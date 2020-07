"Kui mitu korda ja kui mitmetele valitsustele ma pean sama asja selgitama? Telefonide sõnumirakenduste krüpteeringu murdmine on kohutavalt halb idee," muretses Tallinna Tehnikaülikooli küberkriminalistika ja küberjulgeoleku keskuse ekspert Kieren Niĉolas Lovell.

Kooskõlastusringile on jõudnud majandus- ja kommunikatsiooniministeeriumis valminud eelnõu, mis võrdsustab andmesidel baseeruvad uued kommunikatsiooniteenused (nn OTT ehk Over The Top teenused) tavapäraste sideteenustega ning annab muu hulgas õiguskaitseorganitele ligipääsu nende krüpteeritud sisule. OTT-teenused on näiteks Skype, WhatsApp, Viber ja teised.

"Palun ärge isegi arvake, et see on nutikas idee. Krüptimise purustamine sõnumsiderakendustes on rumal," kinnitas Lovell. "Kui te lisate õiguskaitseorganitele krüpteeringusse tagaukse, siis muudate te kogu rahva teiste poolt ärakasutatavaks. Te muudate kogu teenuse disaini nõrgemaks ja kahandate kõigi kodanike turvalisust."

Kurjategijad leiavad teise lahenduse

Lovelli sõnul ei täida tagaukse loomine ilmselt ka soovitud eesmärki kurjategijate tabamisel, sest kurjategijad ei ole brändilojaalsed ning võtavad lihtsalt kasutusele mõne teistsuguse rakenduse, milles tagaust ei ole – eriti kui on teada, millised rakendused on seaduse ees kohustatud oma andmeid avaldama. "Kui Suurbritannia Teise Maailmasõja ajal murdis Enigma koodi, siis me ei teatanud sellest sakslastele avalikult," selgitas Lovell. "Kui me oleksime seda teinud, oleksid nad ilmselt muutnud oma süsteeme ja lähenemisviisi."

Küberjulgeoleku eksperdi sõnul on kurjategijatel sadu erinevaid viise seadusest mööda hiilimiseks ning krüpteeritud sõnumite vahetamiseks. Kõige lihtsam neist on kasutada rakendusi, mis ei lange Eesti või Euroopa Liidu jurisdiktsiooni alla. "See on rumal. Ärge minge seda teed," soovitas Lovell. "Ameerika Ühendriigid kaalusid seda, kuid isegi nemad otsustasid, et see on võimatu."

Seni on seadus nõudnud, et sideettevõtja on sidevõrgule juurdepääsu võimaldamise raames kohustatud andma julgeolekuasutusele võimaluse valida sõnumid ning tagama nende kandmise asutuse jälgimisseadmesse muutmata kujul ja reaalajas. Siseministeeriumi pakutud muudatuse kohaselt hakkaks seaduses edaspidi väljendi "sidevõrgule" asemel olema "elektroonilise side teenusele". Nii saaksid õiguskaitseorganid ligipääsu ka uutele OTT-teenustele. Lisaks on plaanis seadust täiendada kohustusega tagada "andmete taastamine nende kaitseks kasutatud tehniliste meetmete korral". Ehk siis krüpteeritud andmete korral need kas dekrüpteerima või varustama selleks vajaliku võtmega.

MKM-is valminud seaduseelnõu seletuskiri selgitab, et täiendus on vajalik vältimaks olukordasid, kus jälitus- või julgeolekuasutus saab sideettevõtjalt andmed krüpteeritud kujul ilma dekrüpteerimise võimaluseta. "Tuleb arvestada, et olukorras, kus ESS-i regulatsiooni laiendatakse nn OTT-teenustele, muutub õiguskaitse- ja julgeolekuasutustele andmete krüpteeringu küsimus veelgi aktuaalsemaks," leiavad eelnõu koostajad.

Mõju julgeolekule puudub?

Eelnõu seletuskirja kohaselt "ei tohi tekkida olukorda, kus riigi pädevatel asutustel ei ole sisuliselt võimalik täita seaduses ettenähtud ülesandeid, sh tagada riigi julgeolekut ja tõkestada süütegusid ning vajadusel isikuid vastutusel võtta". Näiteks on meedia vahendusel teada, et Facebook krüpteerib rakenduse WhatsApp sõnumeid nii, et neid saavad lugeda ainult saatja ja adressaat. Krüpteeringu kaudu tagatakse küll sidevõrkude turvalisus ja andmete kaitse selleks mitteõigustatud isikute eest, kuid teiselt poolt ei ole eelnõu koostajate hinnangul vähem tähtis õiguskaitse- ja julgeolekuasutuste juurdepääsuvajadus sellistele andmetele.

Siseministeeriumi asekantsler Veiko Kommusaar selgitas ERR-ile, et sõnumisaladus on oluline, kuid see ei tohi takistada korrakaitsjate tööd. "Kui me ikkagi räägime siin organiseeritud kuritegevusest või terrorismist või teistest julgeolekuohtudest, siis loomulikult riikidel seda infot vaja on."

Samas leiavad eelnõu koostajad, et eelnõuga tehtavad muudatused omavad peamiselt majanduslikku mõju. Sotsiaalsed ja keskkonnalased mõjud on kaudsed, kuna need sõltuvad majanduslikust mõjust. "Seadusel puudub mõju järgmistes valdkondades: mõju riigi julgeolekule, demograafiline mõju, mõju elukeskkonnale ning mõju regionaalarengule," sedastab seletuskiri.

Esmaspäevaks peab seaduseelnõu saama justiitsministeeriumi hinnangu ning see on plaanis jõustada juba tänavu 21. detsembril, millal saabub eurodirektiivi üle võtmise tähtaeg. Seda on juba jõudnud kritiseerida Eesti e-riigi endine peaarhitekt Andres Kütt, NATO küberkaitsekeskuse õigusosakonna juhataja Kadri Kaska, Tallinna Tehnikaülikooli tarkvarateaduste instituudi professor Rain Ottis, vandeadvokaat Karmen Turk ja mitmed teised eksperdid.