Skip to content

Eesti ja andmesuveräänsus

Kas Eesti on andmesuveräänne? Meil tõesti on oma PKI, X-tee ja selle otsas paar tuhat rakendust ning kriitilised andmed on turvalises riigis andmesaatkonnas. Selles mõttes justkui oleks kontroll oma andmete üle olemas.

Samas aga peaminister avaldab valitsuse plaane esmalt Facebookis ning alles hiljem ametlikus veebisaidis ja ajakirjanikud on harjunud neid sealt lugema. Riigikogu põhiseaduskomisjon korraldab oma koosolekuid Teams'is. Mõni maksumaksja poolt rahastatud amet või muu organisatsioon kasutab ühistöörakendusena Jira't, mõni aga Slack'i. Erinevatel valitsusasutustel on plaan oma tegevus viia Azure pilve. Huvitav, kui mitme riigiametniku telefoni on paigaldatud Yandex Taxi või Tiktoki äpp? Kui paljude Eesti ametite e-postiteenused asuvad reaalses Eesti serveris, mitte kusagil kauges pilves?

Kas peaministriproua ikka teab, et Facebook on Tiktoki järel üks privaatsusinvasiivsemaid andmekogusid ning profileerib sinu ja sinu ümbruskonna ülidetailselt. Kas see, missugune on parasjagu peaministri tervis, ikka on Facebooki asi?

Kas riigiametnikud ikka teavad, et Facebooki suhtluses ja Teams'is puudub läbiv krüptimine? Kõik info, mis seal liigub, on teenusepakkujal 100% loetav. Kõik andmed aga on kusagil pilves jumal teab mis füüsilises asukohas (ja see tõenäoliselt ei asu Eestis).

Kui mõne kriisi korral Eesti välisühendused ei toimi, siis kas ametnikud jäävad tummalt ekraani põrnitsema ja mõtlema, miks suhelda ei saa ja ajakirjanikud ootama olulisi sõnumeid Facebookist? Et valitsusel on veebisait olemas, see võib-olla on paljudel juba ununenud. Osa kasutajaid üldse ei saagi aru, et Facebook ei võrdu internet.

Kas riigiametitel on olemas sissetöötatud lahendus suhtlemiseks ja ühistööks olukorras, kus meie riigi välisühendused ei tööta? Veel parem, kas ta on ka selline, mis kriisi ajal suudab kasutada võrdõigusvõrku ega eelda tavapärase andmeside toimimist?

Kui paljud ametnikud ikka saavad aru, et nende telefonides leiduv Tiktok on Hiina luure üks suurepärasemaid infokogumisoperatsioone ning Yandex Taxi koos oma sõsarrakendustega sama asi Vene poolel?

Aga mis on lahendus? Väga lihtne, valime teenused, rakendused ja lahendused:
- mille eest sa ei maksa iseendast kauba tegemisega;
- kus on kasutusel läbiv krüptimine (E2EE - end to end encryption);
- mida sa saad ise Eestis majutada (kas kohalikus pilves või puhtal raual)
- mis on hajutatud ega sõltu sellest kuidas sinu üks teenusepakkuja oskab teenust üleval hoida;
- mis suudavad teiste sarnastega suhelda;
- mis põhinevad vabal ja avatud lähtekoodiga tarkvaral;
- mis on sisuliselt ja vormiliselt auditeeritavad.

Mis need siis oleks? Näiteks:
- Nextcloud ühistöö, failide, kontaktide jne jaoks
- Matrix sõnumite, ühistöö ja VoIP'i ja videokoosolekute jaoks (näiteks serveriks Synapse ja kliendiks Element)
- Jitsi Meet videokoosolekute jaoks

Kõiges selles osas Eesti täna ei ole andmesuverääne. Aga paljud Euroopa riigid on. Näiteks:
- Saksamaa Föderaalne infotehnoloogiakeskus (ITZBund) on kolinud märgatava koguse ministeeriume NextCloudi kasutama
- järgmisi Nextcloudi paigaldusi Saksamaal ei jõua enam kokku lugeda
- paar kuud tagasi otsustas GAIA-X (Euroopa födereeritud andmepilve projekt), et NextCloud saab alusplatvormiks
- Prantsusmaa 5 miljonit riigiametnikku toimetavad Matrix'i võrgus
- Bundeswehr on kõik oma igapäevase organisatsiooni sisemise ja väliste hankijatega suhtluse kolinud Matrixi võrku (kõik, mis on 4. riigisaladse lipuga, kangema kraami jaoks on jätkuvalt muud lahendused)
- meie TEHIK'u vaste Saksamaal kolib kõigi 80 miljoni sakslase patsiendiportaali suhtluse Matrix'i võrku
- Schleswig-Holstein'i liidumaa kolib kõik oma ametiasutuste töö mitte ainult oma rakendustesse, vaid ainult avatud lähtekoodiga tarkvaral põhinevatesse rakendustesse (märksõnad on jälle Nextcloud, Matrix ja muud sõbrad)
- paarkümmend saksa ülikooli on Matrixi võtnud kasutusele sõnumite ja ühistöö jaoks
- Matrix on kasutusel nii Austria, kui Suurbritannia valitsusasutustes