Sellel veebilehel kasutatakse küpsiseid. Kasutamist jätkates nõustute küpsiste ja veebilehe üldtingimustega

Nõustun

Turvaline digimaailm

Informatsiooni saab lisada kõikjale meie ümber: riietesse, sõidukitesse, ehitistesse, lilledesse, maapinda meie jalge all. Selliste seadmete hulk suureneb pidevalt ja igaüks neist võib rääkida loo andmete põhjal, mida ta kogub. Kõik see muudab järjest tähtsamaks andmete ja turvalisusega seotud küsimused.

Kui mitut internetti ühendatud seadet te iga päev kasutate? Kui mitut kaasas kannate? Levinumad on ilmselt nutitelefonid, aktiivsusmonitorid ja nutikellad, mis koguvad infot teie tegemiste kohta. Kombineerides erinevaid andmeid ja nende voogu, võib maalida tervikpildi meie elust – kus töötame, kus sööme, kus trennis käime, millist kino külastame, kus sisseoste teeme, missugune on meie tervislik seisund jne. Sellised seadmed koosmõjus suurandmete ja asjade internetiga on loonud üleilmse teabetaristu, kus üksikisiku eraelu puutumatuse tagamiseks tuleb väga tähelepanelikult täita isikuandmete kaitse õigusnorme ning rakendada asjakohaseid infoturbe meetmeid.

Suure osa andmetega tehtavatest toimingutest teevad tehnoloogilised lahendused ära sageli automaatselt. See muudab meie kõigi jaoks enda kohta käivate andmete neutraalsuse säilitamise järjest keerukamaks. Kõikvõimalike kasutustingimuste läbilugemine enne mõne uue rakendusega liitumist on muutunud ülimalt oluliseks. Tõsi, see on tüütu ja aeganõudev, kuid see on ainus võimalus meil endil kontrollida oma andmete kasutamist.

Humoorikas video targa kodu lahendusest, mil igapäevased asjad suhtlevad omanikuga. Video: TRY

Kuidas oma andmeid kaitsta?

Digimaailma turvalisuse tagamine on asjade interneti ja andmete ajastul aina tähtsam. Veelgi olulisemaks muudavad selle mõlemal pool Atlandi ookeani välja tulnud mitmed kasutajaandmeid ohustavad juhtumid, mistõttu on nüüdseks võetud kasutusele turvalisusega seotud regulatsioon. Ameerika Ühendriikides jõustus vastav määrus 2017. aasta lõpus, Euroopas tagab kodanike õigusi alates 2018. aasta maikuust Euroopa Parlamendi ja nõukogu määrus 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (General Data Protection Regulation, lühend GDPR).

Määrus annab meile, kodanikele, rohkem õigusi otsustada, kuidas meie kohta käivat informatsiooni võib kasutada. Organisatsioonide jaoks tähendab see aga, et isikuandmete kogumine ja kasutamine peab olema kindlal eesmärgil omavahel kokku lepitud. Nad peavad mõistma, millised andmed neil on, teadma, kus neid hoitakse ja kes selle eest vastutab. See nõuab andmete privaatsuse tagamise süsteemi pidevat ajakohastamist.

Isikuandmed on eri laadi andmed, mis võivad kokku kogutult tuua kaasa konkreetse isiku üheselt tuvastamise. Isikuandmeteks ei loeta enam isikuandmeid, mis on muudetud anonüümseks sellisel viisil, et üksikisikut ei ole võimalik tuvastada või ei ole enam võimalik tuvastada (Euroopa Komisjon). Loe lühidalt, missuguseid andmeid loetakse isikuandmeteks ning missuguseid mitte.

Privaatsuse uus tähendus

Ekspertide arvamuse kohaselt on tehnoloogiamaailmaga seotud privaatsuse uus tähendus alles kujunemisjärgus. Ühelt poolt mõjutavad seda tehnoloogiaettevõtted, mis pakuvad inimestele, lõpptarbijatele teenuseid ning teavad ja näitavad, mida kõike on võimalik andmetega teha. Teiselt poolt mõjutavad selle kujunemist inimesed ise, kellele tihtilugu ei lähe andmetega seotud küsimused korda. Nad tahavad lihtsalt head teenust ja mugavust.

Tehnoloogiamaailmaga seotud privaatsuse teema tundlikkus on ühiskonniti ja riigiti väga erinev. Originaaltähenduses on privaatsus fundamentaalne inimõigus. See on kultuuriline mõiste. Igal kultuuril on oma arusaam privaatsusest, kuid GDPR-iga on Euroopa Liit kehtestanud privaatsuse sellisena, mis ei ole kultuuriliselt omane kõigile rahvustele. On riike, kus privaatsuse teema on saanud mentaalseks piduriks ning takistuseks uute teenuste arendamisel. Kogu tähelepanu on suunatud sellele, et otsitakse vastuseid privaatsuse küsimusele, ehkki lõpptarbija ei pruugi probleemi näha.

