel skaalal, ehk siis. Kui näiteks ühe, ma ei tea, digialdkirja häkkimine või nii-öelda nagu järgi tegemine. Et kui seda saab, kui selle hind on nagu üle miljoni euro, et siis seda peetakse noh, nii-öelda. Noh, piisavalt turvaliseks. Nii, aga nüüd selle sama kriisiga, mille langes selle ühe noh, häkkimise nagu nii-öelda kulu, võimalik kulu. Ikkagi päris madalalt.

Väga palju, no kui me läheme päris ajas tagasi, siis algselt tegelikult leiti lihtsalt nõrkus. Ja selle nõrkuse siis ärakasutamise hind hakkas kukkuma väga drastiliselt. Ja need inimesed, kes selle ettekande tegid, rääkisid ka seda, et tegelikult mõne nädal pärast seda, kui nad olid oma tulemuse avaldanud. Tuli teine seltskond välja lahendusega, mis tõmbas veel alla seda nagu kulu. Nii et kui kord sihukene haavatavus on leitud, siis tõenäosus, et seda hakatakse järjest paremini nagu ära kasutama, on, on väga suur.

Ühesõnaga, oli grupp teadlase ja ilmselt siis ka mõni grupp veel leidis, et ühes süsteemis on, on selline nõrkus, mis või mida võib-olla suhteliselt lihtne kasutada. Ja esiteks, kust nad selle leidsid, selle, selle vea, see ei olnud, et nad oleks oma uurimistöö fokusseerinud Eesti ID-kaardile, eks?

Ei, nad läksid uurima teatud tüüpi krüptosüsteeme. Ja läksid tegema hästi sihukest laia turu-uuringut, neil oli seal väga palju erinevaid krüptooteeke, väga palju erinevaid chip'e, mis kaartide peale käivad. Ja üks nendest hakkas silma, kui eriline. Sellel tundus olevat, selle koha peal, kus peaks olema täitsa ühtlane müra, oli seal muster. Ja nad leidsid selle mustri ülesse ja leidsid, et see konkreetne kiip oligi siis vigane.

Ma just

mõtlen

nagu, et, et see oli Saksa kiibitootja Infineon.

Infineoni kusjuures mitte kõik džipid, vaid teatud share ja teatud ajavahemikul toodetud džipid. Aga need, nagu jällegi, need ei olnud ainult Eesti ID-kaarti puudunud, need kiibid, kust need kiibid veel olid maailmas, kasutusel?

Tuli ülemaailma ikkagi erasektoris ja ütleme ikka mitmetele riikidele, et seal oli, Austrial oli, Hispaanial oli.

Ja mitte ainult, mitte ainult kaardid, seal olid ka riistvara. Igasugused arvuti sisse käivad asjad, see oli väga laia nagu mõjuga asi.

Tegemist ei ole väikse ettevõttega üldse, et tal on vist suurusjärk kolmkümmend kuus tuhat töötajat ja see on börsil noteeritud ettevõte, et tegemist ei ole mingi nurga poega, kus korra Eesti oma ID-kaardi ostis.

Nüüd siis, grupp teadlasi on leidnud asja, mis on tõsine, see on väga levinud. Mida nad teevad järgmisena? Loogiline oleks siis hakata mõtlema, kuidas viga parandada, see ei ole teadlaste töö, see on nende töö, kes kasutavad neid süsteeme ja neid lahendusi.

Need teadlased olid väga asjalikud teadlased, need teadlased tegid seda, mida ta tegema peab. Ehk siis võtsid paberi, mille pealkiri oli. Siis, responsible reporting guidelines ja hakkasid seda täitma. Ehk siis raporteerisid koheselt protseduuri järgi, nagu parimad praktikad on, siis veaallikale, mis nad leidsid, kuidas nad leidsid ja mis toimub, kohe. Ja ei saanud edasi, hakkas pall pöörama, nii et teadlased tegid algusest peale kõike väga õigesti.

Ühesõnaga, põhimõtteliselt nagu kuidas see üldse selline nagu krüptomaailm toimib, ongi ikkagi niimoodi, et kui, kui sa oled nii-öelda. Hea häkker ja, ja leiad vea, et siis sa nagu teavitad nii-öelda tegijat, et näed, et ma olen leidnud vea. Ja ma ei lähe veel avalikuks, ma annan sulle aega, et sa jõuad ennast ette valmistades, jõuad ennast ära parandada, on ju. Ja see, et kui me läheme selle uudisega välja, et tegelikult sul on juba nii-öelda lapp olemas, on ju, ja niimoodi toimib enamus, ma ei tea, Windowsi lappimistest, ma ei tea, Apple'i toodete lappimisest ja nii edasi nagu.

Hästi, hästi selge, et sihukesed standardsed meetodid, kuidas raporteerimine käib, mida öeldakse, kellele öeldakse, millal öeldakse, see on hästi selgesti kokku lepitud.

No nüüd kuulajal tekib küsimus, et siis ilmselt andsid nad teadlased sellest teada, kas Infineonile, sealt kuidagi jõudis see lumepall Eestini ja. Mis siis nüüd tegelikult juhtus? Miks see siis lumepall ei jõudnud ikkagi Eestini eriti kiiresti? Räägime selle osaga ära nüüd. Ja millal ta Eestisse jõudis?

Eestisse jõudis.

Meil on siin kohe paberit, ametlikud tabelid tehtud.

Eestisse jõudis kolmekümne esimesel augustil. Kus Eesti informatsioonisüsteemi agentuur kinnitas, et on olemas selline.

Aga mõtlengi, et iseenesest viga ju leiti jah, rohkem kui pool aastat varem.

