Igasugused kavalad pettused on leidnud aset juba aegade algusest. Mäletan, kus ema pani ümbrikusse margi ja ühe rubla ning saatis kirja saatjale tagasi. Samas saatis edasi 10 kirja oma tuttavatele, kus oli samasugune jutt, et pane rubla ja mark ümbrikusse, saada mulle ja saada uus kiri kümnele tuttavale.

Lisaks käisid igasugused kahtlased "torumehed" uste taga, et meil pidada kusagil lekkima ja neil on vaja vaadata. Meistrimeeste õnnetuseks oli tegemist väikese kohaga ja kõik teadsid, et torudega tegeleb meie auulis Raud, ei keegi teine.

Aja möödudes on skeemid jäänud samaks, lihtsalt vahendid ja mastaabid on muutunud. Poliitikute loosung, et meil ei ole vaja enam paberi peal asju ajada, kõik saab tehtud elektrooniliselt, on kui kutse igasugustele sahkerdajatele: tulge proovige siis teie ka. Minevikus oli veel natuke hirmu, et kui kätte saavad, annavad peksa. Praegu on taoline võimalus marginaliseerunud. Globaalsetes mastaapides on võimalik igasuguseid avantüüre ette võtta, eelkõige mängides just inimeste naiivsusele, kergeusklikkusele, ignorantsusele. 

Konkreetsemalt. Kurikuulus Smart-ID.  Ligi 133 inimest, kellelt kelmid 2025. aasta teises ja kolmandas kvartalis ühtekokku üle 2,5 miljoni euro välja petsid [1].

Lähimineviku- ja oleviku endiselt menukaim petuskeem viiakse Eesti Pangaliidu kirjeldusel läbi sarnaselt [1]: helistab "tervisekassa töötaja" või "elektriettevõtte konsultant" ning palub PIN1-koodiga kinnitada mingi kahtlaselt argipäevane toiming — toetuse pikendamine, näidu esitamine. Mõni minut hiljem helistab "panga turvaosakond" või "politseinik" ning teatab murelikult, et keegi üritab ohvri identiteeti varastada ja Smart-ID tuleb kohe tühistada ning selleks on vaja sisestada PIN2. Tulemuseks sulile roheline tuli luua uus Smart-ID konto ohvri nimele, kuid petturi seadmesse. Edasine on juba ajalugu: ohver on rahast ilma. RIA on lisaks kinnitanud, et samalaadse skeemiga on logitud sisse ligi 1500 inimese eesti.ee kontole [2], nii et tegu pole üksikute õnnetustega ja apsakatega, vaid pandeemilise hädaga.

Kuidas, miks, kas tõesti siis aru ei saada, et tegemist on pettusega? Mitnicki valem: turvalisus = tehnoloogia × koolitus × reeglid. Korrutis, mitte summa — kui üks tegur on null, on tulemus null. Antud kaasuses on tegemist lennuõnnetuse laadse komplektiga (lennuõnnetus ei teki kunagi ainult ühel põhjusel, vaid reeglina 'täiusliku tormi' tagajärjel). 

Tehnoloogia

Tehnoloogiliselt on Smart-ID koos PIN1/PIN2 ja kontrollkoodi loogikaga väga hea, aga loodud eeldusega, et kasutaja teab ja veendub, mida ta kinnitab. Võibolla teab, aga ei viitsi veenduda. Telefonis ju öeldi, et "tervisekassa", küll ta nii on. 

Tehniliselt poolelt võib Smart-ID pettust võib võrrelda umbes taolise situatsiooniga: Ehitati maja. Betoonist. Pandi uks. Rauast. Uksele pandi lukk. Praktiliselt võimatu lahti muukida. 

Peremees läks uhkelt tänavale ja andis võtmed esimesele kena mesijuttu ajavale inimesele. Eesriie.

Kas oleks tehniliselt oleks võimalik siiski midagi ära teha?

Pangad ja RIA peaksid Smart-ID+ kasutuselevõttu kiirendama, mitte kaaluma — ERR-i andmetel on suuremad pangad otsuse seni edasi lükanud [3]. Kui uue konto loomist saab algatada ainult kasutaja ise oma seadmest, kukub kogu praegune skeem ühe hoobiga kokku. Seni — vähemalt mitmetasemeline kinnitus iga uue seadme registreerimisel, koos selge eestikeelse hoiatusega ekraanil.

Koolitamine

Keeruline. Kõigini lihtsalt ei jõua, sest tarbitakse niivõrd erinevaid kanaleid. Samas riik surub kogu asja-ajamist elektrooniliseks -> inimesed võtavad tehnoloogia kasutusele, sest peab, mitte seda hirmsasti soovides. Tulemus: pole õrna aimugi, kuidas peaks istuma või astuma. 

Lahendus? 

Kiiret lahendust pole. Tuleb jätkata seda trummi löömist kõikvõimalikel kanalitel, noored peavad vanemaid manitsema, korrale kutsuma ja pidevalt rõhutama: kui keegi helistab ja mingeid PIN'e hakkab küsima, paned telefoni ära. Kui tuleb e-kiri, kus on link 'klõpsa siia, et oma trahv tühistada', ei klõpsa.

Riik ei jõua kõigini, ühiskonna iga liige peab ise hoolitsema, et tema vähemteadlikud lähikondlased oleks ohtudest teadlikud. Eelkõige jälgides reeglit: kui kahtled, ära tee ja helista mulle.

Reeglid

Alustuseks võibolla võiks olla kohustus kinnitada uus Smart-ID ID kaardiga. Kohutavalt ebamugav, aga ID kaart on oluliselt turvalisem ja välistab igasuguse eemalt sellisel kujul identiteedivarguse. Eks edaspidi siis peab vaatama, mida pätt järgmisena ette võtab ja sealt edasi järgmised reeglid kehtestama.

Kokkuvõtvalt. Pöördudes tagasi loo alguse juurde. IT alane pettus pole otseselt tehniline probleem, see on inimlikele nõrkustele mängimine kaasaegses kuues. Mitnicki valem on kehtinud läbi aegade, viimasel ajal on lisandunud korrutisse 'Tehnoloogia'. Teised kaks on koguaeg eksisteerinud. Inimlikke probleeme tehnoloogia üksi ei lahenda.

Tegelikult. Mitte miski ei lahenda. Mis ei tähenda, et me midagi tegema ei peaks.  Proovima peab. Kasvõi sulide elu võimalikult ebamugavaks teha 😊. 

[1] https://pangaliit.ee/uudised-ja-teated/uue-smart-id-loomisega-seotud-pettused-pohjustavad-miljonikahjusid-inimesed-ei-teadvusta-ohumarke

[2] https://www.ria.ee/uudised/kelmid-kasutanud-eestiee-andmeid-petuskeemides

[3] https://www.err.ee/1609925093/pangad-alles-kaaluvad-turvalisema-smart-id-kasutusele-votmist