Kui teeks Eesti interneti turvaliseks?

Ilmunud Äripäeva Arvamusküljel mõnevõrra kärbituna 24.11.2016

Turvaline internet?! Ära tee nalja, see on võimatu. Just nii vastavad mu sõbrad kui oma mõtet neile tutvustan. Usun, et Eestil on suurepärane võimalus muuta oma nurk internetis juba lähemate aastate jooksul turvaliseks.

Eestit tuntakse üha rohkem kui e-riiki üle kogu maakera tänu e-valitsusele ja e-residentsusele, samas on meil võimalus ka oma .EST bränd viia sõna otses mõttes inimesteni üle kogu maailma. Tehniliselt tuleks selleni jõudmiseks lihtsalt turvata veebiühenduse mõlema osapoole (kasutaja ja veebikülg) vaheline andmeside – nii nagu pangad seda juba aastaid kasutanud on.

Eestile kuuluv interneti ruum on .EE maa-domeeni tagant tuttav meile kõigile. Oma tänase tehnoloogiaga tuvastame veebikasutaja väga paljudel lehekülgedel – kasutame turvalist ID-kaardi ja mobiiliga sisselogimist paljudesse Eesti veebiteenustesse.

the-most-secure-domain-on-the-internet-est

Kõik serverid peavad hakkama kasutama turvalist andmesidet. 

Üha enam on levimas https protokolli kasutamine veebis liikuvate andmete krüpteerimiseks. Oktoobrist hakkasid Eesti suurematest teenusepakkujatest Zone ja Veebimajutus pakkuma lisatasuta turvapakette ja Letsencrypt sertifikaate, millel on suur mõju veebiliikluse turvalisuse tõstmisel Eestis. Ma ei saa väita, et krüpteerimine väldiks septembris ja oktoobrid toimunud Mirai nimelise internetiviiruse põhjustatud kahjusid “Asjade Interneti” poolt, kuid kindlasti on enamus “Tarku seadmeid” piisavalt rumalad ja nad ei oska kasutada krüpteeritud sidet.

Probleem .EE domeeniga on eelkõige teises otsas – spetsialistide hinnangul kuulub kümneid tuhandeid .EE domeene spekulantidele hiinast, kes on neid kokku ostnud ja üritavad neid kas edasi müüa või nende kaudu liikuvate andmete pealt raha teenida. Testimiseks vaatasin täiesti huupi domeene 11.ee kuni 19.ee – nende hulgas on täiesti tõsiseid Eesti ettevõtteid, aga samas suunatakse mind ka kahtlastele lehekülgedele.

Samas võiks ju kõigi .EE domeeni kasutavate serverite turvalisust kuidagi kontrollida? Ilmselgelt on see suhteliselt keeruline, kui isegi mitte võimatu. Samuti ei saa ju keegi minna maksvatelt klientidelt, kes ei riku tänaseid mängureegleid, domeene ära võtma.

Tuleb võtta kasutusele uus Eesti veebiruum – .EST domeen. 

Täna internetis .EST üld-domeeni ei ole. See on küll interneti haldamisega tegeleva organisatsiooni ICANN poolt välja kuulutatud ühe võimaliku domeenina ja on huvitav, et Google taotles seda juba viie aasta eest, aga võttis oma taotluse tagasi. Nimelt on ICANN põhimõtetes riikide tunnuste mitte-jagamine ettevõtetele. Asja teeb keerulisemaks see, et kolmetähelisi maadomeene jagab ICANN vaid erandkorras.

Samas, isegi bürokraatiat muutmata, on Eestil võimalik taotleda ja saada enda kasutada .EST domeen kui ICANN lähiajal avab taaskord taotlusvooru uutele üld-domeenidele. Ilmselgelt kui samal ajal taotlevad seda Eesti riik ja mõni äriettevõte, peaks ICANN oma reegleid järgimaks andma domeeni Eestile. 

Tõsi, üld-domeen ei ole tasuta lõbu – eriti väikeste ettevõtete jaoks on see liiga suur investeering. Kõlab ju ka riigi tasemel 185,000 dollarit koos iga-aastase 25,000 dollari maksega täiesti arvestatava summana. Samas eelmisel aastal registreeriti kokku 32,597 uut .EE domeeni — sama nõudluse korral oleks esimese aasta 6.44 eurot hinnaga  kogu kulu tasutud. Lisaks maalähedasele matemaatikale võib vaadata ka maailma veebiraha huvi põnevate domeenide vastu. Näiteks Tuvalu väikesaar sõlmis juba 1990ndatel $50 miljoni väärtusega lepingu oma riigidomeeni edasimüümiseks.

the-most-secure-domain-on-the-internet-est-get-notified

Mis oleks kui?

Eesti saaks teha .EST üld-domeenist maailma esimese turvalise domeeni ja nn tuleviku interneti näiteks koos Google’ga. Idee võib kõlada taas skeptikute jaoks ehk liigagi suurejoonelisena, aga kindlasti oleks selleks huvi ka internetihiiglasel, kelle jaoks on veebi turvamine selgelt üheks keskseks prioriteediks. 

Ainult usaldus ja turvatunne internetis aitab tagada, et üha suurem osa inimestest teeb oma sisseostud veebis. Google jaoks on oluline kasutaja ja serveri vahelise ühenduse turvamine – tuleb ju veebikülgedega kaasa tihtilugu Google reklaame, mis peaksid alati jõudma tarbijani. Selleks paneb Google oma Chrome veebilehitseja uuest aastast hoiatama kasutajaid alati kui nad lähevad mitte-krüpteeritud leheküljele.

.EST domeeni saavad taotleda ainult Eesti riigi poolt piisava e-identiteediga kodanikud – eesti ID kaardi omanikud ja e-residendid. Tingimus on, et domeeni server peab kasutama ainult krüpteeritud sidet, milleks antakse kaasa sertifikaat. Serverile tehakse perioodiliselt turvaauditit, mis on suht rutiinne ja automaatne tegevus. See, et kasutaja tuvastamine muutub iga päevaga olulisemaks, pole ilmselt enam uudis – personaalset teenust saab pakkuda ainult siis, kui kasutaja on teada.

Nii olekski turvaline nurk internetis loodud – usaldusväärne domeen, kontrollitud server, turvatud ühendus ja tuvastatud kasutaja. Lihtne. Ja loomulikult COOL.EST ja SAF.EST veeb aitaks omalt osalt Eesti brändi maailmas üha kaugemale viia.

Smart ID asutajana panen meid SMART.EST domeeni ootenimekirja siinkohal juba kirja.

Kes veel huvi tunneb, siis andke endast märku leheküljel DOTEST.EE

Heikki Visnapuu
heikki@smartid.ee

Smart ID Estonia OÜ