Aga millest, millest tuleb nagu aru saada selle koha peal on see, et turu peal, seda kutsutakse signaals intelligentsiks, inglise keeles. On kõikvõimalikke signaale igasugustest aukudest ja nõrkustest on väga-väga palju. Ja tegeldakse ka riigi infosteemi ametis ja ka muudades riigiasutustes pidevalt selle info monitoorimisega. Nüüd, trikk on selles, et kuidas sa sellest mürast selle signaali ülesse korjad. Ja kuni tolle hetkeni ei olnud nagu kindlat alust öelda, et vaat nüüd just see signaal on, on tõene.

Ma olin ise ka sellel üritusel, mis sel nädalal toimus, ID-kaardi kriisist räägiti ja see teadlane, kes seda grupi juhtis, oligi isegi kohal ja tema ettekandest läbiv sõnum oli see, et. Kogu see tööstusharu on ikkagi väga suletud, pigem infot ei jagata, pigem infot ei liigutata, pigem tehtaks kõike niimoodi, et sellest avalikult ei räägitaks, eks. Kas see oli ka põhjus, miks siis juhtus nii, et kui eelmise saate keskel siis Austria oma allkirjade andmise peatas, mis kasutas just sama süsteemi, siis tegelikult ju Eesti sellest ei saanud teada.

No eks raporteerimine käib oma liine pidi ja seal on, vaat nüüd me astume juriidika võrratusse maailma. Seal tekivad lepingud ja seal tekivad igasugused muud kohustused ja see oli ka selle konverentsi üks nagu oluline järeldus. Et, et just nimelt see suletus on, on probleem. Me ei saa loota selle peale, et kõikidel tootjatele on kõikide oma klientidega nagu suurepärased, puhtad, toimivad ja, ja igas mõttes nagu mõlemale poole sobivad suhted. Seetõttu tuleks tekitada mingisugune kõrvalkanal, keda kõik pooled usaldavad ja kuhu raporteeritakse sellised probleemid.

No see on üks pool, aga kindlasti teine pool on see, et noh, millegi nüüd me peame aru saama, et, et siin kohtuviskid alles jahvatavad, on ju, ja me ei saa seda siin kõva ajal ka arutada, on ju, aga. Aga selge õppe, et nüüd Eestil on küll siin niimoodi, et, et. Et kui sul oluline lepingupartner jätab sind nagu õigel ajal teavitamata, et siis sellisel juhul peaks olema võimalik ikkagi midagi kuhugi väänata, sõnad selles mõttes, on ju, et, et see, et nagu selline, selline asi oli reguleerimata, on nagu probleem, on ju.

Jah, seda tuvastati ka õppetunnina, et tuleb hoolikamalt, hoolikamalt tegeleda nii-öelda lepingu juhtimisega.

No Andres, sina olid ühes naljakas seigas selles loos veel osaline, räägin siin nagu avaliku kommunikatsiooni koha pealt, seal kuskil, kui see kriis hakkas lõppema, eelmise aasta lõpus, sinu ühe postituse kommentaari. Oli see Gimalto, kes on siin, ei olegi nagu maininud, Gimalto on siis see, kes seda Infineoni koodi nagu justkui tarnas Eesti riigis politseile, kes politseiamet oli selle hankija. Kui malto esindaja hakkas viitama ja vihjuma, justkui Eestit oleks samamoodi informeeritud. Mis jättis jällegi rohkem mulje, et nagu pigem tahetakse oma rina sinna puhtaks.

No aga kes, kes ei tahaks, et noh, selles mõttes tuleb inimestele au anda, et inimesed selgesti nagu üritasid, et ega seda ei saa nagu pahaks panna. Aga noh, on ka selge see, et noh, kui on olemas leping, siis on seal teavituskohustus. Seal on viis, kuidas sul on teavitatud, Eesti Vabariigis, see käib teatud dokumendiregistrid pidi. Noh, kui seal jälge ei ole, noh, siis järelikult ei ole teavitat

No sa mainisid seda kuupäeva juba, kolmkümmend üks august vist oli, kui siis lõpuks nii-öelda see asi jõudis kaarega Eestisse. Ja see tegelikult oli näide sellest, et need teadlased ise olid nagu sihukesed vastutustundlikud kodanikud või? Nad märkasid, et Eestis tegelikult kasutatakse edasi sedasama sõsteemi.

Jah, ja noh, siin tuli mängu nagu teine sihukene oluline järeldus sellest konverentsist, on see. Et igasugused investeeringud sellistes isiklikesse suhetesse, avatud lähtekoodiga tarkvarasse, sellistesse maailmadesse. Väga hästi tasuvad ära, sellepärast et seal tekivad sihukesed suhtevõrgustikud. Noh, kus inimesed üksteist usaldavad, inimesed teavad ja see oli puhas juhus, et ühel inimesel oli teise inimese kontakt. Ja siis küsiti, et kuule, mis toimub teil, noh, hetkuvalt näeme.

Kusjuures mul vist naljakas lugu meelde sektorist, et see oli küll aastaid tagasi, võib-olla peaaegu kümme aastat tagasi, kus. Kas miks, kas mitte SMIT-ist ei lastud lahti punti IT-spetsialiste, kes suvatsesid Sebitil käia õhtul õlut joomas? Sebit on siis üks suuremaid tehnoloogiakonverentse Euroopas. Ja, ja nad said selle eest kingad, siis oma töövälisel ajal käisid siis õhtul, võtsid mõne õlle ka, on ju.

Seal

on nüüd

see teine osapool ka, et mis, mis meedia ülesse korjas, oli see õllepool, aga mis ta maha unustas. Oli see pool, et tegemist oli avatud lähtekoodiga, siis tarkvara arendusega. Ehk siis tegelikult seal puutusid ka arendajate kogukonnast need inimesed kokku. Õlle õlleks, aga need inimesed kirjutasid ka koos koodi. Et see osapool seda, seda ei saa arvamustada.

Mis tähendab, et on kasu, kui sinu organisatsioonis, vähemalt Eesti avalikus sektoris, või üldse Eestis on inimesi, kes siis nagu panustavad maailmas selle nagu valdkonna.