Turvalisus vs mugavus

Turvalisuse funktsioonil on digimaailmas kaks poolt – mugavus ja turvalisus. Privaatsus jääb kuskile nende kahe vahele. Mida rohkem me endast ära anname, seda rohkem vastu saame, seda mugavamaks teenused meile lähevad, seda lihtsamaks muutub nende kasutamine. Kaotame nii turvalisuses kui ka privaatsuses.

Liigume selles suunas, et kasutajad soovivad aina mugavamaid teenuseid. GDPR-i nähakse paratamatusena ning maailmapraktika on alles välja kujunemas. Kogu maailm on praegu huvitatud digimaailma võimalustest, ohtudest ja raskustest ning oodatakse nii üksikisiku, organisatsioonide kui ka riiklikul tasemel sekkumist.

Andmed juhivad tehnoloogia järgmist revolutsiooni ning toidavad tulevasi tehisintellektil põhinevaid lahendusi. On aja küsimus, millal tundlikud andmed satuvad mõnda sarnasesse süsteemi ning selgub, kui paljud masinjuhtimisel põhinevad otsustusprotsessid suudavad ka tegelikult rakendada kustutamise õigust või õigust olla unustatud. Kas andmeid koguvad organisatsioonid on teadlikud, kus ja kuidas nad andmeid oma süsteemides kasutavad?

Kasutajad peavad tegema teadlikke valikuid

Tehnoloogia kasutajatelt oodatakse teadlikke valikuid – tutvumist privaatsuspoliitikaga alati, kui teda suunatakse mõne seadme või rakenduse kasutamisel teenusepakkuja andmekogumise tingimustega tutvuma.

On oluline, et kasutaja mõistaks, kuidas ettevõte raha teeb. Tasuta mobiilimäng võib näidata reklaame või müüa järgmise taseme mänge. Kui ei ole arusaadav, kust ettevõtte raha tuleb, siis on väga tõenäoline, et just sinu andmed ja privaatsus on see, millega nad raha teenivad.

Selliste teenuste ja rakenduste kasutamine tähendab, et tundlikke andmeid, mis on kogumiseks ja kasutamiseks kättesaadavad, on rohkem, kui arvata oskame. Loodetakse, et 2018. aastal rakendatud uus isikuandmete kaitse määrus suurendab inimeste teadlikkust andmete privaatsusest. Kuid realistlikult lähenedes mõistetakse, et see võib kaasa tuua pigem suurema osa andmete kogumise vähem teadlike inimeste arvelt.

Ka väga suure hulga andmete töötlemise kulukus on vähenenud ning see pakub tarkvara- ja teenusepakkujatele uusi võimalusi, kuidas neid andmeid kasutada. Selline suurandmete ökosüsteem tähendab, et võimekus andmeid koguda ning kogutud andmeid ka müüa on paljudel firmadel. Lihtsaimat viisi selle tegemiseks pakub meie valmisolek aktsepteerida vaikeseadistust. Kui me privaatsuspoliitikasse ei süvene, muutuvad meie identiteet, eluviis ning personaalsed andmed ettevõtete varaks. Samas, kui soovime teenust kasutada, on teenusepakkuja privaatsuspoliitikaga nõustumine meile kohustuslik.

Paindlikkus annab konkurentsieelise

Uued tehnoloogiad võimaldavad nõustuda privaatsustingimustega n-ö osaliselt ning anda teenusepakkujale õigus andmete töötlemiseks alles siis, kui teatud andmetele on tarvis ligipääsu. Näiteks mobiiltelefonis olev Facebooki rakendus ei pääse kasutaja piltidele ligi enne, kui kasutaja mõnda pilti soovib üles laadida.

Prognoositakse, et kontekstipõhisest privaatsusest saab juba 2020. aastal ettevõtetele ja organisatsioonidele oluline konkurentsieelis, millega saavutada pikaajalist lojaalsust. Andmete kogumine ja kasutamine kindlal eesmärgil ja kasutajatega kokkulepitult nõuab organisatsioonidelt väga head koostööd ja läbimõeldud protsesse. Näiteks oleks vaja organisatsioonisiseselt kokku leppida, kuidas andmeid klassifitseerida, milline on nende väärtus, kui kaua on neid mõistlik säilitada ning millised on organisatsiooni ja kõigi selle liikmete kohustused andmete kaitsmisel ja käsitlemisel.

