Language switcher

Sa oled siin

RIS infokiri september 2020

 

Siim Sikkut
Majandus- ja Kommunikatsiooniministeeriumi side ja riigi infosüsteemide asekantsler

Eestis on taas käes aeg seada digiriigi arengu strateegilisi sihte. Kiirelt muutuvas tehnoloogiamaailmas ei päde ükski strateegia päriselt üle paari aasta, lisaks on 2021 algamas ka uued rahastusperioodid ja senise arengukava aeg formaalselt ümber.

Mina usun, et fookusse tuleb võtta ja peamiseks eesmärgiks seada, et inimesed, ettevõtted ja ka ametnikud saaksid parima võimaliku teenuste kasutamise kogemuse. Just nimelt – peame pingutama parima kogemuse nimel.

Parim kogemus on see, kui teenused tulevad mu juurde just siis, kui neid vajan. Kui saan asjad aetud kõnekrati abil mistahes seadmest ja kanalist. Kui saan oma andmete kasutust juhtida, sealhulgas andmeid jagada. See kõik vajab omakorda häid digiriigi alusplatvorme, nagu tulevikukindel X-tee ja eID, vajab lahenduste taaskasutust ja riigiasutuste koostööd, vajab teenuste head juhtimist ja palju muud.

Need on suunad, mida oleme koos eri osapooltega 2021+ digiriigi strateegiaks kujundamas. Uue arengukava loodame lõplikult kinnitatud saada 2021. aasta algusega. Töö neis suundades käib aga juba praegu, nagu ka siit uudiskirjast näed.

Parima kogemuse tagamine on pidev töö ja meie kõigi käes. MKMi roll on olla digiriigi arengu eestvedaja, RIA on seejuures me tiimi osa. Kui saame sulle olla abiks sinu teenuste parima kasutajakogemuse väljaarendamisel – räägime ja aitame, kuidas vaja!

 
 

Uuringutulemused näitavad nõudlust riikliku postkasti järele 

Riigi infosüsteemi ameti riigiportaali osakonna tellimusel korraldas Kantar Emor eesti.ee kasutaja rahulolu-uuringu. Lisaks riigiportaali puudutavale tagasisidele sai selle käigus uut infot ka üldiselt e-teenuste kasutamise kohta.

Uuringust selgus näiteks, et viimase kahe aasta jooksul on vähemalt ühte riigi pakutavat e-teenust kasutanud 94 protsenti Eesti elanikest. Kõige enam on viimati infot otsitud tervishoiuga, eeskätt digiloo ja -retseptidega seotud teenuste kohta, järgnevad eMTA (tuludeklaratsioon ja muu maksudega seonduv) ning maanteeameti teenused.

Riigiportaali osakonna juhataja Raimo Reimani sõnul on uuringutulemused suureks abiks, et saada eesti.ee portaali arendamisel aimu inimeste soovidest ja ootustest. „Lisaks on hea teada, et suur osa vastajatest soovib riiklikku postkasti, mis näitab, et oleme õigel teel,“ lisas Reiman.

E-teenuste kohta info otsimiseks kasutatakse peamiselt nelja kanalit, kõige enam kasutatud kanal on konkreetset teenust pakkuva asutuse koduleht. Järgnevad otsinguportaalid, eesti.ee portaal ning internetipank. Eesti.ee portaal on selgelt esimene eelistus digiloo ja tervishoiuga seotud infootsingute puhul, internetipank aga tuludeklaratsiooni ja muude maksude teemal. Veidi rohkem kui 2/3 elanikest eelistaks, et kõigile riigi pakutavatele e-teenustele pääseks ligi ühe keskse portaali kaudu, kus piisaks ühekordsest isikuautentimisest.
Uuring näitas, et riigiportaali tuntus on kõrge – 94 protsenti. Portaali osas tuleks teadlikkust tõsta meeste ja noorte (16–24-aastased) seas. Riigiportaali on kasutanud 96 protsenti elanikest, sealjuures 91 protsenti teabe otsimiseks riigiasutuste pakutavate teenuste kohta ning 94 protsenti enda andmete vaatamiseks. Nii rahulolu eesti.ee-s kasutatud teenustega kui ka portaali soovitusindeks on pigem kõrged. Teenuste endi juures anti kõige kõrgemaid hinnanguid teenuste kasutamise turvalisusele.

Selgus, et uuringus osalejate eelistatuim kommunikatsioonikanal on nii teavituste, kutsete kui ka teatiste saamisel ülekaalukalt e-post, kuid @eesti.ee meiliaadressi on oma tavapärasele e-postiaadressile suunanud vaid 59 protsenti elanikest. Mittesuunamise suurim põhjus on olnud teadlikkus – ligi pool ehk 46 protsenti vastanutest ei ole seda teinud, kuna pole selle peale tulnud ega sellest varem kuulnud.

Kokkuvõttes andis uuringufirma Eesti elanikkonna osas kolm soovitust:

  • riigiportaali kontseptsioon vajaks uut turunduskampaaniat, mis tutvustaks inimestele eesti.ee portaali kasutusvõimalusi;
  • uue süsteemi arendusel tuleks põhifookus suunata kasutajaintuitiivsusele. Õppida võiks heade näidete pealt ning kasutada võimalikult palju olemasolevat ja toimivat. Eeskuju tuleks võtta avalikus sektoris nt eMTAst ja maanteeameti portaalist ja erasektoris nt internetipankadest;
  • tuleks teha uus teavituskampaania @eesti.ee meiliaadressi suunamisest oma tavapärasele meiliaadressile.