Absoluutselt ja mitte ainult selles valdkonnas, see on tegelikult ju igas, noh, turvas on see muidugi eriti oluline. Noh, kõigis valdkondades on hästi oluline omada selliseid suhteid võtmekogukondades.

Okei, väga hea järeldus. Ühesõnaga, ma arvan, et seda võtavad nüüd kõik kuulda, kes oma hakkavad organisatsiooni, kultuuri ja muude nime all hakkavad nüüd oma siis järgmise aasta eelarveidke planeerima,

et. Ja ma ütlen teine, mis on hästi oluline, ikkagi see ka, et. Et noh, need kogunud ju suhtlevad ja suhtlevad enda see, sisse ja, ja omavahel, on ju, ja. Ja noh, Andres mainis seda juba korra, aga seesama müra. Et kui palju tegelikult neid ründeid toimib, kui palju on neid nii-öelda pale signaale, noh, mis läbi käivad. Noh, see ongi tavaliselt, kui tuleb selline jälle mingi sõna otseses mõttes, vabandust, ma ei taha nüüd noh, mõni-öelda punt teadlasi ja teatab, et kõik on nüüd, kogu maailm on nagu upakile, on ju. Siis noh, siiralt no üheksakümmend protsenti on, on üldjuhul sellest nagu ikkagi väga palju nagu, nagu õhku. Aga seekord, seekord oli see sisu täitsa, täitsa olemas ja, ja ilmselgelt me nagu noh. Oleks pidanud parem seda teada saama.

Jah, sest kas mitte üks aasta ei tulnud punt teadlasi, ma nüüd ei ütle, kas olid jutumärkides või mitte, aga ütlesid, et Eesti e-hääletamise süsteem on ju täitsa noh, rikkis ja täitsa läbiauguline ja.

No just, ja kui sa, kui sa ei ole sellest nagu kogukonnast sees, siis sulle nad tunduvad kõik nagu ühtemoodi, nüüd inimesel on nagu doktorikraad on nagu külges. Noh, küllap ta siis peab tark olema. Aga noh, kui sa kogukonnast sees oled, siis sa ju suudad eristada.

Mina olen teadlastega kohtunud väljapool Eestit, neid, kes väitsid seda e-valimise teemat ja, ja ma ühkord toonitan, et kui nad tookord nagu tulid seda raportit tegema, me pakkusime neid MKM-ist, et noh, et saame kokku ja, ja mitte keegi meie kokku ei tahtnud saada, on ju, aga. Aga, aga ühesõnaga, aga siiamaani, nii-öelda õlleklaasi taga räägivad seda lugu, kuidas. Kuidas Eestist saab Tarvi Martensi käest kätt ühe õlle eest süstsealt mingi parooli. Ja tegelikult tarvil ei ole, aga noh, ütleme nii, noh, ühesõnaga, see on, see on see tase, on ju, mis noh, mis ka nii-öelda selles samas maailmas nagu noh, nii-öelda prevaleerib, on ju, nüüd katset aru saada, et. Milline nüüd on siis selline järjekordne noh, Soome teadlane, kes väidab, et saab õllega nagu süsadmini parooli versus siis noh, Tšehhi teadlane, kes tõesti nagu päriselt nagu, nagu leidiski mingi pea.

Selge, aga mis siis pärast seda edasi juhtus ja mis me teada oleme saanud, sellest räägime kohe edasi pärast pausi. No ei, restart läheb edasi, räägime ID-kaardi kriisi õppetundidest, või neid on, neid on juba, me juba kuulsime paari. Ja räägime seda, me teame nüüd, mis juhtus edasi pärast seda, kui see info Eestisse jõudis, noh, see on nagu nii-öelda avalik public record, osalt, osalt ka mitte. Kas me saime midagi veel selle kohta, nüüd oleme targemaks saanud, kuidas sellega kriisile reageeriti, kui see Eestitest teada sai?

Mitte, mitte oluliselt faktilises mõttes, küll aga on tehtud retrospektiivi selles mõttes, et, et kuidas see kõik nagu tervikuna kokku käis. Ja üldine järeldus on see, et oli terve rida asju, mis ei toiminud. Aga summa summarum saadi päris hästi hakkama.

Naljakam ongi see, et ega tegelikult ju sarnaseid asju mängitakse riigis, eriti just RIA juhtimisel ja nii edasi. Mängitakse läbi üks-kaks korda aastas, et näiteks see, et võetakse ministriga ühte ruumi kokku ja öeldakse, et näete, nüüd meil on situatsioon. Et me mängime läbi situatsiooni, kus vaadake, presidendi allkirjaga on paber, mis on noh, täiesti absurdne, aga näed, allkiri on dokumendilehtne, digiallkirja on ehtne. Et kuidas me üldse sellest supist välja tulema, on ju, et noh, näiteks sihukesed asjad, noh mängitakse, treenitakse läbi, aga nüüd oli see nagu päriselt.

Kas sellist kriisi on RIA-s läbi mängitud, umbes sarnast? Kas selleks oldi valmis?

Ei, me oleme hullama läbi mänginud. Aga kas,

aga

kas need läbimängimised tegelikult valmistavad sind ette selleks, kui noh, nagu see asi juhtus eelmisel aastal? Kuna,

kuna saadi hakkama, siis järelikult toimis ta, mis kindlasti toimis, oli see ja mida tegelikult õppustel ka harjutatakse, on see, et suudeti kohe tiim kokku tõmmata. Ja, ja seda, mitte ainult seda, et me nüüd võtame riigi infosteemi ameti sees, võetakse niimoodi kolm nihuke programmeerit kokku, et pistavad ninad kokku ja hakkavad arutama, arutama, vaid seal võeti kohe spetsialistid noh, igalt poolt, kus saade oli. Ja mitte ainult nagu IT-spetsialistid, aga kommunikatsioonispetsialistid, juristid ja kes iganes veel. Et see osa kindlasti töötas. Seal oli igasuguseid muid probleeme, aga, aga see, et suudeti nagu nii kähku selline tiim kokku panna ja panna tööle ja kõik olid nõus tulema ja panustama ja see toimis koos päris hästi. Et vot see on asi, mida kindlasti õppustele harjutatakse ja see kindlasti toimis.