Eestist võib hea näitena tuua Eesti Geenivaramu, mis on potentsiaalsele kliendile läbipaistvalt teinud kättesaadavaks nii geenidoonoriks saamise protsessi kui ka andmete kogumise ja töötlemise õigused.

Töötaja ja tööandja samaväärne roll turvalisuse tagamisel

Töötajatel ja tööandjatel on samaväärne vastutus turvalisuse tagamisel. Organisatsioonid on pikka aega kaitsnud ennast peamiselt väljastpoolt tulevate küberrünnakute, näiteks viiruste, häkkerite või lunavara nõuete eest. Samas on mitmed suuremad juhtumid lähiminevikust tegelikult põhjustatud organisatsiooni seest tulenevatest vigadest või andmete väärkasutusest, mille eest võib ettevõtet edukalt kaitsta näiteks varukoopiate tegemine ja krüpteeritud andmebaasist eraldi hoidmine.

Inglismaal enam kui 600 organisatsiooni hõlmanud uuring (Filmin, 2017) kinnitab, et 66% organisatsioonidest peab töötajaid kõige suuremaks ohuks süsteemide kättesaadavusele ja turvalisusele. Need hirmud tunduvad olevat õigustatud: uuringu andmeil tunnistab ligikaudu veerand (24%) töötajaist soovi jagada konfidentsiaalset teavet väljaspool oma organisatsiooni, kas konkurentidele või uutele ja endistele tööandjatele.

Vastavalt GDPR-ile tuleb andmetega seotud häiretest teatada 72 tunni jooksul. See tähendab, et organisatsioonil peavad olema strateegiad ja protseduurid, kuidas toimida.

Töötajate teadlikkuse tõstmiseks kasutatakse erinevaid võimalusi. Ühe näitena võib tuua Euroopa Liidu IT-agentuuri eu-LISA, kes arendas oma töötajate ning liikmesriikide teadlikkuse tõstmiseks ning teadmiste ajakohasena hoidmiseks äpi (eu-LISA DPO Learning App).

Küberrünnakud

Tehnoloogia arengu ning andmete mahu suurenemise ja olulisuse kasvuga kaasnevad ka agressiivsemad rünnakutehnikad. Küberrünnakute sihtmärgiks võivad olla nii tarbijaprofiilid kui ka suurettevõtted.

Andmete kogumine meie veebiharjumuste kohta võimaldab lihtsalt konstrueerida profiile, mis võivad osutuda väga isiklikeks ning pakkuda infot, mille kohta me isegi ei tea, et keegi seda kogub. Andmete vargus võib olla küberkurjategijatele hindamatu väärtusega, andes neile võimaluse šantažeerida kasutajaid, kelle veebiharjumusi nad teavad. Samuti ohustavad küberrünnakud kõiki suurettevõtteid. Näiteks võib tuua küberrünnaku juhtumi Uberiga 2017. aasta lõpust, mis seadis ohtu Uberi 57 miljoni kasutaja ja vähemalt 600 000 juhi isikliku teabe (loe lisa).

Turvaline digimaailm ja haridus

Turvalise digimaailma loomist hariduses on kõige tähtsam käsitleda kahest aspektist – esiteks haridusasutuse nagu iga teise organisatsiooni vastutusena andmete kaitsmise ees. Teiseks õppijate, kooliinimeste ja lapsevanemate teadlikkuse tõstmise vaatenurgast.

Kontekstipõhised kokkulepped andmete kaitsmiseks ja eesmärgipäraseks kasutamiseks on kindlasti üks faktor, mida hariduse valdkonnas soovitatakse silmas pidada. Näiteks on andmed õppijate õppeprotsessi kohta või selle kohta, kuidas nad õpikeskkondi kasutavad, tavaliselt salvestatud teenusepakkuja pilvekeskkonda. Vastavate õpikeskkondade pakkujad on nende andmete kaubanduslikust väärtusest väga teadlikud. Õppetöös kasutatavate keskkondade, näiteks õpikeskkonna teenuse kasutamisel tuleb pakkujaga alati läbi rääkida, kes vastutab õppeprotsessiga seotud andmete eest, kuidas nende kättesaadavus tagatakse ning mis tingimustel ja missuguses kontekstis neid kasutada võib. Selline võimekus on eeltingimuseks, et saaksime neid andmeid kasutada analüüsiks, näiteks hariduse diferentseerimise eesmärgil või õppijate tulemuslikkuse toetamiseks. Kuivõrd teenusepakkuja on volitatud töötleja, siis peab leping tagama selle, et andmeid kasutatakse vaid neil eesmärkidel, mis kool on ette kirjutanud. GDPR-i artikli 28 kohaselt peab volitatud töötleja lähtuma vastutava töötleja juhistest ja igasugune isetegevus peab olema välistatud.