Ettevõtjate ja e-residentide rahulolu

Ettevõtteid ja e-residente küsitledes selgus, et viimase kahe aasta jooksul on vähemalt ühte riigi pakutavat e-teenust kasutanud 94 protsenti vastanutest. Ettevõtjate hinnangul on riigi ees olevate

kohustuste üle järje pidamine ning riigi nõutavate andmete ja aruannete esitamine üldiselt võrdlemisi lihtne. Keskpärase hinnangu saab ettevõtjatele mõeldud e-teenuste kohta info leidmine ning riigilt toetuste kohta info leidmine võib osutuda keeruliseks. 3/4 ettevõtetest eelistaks, et kõik riigi pakutavad e-teenused oleks ligipääsetavad ühes keskses riiklikus portaalis, kus piisaks ühekordsest isikuautentimisest.

Ettevõtete ja e-residentide osas andis uuringufirma järgmised soovitused:

  • riigi avalike e-teenuste pakkumise süsteem vajab ülevaatamist ja ajakohastamist. Selleks on vaja selget kontseptsiooni ning asutusteülest visiooni, mille suunas liikuma hakatakse;
  • keskse portaali ja uue süsteemi arendamisel on vaja eestvedajat – tugevat liidrit, kes selgitab asutustele eesmärke, juhendab, motiveerib ja kontrollib protsessi;
  • hetkel tunneb nii mõnigi asutus, et jääb vajalikust infoväljast kõrvale. Oluliste muudatuste või arenduste kohta võiks ilmuda infokiri;
  • keerukamate protsesside ja lahenduste väljatöötamisel võib abiks olla töörühmade moodustamine, sest asutused ootavad nende vajadustega arvestamist;
  • eeskujuks peaksid olema hästitöötavad lahendused ning asutustevaheline arenduste ja lahenduste taaskasutus võiks olla palju suurem;
  • tuleb arvestada, et uue kontseptsiooni ja arenduse väljatöötamiseks kulub palju ressursse ning tuleb olla valmis ka sinna rahaliselt panustama.

Ühtse portaali võimalikud tugevused ja nõrkused avaliku sektori töötajate silmis

Valdav osa avaliku sektori esindajatest toetab kasutajatele ühise värava loomist ja seega on suhtumine ühtse kontseptsiooni suhtes pigem positiivne. Kui ühtne portaal saaks väga hästi ja intuitiivsel põhimõttel arendatud, oleks see inimestele väga mugav lahendus, mille abil on võimalik kogu info ja kõik teenused ühest kohast kätte saada. Lisaks oleks tegu ühtse ja ametliku kanaliga välismaalastele.

Veel toodi uuringutulemustes positiivsena välja, et ühtse portaali korral oleks kindlad protsessid automatiseeritud ning asutused ei pea enam raha raiskama eraldi rätsepatööna tehtud arendustele, vaid saavad taaskasutada juba olemasolevaid lahendusi. Uuringust selgus, et kuigi kasutajad tunnevad ühise digivärava järele vajadust, nähakse mitmeid takistusi, mis ei pruugi aidata sel sündida.

Avaliku sektori esindajad kardavad, et ühist kontaktpunkti on keeruline arendada, ühildada ja hallata ning lisaks toob see kaasa turvariske. Peaaegu kõik avaliku sektori esindajad olid väga skeptilised selle tehnilise teostamise osas, kuna varasem kogemus on näidanud, kuidas asutuste endi süsteemid, teenused ja vajadused on niivõrd erinevad, et see teeb nende ühildamise väga keeruliseks. Rääkimata seadustest ja regulatsioonidest.

Kuna ühtsesse portaali kogutakse sellisel juhul palju tundlikku infot, siis muretsetakse, et sellest saab magus sihtmärk häkkeritele.

Riigiportaali eesti.ee kasutaja rahulolu analüüsi koondaruannet saab lugeda siit (PDF).
 

 

X-tee iseteeninduskeskkond sai septembri alguses valmis 

Nüüd saab X-teega liituda sooviv asutus sõlmida X-teega liitumislepingu iseteeninduskeskkonnas https://x-tee.ee. 

Selleks peab asutuse esindusõigusega isik iseteeninduskeskkonnas volitama X-teel enda asutusele esindaja ja turvaserveri administraatori, kellel on siis õigus tellida asutuse nimel uusi sertifikaate. Portaalis saab lisada eraldi kontaktisikud alamsüsteemile ning turvaserveri tehniliste teemade ja asutuse üldiste teemade osas. Nii on selgem, kelle poole konkreetsete küsimuste korral pöörduda.

Nüüdsest ei pea X-tee alamsüsteeme kirjeldama ja registreerima RIHAs, vaid seda saab teha kiirelt ja mugavalt X-tee iseteeninduskeskkonnas. Lisaks pakub RIA X-tee AUTH ja SIGN sertifikaate, mida iseteeninduskeskkonnas saab tellida volitatud isik.

Teenuse aktiivne arendamine jätkub ning me oleme väga tänulikud igasuguse tagasiside ja täiendusettepanekute eest. Tagasisidet on võimalik jätta teenuse enda kaudu või kirjutades meie kasutajatoele aadressil help@ria.ee.

X-Roadi turvaserveri uue versiooni 6.24.0 saab kätte X-tee testkeskkonna repositooriumist

Turvaserveri uus versioon 6.24.0 on praegu kättesaadav X-tee testkeskkonna repositooriumis, kuid lähinädalatel jõuab see ka toodangukeskkonda. REST toe kõrval on tegemist ilmselt kõige märkimisväärsema uuendusega terve X-Roadi versioon 6 eluea jooksul.