Aga muidugi noh, ma pean ise tunnistama, et ma küll enam ei olnud siis avalikus sektoris ja vaatasin seda kõrvalt, aga. Aga päris see lause, et raskeõppustel kerge lahingus olin ju, et, et see kõik päris ei kehtinud, et selles mõttes, et keegi teist, noh. Keegi midagi sellist läbi noh, ei olnud kogenud ja, ja iseenesest noh, täna kindlasti kogu see meeskond on, on võimsam ja tugevam.

Ja ma saan aru ka see, et, et sa nii-öelda õppuse formaadis, kus sa tead, et see mäng on sul palju lihtsam kaalutada mingit otsust, noh näiteks, et paneme need serdid kinni või peatame, inimene ei saa kasutanud, et noh, teeme ära selle, et vaata, mis edasi saab. Aga kui sa reaalselt pead seda ilmselt arvestama ja sa tead, et inimesed siis põhimõtteliselt jäävad tänaval, tulevad, tulevad tänavale, sest nad ei saa midagi enam

Vastutus on jah, teine, aga, aga noh, see, et seda on läbi harjutatud, seda näitas kas või see, et suudeti nagu kaasata kohe nagu tippjuhtkond välja. See oli peaministriga eesotsas, oli ikkagi pressikonverents ja see asi tõsteti nagu selles mõttes esile tasemel, mida tegelikult nagu oli, me ikkagi kriis puudutas meie e-riigi sihukesi põhilisi alustalasid. Ja see läks peaministrile välja ja see on jällegi üks nende lõppuste nihukene tagajärg, ma

arvan. Üks nüanss, mida me peame ikka silmas pidama, on sedasama, et. Et reaalsuses täna, kui Eesti peaks minema ta, noh tagasi paberi peale või paberi peale toimima, siis ta ei ole võimatu. Aga ta kindlasti on ülikallis ja keerukas.

See oli üks nendest muide järeldustest, järeldust oli see, et. Et kui enne seda kriisi oli inimeste käest küsiti, et noh, ID-kaardiga midagi juhtub, et mis te siis teete, siis ei ole vastust, et ei, me oleme paberi peal tagasi. Ja siis, kui päriselt juhtus, siis selgus, et ei taha, ei, ei saa, kallis, ei, ei, ei taha. Noh, ja see on jällegi tulemus.

Ja teine asi, mis on hästi oluline, muidugi ikkagi seesama, et. Sa ei lähe täna välismaale niimoodi, et sa võtad kaasa ainult sularaha ja hoiad sa kogu seda pakki endal nagu, ma ei tea, püksitaskus ja, ja juhul, kui sind röövitakse, et siis on nagu hukatus majas, on ju. Et sa lähed täna välismaale ka, sul on erinevad kritiikkaardid, sul. Osa raha jääda hotelli või noh, mis iganes on ju, et sa nagu hajutad seda riski, eks ju, et. Et siin ka see konkreetne situatsioon tõi teravalt näiteks välja selle, et noh, mina olen üks õnnelikest, kellel see kaart oli siis enne seda. Saatuslikku kuupäeva, on ju, aga, aga just seesama, et, et noh, inimesi, kes mobiil-ID-d kasutasid, nad ei saanud üldse aru, et noh, et, et mingi kriis oli kusagil vahepeal, on ju, et, et. Ei puudutanud, eks, sest noh, kõik asjad ju töötasid ja, ja, ja, ja noh. Okei, kes, kes pidi ID-kaardi välja vahetama, kes ei pidanud, on ju, aga kui sa ei kasuta seda, vaid kasutad mingeid muid alternatiive, siis ju kõik töötab.

Seda ütlesid ka teadlased, et ära tee endale ühte sõltuvust, ole alati valmis alternatiivideks.

Peaminister tuli pressikonverentsil ja üleüldse oli seal, meedial oli kõvasti tööd, mida teha ja. Asja aeti avalikult, eks me rääkisime siin sellest, et tihti on see tööstusharu väga suletud. Ilmselt on väga paljudes riikides ja suureettevõtetel. On pigem, et ärme räägi, teeme asja, parandame vea ära ja kui keegi sellest räägib, siis ütleme, et oodake, arst saab korda.

Ei, aga see trend on minu juba pikem, et see ei olnud esimene kord, kus sellise noh, olulise ohu või, või kriisi kohal, et, et me oleme valmis nagu avalikult rääkima ja suhtlema, on ju, et. Needsamad, noh, need, need teised teadlased, kellel sa siin nüüd vihjisid, on ju, ja kes väitsid, et, et riik ei taha nagu suhelda, on ju, tahtis küll. Et, et ei ole seda probleemi, et me ei tahaks nagu arutada või, või hoida kuidagi nagu, nagu noh.

Aga, aga see on ka Eestis nii olnud. Ma olen ka näinud seda aega, kui, kui see suhtlemine poolt kinni avatud ei ole. Ja see oli nüüd selle konverentsi juures, kus võib-olla kõige nihuksem nagu olulisem asi. Mina ei tea, et keegi oleks kunagi riigi tasemel teinud konverentsi teemal, mis meil valesti läks. Riik ei tee nagu definitsiooni järgi peaaegu mitte kunagi mitte midagi valesti. Aga me tegime konverentsi sellest, mis me valesti tegime. Tasuta.

Aga kas tegelikult, aga mis siis Eesti tegi valesti, kas üldse Eesti tegi midagi valesti? Kas me tegime?