Näitena olemasolevate andmete eesmärgipärasest kasutamisest tehnoloogia abil, mis aitas protsessis tagada ka isikuandmete puutumatuse, võib tuua uuringu „Tudengite õpingute katkestamise põhjuseid IKT kõrghariduses“. Uuringus kasutati olemasolevaid riiklike registrite andmeid, mida analüüsiti Cybernetica AS välja töötatud turvalise ühisarvutuse tarkvara Sharemind abil.

Suurem andmete hulk nõuab hoolikat haldamist

Et mõista iga õppija personaalseid vajadusi õpieesmärgini jõudmiseks, peavad koolid koguma rohkem teavet iga õppija kohta ning tema õppimise protsessi kohta. Õppijatega seotud andmeid aga ei hoita valdavalt enam koolides, vaid pilves (seiresse panustanud koolidest kasutab pilveteenuseid 85%). Selline kombinatsioon – andmete kaugjälgimine, suurem andmete hulk ja suurem nõudlus nende andmete järele – nõuab hoolikat andmete haldamist ja töötlemist. Eelkõige eeldab see koolide teadlikkuse tõusu, aga ka üleüldist andmetöötluse mõtestamist ning sellest lähtuvaid otsuseid seaduste tasandil.

Muidugi tasub appi võtta ka talupojamõistus. Ekspertide sõnul ei tohiks kõigi õppetöös kasutatavate andmete pärast väga mures olla – oluline on mõista konteksti ja suhtuda juhtumipõhiselt.

Kui ma tõepoolest näiteks kehalise kasvatuse tunnis panen kõigile lastele andurid külge, lasen neil jalgpalli mängida, ringi joosta ja hiljem vaatan, kui mitu kilomeetrit keegi lastest on jooksnud, ning teen selle põhjal analüüsi – selles pole mingisugust privaatsuse riivamist.

Linnar Viik, e-Riigi Akadeemia

Isikuandmete kaitse juhendmaterjal

Olulisemad teemad ja turbemeetmed (koos näidetega) on õppeasutuste jaoks Eestis kättesaadaval koolidele loodud Isikuandmete kaitse üldmääruse rakendamise juhendmaterjalis. Juhendmaterjal on koolile abiks nii kasutaja kui ka organisatsiooni tasemel minimaalse vajaliku turvatasemeni jõudmisel. 48% seires osalenud koolidest on seda kasutanud.

Turbemeetmed on jagatud kolme gruppi: põhimeetmed, mille rakendamine aitab saavutada minimaalse vajaliku turvataseme; baasmeetmed, mis tagavad, et ka kasutajatel oleks infoturbe baastase; organisatoorsed meetmed, mis tegelevad organisatsioonis üldise turvataseme tõstmisega ja viivad turbe kõrgemale tasemele. (Rohkem infot juhendmaterjalis, lisaselgitusi annab HITSA samateemaline veebiseminar ja küsimusi saab esitada HITSA foorumis.)

Nii koolid kui ka eksperdid tõdevad, et tööd selles valdkonnas on veel palju. Oodatakse koolide regulaarset toetamist ja julgustamist erinevate tugimaterjalide ja tegevustega, sealhulgas põhimõtteliste otsuste tegemist Eesti koolide jaoks.

Oleme saavutanud olukorra, kus kasutame kooli Google’i funktsioone vaid oma tööga seotud konto pealt. Selle normaalsuseks muutmine pole olnud sugugi lihtne.

Hanno Saks, Pärnu Mai Kool

Mida õpetada?

Privaatsuse puhul tuleb mõista, et see on ülimalt individuaalne ja kultuuriruumist sõltuv. See on nähtus, mida on tegelikult keeruline õpetada – iga inimene tajub seda erinevalt. Tehnoloogiaga seotud privaatsuse puhul on oluline osutada tähelepanu sellele, et Eesti ühiskond ei ole kultuuriliselt niisugune, nagu nõuab seda praegu GDPR-i maailm. See on meile pisut pealesunnitud kultuur, mida peame veel õppima (ja millega kohanema), seda peab ka kool õppima ja õpetama.

Meie inimesed eelistavad enamasti jagada oma andmeid selleks, et saada kasutajamugavust. Oleme harjunud, et Eesti Vabariik teab meist palju, X-tee kaudu saab seda küsida. Niisugust riiki ja sellist mõistmist on ehitatud üles viimased kakskümmend aastat. Saksamaa, kust GDPR-i mudel on pärit, on teistsugune. Kui õpilane läheb kuskile vahetusõpilaseks, Suurbritanniasse või Saksamaale, siis ta kindlasti kohtub teistsuguse kultuuriga, sellega, mida kannab endas GDPR.

