Skip to content

Eesti ja andmesuveräänsus

Kas Eesti on andmesuveräänne? Meil tõesti on oma PKI, X-tee ja selle otsas paar tuhat rakendust ning kriitilised andmed on turvalises riigis andmesaatkonnas. Selles mõttes justkui oleks kontroll oma andmete üle olemas.

Samas aga peaminister avaldab valitsuse plaane esmalt Facebookis ning alles hiljem ametlikus veebisaidis ja ajakirjanikud on harjunud neid sealt lugema. Riigikogu põhiseaduskomisjon korraldab oma koosolekuid Teams'is. Mõni maksumaksja poolt rahastatud amet või muu organisatsioon kasutab ühistöörakendusena Jira't, mõni aga Slack'i. Erinevatel valitsusasutustel on plaan oma tegevus viia Azure pilve. Huvitav, kui mitme riigiametniku telefoni on paigaldatud Yandex Taxi või Tiktoki äpp? Kui paljude Eesti ametite e-postiteenused asuvad reaalses Eesti serveris, mitte kusagil kauges pilves?

Kas peaministriproua ikka teab, et Facebook on Tiktoki järel üks privaatsusinvasiivsemaid andmekogusid ning profileerib sinu ja sinu ümbruskonna ülidetailselt. Kas see, missugune on parasjagu peaministri tervis, ikka on Facebooki asi?

Kas riigiametnikud ikka teavad, et Facebooki suhtluses ja Teams'is puudub läbiv krüptimine? Kõik info, mis seal liigub, on teenusepakkujal 100% loetav. Kõik andmed aga on kusagil pilves jumal teab mis füüsilises asukohas (ja see tõenäoliselt ei asu Eestis).

Kui mõne kriisi korral Eesti välisühendused ei toimi, siis kas ametnikud jäävad tummalt ekraani põrnitsema ja mõtlema, miks suhelda ei saa ja ajakirjanikud ootama olulisi sõnumeid Facebookist? Et valitsusel on veebisait olemas, see võib-olla on paljudel juba ununenud. Osa kasutajaid üldse ei saagi aru, et Facebook ei võrdu internet.

Kas riigiametitel on olemas sissetöötatud lahendus suhtlemiseks ja ühistööks olukorras, kus meie riigi välisühendused ei tööta? Veel parem, kas ta on ka selline, mis kriisi ajal suudab kasutada võrdõigusvõrku ega eelda tavapärase andmeside toimimist?

Kui paljud ametnikud ikka saavad aru, et nende telefonides leiduv Tiktok on Hiina luure üks suurepärasemaid infokogumisoperatsioone ning Yandex Taxi koos oma sõsarrakendustega sama asi Vene poolel?

Aga mis on lahendus? Väga lihtne, valime teenused, rakendused ja lahendused:
- mille eest sa ei maksa iseendast kauba tegemisega;
- kus on kasutusel läbiv krüptimine (E2EE - end to end encryption);
- mida sa saad ise Eestis majutada (kas kohalikus pilves või puhtal raual)
- mis on hajutatud ega sõltu sellest kuidas sinu üks teenusepakkuja oskab teenust üleval hoida;
- mis suudavad teiste sarnastega suhelda;
- mis põhinevad vabal ja avatud lähtekoodiga tarkvaral;
- mis on sisuliselt ja vormiliselt auditeeritavad.

Mis need siis oleks? Näiteks:
- Nextcloud ühistöö, failide, kontaktide jne jaoks
- Matrix sõnumite, ühistöö ja VoIP'i ja videokoosolekute jaoks (näiteks serveriks Synapse ja kliendiks Element)
- Jitsi Meet videokoosolekute jaoks

Kõiges selles osas Eesti täna ei ole andmesuverääne. Aga paljud Euroopa riigid on. Näiteks:
- Saksamaa Föderaalne infotehnoloogiakeskus (ITZBund) on kolinud märgatava koguse ministeeriume NextCloudi kasutama
- järgmisi Nextcloudi paigaldusi Saksamaal ei jõua enam kokku lugeda
- paar kuud tagasi otsustas GAIA-X (Euroopa födereeritud andmepilve projekt), et NextCloud saab alusplatvormiks
- Prantsusmaa 5 miljonit riigiametnikku toimetavad Matrix'i võrgus
- Bundeswehr on kõik oma igapäevase organisatsiooni sisemise ja väliste hankijatega suhtluse kolinud Matrixi võrku (kõik, mis on 4. riigisaladse lipuga, kangema kraami jaoks on jätkuvalt muud lahendused)
- meie TEHIK'u vaste Saksamaal kolib kõigi 80 miljoni sakslase patsiendiportaali suhtluse Matrix'i võrku
- Schleswig-Holstein'i liidumaa kolib kõik oma ametiasutuste töö mitte ainult oma rakendustesse, vaid ainult avatud lähtekoodiga tarkvaral põhinevatesse rakendustesse (märksõnad on jälle Nextcloud, Matrix ja muud sõbrad)
- paarkümmend saksa ülikooli on Matrixi võtnud kasutusele sõnumite ja ühistöö jaoks
- Matrix on kasutusel nii Austria, kui Suurbritannia valitsusasutustes

E-riigi tiigrist pudeneb jälle karvu ehk Andmevara teenus ei toimi

Tänane Postimees (Tarbija24.ee) kirjutab et

Äriühingud saavad vabalt küsida inimeste aadresse oma kauba otsepostituseks rahvastikuregistrist kui inimene pole oma aadressi edastamist keelanud.
...
Rahvastikuregistrist andmete väljastamise alused tulevad rahvastikuregistri seadusest.
...
Juhul, kui isik ei soovi sellist otsepostitust saada, on tal õigus oma aadressandmetele juurdepääs sulgeda, selleks tuleb pöörduda registri volitatud töötleja ASi Andmevara poole.


Alustuseks ei saa ma aru sellest et kes on koostanud ja vastu võtnud seaduse, mis ei arvesta inimeste privaatsusega ning vaikimisi eeldab, et kõik tahavad rämpsposti saada. Õige oleks ju see, et vaikimisi ei väljastata mitte kellegi andmeid ja kes seda soovib peab soovist teada andma.

Mind on sellised asjatud postitused alati tüüdanud ja võtsin Andmevara telefoni ja helistasin neile. Võttis vastu sekretär, kuulas soovi ära ja suunas edasi. Suunatud kõne võttis vastu töötaja, kes ütles et see pole tema asi ja andis uue numbri. Uuel numbril ei reageerinud mitte keegi. Helistasin uuesti sekretärile. Ta oli nõus lahkelt suhtlema ja arvas et äkki on tööpäev läbi ja kõik on koju läinud (kell oli siis 16:25). Ta üritas veel kolleege otsida ja siis peale ootamist pakkus et ma helistagu esmaspäeval uuesti. Küsisin, kas Kodanikuportaalis saab vastavat keeldumistoimingut teha ning sekretär ütles ausalt et ta ei tea. Vaatasin samal ajal ka ise Kodanikuportaali ja märksõnaotsing rahvastikuregister sellist võimalust välja ei pakkunud. Küsisin sekretärilt et kas ma maksumaksjana sain ka hea teenuse ja vastust ma ei saanud.

Tegelikkus on see, et Eesti riik on selles osas seadused ülikehvalt loonud ning Andmevara selle alusel veel kehvemalt oma töö korraldanud. Ma eeldaksin sellise lihtsa toimingu teostamist mõne minutiga. Kui minu töökoht oma kliente nii kehvalt teenindaks, siis poleks meil mitte ühtegi klienti ning firma oleks ammu pankrotis.