Miljoneid maksma läinud küberuimerdamine

Pressikonverents septembris 2017, kus riigiametnikud avalikustavad esimest korda ID-kaardi turvaprobleemi.

FOTO: Sander Ilvest

  • Politsei teadis ID-kaardi probleemist mitu kuud varem, kui avalikkusele väideti
  • Trahvinõue kaarditootjale kuivas kokku
  • ID-kaardi vea avalikustamiseni viisid paar semude vahel joodud õlu

Politsei- ja piirivalveametil (PPA) tuleb lähinädalatel suure tõenäosusega tublisti sõnu süüa ning ID-kaardi kriisi ajal partnerettevõttele Gemaltole jõulise PRi saatel esitatud 20-miljoniline hiigelnõue suures osas korstnasse kirjutada.

«Tšau, P. Ma kohtasin täna R-i ja ta rääkis mulle, et Sul on üks väga huvitav uus teema! Kas me võiksime kohtuda ja oled sa valmis mulle jagama selle juhtumi kohta lähemat infot? Tervitades, S.» Nii seisis ühe kõrge riigiametniku e-kirjas ettevõtjale, kes oli Eesti riigile üle kümne aasta ID-kaarte tootnud.

Just neist paarist lausest sai alguse Eesti e-riigi senise suurima kriisi teadvustamine. Kriis, mille käigus tuli riigil alles mitu kuud hiljem asuda ajaga võidu jooksma, et meie ID-kaardi kiibi turvavea kirjeldus ei jõuaks selle avastanud Tšehhi teadlastelt avalikkuse ja seega ka kurjategijate ette.

Äraandlik kuupäev

See kirjake tähendab aga Eesti riigiametnikele ühte väga suurt probleemi, mis võib saada määravaks ka vaidlustes PPA ja talle ID-kaarte tootva Gemalto vahel. Nimelt kannab see kuupäeva 15. juuni 2017. See on koguni kaks ja pool kuud varem, kui politsei- ja piirivalveamet avalikkusele sestsamast turvaveast teada andis ja tunnistas, et nüüd on kriis, sest tuleb hakata ligi 800 000 ID-kaarti välja vahetama enne, kui jõutakse valmis saada viga parandav tarkvaravärskendus.

Kirjas viidatud R on politseiametnik, kes oli 15. juuni hommikul pidanud kaarte tootva suurettevõttega Gemalto rutiinset ID-kaartide tootmise koosolekut. Kui juba mais oli Tartu Ülikooli teadlane Arnis Paršovs suutnud võltsida ühte Eesti ID-kaarti omaniku allkirja ja see teema oli päevakorras kindlalt sees, siis nüüd olid Tšehhi teadlased tuvastanud veelgi häirivama riski: digiallkirju saab piisava arvutusvõimsuse olemasolul võltsida suures osas Eestis välja antud kaartides.

Päev varem, 14. juunil oli ID-kaartidele kiipe tootnud ettevõte Infineon Gemaltot Skype’i teel tšehhide avastusest informeerinud. Nüüd räägiti see läbi rutiinsel koosolekul ja juba samal, 15. juuni õhtul toimus viis minutit ja 18 sekundit kestnud telefonivestlus Gemalto kurikuulsa esindaja Andres Lehmanni ning Riigi Infosüsteemi Ameti ID-valdkonna juhi Margus Armi vahel.

Veelgi kriitilisemaks läheb olukord neli päeva hiljem, 19. juunil: nii RIAle kui ka tehnilise järelevalve ametile saabuvad üksteisest sõltumatud ja eri allikatest pärinevad kirjad selle kohta, et Austria on 9. juunil kinni pannud kõik Eesti ID-kaardiga sama konfiguratsiooniga ID-kaardid, sest digiallkirjade andmisel on avastatud turvaviga.

