Daniel Vaarik: kas ID-kaardi turvaveast rääkimine on kellegi vandenõu?

Kas ID-kaardi turvanõrkuse avaldamine on kellegi vandenõu või spin? Küsisime kommentaari Daniel Vaarikult, kes on kommunikatsiooniekspert ja partner firmas Akkadian. Vaarik teeb selle raames ka koostööd e-residentsuse meeskonnaga.

Eesti valitsus sai eelmisel nädalal rahvusvaheliselt teadlaste grupilt teate, et on avastatud teoreetiline turvarisk ID kaardi toimimises. Ilmselt seetõttu, et digitaalne ühiskond on Eestis paljudele südamelähedane teema, on erakirjavahetustes ja vestlustes ka minu käest küsitud, et kas võib olla võimalik, et ID-kaardi turvariskist teatamine on kellegi konspiratiivne soov kahjustada Eesti mainet.

Kuigi ma ei tea neid inimesi, kes meile probleemist teada andsid, ei ole niinimetatud karvase käe võimalus tõenäoline kolme põhjusel.

Esiteks, tegemist on olemasoleva veaga. Eesti valitsusele on ju teada antud olemasolevast nõrkusest meie süsteemi sees. Seda nõrkust ei loonud teadlaste grupi liikmed ise, vaid nad avastasid midagi, mis on nende analüüsi põhjal juba olemas. Eesti valitsuse suurim huvi on sellistest asjadest teada saada, mitte elada õndsas teadmatuses hetkeni, kuni asi tõeliselt probleemseks muutub. Pahatahtlikud uurijad ei annaks meile võimalust süsteem korda teha.

Teiseks, ajastus. Kuigi praegune ajastus ei ole ehk e-valimiste seisukohast ideaalne, oleks pahatahtlikult mõeldes Eestile mainele võimalik palju enam kahju teha siis, kui avaldada turvarisk vahetult pärast e-valimisi. Sellisel juhul ei oleks valitsusel enam mitte midagi võimalik ette võtta turvataseme tõstmiseks, keerulisem oleks avalikkust veenda valimiste õiguspärasuses ning spekulatsioonid selle üle, kas Tallinna linnapeaks sai õige inimene, võiks jääda avalikkust mürgitama pikaks ajaks. Pahatahtlik seltskond just nii teekski.

Kolmandaks, teadaandmise viis. Pahatahtlik uurijate grupp oleks läinud otse avalikkuse ette, kas läbi blogipostituste või meediakanalite, avaldanud võimalikult palju detaile ja instruktsioone teoreetilise turvariski praktiliseks ärakasutamiseks. See oleks omakorda viinud selleni, et Eesti valitsus oleks pidanud sörkima sündmuste sabas ning rinda pistma võib olla ka väga suure hulga katsetega meie süsteeme mõjutada.

Teadlased aga toimisid teisiti. Nad andsid Eestile eelhoiatuse, et mõne kuu jooksul on ilmumas teaduslik artikkel ning tehti seda otse ühendust võttes. Kuna meie ühiskond on väga suurel määral digitaalne, siis ideaalset ajastust ju polegi. Ikka on olukordi, mis eeldavad digitaalse identiteedi kasutamist.

See kõik ei tähenda, et maailmas poleks pahasoovijaid, kes näeksid hea meelega, et meie digitaalne ühiskond ei toimimiks. See ei tähenda, et nad ka tänast olukorda edaspidi ei prooviks ära kasutada. Kuid minu arvates on oluline hinnata kõrgelt seda, et meile tullakse otse teada andma võimalikest nõrkustest. See on parim asi, mis saab juhtuda ning mida rohkem kriitikuid meiega koostööd teeb, seda tugevamaks saavad meie digitaalse ühiskonna süsteemid.