Uudised, sündmused ja blogi

Taas isikutuvastusest domeeninduses

Kuuga palju muutunud ei ole. EU on pigem ootel, Norra tegeleb projektiga oma väljakujunenud tempos (alustasid identifitseerimise küsimusega umbes 5 aastat tagasi, aga kasutusse ükski lahendus veel jõudnud pole). Kõige agaramalt tegutseb ajutrusti eestvedav Belgia, kes suhtleb oma registripidajatega ja püüab leida osapooli rahuldavat lahendust.

Alustasime küsimusega miks - miks registrid soovivad oma registreerijaid tuvastada? Üksmeelne vastus oli oma tippdomeeni turvalisuse parandamine. Ehk siis tees mida meiegi evime - tehes anonüümseks jäämise raskemaks, kolib kurjade kavatsustega kontingent tippdomeenidesse, kus see on lihtsam. Isikutuvastus ja andmete kontroll peaks seega valdavalt toimuma enne kui registreeritud domeen kasutatavaks muutub. Tagantjärele kontroll tekitab akna registreerimise ja andmete analüüsi vahele, millest võib piisata halbade kavatsuste elluviimiseks. Keegi ei nimetanud põhjusena andmete kvaliteedi parandamist. Sellest tulenevalt pole tegelikult aga ka oluline, et register teaks täpselt kes on registreerija - piisab ju ka sellest, kui on olemas andmed, mis võimaldavad näiteks politseil isiku tuvastada.

Siit ka üks huvitav mõte - mobiiltelefoni number kui isikutuvastusmeede. Üha enamates riikides on keelatud anonüümsete kõnekaartide kasutamine. Kontrollides registreerimisel näiteks SMSi abil, et vastav telefoninumber on registreerija käsutuses, saab politsei vajadusel tuvastada kellele number kuulus. Kuritegevuse ohjeldamiseks võiks see olla toimiv meede, registripoolse isikutuvastuse mõttes mitte, sest mobiilsideoperaator isikuandmeid ei avalda. Eestis on veel võimalik kioskist anonüümne kõnekaart osta ja aktiveerida see tuvastamiseta. Samas oksjonisüsteemis kasutame mobiiltelefoni numbri abil kahetasemelist autentimist välismaiste registreerijate puhul ja teatud juhtudel nähtavasti lisab see täiendava turvalisuse kihi, millele me mõelnudki polnud. Ehk on sama mudelit võimalik kuidagi rakendada ka domeeni registreerimise puhul, kui puudub sobiv elektrooniline isikutuvastamise vahend.

Digitaalne allkirjastamine oli teine suurem teema. Antud juhul peeti siin pigem silmas täna saada olevaid digitaalse allkirjastamise teenuseid nagu DocuSign või Adobe Sign. Need küll pole samaväärsed Eesti ID-kaardi põhise digiallkirjaga, kuid oma iva on neiski. Peamine idee tundus siin olevat isikutuvastuse delegeerimine kolmandale osapoolele. Samas mingit reaalset isikutuvastust minu teada nende kahe nimetatud teenuse puhul ei toimu. Teenusest on kasu tuvastamaks, et dokument, mis allkirjastati on muutmata, läbi ajatempli saab kindlust allkirjastamise täpse aja kohta ning kui õnnestub kuidagi siduda taoline digitaalne allkiri konkreetse inimesega, siis võib olla edaspidi küllalt kindel, et allkiri tuleb samalt isikult. Kui palju see pahalaste vastu kaitseb, on omaette küsimus, nemad ju pigem püüavad jääda anonüümseks, kui esineda kelleltki varastatud identiteediga.

Ühe ootamatu ideena uurisid belglased mida arvame palgatõendist kui isikutuvastamisele kaasa aitavast dokumendist. Siin ei peetud silmas raamatupidaja poolt väljastatud raamatupidamise süsteemi väljavõtet, ma usun, vaid pigem midagi maksuameti poolse tõendi laadset. Kuid ka siis on dokumendi tõesuse kontroll kulukas - kuidas meie peaks aru saama, kas registreerija Belgiast on esitanud meile “päris” dokumendi. See on väga raskesti automatiseeritav, kui üldse ning tundub ka, et põhjendamatu koormus registreerijale teenuse seisukohast mittevajalike isikuandmete esitamiseks.

Järgmine sõbralik kohtumine toimub kuu aja pärast juuni keskel. Seni alustame meie sobivuse korral omakorda koostööd belglastega registriandmete tehniliste kontrollide väljatöötamise ja juurutamisega. Meie puhul on vaatluse all e-posti aadressid ja telefoninumbrid. Eesti äriregistrikoode me juba kontrollime, isikukoodide kontroll järk on samuti kontrollitud.