Ei, õppetunde on ikkagi palju, noh, selles mõttes sa võid, jaa, sa võid ju olla ju noh, ütleme sama, et nagu hakkame sellest pihta. Liiga palju, liiga suur osa ühiskonnast olid sõltuvusest ainult ühest autentimismeetodist. Noh, see on valesti. Noh, õppetund tuleb paremini teha, eks on ju. Ei

saa minna paberile tagasi, tegelikult praktiliselt ei saa.

Jah, see, et Eesti kuulis nii hilja, et me ei olnud nagu esimeste seas, keda nagu Kemalto nagu teavitas ametlikult, on ju, valesti. Tuleb saada kuidagi lepingu selliseks, et nagu, nii-öelda nagu tohutu motivatsioon meile esimesena öelda, et kuulge, et, et on mingi probleem.

Sertifikaatide uuendamise tehniline taristu ei, selgesti ei pidanud vastu, kui läks nagu mass vahetamiseks.

Valesti, noh, et selles mõttes nagu väga hea õppetund, väga, väga, väga väärtuslik õppetund.

See oli rahvusvaheline konverents, mis, see nädalal toimus. Räägiti inglise keeles ja puha ja olid inimesi teistest, teistest riikidest, et üks asi on see, et me saame isekeskis aru saada, mida Eestis peaks teistmoodi tegema, mingit protsessi muutma. Aga, aga nagu see ka Malto ja kogu see, see kriis oli rahvusvahelise mõõtmega tegelikult, see turva haavatavus. Et kas Eestil on kuidagi üldse võimalik ka mõjutada endast väljaspool olevaid siis asutusi, institutsioone?

No selles keisis kindlasti saab jälle üks õpiku näide, sellest on räägitud ka, aga, aga kes iganes nagu samasuguse portsotsa, kas siis riigi või suurette võtta nagu nagu jõuab, ta kindlasti nagu refereerib ka sellele kriisile, noh.

See peab nii olema ja, ja neid kriise hakkab tulema. Mida rohkem riigid, kas Eesti mudeli järgi, või ükskõik kuidas muud moodi, ehitavad infosüsteemi omale põhiprotsessidesse sisse. Varem või hiljem mõni nendest kukub maoli ja siis on samasugune kriis nagu veel Eestis. Ükskõik, kas see on turvaintsident või käideldavusintsident, või mis iganes muud.

Ja siis küsimus on vaata see, et mida nagu kübermaailmas avastatakse öelda, et, et küsimus ei ole selles, et kas häkitakse või ei häkita, igal juhul häkitakse, küsimus on millal, et nagu, et ainult see, ainult see küsimus on nagu.

Aga miks asjad katki lähevad, ma küsin rumala küsimuse, võib-olla meelega. Miks, miks juhtub, miks me ei saa kaitsta teha siis perfektset süsteemi või asja, mida ei saa rünnata, oleks kindel, oleks valmis ja jäägu ta nii.

Kõige, kõige lihtsam vastus sellele küsimusele on see, et me saame küll üksikud tükid Aga kui me need tükid omavahel kokku paneme, siis vot see tervik, me ei tea enam, kuidas ta hakkab käituma. Et kui me paneme haamri laua peale, siis see on täiesti turvaline. Aga kui see sinna juurde satub kolmeaastane laps, siis see turvasituatsioon muutub kohe drastiliselt, eks ole. Kuigi kolmeaastane laps eraliseisvana ei ole tingimata ohtlik ja haamer tingimata ei ole ohtlik, paned kaks tükki kokku, on jama. Ja infosüsteemide puhul on seesama asi ainult, et nagu mõned suurusjärgud veel keerulisem. Jube raske ennustada, et kui me teatud viisil asjad kokku ühendame, et mis siis täpselt juhtuma hakkab ja kus täpselt see asi pragunema hakkab ja sellepärast, et asjad lähevadki katki.

Aga kuidas sulle nagu arhitekti vaatest see tundub, et kui me nüüd, no meil on nagu ID-kaart, üks süsteem, et tal on palju osi. Kuidas koos töötab, suur küsimus, okei, aga kui me teeme neid süsteeme veel. Teeme seda, mida öeldakse, ärme hoia neid mune ühes korvis, me veel, no meil on juba mobiilide ka. Maailma mõistes väga keeruline süsteem, kus on eraettevõtted, mitu erinevat riigiasutust, väga palju osapooli, onju. Teeme veel paar süsteemi sinna kõrvale. Osi, mida hakata valvama, mitte ainult turvaküsimustes, vaid üldse toimib ja hallata seda, veel keerulisemaks.

No jaa, siin on, ma nüüd lähen Andreselt tõesti vastama, aga ma toon sulle näite, eks no võtame Norra, on ju, mul on kolm ID-kaarti. Noh, et see erinevat süsteeme, on ju, et, et sul on nagu või võta Soome, kus on arstidel on üks ID-kaart, riigi töötajatel on teine. Ja, ja lisaks on meil olemas riiklik ID-kaart, mida, mis on täpselt sama, mis meie oma, aga mida keegi nagu väga ei kasuta, on ju, et, et. See ei ole Eesti tee, Eestil on ikkagi, meil on, me räägime sellest, et meil on nagu noh, üks digitaalne identiteet ja siis on meil erinevad kandjad, ehk siis nagu noh, ongi, et sa võid kasutada seda noh, ukse avamiseks nagu mobiili. Smart-ID-d, sa võid kasutada ID-kaarte, on ju, sul on erinevad viisid, et kokkuvõttes me nagu kaitseme ikkagi ühte nagu terviksüsteemi ja otspunkte.

Ja, aga noh, niimoodi laiaspaani, ega. Ega ei ole muud võimalust, kui ennast harida selle koha pealt. Sest noh, laias plaanis, ega me sellest ei pääse, et meid asju peame keerulisemaks ehitama, maailm läheb järjest keerulisemaks ja me peame tegelema sellega. Ja me saame tegeleda sellega läbi enese harimise, läbi õppuste, läbi nendest samadest, nendesamade konverentsidega, kus, kui meil on antud selline võimalus õppida, et siis me korjame sealt nagu viimasegi grammi nihukest teadmist välja. Ega muud moodi ei saa.

