RIA koondas legendaarse Eesti turvaspetsialisti Anto Veldre

Anto Veldre. Foto: Erik Prozes/PM/Scanpix

Riigi infosüsteemi amet (RIA) koondas aasta algusest staažika IT-turvalisuse eksperdi ja edendaja Anto Veldre. Veldre on töötanud intsidentide käsitlemise osakonnas CERT-EE ja kommunikatsiooniosakonnas analüütikuna.

RIA kommunikatsiooniosakonna juht Helen Uldrich selgitas Anto Veldre koondamist sellega, et 2018. aastat muutus nende üksuse struktuur. Analüütiku koht, kus varem töötas Veldre, muudeti pressiesindaja ametikohaks ning seetõttu muutusid ka tööülesanded.

“Kahjuks ei olnud RIAl pakkuda Antole ka teist ametikohta, mis vastaks tema ametialasele profiilile. Kogu Riigi Infosüsteemi Ameti kollektiiv hindab väga Antot ja tema panust, näiteks kas või e-riigi toimimise selgitamisse,” lisas Uldrich.

Küsisime Veldrelt paar küsimust RIAs töötamise ja edasiste plaanide kohta. Allpool on tema vastused toimetatud kujul.

Miks su teed RIAga lahku läksid?

Tegemist oli minu elu seni kõige pikemalt peetud töökohaga – kaks kuud jäi puudu üheksast aastast. Selles võtmes – ehk jõudiski kätte aeg, et vaadata maailma asju mõne uue nurga alt. Alanud aastal tehakse RIA struktuur mõnevõrra ringi ja minu senisele küllalt selgele rollile olnuks seal ehk pisut keeruline kohta leida.

Mulle tundub, viimased paar aastat ma talitlesingi infoühiskonna filosoofina lisaks sellele, mida ametijuhend ette nägi. Lahkuminek toimus intellektuaalselt, ilma vähimagi draamata, ühtlasi jäi kokkulepe, et kui ühiskonda taas mõni suurem turvamure kimbutab, aitan selge ja terava sõnastusega. Lahkumiskingitusi tuli koju viia suure kotiga.

Pisut filosofeerides, ajastul, mil ühiskond järjest enam turvalisustub (ingliskeelsest sõnast securitization) või küberturbe vaatevinklist suisa militariseerub, liigub IT-lahenduste tasakaal senisest eemale ja keegi veel täpselt ei tea, kuhu. Fraas “infoturbe turvalisustumine” kõlab ehk pisut ootamatult, ent see tähendab, et valida on kahe vastandliku tasakaalupunkti vahel.

Esimese võimaliku mudelina liiguvad IT-lahendused kõrgtaseme kasutajakogemusmudeli ja nii uskumatult suure turvavaru poole, et hilisemat vajadust neid asjaolusid kasutajaskonnale lahti jutlustada üldse ei tekikski. Teise variandina pole lahenduste tehnoloogilisel esteetikal kaasajal suuremat tähtsust, kuivõrd tõde määratletakse niikunii hiljem, Facebookis. Tähelepanelik lugeja kindlasti märkas ära, et naiivse populariseerija roll langeb ära mõlemil juhul.

Ma usun, et RIA asjaliku riigiasutusena saab neist moodsatest valikutest hästi aru ning hetkel aktiivselt otsibki strateegiaid järgmiseks n aastaks, viisil, mis ei ületaks riigi rahalisi võimeid ning mis tagaks jätkusuutlikkuse meie (maailma mastaabis) vägagi unikaalsele e-riigile.

Mida sa RIAs/CERTis tehtud tööst esile tõstad?

Töö CERT-EE’s andis erakordselt hea ülevaate sellest, mis arvutisüsteemides ja traadi taga “tegelikult toimub” ning ühtlasi tehnilise põhja keerukatest küberohtudest arusaamiseks. Ent ohu äratundmisest on vähe – vahel on ravi diagnoosist keerulisem.

Väga palju tuli kokku puutuda inimeste ja nende käitumisega. Miks ikkagi inimesed klikivad netis kolades igasugustel pühademunadel, et pärast kangelaslikult tagajärgedega võidelda? Mind on tehnikast rohkem ikka huvitanud see, kuidas teadlikkuse tõstmist optimaalselt korraldada. Et millenniumlasest lihtkasutaja liigsest moraalilugemisest ära ei tüdineks ja et kuuldud jutust miskit ikka kõrvade vahele jääks.

Tegelik keerukus täna liigub eemale tehnilistest ohtudest, millele on olemas suhtkoht automaatne ravi programmide ja masinate näol (iseasi, et veel ei ole päris selge, kes ühiskonnas peab määratlema Tõe, mille järgi masinad bittides reha teevad). Küsimus on pigem tõejärgse ajastu nippides, et kuidas ikkagi pannakse Facebooki või teleka ette lorutama jäänud inimloom kellegi kolmanda huvides tegutsema. Ning olgem ausad, sõbraliku idanaabri veel sõbralikumad eriteenistused pole sugugi mitte ainukesed kündjad sel söötis põllul.

