teisipäev, 9. august 2011

Lihtsuse, loogilisuse ja mugavuse poolt seoses isikutuvastuse ja kliendistaatuse „plastikuga“

Viimaks on ka avalikus ruumis - võimalik, et uue liiklusseaduse, mis võimaldab oma juhtimisõigust tõendada ka ID-kaardiga, tuules - kõneaineks tõusnud võimalus, et ID-kaart asendaks ka erinevaid kliendikaarte või koguni pangakaarte.

Mulle küll meeldiks kui enda kliendina tuvastamiseks ja vastavate soodustuste saamiseks ei peaks enam kaasa tarima erinevatest plastikkaartidest pungil rahakotti. Selline stsenaarium on paraku vaatamata ID-kaardi erinevatele võimalustele ehk laialdasele funktsionaalsusele ja turvalisusele (igatahes elektroonilise isikutuvastuse osas turvalisem mistahes muust plastikkaardist, mida tavakodaniku rahakotivahe võib leida) väga visa teoks saama. Näen ID-kaardi visa kommertskasutuselevõtu taga harjumuste inertsust ning põhjendamatuid hirme, ehk ka suuresti teadmatusest tingitud eelarvamuslikkust ja dogmaatilist n-ö kastis mõtlemist. Raevukamaid ortodoksete vaadetega kodanikke iseloomustab tugev veendumus, et kõige selle taga on kas vabamüürlased, templirüütlid, illuminaadid või mingid muud uue maailmakorra (ingl.k. lühend NWO) entusiastid, valitsused, kes on huvitatud totaalsest kodanike kontrollist jms. Ei vaevutagi süüvima ühe-või-teise seadme või rakenduse tegelikesse võimalustesse, toimimispõhimõtetesse ja ülesehitusse, sellesse millest miski on tingitud jne. - sest äkki see kummutab või teeb võimatuks mõne tondiloo uskumise. Mis siis saab identideedist, mis on sellise uskumisega seotud?

Teema online kommentaarides väljendub tihtilugu haiglaselt paranoiline fantaasia koos vähema või ulatuslikuma diletantlikkusega, kõiksugu negatiivsete momentide otsimine ja ka halva oletamine. Ilmselt on vastuseis ID-kaardi laiemale kasutuselevõtule suuresti põhjustatud selle esialgu poolkohustuslikust, ja nüüd, vaat et täiskohustuslikust pealesurumisest. Teisalt on riigi selline samm aga mõistetav, kuivõrd ilma nn kriitilise massita kasutajaskonnata pole ettevõtetel ja institutsioonidel huvi seda enda süsteemidega integreerida. Täna peaks vastav praktiline huvi aga selgelt olemas olema. Küll on aga õigustatud kriitika selle maksumuse osas. Ligi € 25 (Eesti rahas ca 390 EEK) ei ole kindlasti mitte odav lõbu. Peale sunnitud asi ei tohiks olla kallis, seda enam, et tegu on riigile niigi makse maksva kontingendiga.



ID-kaardi kommertskasutuse plussid ja miinused online meedias ilmunud kriitika ja vastuväidete valguses

Kulumine
Praktikas on leidnud kinnitust, et ID-kaardid on ka korduval kasutamisel kordades vastupidavamad ja kulumiskindlamad kui valdavalt magnetribaga kliendikaardid, mis kahjustuvud ainuüksi pungil rahakoti vahel olemisest, seal teineteise vastu hõõrdumisest. Isiklikult oman vastavat kogemust paari suure kaubandusvõrgu plastribaga kliendikaardiga, mis ühel juhul lakkas töötamast tubli tükk aega enne kaardi kehtivuse tähtaja saabumist ning teisel juhul ilmnesid probleemid magnetriba elektroonilise lugemisel juba mõne kuu möödudes alates kaardi saamisest. Kiibi metall-klemmid on kulumiskindlamad kui magnetribad. Seega, kui sul riigi poolt peale surutud laialdaste võimalustega kaart nagunii olemas on ja see 5 aasta pärast nagunii välja vahetada tuleb, siis milleks seda n-ö vati sees hoida?