Kõik need kirjad on Postimehe käsutuses. Pole kahtlust, et Eestil tulnuks hakkata kohe tegutsema; e-identiteedil põhineb kogu meie ühiskond. Paršovsi digiallkirja võltsingut oli avalikkuse eest edukalt varjul hoitud – Postimees avalikustas selle detsembri alguses –, kuid vähegi suurem juhtum lööks uppi kogu meie paberist võõrdunud riigi. Infineon oli ju Gemaltot informeerinud, et Tšehhi teadlased teevad oma avastuse detailid avalikuks juba sügisel.

Aga mida otsustasid suurettevõte ja tema kliendiks olev väike digiriik? Vaikida ja mitte midagi teha. Ei tarkvarauuendusi, ei ettevalmistavaid samme kaartide ennetähtaegseks väljavahetamiseks või tarkvara kauguuendamiseks, ei mingeid ühendusevõtmisi Tšehhi teadlastega. Konkreetset informatsiooni oli liiga vähe – nii väidavad asjaosalised tagantjärele, kuid levinud on ka arvamus, et oluline info magati lihtsalt kompetentsi puudumise tõttu või ka teadlikult maha.

Suvise uimerdamise põhjusi võib tõesti vaid aimata ja need jäävad nähtavasti igavesest ajast igavesti politseiameti koosolekuruumide seinte vahele. Siiski. Juba kahe nädala pärast oli algamas Eesti esimene Euroopa Liidu eesistumine ja digiriigi müüride kindlus oli üks Eesti peateemasid. Nagu ka e-valimiste propageerimine – olid ju sügisel taas siinmailgi omavalitsuste valimised, kus e-hääletamine oli jätkuvalt lubatud.

Hinnaline viivitus

Riigile oli see arvatavasti strateegiline otsus hoidmaks mainet, Gemalto võis hinnata rahakoti raskuse vähenemist, kui kaarte peaks hakkama tõesti välja vahetama.

Nii saabuski suure tõenäosusega teadlikult valitud vaikelu, mis läks hiljem Eesti riigi rahakotile ja ka mainele vägagi kalliks maksma. Vähemalt neli miljonit eurot otseseid kulusid, pluss vähemalt sama palju inimeste raisatud töötunde oma kaartide kiirkorras väljavahetamisele.

Vaikusele saabus lõpp alles augustis, kui vea avastanud Masaryki ülikooli teadlane Petr Svenda sattus suhtlema oma endise koostööpartneri, RIA töötaja Martin Paljakuga Eestist, kellega muuhulgas varem ka ühiselt õlut oli joodud ja suhted seega usalduslikud ja head.

Nii saabuski suure tõenäosusega teadlikult valitud vaikelu, mis läks hiljem Eesti riigi rahakotile ja ka mainele vägagi kalliks maksma.

Tšehhile ei mahtunud kuidagi pähe, miks polnud Eesti ikka veel midagi oma ID-kaartidega pihta hakanud. Kordame üle: kiibitootjat Infoneoni oldi avastusest informeeritud juba 1. veebruaril, Infineon oli Gemaltot informeerinud 14. juunil ja see omakorda Eesti ametivõime päev hiljem. Austria oli juba 9. juunil kaardid sulgenud ja mitut kanalit pidi sellest ka Eestit informeerinud. Üks kirjadest on näiteks siin.

«Kontakteerusime CERTiga (Riigi Infosüsteemi Ameti allüksus – toim) 30. augustil, kuid enne seda me ei teadnud, kas neil (Eestil – toim) juba on plaan ja kas nad juba teavad sellest. Kahtlesime, kas on üldse vaja nendega ühendust võtta. Tundsin aga isiklikult Martin Paljakut seoses ühiste avaliku koodi arendusprojektidega ja tänu mõnele varasematel aastatel joodud õllele,» rääkis Svenda hiljem oma toonastest sammudest.

Just Paljak oli see, kes soovitas teadlastel saata CERTile täpsemad andmed avastuse kohta ning 30. augustil see nii ka läks. Algas kriis ja kõige kummalisem on, et riik valis selle avalikustamise PR-strateegiaks oma pikaaegse koostööpartneri Gemalto süüdistamise – justkui polevat juunis mingisugust infovahetust vea asjus olnudki. Ettevõttele esitati kohe ka hüvitise nõue 20 miljonile eurole ning see ongi summa, mis on nüüdseks peaaegu kokku kuivanud.

