Päevatoimetaja:
Kaido Einama

Politsei: Tšehhi teadlaste paljastus ei olnud piisav ID-kaartide sulgemiseks (1)

Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Copy
ID-kaart.
ID-kaart. Foto: JAANUS LENSMENT/POSTIMEES

Juhul kui üks ID-kaart peaks reaalselt lahti murtama, on politsei- ja piirivalveamet (PPA) seadusest tulenevalt kohustatud sulgema kõik turvaohuga ID-kaardid, kuid viimatine - Tšehhi teadlaste avastus - politsei hinnangul selleks põhjust ei andnud.

Tšehhi teadlaste poolt Eestile teada antud teoreetilise turvariski leidmine polnud veel piisav alus kõikide ohus olevate sertifikaatidega ID-kaartide sulgemiseks. Kuid konkreetse kaardi murdmise korral selline kohustus tekiks, ütles PPA pressiesindaja Kristi Ruul BNS-ile.

«Põhimõte on nii, et kui keegi suudab kaardi lahti murda ja riigi infosüsteemide amet (RIA) seda kinnitab, siis pannakse sertifikaat kinni. Sellisel juhul tuleb sulgeda kõik turvariskidega kaardid,» ütles PPA pressiesindaja Kirsti Ruul BNS-ile.

PPA identiteedi ja staatuste büroo juhataja Margit Ratniku sõnul tähendaks turvariski realiseerumine ka ühe näite puhul kõikide turvariski poolt puudutavate ID-kaartide sertifikaatide peatamist.

«Juhul kui on olemas kindlad tõendid selle kohta, et risk on realiseerunud, peatab PPA kui dokumendi väljaandja ainult selle turvariskiga kaartide sertifikaadid. See tähendab seda, et neid ID-kaarte ei saa pärast sertifikaatide peatamist enam elektrooniliselt kasutada. ID-kaardid, mida turvarisk ei puuduta, jäävad edasi kehtima ning neid saab jätkuvalt ka elektrooniliselt kasutada,» lisas Ratnik.

Õiguslik kohustus sertifikaadid sulgeda tuleneb Ratniku sõnul isikut tõendavate dokumentide seadusest, mille kohaselt võib dokumendi väljastaja sertifikaadi kehtetuks tunnistada juhul, kui on põhjendatud alus arvata, et sertifikaadis nimetatud avalikule võtmele vastavat privaatvõtit on võimalik kasutada dokumendi kasutaja nõusolekuta.

Samuti tuleneb e-identimise ja e-tehingute usaldusteenuste seadusest kohustus usaldusteenuse osutajale ehk eraettevõttele SK Solutions tunnistada sertifikaat kehtetuks, kui seda peaks taotlema pädev asutus või sertifikaadi omaja. Juhul kui sertifikaadi omajal on kahtlus ID-kaardi nõusolekuta kasutamise võimaluseks, on omakorda tema kohustatud taotlema sertifikaadi kehtetuks tunnistamist.

«Sertifitseerimiskeskus pakub usaldusteenust, kui usaldus kaob, siis peab dokumendi väljaandja käituma turvalisel viisil. Ehk peab kaitsma dokumendi omanikke rünnaku alla sattumisest,» märkis Ruul.

Septembri alguses teatasid valitsus, RIA ja PPA avalikkusele ID-kaardi turvariski avatastamisest Tšehhi teadlaste poolt. Turvarisk puudutav alates 2014. aasta oktoobrist välja antud ID-kaarte, mida on ligikaudu 750 000.

Senise teadaoleva teabe kohaselt ei ole turvarisk ühegi konkreetse kaardi puhul realiseerunud. Praeguseks on suletud ID-kaardi avalike võtmete andmebaas, kuna ilma avalikku võtit teadmata ei ole võimalik antud turvariski kaardi ründamiseks kasutada.

Tagasi üles