Aga mõtlengi, et see on üks hästi huvitav koht, et kas me tegelikult peame tegelema. Ehk siis ma ise muidu ütlen ette ära, et muna arvamus, et peame, aga, aga kui me vaatame, mis protsessid maailmas toimuvad. Siis mina tahaks küll peast kinni haarata, aga, aga teeks seda pärast pausi.

Lähme restardiga edasi, jutt või pooleli seal, et kuhu see maailm üldse läheb, kuhu ta välja jõuab omadega nii?

Ei no Andres rääkis just sellest, et, et süsteemid lähevad järjest keerulisemaks, kogu kübermaailm on pärast keerulisemaks ja, ja me peame järjest rohkem tööd tegema selleks, et seda nii-öelda noh. Eesti, Eesti digiühiskond ka toimub tänu sellele, et, et üks asi on see, et ta, ta on turvaline, aga ta ka näib turvaline, ehk siis, et meil ei ole nagu kahtlust selles, et. Ma toon nagu analoogi näiteks, ma ei tea, Saksamaalt, kus, kus on täielik usaldamatus riigi infosüsteemide vastu, sest ühelt poolt nagu loomulikult ju riik kõiki jälitab ja kontrollib. Ehk siis teema ja teiseks on kindlasti riigil kõik asjad pilla-palla, lipa-lapa, sellepärast me ei tohi talle andmeid anda, sellepärast et nii kui me midagi anname, siis kõik lekib.

Üsna vastandlikud hirmud on ju, ühest küljest kõik jälgitakse, ühest küljest ei saa hakkama.

Ja, ja, aga, aga see on, ma ütlen, ongi, see on nagu päris naljakas nagu. Ja sealsamas antakse infot kopaga nagu Facebookidele, Google'itele ja see, et nemad ei oska ka selle noh, nii-öelda kus ma ütlen, ei oska hoida seda vara, mis neile on usaldatud, on ju. See nagu kedagi ei morjenda. Ja minu jaoks on see täiesti huvitav trend, et noh, ka investorina omades teatavat aktsiaportselli, sa vaatad nagu peale, et nii. Facebooki käis pauk ära, no nüüd on nagu tuuga, ei ole. Juba on kõrgem kui eelne pauku, ehk siis selles mõttes nagu mitte midagi ei juhtunud sellest. Infineoni aktsia, hoolimata sellest tohutust kriisist, mis ei puuduta ainult Eestit, vaid puudutas miljoneid, miljoneid kaarte. No see kukkus,

aktsia, kukkus põhja. Ma küsin, ma küsin, kas siis oli üks loogiline, nii suur turvahaavatavus leitud, mis.

Minu meelest see teeb isegi jõnksu. Ehk siis nagu, mis jällegi nagu noh, tähendab seda, et, et meil on siin suured ettevõtte Dropbox'id, LinkedInid, kes nagu kõik on oma andmeid lekitanud. Sony-l, noh meil on niivõrd palju neid kohti ja nende aktsiatega ei juhtu mitte midagi, mis tähendab seda, et, et sõna ots mõttes kõigil, kes noh, nii-öelda, noh. Me jätkuvalt usaldame seda komponenti, järelikult, et see, et mingid asjad lekivad, midagi läheb kaotsi, sajad miljonid andmed kaovad kuhugi ära. Et see ei ole probleem, et nagu maailma jaoks see ei ole probleem ja minu meelest see on ohtlik. Sellepärast, et kui me hakkame suhtlema, et noh, a la kui Kemalto võtab ka sellesama attitude'i, et noh jah, juhtus noh, mis siis ikka, on näed, siin Facebookil ka juhtus, on ju, et, et kuhu me siis jõuame. Et kui me nagu ei hakkagi eeldama nendelt, ühesõnaga, kui nendel samal tootjatel ei ole hirmu selle eest, et oi, aga äkki ma ei saa, äkki ma äri lähebki põhja tänu sellele, kui ma enam ei ole turvaline, või kui ma ei käitu turvaliselt.

Just, ja see minu meelest on siin see oht hoopis, noh, see oht ka siis, et. See, kuidas, see arusaam sellest, et kuidas me arvame, et inimesed suhtuvad privaatsusse. Ja see, kuidas inimesed tegelikult suhtuvad privaatsusse, on kaks erinevat asja. Paraku selle esimese me keevitame regulatsioone ja seadusse sisse. Ja elame õ Aga nagu reaalne elu näitab, siis käib teistmoodi, inimesed suhtuvad privaatsusesse ja turvalisusesse kuidagi täitsa teistmoodi. Ja ega väga hästi ei saa aru, kuidas see täpselt käib.

Ja siin on muuseas ikkagi, ma tahaks nagu tunnustada Eesti inimest, et, et, et eestlane on nagu aru saanud, et, et mis asi nagu, nagu privaatsus on ja. Ma tean samad näited, et see, et arstid näevad su nagu haiguslugu, on ju, aga sa näed ka, kes arstidena sind on vaadanud, on ju. Et see on nagu kokkuvõttes nagu piisav sümbioos võrreldes sellega, et, et noh, ma ei tea, sakslased ütlevad, et, et meil on kõik haiguslood paberi peal. Et ma ei tea küll, kes neid seda paberit on lugenud, eks, aga mulle tundub see kokkuvõttes turvalisem kui see teie Eesti süsteem, on ju.