Lahku minnakse kompromissiga

Postimehe andmetel on PPA ja Gemalto jõudnud kokkuleppele, et septembris sõlmitakse kompromissleping, mis lõpetab kõik kolm omavahelist suuremat vaidlust.

Selle kohaselt võtab Gemalto esiteks ringkonnakohtust tagasi hagi PPA korraldatud ID-kaardi järgmise tootmisperioodi hanke vastu. Teiseks võtab PPA tagasi nõude seoses ühe väiksema ID-kaardi veaga ning kolmandaks nõustub Gemalto tasuma riigile vaid pool ID-kaardi kriisi lahendamise otsestest kuludest ehk ligi 1,5 miljonit eurot.

Vaidlus käib veel ainult selle üle, kuidas küll õnnestus politseil kulutada oma ametnike ületundidele ID-kaartide aktiivse ümbervahetamise perioodil 1,5 miljonit eurot. Vastupidiselt Riigi Infosüsteemi Ametile, kellel kulus kriisi lahendusele 1,8 miljonit, ei tulnud politseil ju tellida ID-kaardi tarkvaraarendusi ning kogu summa sai kuluda vaid ametnikele. Kas tööl käidi vaid taksodega ja lõunat toodi tipprestoranidest?

Septembris peaks sõlmitama kompromissleping, mis lõpetab kõik kolm omavahelist suuremat vaidlust.

Igal juhul ei tee kumbki pool enam saladust, et vägikaikaveost ollakse surmani tüdinud. Gemalto tahab väärikalt ja ilma ühegi avaliku kommentaarita lahkuda ja jätkata oma globaalset – mitmemiljardilise aastakäibega – äri edasi maailma valitsuste heaks kõikjal mujal peale väikese Eesti. Suure tõenäosusega nõustutakse selle nimel loovutama Eesti politseile miljon eurot.

Täpselt sama meelt paistab olevat ka politsei. «Lahendust on otsitud ligi aasta ning soovime edasi minna,» tunnistas Postimehele PPA identiteedi ja staatuste büroo peaekspert Kaija Kirch ja kinnitab, et otsus peaks tulema lähiajal.

«Otsustame septembri jooksul, kas Gemaltoga on võimalik kahjude hüvitamise osas saavutada kokkulepe või esitame kohtusse hagiavalduse. See puudutab nii 750 000 turvariskiga kaarti kui ka kaarte, mille privaatvõti oli teadlaste hinnangul loodud väljaspool kiipi,» märkis Kirch.

Seega otsitakse kokkulepet ning ei nõuta tagasi enam kaugeltki poolt 40-miljonilise lepingu kogusummast, nagu oli plaanis alguses.

Väga suure tõenäosusega peitub põhjus selles, et PPA ei suuda kuidagi tõestada Gemalto süüd turvaveas, mille Tšehhi teadlased toodetud ID-kaardi kiipidel olid avastanud. Nagu öeldud, oli info kõigil osalistel olemas juba juunis.

Kriisi lahendamine tõi aga paljudele Eesti riigiametnikele presidendilt ordeni rinda. Kriise lahendada me tõesti oskame, veidi teine lugu on nende ennetamisega.

Tšehhi Ülikooli teadlased olid avastanud, et Infineoni kiipide turvavea tõttu saab sertifikaatide avaliku osa abil tuletada kiipides olevat privaatset osa ja nii kasutajate identiteet varastada. Kui tavalise 2048-bitise võtme puhul kuluks selliseks tuletuseks 6442450944000000 (vCPU ehk protsessori) aastat, siis Infineoni kiipide puhul vaid 140 vCPU aastat, mis võimsate arvutiparkide korral lüheneks veelgi.

