Päevatoimetaja:
Kaido Einama
Saada vihje

Eesti sai juba juunis teate ID-kaardi võimaliku riski kohta (80)

Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Copy
Eesti sai teate ID-kaardi turvaprobleemist 20. juunil
Eesti sai teate ID-kaardi turvaprobleemist 20. juunil Foto: Aivar Pau

Postimehe käsutuses on kirjalik tõend selle kohta, et Eesti ametivõimud said ametlike kanalite kaudu ka 20. juunil teada ID-kaarte tabanud fataalsest turvaprobleemist Austrias. RIA kinnitusel oli aga sellel juhul tegu teise kaarditootja kaartidega.

Täpsemalt seisab 20. juunil RIA küberintsidentide lahendamise üksusele CERT-EE laekunud teadaandes info selle kohta, et Austrial tuli 9. juunil ID-kaartidel sertifikaadid sulgeda, kuna neis oli avastatud turvanõrkus. Antud on ka tehniline kirjeldus probleemi olemuse kohta.

«Nimetatud nõrkuse tõttu tühistas Austria kvalifitseeritud usaldusteenuse pakkuja kõik sertifikaadid, mis olid väljastatud enne 9. juunit 2017, ning informeeris sellest nii avalikkust kui kõiki mõjutatud asjaosalisi,» seisab teiste seas ka Eestile laekunud informatsioonis.  

RIA on hiljem teada andnud, et Austrial oli selliseid ID-kaarte tuhatkond ning nende puhul on tegemist sama probleemiga, mis oli tabanud Eesti ID-kaarte. Samasid kiipe kasutavad kaardid on kasutusel näiteks ka Slovakkias ja Hispaanias, kus samuti on probleemsete kaartide sertifikaadid peatatud.

RIA kommentaar:

Eesti riik sai ametliku teate Infineoni kiibis peituva turvriski kohta Tšehhi teadlastelt 30. augusti õhtul RIA küberintsidentide lahendamise osakonna (CERT-EE) kaudu. Postimehe artikli juures avaldatud kirjas sisalduvat üldist infot erinevate riskide ja juhtumite kohta laekub RIA-le iga nädal ning alati sellist infot kontrollitakse.

RIA eID valdkonna juht Margus Arm: "Info Austria raporti kohta jõudis RIAle 20. juunil. Uurisime koos partneritega saadud infot. Kirjas oli välja toodud, et intsident puudutas teise kaarditootja kaarte (Atos ID Solutions) ning selle rakendust. Viidet Infineoni kiibile või seostele Eesti ID-kaardiga ei olnud. Antud raportit on teravalt kritiseerinud ka teised riigid, sest raportis sisalduv info oli nii puudulik, et ükski riik ei osanud selle teavituse põhjal antud intsidendiga oma ID-kaarte seostada. Info selle kohta, et oht on seotud Infieneoni kiibiga ning mõjutab ka Eesti ID-kaarte, tuli välja alles Tšehhi teadlaste teavituse põhjal."

Riigil on tulnud kulutada üüratuid summasid probleemile ülikiire lahenduse leidmisele ja suletud ID-kaartide sertifikaatide ülikiirele uuendamisele nii üle interneti kui teeninduspunktides.

Mitmed kõrged poliitikud ja riigiametnikud on avalikkusele viimased kolm kuud kinnitanud, et Eesti riik sai ID-kaartide turvaprobleemist teada 30. augustil samamoodi CERT-EE-le laekunud info põhjal.

Tagasi on lükatud Eestile ID-kaarte tootva ettevõtte Gemalto väited selle kohta, et Eesti sai probleemist teada juba juunis. Täna nõuti ettevõttelt selle väite eest avalikku vabandamist, varem on PPA esitanud Gemaltole ka esialgse rahalise nõude.

Riskist teadasaamise aeg – ja selle põhjal tegutsema asumine – on oluline, kuna sellest sõltub, kui palju on osapooltel aega probleemi parandamisega tegeleda enne, kui riski realiseerumise tõenäosuse kasvu kriitilise piirini ja tuleb langetada otsus, kas probleemsed ID-kaardid tuleb seetõttu sulgeda või mitte.

Eestis mindi kogu nii kaugele, et RIA-l lubati probleemile lahendust leida avatud eelarvega – kulub palju kulub.

Eesti riik otsustas probleemsed 760 000 ID-kaarti sulgeda novembri alguses enne seda, kui valdaval osal neist oli jõutud probleemset tarkvara uuendada. Tarkvara uuendamine üle interneti venis, kuna Eesti riigi infosüsteemid ei suuda omavahel piisavalt kiiresti üheskoos toimida. ID-kaartide sertifikaatide plaanitust varasema sulgemise aluseks oli PPA ja RIA ettepanek valitsusele.

Parandustarkvara teoreetilise turvaprobleemi lahendamiseks loodi Eesti riigi, mitte kaarditootja Gemalto eelarvest. Eesti riik on esitanud Gemaltole ID-kaardi väidetava mitteturvalisuse tõttu Postimehe andmeil ligi 20 miljoni euro suuruse nõude.

Eesti riigi esindajad on ID-kaardiga juhtunut nimetanud järjekindlalt «reaalseks teoreetiliseks turvanõrkuseks».

Tagasi üles