Kui sa arsti juurde lähed, siis sa võtad särgi seljast ära ju niikuinii, ta niikuinii näeb, et sul käsi puudu on, et noh,

Ja, aga see on nagu igaks juhuks täide ankeet, et kas sul lapsepõlves oled ikka leetreid põdenud või ei ole, on ju, et noh, et, et ja iga kord hakkad uuesti pihta, on ju, et, et. Kolid ühest piirkonnast Saksamaa piirkonnast teise, on ju, jälle nullist kõik uuesti, et noh, et. Ja

nüüd on sul info juba kahes kohas, kust seda kaitsta tuleb.

No vot, siin on ka siin küsimus, et me võime ju tahta arvata, et äkki meie Eesti inimene, esimene on tubli ja, ja me siin mõtleme eesrindlikult. Aga me oleme juba tilk ookeanis või? Ümberringi, ega meil ju ei ole võimalik oma, teeme küll konverentsi, jagame kogemust, kas keegi kuulab ka? Kuidas me saaksime tagada seda?

Kuulamata, kuulamata, kui me vaatame seda, kes kohal olid, siis kohal olid täitsa mitme riigi regulaatorite tippjuhid. Kohal olid EU inimesed, kohal olid Euroopa küberagentuuri inimesed ja väga kõrgel tasemel kuulavad küll ja need inimesed. Moderaatorina ma natuke puutasin nendega kokku, siis kui ma kuulasin, kuidas neid kutsuti, siis neid kutsuti just nimelt isiklike suhete noh, nii-öelda kaudu. Nii et ma arvan, et tegelikult kuulatakse küll.

No teine asi on see, et, et sa kuulad selle ära, eks, aga noh, seesama, on ju, nüüd kuidas me tekitame Kemaltole hirmu, et ära rohkem nii tee. Et noh, kuidas me tekitame Facebookile hirmu, et ära rohkem nii tee. Et, et, et see on tegelikult päris nagu keeruline võtmekoht, et, et Euroopa Liit iseenesest on suutnud murda sellist noh, mõnes mõttes hoolimatust on ju, üks noh. Mida ehedamaid näiteid on näiteks Microsofti kaasus, kus Microsoft üheksakümnendatel surus igale poole oma Internet Explorerid, teisi brausereid ligi ei lasknud. Mis lõppes siis sellega, et viiesaja miljoni turg ütles talle nagu noh, nagu ikka selgelt vastu näppe, et. Kui sa nüüd paremini käituma ei hakka, siis, siis me karistame sind, ei hakanud paremini käituma ja siis karistati niimoodi, et, et noh. Kui sa täna Redmondis lähed, jalutad Microsofti campuses, mismoodi nad on ümber struktureerinud, oma sõnanduses mõttes on majad ja. Ja needsamad meeskonnad seal sees, sellepärast Euroopa Liit on neid sundinud niimoodi käituma, on ju. Siis sa saad aru, et, et kui Euroopa Liit tahab, siis ta päriselt ka suudab midagi nagu väänata.

Et selles mõttes on see ka Eesti ajaks parim kanal, kuidas seda sõnumit võimendada, läbi Euroopa. Me veel

ei tea, kas see nii kaugele võimendab, aga ütleme nii, et kui ta ei võimenda.

Euroopa on kindlasti üks kanal, aga jällegi, et suhted teadusringkondades, need, see Tšehhi teadlaste paber võitis konverentsidel. Päris olulise auhindu, et, et see on väga laialt tsiteeritud paber, see lõi nagu teadusmaailmas ka laineid, et, et inimesed, kes üle maailma mõtlevad sellest, sellel, sel teemal, kirjutavad sellest. Nad, nad kindlasti loevad Eesti juhtumist, kindlasti loevad sellest, sellest haavatavusust ja kindlasti teevad omad järeldused. Sellel kindlasti on mõju.

Okei, ma tulen korra tagasi Eesti inimese juurde, kas me, ma mängin võib-olla tulega, kas äkki oleks õppetund olnud veel reljeefsem, kui oleks ikka noh, nii-öelda keegi saanud ka päris karmult pihta, et oleks mõni juhtum olnud, kus keegi oleks seda haavatavust ära kasutanud. Sooritanud mingi no küberkuriteo, on ju. Või üldse olnud, kellega tegi allkirja. Me, ma ei taha kurja välja kutsuda, aga ma mõtlen, et kas siis oleks see õppetund, oleksime veel paremini maailmakaardile saanud.

No kindlasti sellepärast, et noh, meil on täna ju kohtus praktiliselt iga kuu keegi vaidleb, et, et see siin, see dokument olev füüsiline allkiri, mitte digiallkiri, füüsiline allkiri ei ole minu oma. Ja noh, siis vaieldakse ja käit tõestamine ja allkirja ekspertiisid ja nii edasi, et kas ikka on või ei ole ja nii edasi, on ju. Digiallkirjaga, mina ei tea, et meil oleks olnud praegu case'i viimase kümne aasta jooksul, et keegi vaidleb kohtus, et see on, et, et ID-kaart oli minu taskus, ma pole seda kunagi välja andnud. Aga kuidagi on tekkinud siia nagu minu allkiri, nii et mina ei tea, on ju, et, et. Et, et selles mõttes nagu noh, see õppetund meil alles tulevikus kunagi on nagu tulemas, aga see kindlasti oleks vaja läbi mängida mingil hetkel, et saada arugi, et. Et noh, asi, mis on nagu olnud nii-öelda kaljukindel, et kui ta järsku enam ei ole kaljukindel, et mismoodi me siis käitume, mismoodi me järeldame seal.

See muidugi väga-väga keeruline, sest Eestis ei ole ju digialdkiri mingi lokaalne asi, mis ma oma arvutis teen, vaid sa suhtled sertifitseerimisserveritega ja kõik on võrgus, eks. Mulle meenub just eile üks inimene, tuttav näitas, kuidas ta peab Suurbritannia saama digitaalset allkirja. Mis on siis selle käekirjafondiga sinna PDF-faili mingisuguse oma nime kirjutamine, et. No USA-s

piisab sellest, kui sa vist vajutad linki, mis on sulle saadetud, on ju, või siis sa copy'd jah, ka oma nii-öelda allkirjast tehtud pildi, copy'd nagu dokumendil all, et siis on ka juba okei, on ju, et.