Osapoolte järelkommentaarid (ainult veebis):

Politsei- ja piirivalveamet

6. septembri Postimehe loos „Miljoneid maksma läinud küberuimerdamine“ avaldatud valeväited

1.  Politsei- ja piirivalveametil (PPA) tuleb lähinädalatel suure tõenäosusega tublisti sõnu süüa ning ID-kaardi kriisi ajal partnerettevõttele Gemaltole jõulise PRi saatel esitatud 20-miljoniline hiigelnõue suures osas korstnasse kirjutada.

PPA ei ole esitanud Gemaltole 20 miljoni euro suurust nõuet ega ole seda kunagi ka väitnud. PPA on esitanud Gemaltole erinevaid nõudeid tulenevalt lepingus kokkulepitud määradele erinevate rikkumiste kohta. 20 miljonit eurot on ajakirjanduslik interpretatsioon, mis ei tugine PPA avaldatud infole.

2.  «Tšau, P. Ma kohtasin täna R-i ja ta rääkis mulle, et Sul on üks väga huvitav uus teema! Kas me võiksime kohtuda ja oled sa valmis mulle jagama selle juhtumi kohta lähemat infot? Tervitades, S.» Nii seisis ühe kõrge riigiametniku e-kirjas ettevõtjale, kes oli Eesti riigile üle kümne aasta ID-kaarte tootnud.

Just neis paarist lausest sai alguse Eesti e-riigi senise suurima kriisi teadvustamine.

Viidatud 15. juunist pärinev e-kiri on RIA töötaja kiri Gemalto esindajale. Samal päeval oli toimunud Gemalto esindaja ja PPA vahel regulaarne kohtumine, mille käigus ütles Gemalto esindaja PPA ametnikule, et tal on huvitavat tehnilist infot. Kuna valdkonna tehniline ekspertiis on RIAs, palus PPA ametnik Gemalto esindajal tehniline uus info RIA töötajale edastada. PPA ametnik informeeris RIA töötajat sellest, et Gemaltol võib olla uut ja huvitavat infot ning RIA esindaja kiri oligi selle tulemus. Margus Arm tegi Andreas Lehmannile kirjas ettepaneku kokku saada, kuid Lehmann helistas ja loobus kohtumisest põhjendusega, et ei ole midagi nii olulist.

Telefonikõne jooksul Andreas Lehmann küll ütles, et võib olla mingi probleem, kuid ei täpsustanud probleemi olemust, täpsustavatele küsimustele ei osanud vastata ning lubas anda infot siis, kui on selgust saanud. Ei selle kirja ega ka järgnenud telefonikõne jooksul ei andnud Gemalto esindaja edasi infot Infineoni kiibi turvariski kohta.

RIA esindaja Margus Arm on kirja ning sellele eelnenud ja järgnenud infovahetust selgitanud Aivar Paule antud intervjuus https://tehnika.postimees.ee/4321141/ria-gemalto-id-kaardi-vihjed-olid-stiilis-ei-tea-uurime-anname-teada

3.  See kirjake tähendab aga Eesti riigiametnikele ühte väga suurt probleemi, mis võib saada määravaks ka vaidlustes PPA ja talle ID-kaarte tootva Gemalto vahel.

PPA, RIA ja Gemalto vaheline kirjavahetus on PPA sisekontrolli ning RIA infoturbe poolt läbi uuritud. Esimene turvariski infovahetus, mis Gemaltoga suhtlemise e-kirjades leidub, pärineb 2017. a septembri algusest, milles Gemalto ei viita, et probleem oleks neile varasemast tuttav.

4.  See on koguni kaks ja pool kuud varem, kui politsei- ja piirivalveamet sestsamast turvaveast teada andis ja tunnistas, et nüüd on kriis, sest tuleb hakata ligi 800 000 ID-kaarti välja vahetama enne, kui jõutakse valmis saada viga parandav tarkvaravärskendus.