Uues versioonis on täielikult uuendatud kasutajaliides. See teeb turvaserveri administreerimise ning esimese seadistamise oluliselt lihtsamaks ja kasutajasõbralikumaks. Lisaks saab kõiki kasutajaliidese kaudu tehtavaid toiminguid teha ka üle REST API. Loe lähemalt uue versiooni kohta siit https://www.niis.org/blog/2020/8/22/new-security-server-ui-and-managemen....

NB! X-tee meeskond on hakanud aktiivsemalt kontrollima, et X-tee liikmed kasutaksid ajakohast turvaserveri tarkvara. Toetatud on viimased kaks versiooni. RIA on ühendust võtnud liikmetega, kes kasutavad toetamata turvaserveri versiooni. Tasub arvestada, et kui turvaserveri tarkvara ei uuendata mõistliku aja jooksul, võib see lõppeda liikmelisuse peatamisega.

 

Mäluvärskendus – vestlus sahver ja koodivaramu 

Praegusel keerulisemal ajal töötavad paljud kodust, mistõttu võib koostööpartneritega suhtlemine olla raskendatud. RIA tuli selle olukorra lihtsustamiseks välja alljärgnevate tööriistadega, mis aitavad koduseinte vahelt turvaliselt infot ja faile jagada. Kirjutasime nendest ka aprillis ilmunud infokirjas, kuid väike meeldetuletus ei tee paha.

VESTLUS

https://vestlus.eesti.ee (1806 kasutajat) on suhtluskeskkond, mis on kokku pandud vabavaralisest Rocket.Chatist ja Jitsi platvormist. Vestlus.eesti.ee kasutab kasutajate tuvastamiseks riigi autentimisteenust TARA, mis tagab iga kasutaja isikusamasuse.
 
Seega kõik inimesed, kellel on Eesti isikukood, saavad suhtluskeskkonda turvaliselt kasutada. Vestlus.eesti.ee keskkonnas kuvatakse kasutajanimi isikukoodi alusel ees- ja perekonnanimena. Vestlus.eesti.ee on mõeldud eelkõige tekstipõhiseks suhtlemiseks. Vestluses saate luua suhtlusgruppe, jagada pildi- ja tekstifaile ning korraldada videokonverentse. Kui on aga vaja saata suuri faile, siis selleks saate kasutada Sahvrit.

SAHVER

Kui asutusel on vaja oma partneriga jagada suuri faile, pakub RIA failivahetuskeskkonda https://sahver.eesti.ee (659 kasutajat), mille ehitasime Nextcloudi vabavaralise versiooni platvormile. Sahver võimaldab lühiajaliselt ja turvaliselt vahetada omavahel andmeid, mille maht on kuni 2 GB. Keskkonda võib kasutada failivahetuseks ka väljaspool avalikku sektorit.

Vestluse ja Sahvri lahenduste veebiversioone toetavad enimlevinud veebilehitsejad. Neid saab kasutada ka Androidi ja iOSi seadmetes, selleks tuleb seadmesse paigaldada kas Rocket.Chati ja Nextcloudi äpp. Praegu on väljas mõlema teenuse beetaversioonid ning arendame neid usinalt edasi. Seega on igasugune tagasiside väga oodatud. Selleks kirjutage aadressile help@ria.ee.

Mõlemad teenused on majutatud Eesti territooriumil asuvates serverites.

KOODIVARAMU

Selleks et riigile loodud e-teenuseid või selle osi saaksid kasutada ka teised, lõid majandus- ja kommunikatsiooniministeerium ja RIA Koodivaramu, kust saavad nii avalik kui ka erasektor võtta ja kasutada sinna lisatud sobivaid lähtekoode.

https://koodivaramu.eesti.ee kasutab Gitlabi platvormi (CE-community edition) ning see võimaldab e-riigi erinevate komponentide lähtekoodi avaldamist. Riigi eesmärk on teha võimalikult suure hulga avaliku sektori arendusprojektide lähtekood avalikuks, lihtsalt leitavaks ja taaskasutatavaks. Tulevikku vaadates on Koodivaramu eesmärgiks kogukonnast juhinduv e-riigi arendus, tuues avaliku ja erasektori teineteisele lähemale ning võimaldades suuremat koostööd ja läbipaistvust.

MKM ja RIA näevad, et tulevikus peaks avaliku sektori arendusprojektide koodi publitseerimine olema harjumuspärane ja loomulik. Praegu saab Koodivaramusse kasutaja luua Eesti eID abil. Avalikustatud projektidele pääseb ligi ja saab alla laadida ka ilma kasutajat loomata. Ka Koodivaramu puhul on tegemist esmase versiooniga, mida meie ja MKM edasi arendame.

MKMi IT arhitektuuri ja taristu nõuniku Priit Kreitzbergi sõnul on Koodivaramu üks vahenditest toetamaks kogukonnast juhinduvat arendust, millest saavad kasu eeskätt avaliku sektori IT üksused. „Koodi taaskasutus ja ühisarendused toovad kulukokkuhoiu. Näitena võiks siin tuua kohalikud omavalitsused, mille funktsioonid on laias laastus sarnased ja mis võiks seega efektiivsuse huvides kasutada sarnast tarkvara. Teiseks sihtrühmaks on laiem IT kogukond, kes saab avaliku sektori koodiga tutvuda, seda analüüsida, tagasisidestada ja miks mitte nõu ja jõuga panustada. Eeldatavasti tõuseks nii koodi kvaliteet,“ leiab Kreitzberg. „Koodivaramu muudab avaliku sektori läbipaistvamaks ning see võib olla baas, millele ehitada uusi asju,“ lõpetas ta.