Eetika

Privaatsuse maailmas on oluline õpetada tehnoloogiaga seonduvalt ka eetikat, millest peaksid lähtuma kõik praegused IT-valdkonna töötajad. Näiteks infoühiskonda loov insener peab võtma vastutuse: tema loodud süsteemid ja algoritmid hakkavad muutma maailma. Me oskame küll ärihuve silmas pidades küsida, mida üks või teine lahendus kaasa toob, kuid kas oskame küsida ka seda, milline on selle sotsiaalne tähendus?

Tehnoloogia ei ole tulevikus samasugune nagu praegu. Ülikoolid ei tohiks õpetada mingit kindlat tehnoloogiat. Ülikoolid õpetavad inimest õppima ja võtma vastu seda, mis homme tuleb. Baasoskustega, millega ülikoolid juba tegelevad, on kõik väga hästi.

Linnar Viik, e-Riigi Akadeemia

80% koolidest, kes 2018. aastal seires osalesid, on alustanud oma töötajate ja õppijate teadlikkuse tõstmist andmete kaitse ja nende avalikustamise teemadel, 62% pöörab tähelepanu ka andmete töötlemisele ning digihügieenile. Selleks kasutatakse väga erinevaid viise, alates (ka kohustuslikest) koolitustest, info jagamisest ning lõpetades kooliväliste ekspertide ja ettevõtete kaasamisega.

Missuguseid võimalusi koolid andmete ja turvalisuse teemalise teadlikkuse tõstmiseks kasutavad?

Kutsusime Search-U esindaja meie noortele rääkima, milline on geoinformaatika ja suurandmete töötlemise vaheline side tänapäeval. Mida tehakse ja mida kõike on võimalik teha andmetega, mida endast maha jätame. See mõjus õppijatele šokina.

Hanno Saks, Pärnu Mai Kool

2018. aastal valminud digiõpikuis käsitletakse nii digitaalset ohutust (1. kooliaste) kui ka digihügieeni (2. kooliaste). Tegemisel olevas kolmanda kooliastme digiõpikus on lähemalt juttu küberhügieenist.
Lisaks õppijatele on oluline tõsta ka nii kooliinimeste kui ka lapsevanemate oskusi ja teadmisi turvalise digimaailma loomiseks ja selles toimetamiseks. On oluline selgitada lapsevanematele, mis eesmärgil haridusasutus andmeid kogub ja milleks neid kasutab. Samuti seda, et kasutaja rollis vastutuse võtmine on vältimatu. Kuidas seda siis ikkagi teha ning ohte ja riske ennetada?

Koolitusi lapsevanemate teadlikkuse tõstmiseks privaatsuse teemal viib läbi 20% seiresse panustanud koolidest. Nii mõnelgi koolil, kus seda praegu veel ei tehta, on lapsevanemate koolitamine plaanis, aga on ka koole, kus seatakse küsimärgi alla, kas see on üldse nende ülesanne.

Kas privaatsusega seotud teemadel viiakse koolitusi läbi ka vanematele?

  • Jah – 19.7%
  • Ei – 49.2%
  • Ei oska vastata – 31.1%

Soovitused

Uued lahendused privaatsuse ja turvalisuse tagamiseks leitakse igal juhul. Globaalselt nähakse kõige tõenäolisemate tehniliste lähenemisviisidena täpsemat analüütikat ja masinõpet, mis võimaldavad rakendada käitumisanalüüsi ja aitavad organisatsioonidel eristada olulist täpsemalt kui varem, pakkudes rangemat kontrolli oma IT-infrastruktuuri üle, paremat ülevaadet selle nõrkadest külgedest, et tuvastada turvaaugud ja ennetada nii andmelekkeid.

Et ka koolis saaks turvaline digimaailm välja kujuneda ja kokkulepitud tavasid ka järgitaks, on kõige olulisem juhtkonna tugi uute nõuete ja käitumismudelite heakskiitmisel ja nende jälgimisel. See ei puuduta mitte ainult kooliinimeste, õppijate ja lapsevanemate teadlikkuse tõstmist, vaid ka eelarvepoliitikat.

