Eesti riik sai info teoreetilisest turvariskist ID-kaardi kiibis. E-valimiste toimumise otsustab vabariigi valimiskomisjon. Postimees teeb kell 14 algavast valitsuse pressikonverentsist otseülekande.
ID-kaardi kiibis avastati teoreetiline turvarisk (49)
Vabariigi valimiskomisjoni esimees Meelis Eerik ütles, et teda on võimalikust ID-kaardi turvariskist teavitatud. «Mulle laekunud info kohaselt elu Eestis seisma ei jää – esmased lahendused riskide maandamiseks on tehtud, ühtegi reaalset intsidenti ei ole olnud. Oht on teoreetiline ja tõestamata. Spetsialistid tegelevad info kontrollimisega,» lausus ta.
Vabariigi valimiskomisjon teeb otsuse kohe, kui neil on piisavalt informatsiooni. Viimane tähtaeg e-valimiste toimumise kohta otsus langetada on oktoobri algus, kuid valimiskomisjon lubab, et kindlasti ei viivita oma otsusega nii kaua.
Teoreetiline turvarisk on reaalne
Peaminister Jüri Ratas ütles pressikonverentsil, et tegu on seni tõsiseima teabega turvariski kohta. «Teoreetiline turvarisk on reaalselt olemas,» sõnas ta. Peaminister soovitab inimestel võtta kasutusele mobiil-ID. Eesti riik läheb e-teenuste arendamisega Ratase sõnul igal juhul edasi.
RIA peadirektor Taimar Peterkop selgitas Postimehe ajakirjaniku küsimusele vastates, et turvarisk ei puuduta otseselt Eesti ID-kaarte, vaid kiipi, mida on maailmas välja antud üle miljardi. Tehnikud on tema sõnul öelnud, et haavatavus kiibis on olemas, kuid veel kunagi pole nähtud, et koodi lahtimuukimine oleks õnnestunud.
Samas ei ole RIA siiani jälile jõudnud turvaaugu põhjustajale, küll aga arvavad nad teadvat, mis võiks olla lahendus.
Kõiki meetmeid, mida turvariski maandamiseks kasutusele võetakse, riik avalikustada ei saa. «Et mitte teha pahade inimeste elu lihtsamaks,» tõdes Peterkop. RIA soovitab inimestel samamoodi võtta kasutusele mobiil-ID. Digiallkirjad kehtivad edasi. Seda, mis täiendavate turvameetmete kasutusele võtmine riigile maksma läheb, RIA juht kommenteerida veel ei osanud.
Peterkopi sõnul koguvad nad erinevatelt teadlastelt pidevalt informatsiooni ID-kaardi turvalisuse kohta, kuid tema sõnul ei pea paika kuulujutt, et RIA sai info reaalselt eksisteerivast turvaaugust juba mullu sügisest.
Politsei- ja piirivalveameti peadirektor Elmar Vaher ütles, et mõjutatud ID-kaartide sertifikaate tühistama ei hakata. Küll aga töötab PPA koos RIAga selle nimel, et viia kaardid kõrgemale turvatasemele. Ka teeb PPA Vaheri sõnul koostööd pankadega.
Ettevõtlus- ja infotehnoloogiaminister Urve Palo tõdes, et mingit mõtet uut ID-kaarti soetama minna pole, kuna ka siis saab inimene sama kiibi. Küll aga võib paari kuu pärast hakata andma uue kiibiga kaarte, siis selle vahetuse ka riik korvab. Probleemi tõsidusest ollakse Palo sõnul ka aru saadud.
Risk puudutab 750 000 ID-kaarti
30. augustil informeeris rahvusvaheline teadlaste grupp riigi infosüsteemi ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte, mida on kokku 750 000.
Eesti ekspertide praeguse hinnangu järgi on turvarisk olemas. «Me jätkame teadlaste väidete kontrollimist,» ütles RIA peadirektor Taimar Peterkop ja lisas: «Oleme juba välja töötanud esmased lahendused riskide maandamiseks ning teeme kõik selleks, et ID-kaardi turvalisus oleks jätkuvalt tagatud.»