Privaatsus
Üldine väljendatud kartus: riik või mingi müstiline „suur kõike jälgiv vend“ saab järjest suurema kontrolli eraisikute elu ja toimetamiste üle, nähes kelle klient keegi on, mida ta ostab jne. Sisuliselt naeruväärne, peamiselt teadmatusel ja isiku üldisel maailmatunnetusel põhinev, kartus.
Rääkides ID-kaardist kliendikaardi võtmes, ei saa normaaljuhul keegi kolmas kaupmehe väline osapool teada mida keegi ostis kuivõrd kliendikaarti kasutatakse valdavalt isiku tuvastamiseks kliendina mitte ostude eest tasumiseks. Siinjuures ei ole sisulist vahet kas inimene identifitseeritakse kliendina vanakooli magnetribaga kliendikaardiga või ID-kaardiga. St. kliendi-/ID-kaart ei fikseeri väljapoole kaupmehe süsteemi, mida konkreetne klient ostis. Teine lugu on kui ID-kaart toimib maksekaardina. Sel juhul on võib olla võimalus, et ostude info jookseb ka panka (päris täpselt ei tea).
Ennekõike on aga asi üüratus infomahus. Kui riik või müstiline „suur vend“ viitsiks sellise asjaga vaeva näha, siis põhimõtteliselt koguneb analoogiline info praegugi, kui ID-kaart ei ole kommertskasutuses. Oluline on ligipääs andmebaasidele, mis sellist infot sisaldavad, mitte mingi vidin ehk plastikkaart või rakendus ise-enesest. Isegi kui keegi viitsiks konkreetse isiku ostu- ja kliendiandmeid vahtida ja analüüsida, siis mida ta lõpp-kokkuvõttes selle infoga peale hakkab? Okei, ta võib üht-teist järeldada sellest milline on teie ostusummade jagunemine näiteks kaubagruppide lõikes ja kujundada selle põhjal oma turundust või konkreetselt teile saadetavaid pakkumisi. Ja mis siis? Ehk, millist kahju või ohtu see tarbijana kellelegi kätkeb?
Repliik. Selliste hirmudega seoses meenub üks vana vene multikas milles üks (vist) kitsetall külvas teiste loomade seas paanikat sellega, et üks teine, äsja lugema õppinud loom (jah, multikastes loomad räägivad ja käituvad inimeste sarnaselt), luges ta üle ja võib ka kõiki teisi üle lugeda.
Isikuandmete privaatsuse mõttes on palju enam põhjust muretseda kui neid koguvad mitmed eraõiguslikud isikud (mida kauplused oma kliendikaarte välja andes ju teevad), selle üle, kuidas isikuandmed on seal hoitud, kaitstud ja kuidas neid töödeldakse. Usutavasti on sertifitseerimiskeskuses isikuandmed palju enam ja tõhusamalt kaitstud kui mistahes eraõiguslikus asutuses, millest mõningad küsivad kliendiks tegemisel andmeid, mille küsimist nad ka ise põhjendada ei oska. Ka on loogiline, et mida vähemates kohtades (sh. sertifitseerimiskeskuses riigi vastutusel) su isikuandmed on, seda turvalisem, kui et mida rohkemates kohtades su andmed laiali on. See on nagu ikka saladustega.

Turvalisus
Enamus ID-kaardile süüks pandud turvalisuse jamasid on olnud seotud selle kasutamisel lihtlabase isikutuvastamise dokumendina (isiku nn tuvastamine siis pildi ja/või allkirja järgi) mitte selle elektroonilise turvalisusega, ja siis ka lihtlabase lollusega võtmete kolmandatele isikutele teatavaks tegemise või kättesaadavale jätmisega.
Näiteks astuks võõrast ID-kaarti kuritarvitav isik sisse Elioni kauplusesse ja ostis klienti nimel arve alusel nodi. Isiku tuvastamine toimus seejuures aga vaid dokumendi pildi alusel, ehk näo järgi, ehk ülimalt subjektiivselt. Elektroonilise tuvastamisega (PIN abil) oleks taolise pettus läbi minemine tunduvalt vähem tõenäoline.

Mis puutub mõni aeg tagasi meedias laineid löönud ID-kaardi, või õigemini e-hääletamise turvalisuse probleemi Paavo Pihelgas’e näitel, siis seda ei saa kuidagi ID-kaardi turvalisuse õõnestamisena käsitleda. Oskaja programmeerija võib oma arvutisse administraatori õigustes, ja kõike muid mõeldavaid võimalusi ära kasutades, kirjutada mistahes koleda eluka. Põhimõtteliselt pole kirves süüdi kui teda taparelvana kasutatakse.