PPA ei ole kunagi andnud teada, et enne viga parandavat tarkvaralahendust tuleb hakata välja vahetama ligi 800 000 ID-kaarti. Esiteks, ei olnud turvaveast teavitamise alguses veel selge, missugune lahendus täpselt turvavea kõrvaldaks. Teiseks, ei olnud mõtet turvaveaga kaarte välja vahetada, sest ka uutel kaartidel oli enne tarkvarauuendust täpselt seesama turvaviga. Gemalto tarnib PPA-le siiani sama turvaveaga kaarti, millel kasutatakse teist krüptograafiat ja sellisel juhul turvaviga ei avaldu.

5. Kirjas viidatud R on politseiametnik, kes oli 15. juuni hommikul pidanud kaarte tootva suurettevõttega Gemalto rutiinset ID-kaartide tootmise koosolekut.

Kirjas viidatud inimene on küll PPA ametnik, dokumendivaldkonna nõunik-ekspert, kuid mitte politseiametnik.

6. Kui juba mais oli Tartu Ülikooli teadlane Arnis Paršovs suutnud võltsida ühte Eesti ID-kaardi omaniku allkirja ja see teema oli päevakorras kindlalt sees, siis nüüd olid Tšehhi teadlased tuvastanud veelgi häirivama riski: digiallkirju saab piisava arvutusvõimsuse olemasolul võltsida suures osas Eestis välja antud kaartides.

Analüüsides ID-kaartide avalike võtmete andmebaasi tuvastas TÜ teadlane Andris Paršovs dokumentide tootmisprotsessis vea, mille tõttu olid 15 kaarti saanud nõuetele mittevastavad nõrgad võtmed. Juuni 2017 sulges PPA 15 vigast kaarti ning väljastas inimestele garantiikorras uued kaardid.

Arnis Paršovs ei võltsinud allkirja. Teadlane näitas ühe praakkaardi varal teadustöö raames, et sellise tootmisvea esinemisel on võimalik digiallkirja järgi teha. Seda vigast kaarti ei olnud elektrooniliselt kordagi kasutatud.  RIA kontrollis üle ka kõikide teiste dokumentide sertifikaatide avalikud võtmed ning vigaste võtmetega kaarte rohkem ei leitud.

RIA informeeris teadlase tuvastatud anomaaliast kaarditootjat Gemalto ja sertifitseerimisteenuse osutajat ning võeti kasutusele meetmed, mis ei võimalda sellise veaga kaarte enam toota. 15. juunil 2017 toimunud kohtumisel käsitleti just nende, Gemalto toodetud praakkaartide küsimust.

Teadlase poolt tuvastatud anomaalia ID-kaardi tootmisprotsessis, mille tõttu oli ringlusse jõudnud 15 praakkaarti, ei mõjutanud mitte kuidagi ülejäänud ID-kaartide turvalisust ja sel puudub seos Tšehhi teadlaste avastatud turvariskiga Infineoni toodetavates kiipides.

7.  Nüüd räägiti see läbi rutiinsel koosolekul ja juba samal, 15. juuni õhtul toimus viis minutit ja 18 sekundit kestnud telefonivestlus Gemalto kurikuulsa esindaja Andres Lehmanni ning Riigi Infosüsteemi Ameti ID-valdkonna juhi Margus Armi vahel.

Telefonivestlus toimus, selle jooksul Andreas Lehmann küll ütles, et võib olla mingi probleem, kuid ei täpsustanud probleemi olemust, täpsustavatele küsimustele ei osanud vastata ning lubas anda infot siis, kui on selgust saanud. Ei selle kirja ega ka järgnenud telefonikõne jooksul ei andnud Gemalto esindaja edasi infot Infineoni kiibi turvariski kohta.

Vt p 2

8. Veelgi kriitilisemaks läheb olukord neli päeva hiljem, 19. juunil: nii RIAle kui ka tehnilise järelevalve ametile saabuvad üksteisest sõltumatud ja eri allikatest pärinevad kirjad selle kohta, et Austria on 9. juunil kinni pannud kõik Eesti ID-kaardiga sama konfiguratsiooniga ID-kaardid, sest digiallkirjade andmisel on avastatud turvaviga.

