Dokobiti blogi

E-identimise vahendid: miks peab neid olema mitu ja missugused valida?

E-riigi Akadeemia küberturvalisuse valdkonna juht Epp Maaten ütleb, et riik on tunnustanud ühtviisi nii ID-kaarti, mobiil-ID-d kui ka Smart-ID-d. See aga ei tähenda, et elektroonilisse isikutuvastamisse või dokumentide allkirjastamisse võiks suhtuda kergekäeliselt.Foto: E-riigi Akadeemia

Elektroonilise identifitseerimise vahenditest on teada-tuntud kolmik ID-kaart, mobiil-ID ja Smart-ID. Lisaks on aga olemas veel ka digi-ID, e-residendi digi-ID ja elamisloakaart. Kindlasti võiks igaühel olemas olla vähemalt kaks e-identimise vahendit. 

Missugused võimalused valida, mida seejuures silmas pidada ning kas mõni e-identimise võimalus on teistest turvalisem, selgitavad E-riigi Akadeemia küberturvalisuse valdkonna juht Epp Maaten ja Riigi Infosüsteemi Ameti (RIA) eID osakonna äriarhitekti Mark Erlich.

Miks on vaja mitut võimalust?

Epp Maaten täpsustab, et osa eeltoodud e-identifitseerimise vahenditest on residentidele ehk neile, kelle elukoht on Eestis, osa aga mitteresidentidele. 

“Kui räägime Eesti elanikest, siis peamine argument, miks võiks olla mitu e-identifitseerimise võimalust, on see, et kui ühega midagi juhtub ja seda ei saa kasutada, siis ei ole inimene n-ö lõksus ja ei jää soovitud teenustest ilma,” põhjendab Maaten.

Ta toob ta välja ka selle, et kui näiteks ID-kaardiga minna välismaale ja seal ei ole inimese valduses arvutit, kuhu oleks õigus tarkvara laadida, või puudub kaardilugeja, ei saa ID-kaarti kasutada. Sel puhul tulebki appi kas mobiil-ID või Smart-ID, mis ei nõua seadmes spetsiaalse tarkvara olemasolu. 

Lisaks on Maateni sõnul võimalik kõigil vormistada endale ka digitaalne isikutunnistus ehk digi-ID. See on digitaalne dokument, millega saab elektroonilises keskkonnas oma isikut tuvastada ja anda digitaalset allkirja.

“Digi-ID-l puudub foto ja seda näidates ei saa enda isikut tõendada, kuid see lahendab näiteks elektroonilise allkirja andmise probleemi,” selgitab Maaten.

Üks e-identimise vahend on lausa kohustuslik

Nii Epp Maaten kui ka Mark Erlich nendivad, et üks e-identimise vahend, nimelt ID-kaart on Eesti kodanikele kohustuslik dokument ning seda kasutatakse ka füüsilise dokumendina.

“ID-kaardiga saab kasutada kõiki teenuseid. Argipäevaelus eelistavad seda varianti näiteks need, kes tööalaselt peavad mitmeid kordi kusagile sisse logima ja palju allkirju andma, siis ei ole vaja telefoni korduvalt välja otsida,” toob Erlich välja ja täpsustab, et on ka palju selliseid ID-kaardi kasutajaid, kes lihtsalt ei taha endale tasulist mobiil-ID-d ja samas ei ole nad ka nutitelefonisõbrad.

Kas valida tagataskusse tagavaraks mobiil-ID või Smart-ID, sõltub nii Maateni kui ka Erlichi kinnitusel eelkõige kasutaja harjumustest ja eelistustest.

Näiteks mobiil-ID töötab ka nuppudega telefonis ning ei vaja internetiühendust. “See sobib rohkem konservatiivsele kasutajale ja ka neile, kes reisivad väljaspool Euroopa Liidu riike, sest  ei tekita suurt roamingu maksumust,” selgitab Erlich.

Smart-ID eeldab nutiseadme olemasolu ning Epp Maaten nendib, et neile, kes seda kasutada ei soovi, lahendus seetõttu lihtsalt ei sobi.

Mark Erlich täiendab, et kuna Smart-ID on kommertslahendus, mille eest veebiteenuse osutajad maksavad rohkem kui mobiil-ID lahenduste eest, siis ei ole Smart-ID kõigis portaalides ja teenustes paraku ka toetatud. “See lahendus sobib neile, kellele meeldivad nutitelefonid ja neid ei häiri telefoniga pidev tegutsemine, kui on palju sisselogimisi või allkirju järjest vaja anda.” 

Kas üks on turvalisem kui teine?

Epp Maaten ütleb, et lähtudes turvaanalüüsidest on riik tunnustanud ühtviisi nii ID-kaarti, mobiil-ID-d kui ka Smart-ID-d. “Saame neid kõiki järelikult pidada piisavalt turvaliseks,” kinnitab ta. See aga ei tähenda, et elektroonilisse isikutuvastamisse või dokumentide allkirjastamisse võiks suhtuda kuidagi kergekäeliselt.

Maaten suunab, et tähelepanelik tuleb olla alati, kui keegi küsib isikutuvastuse PIN-koode. Mõne aasta eest oli sarnane rünne näiteks Smart-ID süsteemile. “Kasutajate  telefoniekraanidele ilmusid sõnumid, kus paluti saata oma PIN-koodid ning selle taga olid pahalased, kes tahtsid saada ligipääsu Smart-ID kontodele ja PIN-koodidele,” meenutab Maaten.

Ta rõhutab, et kunagi ei tohi sisestada oma PIN-koode, kui ise ei ole koodi sisestamist eeldavat tegevust algatatud. Pigem tasub olla ettevaatlik, kontrollida kinnituskoodi ja teenuse nimetust, kust PI- koodi küsimine on algatatud.

Ka kvalifitseeritud e-allkirjastamise lahendust pakkuva Dokobiti Eesti esindaja Katri Lindau rõhutab, et turvalisuse arvelt kompromisse teha ei tohi! 

Lindau sõnul pole vahet, millist kvalifitseeritud e-allkirjastamise vahendit kasutada. Eestis on nii ID-kaart, mobiil-ID kui Smart-ID kvalifitseeritud e-allkirjastamise vahendid ja kahtlemata turvalised. Kuid kindlasti tuleb meeles hoida, et e-identimise kasutamiseks vajalikud PIN 1 ja PIN 2 koodid on väljastatud konkreetsele kasutajale ning neid peab iga kasutaja pidama ikka ainult iseenda omaks ning mõtlematult ei tohi koode kusagile sisestada.

Lindau rõhutab, et kuivõrd Eestis kasutusel olevad e-allkirjastamise lahendused loovad kõrgeima taseme ehk kvalifitseeritud e-allkirja, mis on käsikirjalise allkirjaga võrdsustatud, ei ole hiljem vaja tõendada, et teie ise andsite allkirja, vaid tõendada, kui te seda siiski ei teinud.

Epp Maaten suunablisaks, et kui oled avastanud e-identifitseerimist puudutava probleemi, peaks sellest kindlasti teavitama teenusepakkujat. “Kui tundub, et õnnetus või rünne juba on juhtunud või tekkinud tõsisem kahju, siis tuleks sellest teavitada näiteks cert.ee üksust RIA-s või keskkriminaalpolitsei küberkuritegude bürood,” soovitab Maaten. 

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Telli Geeniuse kõige hinnalisemad lood oma postkasti

Saadame sulle igal argipäeval ülevaate DigiPRO ja Ärigeeniuse olulisematest lugudest.