Mis siis saab kui kaart ära kaob või ära varastatakse?
See küsimus haakub kindlasti otsapidi turvalisuse küsimusega. Ei saa eitada, et selline asi tekitab meelehärmi nagu mistahes eluoluliselt olulise asja kaotamine. Tähendab see ju teatud sekeldusi, kulu ja ohtugi. Viimane seisneb siis suuresti potentsiaalse suurema kuluga, mis võivad tekkida sinu nimel võetud kohustustest, aga see on juba turvalisuse teema. Kui aga rääkida siinkohal ID-kaardist kliendikaardi võtmes, siis millist otsest või potentsiaalset kahju võib omanikule tekitada selle kliendikaardina kasutamine? Ostetakse midagi, nagu sina oleks olnud klient? So what?! Kui sa oma ID-kaarti pole veel sulgeda jõudnud, saadki oma kliendikontole ostu ja võimalik, et ka miskid boonuspunktid, mitte ei saa seda sinu ID-kaardi kasutaja.
Aga kui teil kaob ära terve rahakotitäis kaarte ja dokumente (sh. ID-kaart) kas siis on sekeldusi nagu vähem või? Loogiliselt võttes (ja ka praktikas) tunduvalt rohkem hoopis kuivõrd iga kaardi ja õiguse taastamise peale kulub aega, raha ja närve. Pealegi ei pruugi teile ühekorraga meenudagi, millised kaotsiläinud kaardid ja õigused kõik taastamist vajavad. Et mõni neist veel puudu on saab selgeks ehk järk-järgult.

ID-kaardi kaotamisel meelehärmi vaevalt et täielikult ära hoida saab. Küll saab selle kaotamise kahju ja ohu viia aga minimaalseks ning reaalse kahju tunduvalt väiksemaks võrreldes sularaha kaotamisega, igasugu kliendi- ja muid kaarte täis rahakoti kaotamisest rääkimata.
Rääkides ID-kaardist pangakaardi asendajana, siis mis vahet seal on kas kaotate pangakaardi või selle funktsionaalsusega ID-kaardi? Samamoodi ei saa siis ju poes maksta ega sularaha välja võtta kuniks saate uue kaardi. Seega, määrav on selle sulgemise ja uue kaardi saamise toimivus, lihtsus ja kiirus. Selle elektroonilise kasutuse peatamiseks tuleb helistada numbril 1777 (välismaalt +372 677 3377). Telefonitsi seda aga päris n-ö sulgeda paraku ei saa. Täielikuks kasutuse lõpetamiseks võiks aga piisata kokkuleppelisest salasõnast või koodist või alternatiivsest isikutuvastamisest ka mobiil-ID’ga lisaks ettenähtud asutusse füüsiliselt kohale ilmumisele.
ID-kaardi väljastamine toimub praegu 30 päeva jooksul, mis on kahtlemata liiga pikk aeg, liiati kui ID-kaart täidab ka teiste kaartide funktsioone. Samas ka praegu on võimalik ID-kaarti saada nn kiirkorras 5 tööpäeva jooksul. Seda siis eeldusel, et kodanikule on juba korra välja antud pass või ID-kaart. Kui see aga toimuks näiteks kahe tööpäeva sees suuremates politseiasutustes kui pangakontorites, oleks see juba tõeliselt moodne ja atraktiivne - kordades mõistlikum ja mugavam kui mitmete erinevate kaartide uuendamine erinevates firmades ja asutustes.

ID-kaart ei kanna kliendikaardina turundussõnumit
Sellist väidet kohtab (ma ütleks, vanameelsete) kaupmeeste leeris päris sageli. Taas pigem kinnismõte ja iganenud arusaam kui realiteet.

Kui paljud oskavad peast üles lugeda kõik kliendikaardid, mis neil olemas on? Okei, meenuvad selliste enam käidavate kohtade omad nagu mõned kaubandusketid või supermarketid, võib olla veel üks või teine. Samas, kui paljud valivad kauplust sellest lähtuvalt, kas neil on olemas selle kliendikaart? Pakun, et valdavalt valitakse kauplus muude kriteeriumite alusel nagu: a) seal peaks olema seda kaupa, mida vajan; b) see asub mugavalt tee peal; c) seal on soodne hinnatase või parasjagu miski kampaania käimas; d) seal on hea teenindus jne.

Kliendikaart per se valikukriteeriumina on üks viimaseid tegureid kui see üldse arvesse tulebki. Pigem käib kliendikaardi majandus selliselt, et kui oled poes ja miskit ostad ning viidatakse kliendikaardile, hakkad mõtlema, et oot mul oli vist mingi punane (konkreetse firma värvidega haakuv) kaart küll. Ja sorid ja otsid siis teist taga. Palju lihtsam oleks ju kliendistaatus tuvastada ühe konkreetse kõikjal toimiva vahendiga – ID-kaardiga...või miks mitte täiendavalt veel mobiil-ID’ga, sõrmejälje vm biomeetrilise tuvastusmeetodiga. Oluline on ju kliendistaatus kui selline, ehk ostja tuvastamine, mitte, et ta peaks tingimata meie kaupluse plastikut kaasa vedama. Viimane eeldus on pealegi egoistlik – kliendi mugavusega mittearvestav.

