Politsei- ja piirivalveamet (PPA) esitas eile Harju maakohtule hagi ID-kaardi tootja Gemalto AG vastu ning nõuab talt 152 miljonit eurot leppetrahvi seoses sel aastal enam kui 11 000 ID-kaardis avastatud turvaveaga, lisaks on tulemas hagi möödunud aastal kordades suurema ID-kaardi kriisi põhjustanud vea eest.
Politsei nõuab ID-kaardi tootjalt vähemalt 152 miljonit eurot trahvi (2)
Eile kohtusse esitatud hagi puudutab vaid käesoleva aasta mais avastatud turvaviga, mille tagajärjel vajas väljavahetamist 11 111 käibel olnud ID-kaarti. Turvanõuete rikkumise tuvastamiseni viis koostöö Tartu Ülikooli teadlasega ja AS Cybernetiga ekspertide analüüs, mis selgitas välja, et lepingupartner genereeris osade ID-kaartide privaatvõtmeid väljaspool kaardi kiipi.
«ID-kaardi turvalisuse tagamiseks oluline kindlustunne, et privaatvõtmeid ei saa olla kuskil mujal kui ainult kaardi kiibis ning seetõttu oleme seadnud ka nõude, et privaatvõtmeid võib genereerida ainult kiibisiseselt. Paraku selgus, et lepingupartner rikkus seda nõuet aastaid ning näeme selles väga olulist lepingurikkumist. Cybernetica ekspertide analüüs näitas selgelt, et selline rikkumine sai toimuda ainult lepingupartneri teadliku ja tahtliku tegevuse tagajärjel,» sõnas PPA peadirektori asetäitja Krista Aas.
Peadirektori asetäitja sõnul on veidi rohkem kui aasta jooksul ilmnenud ID-kaardi lepingu täitmises mitmeid erinevaid ja väga tõsiseid rikkumisi, sealhulgas nii eelmise aasta sügisel teatavaks saanud turvarisk kui ka selle aasta mais avalikuks tulnud privaatvõtmete väljaspool kiipi genereerimine.
«PPA esitab ID-kaardi lepingu erinevate rikkumiste kohta eraldi hagiavaldused, kuna tegemist on juriidiliselt ja ka tehniliselt väga keeruliste juhtumitega,» ütles Aas. «Esimesena esitasime hagiavalduse seoses ID-kaardi privaatvõtmete väljaspool kiipi genereerimise rikkumisega, kuna tegemist on Eesti riigi jaoks kõige tõsisema rikkumisega, kus lepingupartner on teadlikult läinud vastuollu Eesti riigi poolt seatud nõuetega ning seadnud seetõttu ohtu elektrooniliste identiteetide tõsikindluse ning Eesti eID usaldusväärsuse.»
Turvanõuetele mittevastavad ID-kaardid väljastati 2011. aasta jaanuarist kuni 2014. aasta 16. oktoobrini ning elamisloakaardid 2011. aasta jaanuarist kuni 2014. aasta 17. detsembrini. Selliseid kaarte oli kokku üle 74 000, kuid vea tuvastamise ajaks oli neist käibel vaid 11 111. PPA tunnistas nende kaartide sertifikaadid kehtetust käesoleva aasta 1. juunil.
Gemalto on teatanud, et ei tunnista rikkumist.