Austria ID-kaardil ei ole kiipi ja Austria ID-kaarti ei ole suletud. Austrias suletud kaardid olid ühe teenusepakkuja poolt väljastatavad kiipkaardid. Teavitused ei viidanud ei otseselt ega kaudselt sellele, et suletud kaartidel oleks mingi tehnoloogiline seos Eestis kasutatava ID-kaardiga. Selles teavituses ei olnud viidatud ühelegi Eesti ID-kaardi lepingupartnerile ega ka kiibitootjale. Teavituses ei olnud välja toodud kaartide sulgemise juurpõhjust. Sama teavitus läks kõigile EL liikmesriikidele, ükski hiljem mõjutatud riik ei lugenud sellest teavitusest välja mõju nende kaartidele.

Eesti tõstatas intsidentidest teavitamise üldsõnalisuse probleemi EL vastavates töögruppides, toetajaid oli paljudest liikmesriikidest. EIDAS koostöövõrgustik on sellest tulenevalt välja töötamas nõudeid teavituste detailsusele.

9. Paršovsi digiallkirja võltsingut oli avalikkuse eest edukalt varjul hoitud – Postimees avalikustas selle detsembri alguses –, kuid vähegi suurem juhtum lööks uppi kogu meie paberist võõrdunud riigi.

ID-kaartide tootmises on ka varem praaki ette tulnud. 15 praakkaardi puhul informeeriti juunis 2017 kõiki inimesi, keda see puudutas ja nende kaart vahetati garantiikorras välja.

Meedias rääkis 15 praakkaardist ja nende väljavahetamisest esimest korda RIA esindaja 7. septembril PM loos https://www.postimees.ee/4235419/vihje-id-kaardi-kohta-andsid-tsehhi-teadlased

10.  Suurettevõte ja väike digiriik otsustasid aga vaikida ja mitte midagi teha.

Alates 31. augustist 2017, kohe pärast turvariskist teadlikuks saamist, asusid PPA ja RIA koguma turvariski olemuse ja mõjude kohta täiendavaid andmeid ning hakkasid otsima võimalikke lahendusi. PPA ja RIA teavitasid turvariskist avalikkust 5. septembril.

11. Riigile oli see arvatavasti strateegiline otsus hoidmaks mainet, Gemalto võis hinnata rahakoti raskuse vähenemist, kui kaarte peaks hakkama tõesti välja vahetama.

Riigi strateegiline otsus nii PPA, RIA, ministeeriumide kui ka Vabariigi Valitsuse tasemel oli algusest peale teavitada nii partnerasutusi kui ka avalikkust. Eesti e-riik püsib usaldusel ja usaldust ei ole võimalik säilitada infot varjates. Algusest peale oli selge, et nii suure mõjuga turvariski lahendamine eeldab riskist mõjutatud kaartide kasutajate kiiret teavitamist ja e-teenuse pakkujate kaasamist lahenduse leidmisse.

12. Nii saabuski suure tõenäosusega teadlikult valitud vaikelu, mis läks hiljem Eesti riigi rahakotile ja ka mainele vägagi kalliks maksma.

Eesti ametkonnad asusid pärast info saamist kohe tegutsema. Usaldus ID-kaardi ja e-teenuste vastu ei ole langenud, seda näitab ID-kaardi kasutamise statistika.

13.  Vähemalt neli miljonit eurot otseseid kulusid, pluss vähemalt sama palju inimeste raisatud töötunde oma kaartide kiirkorras väljavahetamisele.

Väide, et riigi otsesed kulud kriisi lahendamiseks olid vähemalt neli miljonit eurot, ei vasta tõele. PPA, RIA ja SMITi otsesed kulud olid 2 miljonit eurot ilma leppetrahvideta. Personalikuludest sisaldab see ainult töövälisel ajal tehtud ületunde ning ajutiselt palgatud lisatööjõudu. Sisse ei ole arvestatud seda, et suure hulga ametnike tööaeg kulus ainult ID-kaardi turvariski lahendamisega seotud tegevustele ning muud ülesanded pandi ootele.