 

Juulis algas nõusolekuteenuse arendus

Riigi kogutud isikuandmed ootavad rahutult hetke, et neid saaks kasutada ka väljaspool avalikku sektorit. Selleks et igaüks saaks ise anda nõusoleku oma tervise-, finants- või haridusandmete jagamiseks mõne teenusepakkujaga, arendame mitte ainult Eestis, vaid ka maailmas ainulaadset nõusolekuteenust. Nõusolekuteenusega tahame anda hoogu inimkesksele andmemajandusele tekkele.

Nõusolekuteenuse arendus algas juulis, arenduspartneriks on Helmes. Arendusperiood kestab 12 kuud. Selle lõpuks pakume vähemalt üht pilootandmekogu ja teenusepakkujaga liidestatud töötavat lahendust, mille abil on võimalik oma isikuandmeid nõusolekupõhiselt erasektoriga jagada.

Kui meie esimene suurem verstapost oli 2019. aasta detsembris, kui näitasime partneritele nõusolekuteenuse  esimest arhitektuuri ja prototüüpi, siis teine suurem teetähis oli tänavu augustis. Siis toimus arhitektuuripaneel, kus Helmesega kahasse tehtud plaanid võeti hästi vastu ja ka riigi arhitektid näitasid projektile rohelist tuld.
 

Peale tehnilise arenduse otsime vastuseid ka mitmetele juriidilistele ning sellist teenust laiemalt mõjutavatele küsimustele. Sotsiaalministeeriumi koordineeritavat mõjuanalüüsi veab Ernst & Young ning see valmib järgmise aasta alguses, luues eeldused teenuse kasutuselevõtuks tervisevaldkonna andmekogudes. Paralleelselt panustavad ka RIA juristid uute tõlgenduste ja arenduses tekkivate küsimuste osas.

Jätkuvalt on plaan nõusolekuteenusega esmalt välja tulla tervishoiusektoris, kuid konkreetseid kasutusjuhte on praeguseks juba ka nii haridus-, finants- kui liiklusvaldkonnas. Kõikide võimalike partneritega käib pidev suhtlus ja töö, et isikuandmete vahetamine nõusoleku alusel saaks võimalikuks valdkonnast sõltumata.

Kui hea lugeja arvab, et selline teenus võiks tema ametis/asutuses/ettevõttes mingit väärtust luua, on RIA alati valmis läbi rääkima ja plaane sättima. Selleks kirjuta sander.randorg@ria.ee 
 

 

Riigivõrgu uus magistraalvõrk

Riigivõrk tahab järgmiseks kevadeks valmis saada 200-gigabaidise krüpteeritud magistraalvõrgu.

Praegu ehitatakse ja uuendatakse riigivõrgu krüpteeritud magistraalvõrku. Kuni 200 Gbit/s pakkuv andmeside põhineb DWDM-tehnoloogial. Riigivõrgu eesmärk on kujundada magistraalvõrgu ja juurdepääsuvõrgu sõlmede võrgu disain sellisena, et riigivõrguga saaks ühendada kõik tähtsad andmeside lõpp-punktid. 

DWDM-tehnoloogia on optilise võrgu laiendus, mis koondab erinevatest allikatest pärinevad andmed optilistele kiududele, et suurendada ribalaiust. Iga signaal on samal ajal omaette eraldi lainepikkusel.

Selle eeliseks on protokolli ja bitrate’i sõltumatus. DWDM-süsteem koosneb tavaliselt viiest osast: optilised saatjad, vastuvõtjad, multiplekserid, võimendid ja lainepikkuse muundurid. 

Riigivõrgu võimekuse vajalikul tasemel hoidmine on hädavajalik, sest riigivõrk on riigiside süsteemi selgroog, mis pakub andmevahetus- ja internetiteenust enamikule riigiasutustele ning paljudele kohalikele omavalitsustele. Erandjuhul pakume andmeside- ja internetiteenust ka riigi nimel avalikku teenust osutavatele juriidilistele isikutele.

 

Riigi Infosüsteemi Amet tuli välja kasutajasõbralikuma id.ee portaaliga 

Riigi Infosüsteemi Amet (RIA) muutis id.ee portaali kasutajasõbralikumaks, et julgustada inimesi kasutama rohkem riigi e-teenuseid.

Uuenenud portaali on kokku kogutud erinevad juhised eID vahendite kasutamiseks ja ka vastused enamlevinud küsimustele, aidates nii e-teenuste kasutamisega algust teha. Näiteks on seal selgitused, mida tähendavad ID-kaardi PIN-koodid, kuidas mobiil-ID-ga liituda ja kuidas digiallkirja anda. Lisaks on id.ee abiks arendajatele, kes on ise e-teenuste pakkumisega algust tegemas. Portaalist saab ka alla laadida ID-kaardi kasutamiseks vajamineva tarkvara, mis on vajalik digitaalseks allkirjastamiseks ja dokumentide krüpteerimiseks. Uuenduskuuri läbinud veebileht nüüd selgem, informatiivsem ja kindlasti ajakohasem. Lisatud on „Mida teha, kui...“ rubriik, kus on välja toodud kümme enamlevinumat mure ning nende lahendused.

