Ootamatu oht privaatsusele ja vabadusele Internetis

eIDAS (electronic IDentification, Authentication and trust Services) on Euroopa Liidu määrus elektrooniliste identifitseerimis- ja usaldusteenuste kohta. Paraku on poliitikud ja bürokraadid justkui suletud uste taga kokku leppinud selles, et kõnealune määrus võimaldab igal euroliidu liikmesriigil paigutada brauseritesse “riiklikud” krüptovõtmed ning brauseritootjatel on keelatud usaldust nende võtmete suhtes ilma valitsuse loata tühistada.

Eestis leiab eIDAS nime ja logo mitmete idufirmade pitch-deck’idest ja arvamusliidrite presentatsioonidest, mis pajatavad e-Eesti edulugudest, kuna see toetab meie kaasaegsete digitaalsete autentimisteenuste arendust.

Ootamatult on eIDAS muutunud sõimusõnaks ja internetikasutajaid ähvardavaks kolliks, mis kõnnib justkui totalitaarsete diktatuuride sisse tallatud radu. (Parallels between eIDAS and actions from the Russian government?)

Mis juhtus?

Mõned nädalad tagasi patsutasid Euroopa Komisjoni, Euroopa Liidu Nõukogu ja Euroopa Parlamendi ametnikud üksteisele õlale, kuna olid just kokku lepitud eIDAS 2.0 versiooni sõnastuses.

Möödusid vaid mõned päevad, kui selle tekst lekkis ja sundis privaatsuse ja küberturbega tegelevaid teadlasi ning spetsialiste esmalt pead ja seejärel sulepead haarama, et koostada ühine avalik kiri: Last Chance to fix eIDAS: Secret EU law threatens Internet security.

Nimelt on poliitikud ja bürokraadid justkui suletud uste taga kokku leppinud selles, et iga Euroopa Liidu riik saab endale tulevikus õiguse veebibrauseritesse paigutada “riikliku sertifitseerimiskeskuse” krüptograafilised võtmed ning brauseritootjatel on keelatud usaldust nende võtmete suhtes ilma valitsuse loata tühistada.

Lisaks võetakse veebilehitsejatelt õigus kohaldada nende võtmete suhtes täiendavaid turvakontrolle, välja arvatud juhul, kui need on eelnevalt heaks kiitnud Euroopa Liidu IT-standardite organisatsioon ETSI.

Sisuliselt antakse nii Euroopa Liidu poolt igale riigile universaalvõti, mis muudab varjatult kõik veebibrauserite aadressiribal olevad digitaalsed lukud kasutuks.

Need võtmed võimaldavad nimelt Euroopa riikide kontrolli olevatel institutsioonidel tehniliselt pealt kuulata muidu krüpteeritud internetiliiklust – sealhulgas e-posti, mida suur osa inimestest loeb samuti tänapäeval brauseri vahendusel.

Kiusatus selle võimaluse kasutamiseks saab ilmselt olema väga suur, eriti autoritaarsuse suunas libisevates riikides, mille sarnaseid leidub liidus viimasel ajal üha enam.

Kujutame siiski korraks ette, et privaatsus ei ole põhiõigus mida kaitsta ja üheski Euroopa Liidu riigis ei ole võimul ega tule võimule autokraate, kes sooviksid oma riiki raudse rusikaga valitseda ning oma oponentidel salaja silma peal hoida.

Ikka jääb ju õhku tohutu julgeolekurisk, mis realiseerub sellel hetkel, kui sellise universaalse võtme üle saab kontrolli mõni riik, kes seda ära kasutades suudab kompromiteerida ligipääsu Euroopa Liidu või NATO julgeolekut kaitsvatele saladustele.

Tundub, et koomiksitsitaat “Sa kas sured kangelasena või elad piisavalt kaua, et näha, kuidas sinust saab lurjus…” kehtib ka seadustele.

Kuna sihtasutus Eesti Internet (EIS), selle asutajad ja nõukogu taaskinnitasid just nädala eest oma kavatsust seista internetivabaduse eest Eestis, kinnitades EIS uue põhikirja (kus selline eesmärk sees), siis palusime ka neil seda teemat kommenteerida. Täiendame seda postitust, kui see kommentaar olemas.

Eesti Interneti SA kommentaar (lisatud 8. novembril 2023)

Oleme tutvunud viidatud ühise avaliku kirjaga ja mõistame pahameelt, mida selles on väljendatud.

Eesti Interneti SA (EIS) siinkohal kindlasti taunib eIDAS määruse väljatöötamisel seda, et vähemalt viimastesse aruteludesse pole kaasatud valdkonna spetsialiste ning justkui “tagatoas” on kokkulepped sõlmitud. 

eIDAS määruse üks põhimõtteid on järgida deklaratsiooni European Declaration on Digital Rights and Principles for the Digital Decade. Selle deklaratsiooni üks põhimõtteid on tagada, et kodanikel on õigus enda isikuandmete kaitsele internetis. Nii on ka eIDAS määruse üks eesmärke luua Euroopa Liidus harmoniseeritud digiidentiteedi raamistik, mis vähendaks takistusi digitaalsete tõkete osas liikmesriikide ja liidu kodanike vahel, suurendades samal ajal läbipaistvust, tagades kodanike õiguste kaitse.

EIS mõistab siinkohal ohte, millele avalikus kirjas on viidatud. EIS tõdeb ohtu kodanike privaatsusele juhul, kui eIDAS määrus võimaldab igal Euroopa Liidu liikmesriigil paigutada brauseritesse selliseid krüptovõtmeid, mille osas on keelatud usaldust nende võtmete suhtes ilma valitsuse loata tühistada. Samas möönab EIS, et julgeoleku tagamise kaalutlusel võib teatud juhtudel sellise info omamine olla vajalik, mistõttu peaks eIDAS määrus looma ka selgust, kuidas kodanike privaatsusõigus on samal ajal tagatud.