Koos vastutades tagame elektroonilise identiteedi turvalisuse

Identiteedipakkuja vastutus

Üks ettevõte, kes on võtnud endale olulise rolli digitaalse identiteedi turvalisuse tagamisel, on elektroonilise identiteedi pakkuja SK ID Solutions. Ühelt poolt on SK eesmärk ID-kaardi sertifikaatide, Smart-ID ja Mobiil-ID abil võimaldada tarbijatele turvalist ja mugavat juurdepääsu e-teenustele ning teisalt pakkuda e-teenustele kindlustunnet, et inimene, kes nende poole pöördub on tõesti see, kelle ta väidab enda olevat.

Digitaalse identiteedi pakkuja – olgu selleks mõni rahvusvaheline korporatsioon nagu Microsoft või kodumaine SK ID Solutions – ülesanne on pakkuda inimestele võimalikult turvalist ja usaldusväärset vahendit, millega inimesed oma identiteeti tõestada saaksid. Nii on näiteks SK pakutav Smart-ID läbinud põhjalikud sertifitseerimised ja hindamised ning kõik olulised osapooled, sh Eesti riik, audiitorid ja rahvusvahelised organisatsioonid, on kinnitanud, et tegemist on igati turvalise autentimis- ja allkirjastamisvahendiga. Selle põhjal on Smart-ID kantud Euroopa usaldusnimekirja, see vastab eIDASe nõuetele ning on pälvinud mitte ainult Baltikumi vaid ka näiteks Islandi riigi ja Belgia elanike usalduse.

Samas peavad kurjategijad üle maailma tehnika arenguga väga hoolsalt sammu ja on varmad proovima üha uusi ja uusi viise, kuidas korralike inimeste andmed ja raha kätte saada – seepärast on rakenduse turvalisuse tagamine pidev töö ja võidujooks pahalastega. Selle alla kuulub näiteks Smart-ID kontrollitud ja standarditele vastav väljastusprotsess, kõrgetasemeline kloonituvastus, brauserite ja IP-aadresside põhine turvalisus, kontrollkoodid tehingute kinnitamisel jne.

Peale turvalisuse on identiteedipakkuja kohustatud tagama, et tema loodud lahendus oleks alati kättesaadav ja veatult toimiv, sest see on eelduseks, et kasutajad saaksid hõlpsasti ja tõrgeteta oma digitaalset elu nautida. Kõikjal ja alati.

Ka intuitiivne kasutuskogemus ning vajadusel pakutav tehniline tugi on just identiteedipakkuja vastutada – nii saavad nüüd Smart-ID Apple Watchi kasutajad transaktsioone kinnitada lisaks telefonile ka nutikellaga.

E-teenuse vastutus

E-teenused vastutavad ennekõike selle eest, et nende loodud keskkond, nt e-pood, oleks tehniliselt turvaline ja nende kätte jõudnud klientide andmed oleksid alati hästi hoitud. See hõlmab nii klientide kasutusmustrite analüüsi, kus näiteks tuvastatakse ootamatud sisselogimised teisest riigist, kui ka makse- ja tarneviisi ootamatuid muudatusi. E-teenuste ülesanne on jälgida klientide kontode kasutust ning reageerida kiiresti, kui ilmnevad kahtlused või potentsiaalsed ohud.

Kui tekib kahtlus võimaliku turvariski või ebatavalise tegevuse suhtes, peaks e-teenus võtma kohe kasutusele vajalikud meetmed klientide ja nende andmete kaitsmiseks. See võib hõlmata ajutist konto blokeerimist, täiendavat autentimist, hoiatuskirjade saatmist vms. Kuigi need meetmed võivad mõnikord tunduda koormavad, aitavad need siiski tagada klientide andmete kaitse ning hoida ära võimalikke rünnakuid, sest kurjategijad eelistavad rünnata selliseid lehekülgi ja teenuseid, mille puhul pole teada, kui efektiivselt ja rangelt ohtudele reageeritakse. Üks viis, kuidas finantsasutused saavad ebatavalisi tegevusi tuvastada, on IP-aadressi ja asukoha reaalajas analüüsimine, kus enne tehingu lõplikku kinnitamist võrreldakse tehingu käivitamise IP-aadressi selle IP-ga, kust tehing kinnitatakse. See on lihtne, kuid samas väga oluline viis ennetada kuritegu, sest pärast tehingu kinnitamist on seda väga raske vaidlustada.

E-teenused panustavad ka teavitustööle ja jagavad klientidele professionaalset infot nii uute pettuste kui ohutusnõuannete kohta. See aitab suurendada üleüldist teadlikkust ning seeläbi vähendada pettuste ohvriks langemise riski ka laiemalt kui ainult konkreetsete üksikjuhtumite puhul.

Kasutaja vastutus

Kui identiteedipakkuja on loonud veatult toimiva ja alati kättesaadava lahenduse ning ka e-pood on turvaline, siis sellega on loodud ka võimalus oma e-elu asju mugavalt ajada. Kuid nii nagu iga ukseluku puhul, nii vastutab ka eID puhul turvalisuse eest lisaks lukufirmale ka see, kelle käes on võtmed. Smart-ID puhul on selleks võtmeks salajane PIN-kood – autentimiseks PIN1 ja allkirjastamiseks ehk tehingu kinnitamiseks PIN2. Kuni need PIN-koodid on teada ainult kasutajale ja kuni neid sisestatakse ainult siis ja sinna, kus on täiesti turvaline, on ka e-identiteet kaitstud. Seega on kasutaja vastutus hoida oma PIN-koode salajas ja olla nende sisestamisel äärmiselt tähelepanelik ning mitte kunagi unustada, et PIN-koode tohib sisestada vaid ja ainult siis, kui kasutaja on ise tehingu (autentimise või allkirjastamise) algatanud.

Kasutaja saab ja ka peab hoolitsema selle eest, et seade, kuhu digitaalse identiteedi lahendus paigaldatud on, oleks võõraste eest kaitstud. See hõlmab nii ekraanilukku, tarkvara uuenduste õigeaegselt paigaldamist kui ka seadme ja interneti üleüldist turvalist kasutamist.

Turvaline digitaalne identiteet on ökosüsteemi kõikide osapoolte vastutus, koostöös saame me hoida ja veelgi suurendada turvalist digitaalset maailma, piiriüleselt ja teenuseüleselt!