„Viimase kuue kuu jooksul on elektroonilise identiteedi (eID) vahendeid ehk ID-kaarti, mobiil-ID-d ja Smart-ID-d kasutanud 70% elanikkonnast, mis tähendab, et ca 900 000 inimest kuus logib end sisse mõnda e-teenusesse või annab mõne digiallkirja. Kalendrikuus tehakse kokku umbes 30 miljonit toimingut. Selliste mahtude korral võib loomulikult tekkida ka küsimusi eID vahendite kasutamise kohta.

Veebileht id.ee proovib neile olukordadele vastuseid anda ja mured lahendada,“ kommenteeris RIA peadirektori asetäitja Margus Arm. „Loodame, et uuenenud id.ee portaal julgustab inimesi rohkem eID vahendeid kasutama ja aitab seega kaasa meie põhieesmärgile tagada Eestis turvalise ja maailmatasemel elektroonilise identiteedi jätkusuutlik toimimine,“ lisas ta. 

Kõige vähem leiab eID vahendite kasutajaid 18-25 aastaste noorte ja vanemaealiste seas, mistõttu alustas RIA teavituskampaaniat „Meil on sulle parem id.ee“. Kampaania eesmärk on julgustada eID maailmaga tutvujaid kasutama eID vahendeid, sest riiklik eID on turvaline ja lihtne kasutada, samuti soovime juhtida tähelepanu uuenenud veebikeskkonnale, kus on võimalik end eID teemadel harida ja ka murede korral lahendusi leida.

Kampaania toimub paljudes kanalites – reklaame võib kohata nii uudisteportaalides, sotsiaalmeedias, televiisoris (nii reklaamina kui saadetes), raadios, bussipeatustes kui paberlehtedes. Sihtgruppideni püüame jõuda nii Prillitoosi ja Terevisiooni kui ka youtuberite abil. Kampaaniat rahastatakse Euroopa Liidu struktuuritoetuse toetusskeemist „Infoühiskonna teadlikkuse tõstmine” (Euroopa Regionaalarengu Fond).


 

 

Infoturbe haldamine muutuste keerises

Mari Seeba

Infoturbe meetmed ja riskid

Iga asi saab ükskord otsa. Nii on plaanitud ka ISKEga. Juba ammu. 2018. aastast ISKEsse enam uuendusi lisatud pole ja vajadus on uuema, lihtsama ja lühema infoturbe haldamist toetava süsteemi järele. Me kõik harjusime ära andmekogudele määrata tulnud turvaklassidega ja püüdsime üksteise võidu mõtestada, mis siis ikkagi on andmekogu ning mis sinna juurde kuulub ja mis mitte. Iga paari-kolme aasta tagant tuli oma küpsust infoturbe osas tõendada ka audiitorile või RIA järelevalvele. Mõnikord küsis meetmete rakendamise kohta ka AKI või mõni partner. Nüüd tagantjärele vaadates, ega siis ISKE halb ole, see on paljuski praegugi asjakohane, kuid siiski liiga keerulise ülesehitusega, mahukas ja terminite osas ühtlustamata. Infoturbe õpikuna aga kasutatav ka edaspidi.

Hoolimata ISKE suurest mahust avastasid need, kes võtsid vaevaks sellesse süveneda, endalegi üllatuseks, et on juba päris suure hulga meetmeid oma süsteemides rakendanud ja tunnistasid, et ISKE pakutavast portsust meetmetest võib veel puudugi tulla.

Nüüdses kiiresti muutuvas maailmas ja pidevate uute ohtudega silmitsi olles etalonturve meid alati ei aita. Lisaks tüüpseid riske vähendavatele ISKE-laadsetele etalonturvameetmetele tuleb meil liigagi sageli vaadata riskianalüüsi poole, lähtuda hetkeolukorrast ja asutuse enda riskikriteeriumitest ning luua regulaarselt uusi meetmeid jätkusuutlikkuse tagamiseks.

Etalonturve

Kes vähegi mõnda riskianalüüsi teinud, teab selle töö mahukust, ja kes seda järjepidevalt aastaid teinud, oskab hinnata ka selle kasu ja väärtust. Sageli on just esimesed paar aastat kõige töömahukamad ja kasu pea märkamatu. Riskikäsitluse tarbeks aga on vaja ise riskivähendamise meetmed välja mõelda. Seetõttu on heaks stardipunktiks just etalonturve, kus ühe tüüpse asutuse tüüpsetest süsteemidest on riskianalüüsi tulemusel tuletatud meetmed ja need etalonina ühte kataloogi kirja pandud. Kes end selle etaloniga võrdleb ja sealt sarnased komponendi leiab, saab tehtud tööd oma huvides ära kasutada. Kuid tähelepanelik tuleb olla oma asutuse erisuste osas ja kõrgemate riskidega protsesside ja varade suhtes – siin riskianalüüsist ei pääse! Seega hea toimiva lahenduse jaoks on kasulik omada etalonturvet, riskihalduse tulemusel lisada sinna oma meetmeid ja hea praktika väljakujunemisel jagada oma etaloni ka teistele – mõni hea idee võib ju saada ka keskselt pakutava etaloni osaks. Sellisteks võiks Eestis olla nt X-teega, ID-kaardi ja mobiil-ID kasutamisega seotud meetmed ja ka isikuandmete seadusele vastavuse saavutamisega seotud meetmed.