See, et firmavärvides kliendikaart toimiks visuaalse peibutisena kõrvalviibijatele (nn bränding) on väga naiivne ootus. See mõjub parimal juhul vaid lasteaialastele, kellele ikka värvilised asjad põnevad on.
ID-kaardi avalik näidis
Tegelikult on kliendisõbralikud ja mõjuvad edumeelseina just need ettevõtted ja asutused, mis on oma süsteemid ja kliendituvastuse integreerinud ID kaardiga. Nagu näiteks raamatupoed Apollo ja Rahva Raamat, kino Forum Cinemas, sporditarvete kauplus A2K Sport ning kindlasti nii mõnigi teine.



ID-kaardi kliendikaardina kasutamise reaalsed ja potentsiaalsed miinused

Õigupoolest väga tõsiseltvõetavaid ID-kaardi kommertskasutust kahtluse alla seadvaid miinuseid on raske näha kui ID-kaardi omadusi tondivabalt vaagida.

Mõningatest pisut lähemalt siiski.
Kurdetud on ID-kaardi lugemise kohatist aeglust, kapriiset toimivust ja raskepärast, keerulist tarkvara. Probleeme on täheldatud just seoses uute kaartide tulekuga, millised probleemid pidavat olema nüüdseks lahendatud.
Ei saa välistada, et teatud praaki võib esineda ning süsteemid ja rakendused ei pruugi alati toimida laitmatult. Probleemi põhjus ei ole siiski mitte alati kaardis, vaid justnimelt riistvaras, firmware’is, draiverites, softis, kasutatavates seadmetes ja arvutites. Tõsi ta on, et probleemide korral võib süsteemi toimivaks saamine tavakasutajale üle jõu käia, vajades asjatundja sekkumist. See ei peaks aga saamaks ainsaks kaalukeeleks ID-kaardi kui sisuliselt väga hea vahendi kasutuse üle otsustamisel.

Kuivõrd üha levinum on ID-kaarti kasutamine isikutuvastamisel arvutitesse logimisel, ei pruugi see alati kaasas olla. Samas on see ju puhtalt kasutaja enda viga või enda asi (kuidas soovite). Keegi ei keela arvuti juurest lahkumisel sellest välja logida ja kaarti kaasa võtta, mis turvalisust (nii kõrvaliste isikute poolt arvutisse sisenemise kui kaardivarguse võimalust) arvestades olekski õige tegu.

Minu hinnangul seisneb ID-kaardi suurim probleem riigi garantiide puudumises selle tavakasutusest ja loomulikust kulumisest põhjustatud mittetoimimisele (ei räägi tootja praagist) ja küllalt kõrges maksumuses ehk riigilõivu määras (tava korras taotlemine € 24,28, kiirkorras taotlemine € 44,73). Ehk alati, kui uut kaarti mistahes põhjusel vajatakse (ja tegu pole tootja praagiga), tuleb riigilõiv täismääras välja käia.


ID-kaardi kommertskaardina kasutamise edud

Riiklik haldamine – kohustuslik isikutunnistusena olemas nii-ehk-naa. Seega nii kaupmehele kui tarbijale täiendavate kulude vaba (mitte arvestades uue kaardi riigilõivu). Vahetatakse välja iga 5 aasta järel.

Kõrge turvalisus – tõendatult parem turvalisus isiku tuvastamisel kui kliendikaardi alusel (ei vaja siinkohal vast pikemalt lahti kirjutamist, et miks ja kuidas). Veel kõrgem turvalisus ja mugavus on hetkel vaid mobiil-ID’l.

Mugavus - õhem rahakott, mõistlikum ja lihtsam elu. Puudub vajadus kaasa vedada kümneid kliendikaarte lihtsalt selleks, et äkki läheb neist üht-või-teist mõnes kaupluses vaja (ja kuna Murphy seaduse järgi läheb sul vaja seda, mida sul parasjagu just kaasas pole, oledki sunnitud neid kõiki kaasas tassima, et mitte mitu korda kaupluse vahet käia). Rahakott jäägu ennekõike ikkagi raha jaoks.

Väiksem püsikulu - pangakaardina (ütleme riigisisene deebet) igakuise nn hooldustasu (ca € 1) puudumine (mis muidugi ei tähenda, et pangad ei mõtleks ID-kaardile üleminekul hooldustasu kompenseerimiseks välja uut tasu – n. süsteemihaldustasu vms.).


Teemakohased artiklid


Kasulik info


Bookmark and Share
Postita kommentaar