Lahtimuukimine maksab hinnanguliselt 60 miljardit eurot
Kõigi vigaste kaartide koodi lahtimuukimine maksab hinnanguliselt ligi 60 miljardit eurot.
Praeguse info järgi ei ole turvarisk realiseerunud ja kellegi digitaalset identiteeti ei ole selle abil kuritarvitatud. «Kõik ID-kaardiga tehtud toimingud kehtivad ja astume rea samme, et seda turvariski ei oleks võimalik Eesti ID-kaardi ründamiseks kasutada ka tulevikus. Sulgesime ID-kaardi avalike võtmete andmebaasi, kuna ilma avalikku võtit teadmata ei ole võimalik antud turvariski kaardi ründamiseks kasutada,» selgitas Peterkop.
Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte) ehk kokku ligi 750 000 kaarti. Enne 2014. aasta 16. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta. Samuti ei puuduta antud turvarisk mobiil-ID-d.
«Eesti digitaalne ühiskond kasutab maailmas uuenduslikke tehnoloogiaid. Uute tehnoloogiatega kaasnevad mugavused, kuid paraku alati ka riskid. Oluline on, kuidas võimalikke ohte avastatakse ja välditakse,» lausus RIA juht ja lisas, et juhtum on hea näide sellest, kuidas teadlased annavad avastustest meile teada ning Eesti riik saab asuda probleeme lahendama.
ID-kaartide väljaandmine jätkub, samuti töötavad edasi kõik riiklikud e-teenused.
Ansip: e-hääletamine peaks toimuma
Euroopa Komisjoni asepresident Andrus Ansip ütles «Aktuaalsele kaamerale», et praegu, mil Eesti e-riigi lahendused on seoses eesistumisega teravdatud rahvusvahelise tähelepanu all, võib probleemide kiire lahendamine näidata meie tugevust.
«Kohalikel valimistel peaks ID-kaardiga e-hääletamine toimuma,» leiab endine peaminister.
«Kui katus tilgub läbi, siis me parandame selle katuse ära ja elu läheb edasi. Me ei tule ju selle peale, et võiks maja maha lammutada või üldse koopasse elama minna. Neid probleeme on olnud ennegi ja küllap kahjuks tuleb ka tulevikus, kuid me oleme võimelised need probleemid lahendama,» ütles Ansip «Aktuaalsele kaamerale».
Rõivas: ei tohi sattuda paanikasse
Riigikogu aseesimees Taavi Rõivas (RE) tõdes, et kõiki turvariske tuleb võtta tõsiselt, kuid neist ei tohi sattuda paanikasse. Rõivas rääkis ETV saates «Ringvaade», et e-valimiste või ükskõik millise suure e-lahenduse pikemalt mõtlemata ärajätmine oleks kindlasti märk paanikast.
Ta lisas, et ka kõige turvalisem tehnoloogia või tarkvara vajab pidevat tähelepanu ja uuendamist. Tema sõnul on ID-kaartide kiibi peal olevat infot tõenäoliselt võimalik uuendada ilma, et kaarti füüsiliselt välja vahetada.
Hanso sõnul pole tõenäoline, et Venemaa üritab süsteemi häkkida
Endise kaitseministri Hannes Hanso (SDE) hinnangul pole tõenäoline, et Venemaa üritab Eesti e-valimiste süsteemi sisse häkkida, ütles ta «Ringvaates».
«Arvan, mida Taavi Rõivas juba ütles, et tegelikult keegi ei tea, ühtegi fakti pole selle kohta, et keegi oleks suutnud midagi ära häkkida. /.../ Ma ei usu, et paanikaks mingit põhjust on,» ütles ta.
Hanso ütles, et loodab, et e-valimised ära ei jää.
PPA koostas küsimus-vastus vormis ülevaate, mida see ID-kaardi turvarike inimestele tähendab. Loe pikemalt: ID-kaardi turvarike: mida see kasutajatele tähendab?