ISKE ja E-ITSi võrdlus

Uus etalonturbel põhinev infoturbe halduse süsteem alles otsib oma nime (head ettepanekud teretulnud!). Vana ISKE jääb esialgu toimima ja püüame seda hoida kättesaadavana 2024. aasta lõpuni, st kuni mõistlik üleminek ühelt teisele on toimunud. Seetõttu hoiame segaduste vältimiseks ka standardite nimed erinevad.

Päris ise uue standardi loomiseks meil Eestis hetkel kogemust ja oskust veel pole. Kuna eesmärgiks sai seatud, et uus peab olema rahvusvahelise standardiga võimalikult hästi kokkusobiv ja kindlasti jätkuvalt etalonturve, siis loogilise järeldusena võimalikest alternatiividest tugineb uus standard, nagu ka ISKE, sakslaste BSI IT-Grundschutz-Compendiumile. Oleme sealt üle võtmas parimat ja välja jätmas liigset. Eestlasele omasemaks tegemisel näeme tõsist vaeva tekstide lühendamise ja kompaktsemaks saamisega, seejuures säilitades algse notatsiooniga seotuse ja vastavuse ISO27001 nõuetega. Standard koostatakse Euroopa Liidu toetusskeemi „Infoühiskonna teadlikkuse tõstmine“ raames Euroopa Regionaalarengu Fondi rahastusel.

Mis siis muutuma hakkab? Esmalt lähtub uus standard mitte andmekogudest, vaid äriprotsessidest. Andmekogud on uue standardi käsitluses osa äriprotsessidest. Äriprotsessid on siinkohal tuletatavad asutuses avalike ülesannete täitmiseks loodud protsessidest, sellega seotud varad ja kaitsetarve (need protsesside järgi jaotused on sageli ka nt asutuste eelarvetes märgitud).

Loodav standard on mahult võrreldes ISKEga oluliselt kompaktsem (500 lk vs 5000 lk). Uues standardis oleme püüdnud jälgida, et terminoloogia oleks sisemiselt järjepidev ja ühtne kogu standardis. Poleks uskunud, et selle saavutamine on nii keeruline ja et eestlaslik jonn – „see sõna ei meeldi mulle!“ – võib nii palju emotsioone esile tuua, sest igaühel on oma arvamus. Kuid väga vähesed meist omavad terminoloogi kogemust ja teadmust vaadata tervikpilti ja mõelda terminite loomisel ka võimalike liit- ja ühendsõnade, olemasolevate mõistete süsteemi, edasiste tõlkevajaduste ja eesti, inglise ja saksa keele omavahelise tõlkimatuse aspektide peale. Tegime esialgu nii, et kasutame konfliktsete terminite kõrval ka ingliskeelseid vasteid (kui need muidugi üldse on olemas). Kuna kasutame läbivalt samu termineid, säilitame võimaluse parema termini leidmisel olemasolev läbivalt välja vahetada.


Foto 1. ISKE ja uue standardi mahu võrdlus – 5000 lk vs 500 lk.
Foto: Seiko Kuik

ISKE-l oli oma portaal ja ka uue standardi jaoks käib portaali loomine. Tööriista esimeses iteratsioonis ei teki, küll aga plaanime võimaluse, et etalonmeetmeid ja ohte saaks CSV-formaadis kasutada nt kasvõi oma praeguses töövoohalduse süsteemis (nt Jira ülesannetena jaotada). Kel juba varasem toimiv süsteem tabelarvutusvahenditega, siis ka see on variant jätkamiseks.

Andmekogude juures on oluline määrata turvaklass. See vajadus jääb alles AvTSi mõttes. Kuna andmekogu kasutus võib olla seotud nt mitme erineva äriprotsessiga ja mõnes äriprotsessis ei pruugi konkreetset andmekogu üldse osaleda, tuleb äriprotsessi jaoks määrata kaitsetarve. Siinjuures on toeks kahjustsenaariumite küsimustikud ja andmekogudele määratud turvaklassid.

Oluline on tähele panna lähenemisnurga muutust – seotud varad tuleb leida äriprotsessi kontekstis. See tähendab siiski senise turbehalduse põhjalikumat ülevaatamist, kuid võimaldab oluliselt paremini selle integreerimist asutuse erinevatesse protsessidesse (tegelikesse ülesannetesse ja töövoogudesse) ja see tähendab, et infoturbealane vastutus ei ole enam infoturbejuhil. Keskse vastutuse võtab asutuse juhtkond. Protsesside juhid (nt osakondade juhid) vastutavad oma protsesside infoturbe eest ja infoturbejuht saab vastutada vaid infoturbe koordineerimise, järelevaatamise ja nõustamise eest. Ka standard ise annab iga meetme juurde rolli, kes selle meetme rakendamise eest vastutama peab. Asutuse ülesandeks jääb standardi tõlgendamisel vastavatele rollidele oma asutuses vaste leida.

Standard pakub ka erinevaid alustamise viise. On üsna selge, et kui asutus pole varem süsteemse infoturbehaldusega tegelenud, tundub selle rakendamine esialgu paras ulme, seetõttu pakub standard nn põhiturvet ehk meetmeid, mis tuleb esmajärjekorras rakendada. Asutus võib ka kiirkorras vajada turvameetmeid oma kõige väärtuslikumale, nn tippvarale ja jätta muu esialgu hilisemaks. Sel juhul rakendab ta turvet vaid kindlale tuumale oma organisatsioonis, nimetagem seda tuumaturbeks. Kui aga põhimeetmed rakendatud, tasub avalikke ülesandeid täitvatel asutustel jõudumööda liikuda jätkusuutlikkust tagava standardturbe suunas, kus suurem rõhk on dokumentatsioonil. Dokumentatsioon tagab inimeste asendatavuse ja otsuste jälgitavuse, mis avalikus sektoris on hädavajalik. See nn standardturbe suund on juba väga lähedal ka ISO27001 standardi nõuetele. Selle peaksid kõik asutused võtma sihiks, mille poole püüelda.