Lapsevanem ja tema lapse andmed

Sisuliselt teeb kuni üldhariduskooli lõpetamiseni õpilase eest otsuseid lapsevanem. Kui kool soovib uut tehnoloogiat rakendada, eeldab see iga kord lapsevanemalt nõusoleku saamist ning võimalust anda lapsevanemale õigus seda nõusolekut ka tagasi võtta. Kuidas aga jõuda lahenduseni, mis toetaks sujuvat õppetööd, jättes samal ajal lapsevanemale õiguse öelda, kus ja milleks võib tema lapse andmeid koguda ja töödelda?

Õpetaja võib teha õppijatega toredaid asju, kasutades erinevaid rakendusi, ent vaid senikaua, kuni ta palub lastel teha kasutajad nimega Juku 1 või Juku 2. Kui õpetaja palub lastel oma nimed registreerida, et seda infot hiljem analüüsida, siis kaasneb sellega juba hulk juriidilisi kohustusi, mida nad peaksid teadma. Kindlasti ei jaksa iga kool seda lahendust ise välja mõelda, neil peab olema tugi.

Kalev Pihl, SK ID Solutions

Läbipaistvuse kaudu privaatsuseni

Rääkides privaatsuse tagamise tehnoloogiatest, võib lihtsustatult tuua välja kolm valikut: anonümiseerimine (Self Sovereign Identity), läbipaistvus (Transparency) või seostamine (Linkability). Kui oled anonüümselt jälgitav, on sul väga raske läbipaistvust tagada. Näiteks GDPR-i peetakse selles osas vastuoluliseks. Sulle on antud õigus enda kohta andmeid küsida, teenusepakkuja saab justkui öelda, kes sa oled ja mis andmed sinu kohta olemas on (nad oskavad seda suhteliselt kõrge tõenäosusega pakkuda), kuid kuna nad ei ole palunud sul kõigi tegevuste juures end autentida, ei saa nad ka tõestada, et kõik need andmed just sinu kohta käivad. Õigusruumi kujunemine on siin alles algusjärgus.

Eesti kasutab täna valdavalt läbipaistvust ja võiks eeldada, et see on hea ka laste puhul. See tähendab, et lapse andmestik, ükskõik kuhu see tekib, on nähtav ühe keskse “purgi” kaudu – näen, kus mu lapse andmed on ja saan väga lihtsalt õiguse need sealt ära võtta (või sinna anda). Sisuliselt võimaldab seda praegu kogu X-tee.

Kui räägime tehisintellektist, siis see hakkab varsti ütlema, et tunneb kirjandi kirjutaja ära, kuna paneb talle alati erinevates keskkondades näiteks lauseehituse põhjal külge templi, mis tüüpi see on. Ehk kui jõuame AI juurde, siis pole meil mingit privaatsust niikuinii, mistõttu leian, et praeguste Eesti teadmiste juures võiksime liikuda läbipaistvuse suunas, kinnitades, et see on meie maailm.

Kalev Pihl, SK ID Solutions

HarID – üks digitaalne identiteet

Eelnevaga seoses tuuakse esile, et erinevatesse haridusega ja õppeprotsessiga teenustesse sisselogimiseks kasutatavaid kontosid on liiga palju. Ideaalis peaks õpikeskkondadesse ja õppetöös kasutatavasse põhirakendustesse sisse logida saama ainult digiidentiteediga (et ei saaks kuskil teha endale kasutajanime ja parooli), mille mõte on selles, et sul on üks digitaalne identiteet ja sa kasutad seda erinevates rollides. Sa kasutad seda õpetaja, lapsevanema, õpilase või kodaniku rollis.

Esimene samm selles suunas on juba tehtud – 2018. aasta kevadest on Eestis kättesaadav haridusasutustele mõeldud kasutajakontode haldamise süsteem HarID. See on haridusasutuste vajadustele orienteeritud lihtsasti kasutatav kasutajakontode haldamise süsteem, mis sobib nii olemasolevate lahendustega integreerimiseks kui ka asutustele, kus kasutajakontode haldus puudub täielikult. HarID hoiab iga haridusasutustega seonduva registreerunud inimese kohta üht kasutajakontot, mille abil on võimalik sisse logida nii erinevatesse avalikesse e-teenustesse (Single sign-on: SSO) kui ka asutuse siseteenustesse.

Digitest

2017. aasta kevadel valmis RIA ja küberturbe ettevõtte CybExer Technologies koostöös riigiasutustele mõeldud digiõppe platvorm Digitest, millega on praeguseks testitud tuhandete riigitöötajate küberteadmisi ja välja selgitatud nendega seotud küberriskid. Tulevikus soovitakse Digitesti kasutusala riigisektoris veelgi laiendada ning selle läbimine võiks saada kohustuslikuks kõikidele riigi- ja kohalike omavalitsuste töötajatele. Selleks, et panna alus uue põlvkonna küberoskustele, on plaanis jagada Digitesti koolidega, et ka koolilapsed saaksid põhihariduse ühe osana küberhügieeniõpet.