Mul on rõõm, et õnnestus CERT-EEs töötada neil aastatel, kui turvalisustamine polnud veel alanud ning juhtumeid oli (pärast otseste isikuandmete mahastrippimist) reeglina võimalik koolitus- ja ennetustöös kasutada. Pärast Maidani sündmusi on olukord mõneti muutunud ning paljugi huvitavat ning õpetlikku jääb liiga kauaks kardina taha.

RIAs töötades oli mul haruldane privileeg selgitada e-riigi toimimist päris mitme riigi ministritele, rääkimata siis RIA-sarnastest asutustest mujal. Säärastest kohtumistest saadud tagasiside oli alati väärtuslik, andes aimu, millise koleda pärandiga peavad rinda pistma riigid, mille tehnikud pole suutnud poliitikutele e-riiki õigeaegselt valmis meisterdada. Nii näiteks selgitas ühe ELi riigi IT-minister mulle ära: selleks, et oma riigis käibiv SSN taoline “parool” muuta Eesti isikukoodi taoliseks “kasutajanimeks”, on tal vaja palju miljoneid raha ning ümber teha riigi infosüsteemide kogu arhitektuur, päris põhjani välja. See, mida Läänes peetakse isikukoodide “lekkeks”, on meil tähenduseta pisiasi. Avalik asi ei saa lekkida.

Veel meenub, kuidas ajakirjanikud riigisektori kulutusi rappides küsisid, et miks käis üks turvaekspert kallil palmisaarel. Aga mis tal muud üle jäi, sest Microsoft otsustas oma turvakonverentsi just seal korraldada ja minemata jätmine tähendanuks infost ilmajäämist. Et teine turvaekspert nimega Anto käis samal perioodil teisel ingliskeelsel konverentsil tracki juhtimas ja tema lennu- ning hotellikulud maksti välismaise korraldaja poolt kinni, seda ei pannud ajakirjanikud üldse tähele. Polnud seksikas: riigi raha ju ei “raisatud”. Teisisõnu: väike tönge ajakirjanike suunas, nähke ikka puude taga metsa ka!

RIA rollist rääkides: alussambad nagu eID, X-tee ja küberturvalisus vajavad kindlasti väga spetsiifilist teadmust ja väga pühendunud inimesi. Võib pikalt arutleda, et kas e-riik on kapitalismi viimane staadium või hoopis iseseisev formatsioon?! Mina usun viimast ja seetõttu ka tähtsustan riigi rolli e-ühiskonna arendamises. RIAl oleks ehk kergem, kui eksisteeriks suundi ja käsulaudu jagav Infoühiskonna Arendamise Instituut. Varjatud kujul on mainit institutsioon siiski olemas. Varemalt käis see isetekkeline seltskond koos presidendi kärajatel, pisteliselt kohtutakse SK aastakonverentsidel, aga EstCoini meisterdatakse vist suisa Rahaministeeriumi tagatoas?!

Paistab paradoksina, kuid värskelt koondatuna ma jätkuvalt soovitan oma endist tööandjat, eriti noortele. Saad osaleda nii olulistes ja põhimõttelistes ning samas suurt ühiskondlikku tähtsust omavates asjades, mida omaenda kodus või erafirmas – või jumal hoidku, parteikontoris – polekski võimalik toime panna.

Kas otsid uusi väljakutseid ja kui, siis kus?

Kindlasti tahaksin esmalt kuu aega puhata. Eelmine aasta oli tegelikult päris väsitav ning ka aasta 2018 algas tõsiste turvamuredega (Meltdown/Spectre). Vara öelda, mida täpselt tegema hakkan. Võib juhtuda, et ISKEt (infosüsteemide kolmeastmeline etalonturbe süsteem – toim) või GDPRi (kevadel jõustuv Euroopa uus andmekaitse üldregulatsioon – tomi) juurutama. Ehk hakkan koolitama, teadlikkust tõstma või tehnokirjanikuna rahvale reaalsust vahendama. Äraturvalisustatud ühiskonnas ei saa välistada ka eesliinivõitlust mõne loodusjõuga (nagu näiteks /fraud/). Veebruarist olen pakkumistele avatud.

Hetkel surun maha sisemist vajadust “olukorrapilti” öösel ja päeval silme ees pidada, nagu olen aastaid harjunud tegema. Tundub, et olen juba saavutanud teatavat edu: Meltdown/Spectre/Fuckwit sõnu küll Twitteris nägin, aga sundisin end sisu mitte lugema. Nii sain sisukokkuvõtte hoopis päev hiljem kohalikust Geeniusest.

Ühtlasi vajab ajakohastamist ja üleinstalleerimist minu kodune saunatagune serveripark. See on täiesti tavaline adminnitöö, et mitte kvalifikatsiooni kaotada.

|| is_search()