Regulatsioonid

Uue standardi loomisel alustasime ka seaduste järeleaitamisega. Püüame erinevatest regulatsioonidest leida rakendajatele nõudeid ja neid ühtlustada. Nt viia uue standardi rakendamise kohustuse KüTSi alla, kus on juba kirjas KüTSi subjektide riskihalduse kohustused ja seeläbi ka meetmete rakendamise kohustused. AKI omakorda on soovitanud isikuandmete töötlemise mõjuhinnangu tegemisel see integreerida KüTSi rakendusaktis kirjeldatud riskianalüüsiga. Lisaks hakkab juba nüüd ISKE asemel alternatiivina lubatud olema ka ISO27001 rakendamine, kui see on nõuetekohaselt läbinud sertifitseerimisauditi. See alternatiiv jääb kehtima ka uue standardi kõrvale.

Auditid

Uue standardi puhul nõutakse auditeerimist iga kahe aasta tagant ja audiitor väljastab oma arvamuse asutuse riskidega toimetuleku võimekuse kohta lähtuvalt meetmete rakendatusest ja toimivast haldussüsteemist. Seda arvamust saab jagada usalduse saavutamiseks oma partneritele ja nt vastutavatele töötlejatele, lepingu osapooltele tõendusmaterjaliks või RIA järelevalvele. ISO27001 puhul saab asutus oma kindlale käsitlusalale sertifikaadi, mis kehtib ka rahvusvahelises suhtluses. Kasulik teadmine on, et uus standard tagab selle terviklikul rakendamisel enam-vähem vastavuse ka ISO27001 nõuetele, rakendades riskihalduses efektiivselt ka etalonturvet.

Auditeid ei tohiks kindlasti võtta kui tüütuid kohustusi, pigem teisest vaadet ja kindlustunde andjat asutuse juhtkonnale, et infoturve on kontrolli all ja olemas on võime tulla toime ka ootamatute olukordadega. Samuti on see märk ka nt isikuandmete kaitse üldmääruse (GDPR) nõuete täidetuse osas, et asutus on endast olenevad tehnilised ja organisatsioonilised turvanõuded korrektselt täitnud.

Mis edasi

Mõningad allikad väidavad, et kõik süsteemid vajavad põhjalikumat läbivaatamist ja uuendamist iga viie kuni kaheksa aasta tagant ja väljavahetamist iga 13 aasta tagant, et tagada jätkusuutlik toimimine ja ajakohasus.

Juba praegu tuleb asutustel rakendada riskihaldust – jätkake sellega. Uue standardi avaldamisel mõelge koos asutuse juhiga läbi teie asutuse infoturbe eesmärgid – milleks infoturve teie jaoks oluline on? Mõelge võimalike kahjude kontekstis läbi asutuse ressursid tagajärgede likvideerimiseks või kahjude ärahoidmiseks. Vaadake läbi oma asutuse äriprotsessid, protsesside eest vastutajad ja äriprotsessidega seotud sihtobjektid ning leidke etalonturbe kataloogidest asjakohased meetmed. Kui osa meetmetest on juba rakendatud, siis tuleb veenduda, et etalonmeetmete ja rakendatud meetmete vahel ei tekiks konflikte, ja tagada, et etalonmeetmed saaks komplektina rakendatud. Kui etalonmeetmed mingeid aspekte ei kata, tuleb sobivad meetmed leida riskihalduse riskikäsitlusmeetmete väljatöötamisega. Meetmete toimimist tuleb eelkõige regulaarselt seirata sisemiselt, kuid iga kahe aasta tagant on siiski vajalik ka välisaudiitori hinnang, et ei tekiks nn mugavustsoonis tegutsemist ja olulised asjad ei ununeks. Ei tasu loota, et kui ISKE toimis, siis nüüd piisab rakendustabelitel vaid nime vahetusest. Vahetunud on siiski aluspõhimõtted ja oma haldusesüsteemi ülesehitamist tasub alustada päris algusest. Olemasolevaid dokumente ja loodud protseduure ning tehtud varade kaardistamisi saab siiski taaskasutada. Kuid kaitsetarbe määramine vajab uudset lähenemist ning muutunud on ka moodulite ja meetmete ülesehitus ja sisu.

Uut standardit plaanime täiendama/parandama hakata igal aastal. Selleks on parim sisend muu hulgas ka rakendajate tagasiside ja oma parimate praktikate vahendamine teistele. Oleme juba praeguses loomise protsessis spetsialiste kaasanud, kasulikku tagasisidet saanud ja usume, et kuna standard on meie endi jaoks, siis sellesse ühiselt panustades saame just nii hea standardi kui me parasjagu vajame ja kui palju igaüks meist panustab.