Ca 500 000 uuendatud kaardist uuendati ca 360 000kauguuenduse teel. Garantiikorras on välja vahetatud ca 1900 kaarti, sellisel juhul ei olnud inimesel muud võimalust kui teenindusse kohale tulla.

14. Kordame üle: kiibitootjat Infoneoni oldi avastusest informeeritud juba 1. veebruaril, Infineon oli Gemaltot informeerinud 14. juunil ja see omakorda Eesti ametivõime päev hiljem. Austria oli juba 9. juunil kaardid sulgenud ja mitut kanalit pidi sellest ka Eestit informeerinud.

Gemalto Eestit turvariskist ei teavitanud. 31. augustil teavitas PPA Gemaltot Eesti ID-kaarti mõjutavast turvariskist.

Austria teavitus kaartide sulgemisest oli Eestini jõudnud, kuid teavitused ei viidanud otseselt ega kaudselt sellele, et suletud kaartidel oleks mingi tehnoloogiline seos Eestis kasutatava ID-kaardiga. Teavituses ei olnud viidatud ühelegi Eesti ID-kaardi lepingupartnerile ega ka kiibitootjale. Teavituses ei olnud välja toodud kaartide sulgemise juurpõhjust. Sama teavitus läks kõigile EL liikmesriikidele, ükski hiljem mõjutatud riik ei lugenud sellest teavitusest välja mõju nende kaartidele.

Eesti tõstatas intsidentidest teavitamise üldsõnalisuse probleemi EL vastavates töögruppides, toetajaid oli paljudest liikmesriikidest. EIDAS koostöövõrgustik on sellest tulenevalt välja töötamas nõudeid teavituste detailsusele.

15.  Algas kriis ja kõige kummalisem on, et riik valis selle avalikustamise PR-strateegiaks oma pikaaegse koostööpartneri Gemalto süüdistamise – justkui polevat juunis mingisugust infovahetust vea asjus olnudki.

PPA ja RIA kaasasid Gemalto ID-kaardi turvariski lahendamisse esimesest päevast alates. Gemalto esindajat käsitleti meeskonna liikmena ja nii meeskonnas kui ka avalikus kommunikatsioonis hoiduti teadlikult süüdlaste otsimisest. Alles novembris asus Andreas Lehmann esmaskordselt väitma, et Gemalto teavitas PPA-d ja RIA-t turvariskist juba juunis ning seejärel tekkis esimest korda avalik konflikt koostööpartnerite vahel.

16. Ettevõttele esitati kohe ka hüvitise nõue 20 miljonile eurole ning see ongi summa, mis on nüüdseks peaaegu kokku kuivanud.

PPA esitas esimese kahjutasunõude Gemaltole lepingu rikkumise eest küll juba septembri lõpus, kuid ei vasta tõele see, et nõude suurus oleks olnud 20 miljonit eurot. Vastavalt lepingule on kahjutasunõude summa avaldamine lepingu konfidentsiaalne info, mille avaldamise eest oleks Gemaltol omakorda õigus esitada PPA-le leppetrahv lepingus kokkulepitud ulatuses. Kompromisskokkulepe, leppetrahv ja kahjutasunõue on erinevad terminid.

17. Postimehe andmetel on PPA ja Gemalto jõudnud kokkuleppele, et septembris sõlmitakse kompromissleping, mis lõpetab kõik kolm omavahelist suuremat vaidlust.

Ei vasta tõele, et PPA ja Gemalto oleksid jõudnud septembri alguseks kokkuleppele: kindlust ei olnud ühegi PPA poolt esitatud tingimuse ega ka tähtaja osas.

18. Selle kohaselt võtab Gemalto esiteks ringkonnakohtust tagasi hagi PPA korraldatud ID-kaardi järgmise tootmisperioodi hanke vastu. Teiseks võtab PPA tagasi nõude seoses ühe väiksema ID-kaardi veaga ning kolmandaks nõustub Gemalto tasuma riigile vaid pool ID-kaardi kriisi lahendamise otsestest kuludest ehk ligi 1,5 miljonit eurot.