Või siis, või noh, faks, mis on kui teada-tuntud turvaline süsteem?

Aa, ma toon ühe näite, jälle naljakas näide, DocuSain on USA üks, üks tunnustatumaid digialdkirja start-upe. Millel digialdkirjaga, päris digialdkirjaga ei ole mitte mingit pistmist ja turvalisusega minu meelest ei saa ka mitte mingit pistmist. Aga kompanii väärtus on neli miljardit dollarit. Ja meil on olemas järskes keskus, kes on, suudab teha nagu maailma tipptasemel noh, digialdkirjad ja konteinereid ja nii edasi, on ju. Me oleme isegi uurinud võrreldes teiste Euroopa riikidega noh, absoluutselt nagu, nagu noh, noh, top üks. Ja väärtus, noh, pole miljarditki.

No vot, maailm on, tasakaalustamatust on palju maailmas vist.

Kurjust on ka palju maailmas.

Ega ei ole see, et, et see kurjus on, seda kurjust ei pea olema palju. Et noh, sa said ka siin ühe näite, et, et mis oleks, kui oleks juhtunud, et üht allkirja või kahte allkirja, ma ei tea, kümmet allkirja oleks. Oleks siin võltsitud, noh, issand jumal, meil antakse aastas miljoneid alt, allkirju, on ju, et, et see, et nüüd nagu. Üks või kaks miljonist, noh, ma ei tea, auto sureb ka meil nagu inimesi, miljoni sõidukohta ikkagi nagu, nagu päris palju, on ju. Et, et, et selles mõttes, et nagu piisab tegelikult mõnest üksikust. Kui see süsteem hakkab murenema ja, ja see sama usaldus, mida sul vaja on ehitada, see hakkab kaduma.

Ja mida, ja mida me oleme tegelikult ehitanud viimased kakskümmend viis aastat, tasailju. Ja noh, piisab sellest, et usaldus ju toetab usalduse peale, mina usaldan sind. Sa käitus usaldus, usaldusväärselt, sa ei peta seda usaldust, usaldad mind vastu. Eks usaldus nagu toidab ennast. Aga piisab väga vähesest pisikesest kivikesest, et see hakkab teistpidi käima, et sa natukene umbusaldad. Mille peale mina natuke rohkem umbusaldan ja kahekümne aasta pärast ei ole midagi alles, jah.

Aga mõtlen, mis oli minu arust selle kriisi noh, üks sisuline väga hea õppetund ja ma arvan just eriti nagu poliitikutele, riigijuhtidele. Oli see, et, et see usaldus, mis meil praegu on, on nii-öelda professionaalne usaldus, ehk siis ta ei ole nagu kannajalgadele, et noh, et, et ala, et, et oli väike paanika ja selle peale nagu. Noh, raavas jookseb tormi kuhugi, on ju, et, et ei ole niimoodi, et raavas kuulab ära. Saab aru, ahah, me peame uuendama. Noh, me ei tundnud, inimesed ei tundnud tänavale, inimesed ei loopinud ID-kaardi prügikasti, ütles, et ma mitte kunagi kasutanud sihukest jaama, selge. Oli, tuleb ära vahetada, kõik ei vahetanud, väga suur osa, et vahetamata, mis teist pidanud meile tagasisidet, et noh, väga paljud siiski ikkagi ei kasuta veel üldse ID-kaarti ja nii edasi, onju.

Elektrooniliselt?

Elektrooniliselt jah, täpselt. Et, või noh, nii-öelda ei anna isegi altkirja või, või, või altkendi ennast. Et, et, et IT ja digiühiskonna küpsusega, just ma sõtlen nende inimese teadmiste koha pealt, nad suudavad no kaine pilguga aru saada. Ahah, see on tehnoloogia, tehnoloogia võib ju katki minna, noh, kellel ei oleks läinud telefon katki või arvuti katki, on ju. Selge, läks katki, poisid, tehke korda, kui on vaja, ostan uue, noh. Et, et see on, see on nagu terve mõistusega tehnikasse suhtumine.

Just, et sa, et sa virised selle järjekorra üle, mis noh, mis on ka loogiline, et kes, kellele meeldiks pool päeva veeta kuskil, kuskil pimedas toas.

Ja e-ring ja tiiger on surnud, noh, et.

Just, aga sa nagu ei lähe selle, selle tuuma kallale, sa jätkuvalt nagu tarvitad seda edasi.

See, see tiiger on jah, sihuke, nagu sa öeldaks Scherdinger'i kass, et ta korraga on, see paistab olevat väga elus ja hüppab, aga palju jaoks on väga surnud.

Scherdinger'i tiiger, jah.

Scherdinger'i tiiger. Kokkuvõttes, mida ma teie jutustasin, nagu olen õige kokku võtta, et tegelikult see kriis nagu näitas, et sellele reageeriti, iga parandati, inimesed seda uskusid, tulid kaasa. Siis usaldus e-riiki, kas jäi samaks, äkki isegi kasvas? Et kui tuleb viga, siis see parandatakse ära, inimesed kasutavad edasi, neid kasutavad.

Ma arvan küll, pigem, pigem läks ülesse selle peale.

Minu usun ka, et, et usaldus kasvas ja noh, kindlasti on siin suur osa just sellel samal meeskonnal, kes siis kriisi ajal tegutses on ju. Eelkõige siis Riia noh, PPA meie spetsialistid, kes väeva nägid, eks, et. Et, et selles mõttes nagu kindlasti noh tervikuna. Ütleme nii, et me tulime tugevamale välja võrreldes sellega, kui me sinna sisse läksime.

Väga hea, järeldus saate lõpuks, selline oligi tänane Restart, aitäh kuulamast ja juba järgmine nädal kuulete meid jälle, nägemist.