Nõudekiri

Saatja: Lennart Kits <[email protected]>

Saadetud: 24.10.2023 09:27

Adressaat: AKI info <[email protected]>

Teema: Isiklike ressursside ja andmete nõudmine töö- ja õppetegevuseks

Tervist! Kirjeldan lühidalt olukorda ja siis küsin konkreetse küsimuse. Tallinna Linnavalitsuse Digiteenistus on võtnud kasutusele autentimiseks mitmikautentimise. Mitmikautentimine on isikutuvastuse meetod kasutades kolmandaid ressursse, näiteks telefoninumber (kõne, SMS), e-post, nutitelefon (authenticator rakendus). Nad on võtnud seisukoha, et kuna mitmikautentimine on tänapäeval eelduslik lisanduv turvalisusaste, mis tagab kasutajakonto, sh andmete, turvalisema ligipääsetavuse. Samuti toetuvad nad Eesti infoturbestandardile, et justkui selle alusel on mitmikautentimise nõue õigustatud. Kahjuks see ei pea paika, sest E-ITS sõnastab konkreetselt - mitmikautentimist võib rakendada parooliga autentimise asemel, mida hetkel see ei tee. Tehniline küberturvalisus kõrvale jätta, on meil murekohas pigem kasutajate isiklike ressursside kasutamise nõue. Ehk nõutakse mitmikautentimise seadistamiseks töötaja, õpilase (puudumisel lapsevanema) isiklike telefoninumbreid, e-posti aadresse, nutitelefone, selleks et saaks seadistada mitmikautentimise. Tallinna Linnavalitsus on seisukohal, et lisaturvalisuse põhjendusel on taoline ressursside nõue õigustatud. Omalt poolt täpsustan veel nii palju, et konkreetne lisaturvalisus ei taga tegelikult andmete turvalisust, sest on äärmiselt lihtne logida kasutaja kontosse sisse ilma, et rakendataks eelnevalt seadistatud mitmikautentimist. Ehk kui ründaja teab teatud tingimusi, siis ta saab ükskõik millises Tallinna üldhariduskoolis logida ükskõik millise kasutajakontoga sisse, pääseda ligi kõikidele andmetele, e-kirjavahetusele jms. Ehk reaalsuses nõutud mitmikautentimine ei taga isegi lisanduvat turvalisust. Siinkohal tekib nüüd meil küsimus: Kas Tallinna Linnavalitsusel on seaduslik alus nõuda õpilastelt (ja/või lapsevanematelt) isiklike ressursside kasutamist, isikuandmete jagamist, mitmikautentimise turvalisuse ajendil? Tasub mainida, et suheldes Tööinspektsiooniga, on nad tugeval seisukohal, et tööandjal on keelatud isiklike ressursside kasutamise nõudmine eelneva kokkuleppeta ja hüvituskorrata, olenemata, kas töötaja jaoks on ressursside kasutamise majanduslik maksuvus 0€. Ehk kui tööandja nõuab töötajalt isiklike ressursside kasutamist, siis Tööinspektsiooni seisukohalt, peab olema kehtestatud nende ressursside kasutamise kord ja hüvitamiskord.

Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga.

Tundmatu saatja korral palume linke ja faile mitte avada.

Kordan veel - seda nõuet rakendatakse terves Tallinna Linnavalitsuse üldhariduskoolides ehk isiklike ressursse nõutakse sõna otseses mõttes mitmekümnelt tuhandelt kasutajalt. Mastaap on suur, see olukord vajab selgust. Küsimuste tekkimisel võtke julgelt ühendust. Lugupidamisega Lennart Kits IT-juht +372 648 5544 [email protected] Informaatika ja tehnoloogia õpetaja [email protected] Tallinna 21. Kool Raua 6, Tallinn https://21k.ee