Soovitused küberturbe tagamiseks

Hiljuti andis Eesti Riigisüsteemide Amet välja 10 soovitust tippjuhile küberturbe tagamisel. Midagi sarnast võiks välja anda ka koolidele – igal aastal uuendatavad küberturbe soovitused koolidele, mis sisaldaksid praktilist infot, näiteks seda, et kõigis arvutites peaks olema automaatselt uuenev küberturbe tarkvara.

Kuidas avastada seest tulevaid ründeid?

Enamik koole on end juba päris hästi kaitsnud väljast tulevate rünnete eest. Kuidas koolitada koole avastama majast seest tulevaid ründeid? See on spetsiifiline väljaõpe, mida seni ei olegi pakutud.

Oleme üles ehitanud päris head süsteemid, meil on päris head võimalused, mis iseenesest tekitab võimalusi, et meie majades sees võib hakata tekkima ründekoldeid. Poisid on alati sõda mängida tahtnud, see on nende jaoks põnev. Tänapäeva kübermaailmas tegutseda on ka väga põnev. See on koht, mis on kahe silma vahele jäänud. On võimalik välja töötada väikseid seadmeid kas või Raspberry Pi baasil, mis võimaldavad võrguliiklusel silma peal hoida. Need võiksid olla ise kohalduvad ja õppivad.

Hanno Saks, Pärnu Mai Kool

Vajame küberturvalisuse spetsialiste

Küberturvalisuse võimekuse tõstmiseks vajab Eesti maailmatasemel spetsialiste, teadlasi ja ettevõtjaid. See eeldab küberkaitse spetsialistide ja kompetentsi pealekasvu. 2019. aastal ilmub majandusministeeriumi tellitud uuring, et välja selgitada, kui palju peaks Eesti tulevikus küberturvalisuse eksperte koolitama, et tagada Eesti tööandjatele piisavalt kvalifitseeritud tööjõudu. Suurt rolli selles nähakse kõrgkoolidel ja ülikoolidel. Küberturvalisuse ekspertide koolitamine on tähelepanu keskmes ka IT Akadeemia programmis, mis toetab ülikoolides (TalTechis ja Tartu Ülikoolis) valdkonna ekspertide väljaõpet ja arendustegevusi aastatel 2016 –2020.

Mida tähele panna?

Kuigi haridusasutused ei pruugi tervishoiu või erasektori kõrval tunduda atraktiivse sihtmärgina, on neil tegelikkuses palju teavet – isiklikke andmeid, finantsandmeid, aga ka väärtuslikke patenteeritud uurimistulemusi. Koolis eri keskkondade kaitsmise eest vastutav IT-meeskond peab olema väga heal tasemel. Koolis võrku ühendatud arvutid ja seadmed – klassiruumis, kontoriruumides, uurimislaborites või õppijate kaasa toodud seadmed – peavad vastama koolis kokku lepitud privaatsusnõuetele.

Koolidel on sageli piiratud ressursid – võrku ühendatud seadmeid on palju, IT-tuge pole piisavalt ning samuti ei kasuta koolid alati uusimaid ja parimaid seadmeid. See muudab nad võimalike küberrünnakute sihtmärgiks.

Plokiahel

Palju kõneainet pakub plokiahela (block chain) põhimõtete rakendamine andmekaitses. Plokiahel on lühidalt öeldes uus andmebaasitehnoloogia, mille peamiseks erinevuseks tavapärastest kesksetest andmebaasidest on plokiahela jagatud olemus. See tähendab, et andmebaas eksisteerib samaaegselt ja sünkroonsena korraga mitmes kohas. See muudab massandmetesse sissemurdmise või andmete konfigureerimise palju raskemaks, kuna kõik plokiahela võrgus osalejad näevad viivitamatult, kui midagi muutub.

Eestis on plokiahel riiklikul tasemel põhimõtteliselt kasutusel juba 2003. aastast. Erinevalt Eestist pole paljudes riikides selliseid usaldusväärseid digiorganisatsioone, kelle rakendusi oleks võimalik kõigil osapooltel usaldada ja kasutada. Plokiahela tehnoloogiat nähakse kui võimalust suureks hüppeks andmekaitse valdkonnas, eriti väga reguleeritud valdkondades, nagu finants, valitsemine, tervishoid ja õigusruum.