Kompromissleppe kirjeldatud sisu ei vasta PPA kasutuses olevale kompromissleppe ettepanekule. Küll aga ei oma kompromissleppe detailid enam mingit tähtsust, sest PPA katkestas 6. septembril kompromissleppe läbirääkimised, teavitas sellest Gemaltot ja esitab esimesel võimalusel kohtusse hagiavalduse.

19. Vaidlus käib veel ainult selle üle, kuidas küll õnnestus politseil kulutada oma ametnike ületundidele ID-kaartide aktiivse ümbervahetamise perioodil 1,5 miljonit eurot.

Summa 1,5 miljonit PPA ametnike ületundidele ei vasta tõele. Kompromissleppes räägitud 2 miljonit eurot moodustavad PPA, RIA ja SMITi ametnike ületunnid, tellitud arendused, audit ning muud otsesed kulud kokku.

20. Vastupidiselt Riigi Infosüsteemi Ametile, kellel kulus kriisi lahendusele 1,8 miljonit, ei tulnud politseil ju tellida ID-kaardi tarkvaraarendusi ning kogu summa sai kuluda vaid ametnikele.

Väide, et vaidluse sisu on PPA kulutused, ei vasta tõele. Kompromisslepe sisaldas algusest peale PPA, RIA ja SMITi otseseid kulusid kokku, sh tellitud tarkvaraarendusi.

21. Seega otsitakse kokkulepet ning ei nõuta tagasi enam kaugeltki poolt 40-miljonilise lepingu kogusummast, nagu oli plaanis alguses.

PPA ei ole esitanud Gemaltole 20 miljoni euro suurust nõuet ega ole seda kunagi ka väitnud. PPA on esitanud Gemaltole erinevaid nõudeid tulenevalt lepingus kokkulepitud määradele erinevate rikkumiste kohta. Pool lepingu kogusummast ehk 20 miljonit eurot on ajakirjanduslik interpretatsioon, mis ei tugine PPA avaldatud infole.

22. Väga suure tõenäosusega peitub põhjus selles, et PPA ei suuda kuidagi tõestada Gemalto süüd turvaveas, mille Tšehhi teadlased toodetud ID-kaardi kiipidel olid avastanud.

Gemaltol on kohustus tarnida PPA-le ilma veata kaarte ning olulisest infost anda teada lepingus sätestatud kontaktisikule kirjalikult. PPA-l on olemas vettpidavad tõendid kohtusse minekuks.

23. Nagu öeldud, oli info kõigil osalistel olemas juba juunis.

PPA Gemaltolt infot ID-kaardi turvariski kohta ei saanud ei juunis ega ka hiljem.

AG Gemalto

Seoses Eesti meedias neljapäeval, 6. septembril 2018 avaldatuga soovib Gemalto AG rõhutada, et ettevõte ei ole avalikustanud pressile ega mõnele teisele kolmandale osapoolele ükskõik millist informatsiooni, mis puudutab käimasolevaid kokkuleppele suunatud läbirääkimisi Politsei- ja Piirivalveametiga (PPA), olgu selleks siis läbirääkimiste toimumise fakt või nende sisu.

Gemalto AG ei laseks kunagi pressil või mõnel teisel kolmandal osapoolel sekkuda sarnastesse läbirääkimistesse, mis oma loomu poolest ja õnnestumise huvides peavad jääma konfidentsiaalseks.

Gemalto AG soovib jätkuvalt saavutada PPA-ga läbirääkimistel kompromissi, mille tunnistuseks on arvukad ja pidevad infovahetused ja kohtumised kokkulepe saavutamise nimel. Siinkohal kinnitame, et teeme endiselt suuri jõupingutusi, et jõuda selle eesmärgini ning täielikult ja lõplikult lahendada erimeelsused kohtuväliselt, kuna usume, et see oma mõlema poole huvides.

Tagasi üles