Planeeritud ajakava

  • Standard saab valmis – 31.12.2020
  • Algab pilootrakendamise periood – jaanuar 2021
  • Portaal publitseerib uue standardi – jaanuar 2021
  • Koolitused standardi koolitajatele – oktoober-november 2020
  • Koolitused standardi rakendajatele – alates aprillist 2021
  • Esimesed asutused on uue standardi järgi auditeeritud – detsember 2021
  • Senised ISKE rakendajad on uuele standardile üle läinud – detsember 2022
  • Jätame ISKEga lõplikult hüvasti – detsember 2023
  • Iga aasta septembris ilmub uus versioon
  • Regulaarselt kutsume kokku seminaridele, kus jagame kogemusi ja arutame konkreetsete moodulite teemadel
  • Pidevalt ootame parandus- ja täiendusettepanekuid
  • Plaanime tööriista lahendust
     
 

Koroonahaigetega kokku puutunud inimeste teavitamiseks tõttab appi kõnerobot 

Selleks, et vähendada koroonadetektiivide töökoormust ja telefonikõnedele tehtavat aega, lõi Tervise ja Heaolu Infosüsteemide Keskus (TEHIK) kolmes keeles rääkiva kõneroboti. 

TEHIKu direktori Katrin Reinholdi sõnul sai lahendus valmis 17. septembri õhtul ja esimesele 120 lähikontaktsele olid järgmiseks päevaks kõned juba tehtud. „Kui nende kõigi läbi helistamiseks oleks terviseametil kulunud keskmiselt 30 tundi, siis kõnerobotil võttis see vaid loetud minutid,“ selgitas Reinhold ning lisas, et kui inimesele peaks selline kõne tulema, siis oleks vaja see kindlasti lõpuni kuulata, sest sealt saab olulisi nõuandeid, kuidas lähikontaktsena edasi toimida. 

Terviseameti põhja regiooni juhi Ester Öpiku sõnul on üle Eesti jälgimisel tuhandeid inimesi, kellega sidet hoitakse ja paraku kasvab nende hulk iga päevaga. „Eriti oluline on just esmane kontakt ja inimese hoiatamine, aga paratamatult kipub meil selleks inimressurssi nappima,“ tõdes Öpik ning lisas, et kõnerobot lihtsustab nende tööd kõvasti. Esialgu helistab kõnerobot siiski vaid lähikontaktsetele, haigestunud inimestele jätkavad helistamist endiselt inimesed, kes saavad koheselt vastata tekkinud küsimustele. 
  
Lisaks kõnerobotile haldab TEHIK ka HOIA äppi, mis aitab samuti tuvastada ja teavitada lähikontaktseid. 

 

#bürokrati teekaart 2020. aastaks on paigas

#bürokratt on e-Eestis avalike teenuste digitaalse toimimise kontseptsioon tehisintellekti- ehk kratiajastul. #bürokratt on krattide koosvõimeline võrgustik, mis võimaldab inimesel ehk kasutajal kasutada virtuaalsete assistentide abil kõnekeelse suhtlusega avalikke otseseid ja infoteenuseid.

Miks on #bürokratti vaja?

Eestis on e-teenused laialdaselt kasutusel ja oleme tahtnud muuta riigiga suhtlemise võimalikult digitaalseks. Sageli aga inimene ei tea, millise asutuse poole oma murega pöörduda, tal puudub ülevaade oma kohustustest ja riigi pakutavatest võimalustest ning suhtlus on liiga kohmakas ja aeganõudev nii asutuste kui inimese vaatest.
 
Tehisintellekti ja eriti virtuaalassistentide areng (nt mobiilseadmetes) aitaks seda probleemi lahendada. Võiksime inimestega suhelda läbi telefoni virtuaalabiliste või ka muude platvormide (nt Skype, Facebook, Whatsapp), mis on neile palju mugavamad ja harjumuspärased kasutada, ning seega jõuaks ka vajalik info paremini kohale.



Tahame #bürokratiga muuta avalike teenuste kasutamise radikaalselt lihtsamaks ja kasutajakesksemaks ning pakkuda inimesele parimat digiriigi kasutajakogemust.

Majandus- ja kommunikatsiooniministeerium avalikustas septembri alguses #bürokrati katseprojektide teekaardi aastaks 2020. Teekaart näeb 2020. aastal ette seitsme analüüsi- ja pilootprojekti ning kahe koostööprojekti alustamist, millest esimesed on juba ka koos RIAga.

  • Vestlusroboti arendus ja sõnumiruumi PoC
  • Alternatiivsete kanalite kasutamise analüüs ja PoC
  • Kodaniku pöördumiste klassifitseerija analüüs ja PoC
  • Riikliku mobiilirakenduse analüüs ja PoC
  • Kõnesüntees
  • Nimeüksuste, ajafraaside tuvastamine
  • Nõusolekuteenus

Koostöö ettevõtetega: Google, Apple, Samsung, Microsoft jt.
Eesmärk on alustada koostööd ja leppida kokku edasised tegevused vähemalt ühe virtuaalassistenti arendava globaalse ettevõttega #bürokrati liidestamiseks.

Koostöö Soomega: #bürokratt + #AuroraAI
Eesmärk on alustada Soome valitsusega koostööd ja leppida kokku tegevuskava, et katsetada ja arendada piiriülest krattide koosvõimet.

 

 

Koostööpartneritele suunatud RIA infopäev toimub virtuaalselt novembri lõpus. Täpsem info 19. oktoobril.

Järgmine RIS infokiri ilmub detsembris. Kui sinul või sinu asutusel on kogukonnale suunatud uudiseid, mida soovid infokirjas jagada, siis kirjuta meile press@ria.ee.

Viimati muudetud: 30.09.2020

Kas said vastuse oma küsimusele?


Täname tagasiside eest!