Tsentraalne andmesideteenus

Haridusvaldkonnas nähakse turvalisuse peamise riskina puuduvat turbepoliitikat ja vajalike oskustega töötajate nappust. Küberturvalisuse valdkond läheb aina komplekssemaks ja keerukamaks. Sellega seoses tekib küsimus, millist kompetentsi ootame Eesti koolilt? On pakutud, et koolide andmesideteenus ja koolides olev baasinfrastruktuur võiks või peaks olema tsentraalselt juhitud, sest niisugused haldustarkvarad on paremini välja arendatud. Üleminek tsentraalsele juhtimisele eeldaks aga uut lähenemist.

Kui tahame, et kool oleks mõnus ja turvaline, siis me ei eelda, et kool toodaks ise elektrienergiat. Me tahame, et oleks tsentraalne elektrivõrk, kust elekter kooli jõuab. Mida vähem on kooli tasandil tehnoloogia eest vastutamist, seda enam saavad nad keskenduda õppetööle.

Linnar Viik, e-Riigi Akadeemia

Praegu saab kool toetuda teenuste – näiteks e-kooli lahenduste, õppesisu repositooriumite puhul teenusepakkuja infoturbele, lootes, et nemad saavad sellega hakkama. Juhul kui tulevikus on olemas turvalised tsentraalsed IT-teenused, kannavad need hoolt kooli turbepoliitika eest ning võtavad enda kanda osa ülesannetest, mida praegu eeldatakse koolilt või koolipidajalt.

Üks vajadus, mida kooliinimesed on välja toonud, on seotud GDPR-ist tuleneva koolide kohustusega registreerida isikuandmete töötlemist.

Kui jätame isikuandmete töötlemise registreerimise iga volitatud töötaja käsitööks, siis ei tehta seda kunagi. Käsitsi seda teha ei ole mitte ainult tüütu, vaid ka keeruline. Kui ühel päeval peaks tulema kooli inimene, kes tahab teada mingi konkreetse perioodi kohta detailselt, mida on tehtud-töödeldud, siis praegu kool seda öelda ei suuda. Isikuandmete töötlemist saab automaatselt registreerida failisüsteemi autentimise ja igasuguste võrgusiseste lahenduste abiga. Kui selle saaks keskselt ära teha, siis koolide jaoks oleks see päris suur samm edasi.

Hanno Saks, Pärnu Mai Kool
Kokkuvõte

Mida vähem kool tehnoloogia eest vastutab, seda enam saab ta keskenduda õppetööle. Vajalikud suunad on järgmised:

  • tsentraalselt juhitud andmesideteenus ja baasinfrastruktuur koolidele;
  • keskne ja läbipaistev lahendus, mis toetab lapsevanemate nõusolekute kogumist, võtmaks kasutusele uusi tehnoloogiaid koolis ning annab lapsevanemale võimaluse hallata oma lapsega seotud andmete õigusi;
  • üks digitaalne identiteet haridusega seotud teenuste kasutamiseks, mida on võimalik kasutada nii õppija, õpetaja, lapsevanema kui ka kodaniku rollis;
  • koolidele mõeldud tugimaterjalid, soovitused ja juhised, mis aitavad levitada vajalikke teadmisi ning juurutada koolis vastavaid protsesse.

Andmed juhivad tehnoloogia järgmist revolutsiooni nii haridussektoris tervikuna, koolis kui ka õppeprotsessis. Personaalsema õppe suunas liikumiseks vajame rohkem teadlikult ja mõtestatult kogutud andmeid õppijate ning nende õppeprotsessi kohta. Sellega seonduvalt on oluline keskenduda järgmistele teemadele:

  • kontekstipõhised kokkulepped erinevate tehnoloogiatega seotud teenuste kasutamisel andmete kaitsmiseks ja eesmärgipäraseks kasutamiseks;
  • mõtestatud ning süsteemne andmete haldamine ja töötlemine;
  • lastevanemate teadlikkuse tõstmine kooli tasandil tehnoloogia kasutamise eesmärkidest ja andmete kogumise ning töötlemise väärtusest.

Tehnoloogia kasutajatelt oodatakse teadlikke valikuid. Me kõik vastutame samaväärselt turvalisuse tagamise eest digimaailmas. Haridusmaailmas on vaja:

  • jätkata baasteadmiste õpetamist turvalise digimaailmaga seonduvalt põhihariduse ühe osana (digihügieen, erinevad kultuurid digimaailmas, tehnoloogia ja eetika);
  • pöörata suuremat tähelepanu kooliinimeste ja lapsevanemate teadlikkuse tõstmisele, kuidas digimaailmas turvaliselt käituda;
  • kaaluda digitesti läbimise kohustust kõikidele riigi- ja kohalike omavalitsuste töötajatele ning õppijatele.
Lisainfo