Ekspert avastas Eesti uue ID-kaardiga seotud turvaprohmaka
Lisatud PPA ja RIA kommentaar

  • Uus ID-kaardi tootja eksis nõude vastu hoida turvaümbrikud läbipaistmatud
  • RIA: tegemist on turvaprobleemiga
  • Kaarditootja asus viga parandama
  • Ekspert: see näitab suhtumist

Uue ID-kaardi turvaümbrik on läbi valgustatav ka kõige tavalisema taskulambiga

FOTO: Martin Paljak

Küberturvalisuse ekspert avastas uute Eesti ID-kaartidega seotud turvapuuduse, mille tagajärjel on ka kõige tavapärasemate vahenditega võimalik lihtsasti näha kaartidega kaasasolevaid PIN-koode ilma turvaümbrikku avamata. 

Martin Paljaku veebilehel olevate piltide järgi selgub, et piisab vaid tavalisest taskulambist või isegi mobiiltelefoni välguseadmest, et läbi valgustada turvaümbrikud, mida politsei- ja piirivalveamet igale uuele ID-kaardile kaasa annab.  

Nende ümbrike sisuks on aga PIN-koodid, mida Eesti kodanikud ja e-residendid enda digitaalseks tuvastamiseks ja digiallkirjade andmiseks kasutavad.    

FOTO: Martin Paljak

Ta jõudis oma avastuseni uue digi-ID kaardi turvaümbrikku valgustades. Tegemist on ühega esimestest uutest kaartidest, mida hakkas alates 3. detsembrist Eestile tootma Prantsusmaa ettevõte Idemia.

Paljaku avastus tähendab, et kõigil uute ID-kaardi või digi-ID kaardi saajatel tuleks kohe ära muuta kaasa antud PIN-koodid ja neid mitte kellegagi jagada.

FOTO: Martin Paljak

Politsei: kontrollisime läbipaistvust visuaalselt

PPA identiteedi ja staatuste büroo nõunik-ekspert Kaija Kirch ütles juhtumit kommenteerides Postimehele, et PPA on ID-kaardi PIN-koodide ümbrikule kehtestanud nõude, et ümbrikus olev info ei tohi olla ümbrikku avamata loetav.

«Kaardi tootja otsib praegu probleemile lahendust,» ütles Kirch.

Tema sõnul on puudutatud nii ID-kaardi, digi-ID kui ka elamisloakaardi PIN-koodid, kuid suure turvariskiga tegemist ei ole.

«PPA hinnangul ei ole sellise ümbriku kasutamine siiski seotud otsese turvariskiga, kuna kaardi tootmine, transport ja hoiustamine teeninduses toimub väga kindlate reeglite alusel ning ei kaart ega PIN-koodide ümbrik ei sattu juhuslikult kellegi kätte enne, kui see inimesele üle antakse,» rääkis Kirch.

Lisaks saab kaarti tema sõnul elektrooniliselt kasutada alles sellest hetkest, kui kaart on inimesele välja antud. Kaart ei ole enne väljastamist elektrooniliselt kasutatav ning pärast väljastamist üldjuhul inimene koodide ümbriku ka avab.

PPA soovitab igal juhul kaardi saamisel PIN-koodid ära vahetada ja hoida PIN-kaardi koode turvaliselt kaardist eraldi kohas.

Kaija Kirch märkis, et enne uue kaardi väljaandmist testis politsei võimalikult paljusid  lõike ID-kaardi väljaandmise protsessist, et tõrkeid või puudusi avastada.

«Ümbriku puhul kontrollisime nii kujundust kui kasutatavust selles mõttes, et kas liimitud osad püsivad kinni, kuid inimene saab selle siiski avada, ning läbipaistvust ka visuaalselt,» ütles ta.

Möödunud nädala teisipäeval tegi Kirch politsei pressiteates ettepaneku, et inimesed hoiaksid digitaalseks isikutuvastuseks vajalikke PINkoode kindlas kohas ja jätaksid alles dokumendiga koos väljastatava PIN-ümbriku.

«Iga kuu vajab pea 4000 inimest uusi ID-kaardi PIN-koode, sest on need kas unustanud või kaotanud. Arvestades, et aasta alguses on ees valimised ja tuludeklaratsioonide esitamise periood, tasub juba praegu üle kontrollida, kas e-teenuste kasutamiseks vajalikud koodid on olemas,» ütles ta.

RIA: tegemist on turvaprobleemiga

Riigi Infosüsteemi Ameti (RIA) hinnangul ei tohi PIN-koodid enne ümbriku avamist kellelegi nähtavad olla ning tegemist on turvaprobleemiga.

Uku Särekanno

FOTO: Hanna-Hulda Reinkort

«Teeme juhtunu asjaolude välja selgitamiseks Politsei- ja Piirivalveametiga koostööd, samuti otsib kaarditootja olukorrale lahendust,» ütles Postimehele  RIA küberturvalisuse teenistuse juht Uku Särekanno

Särekanno sõnul on kõige olulisem see, et PIN-koodid , sh ümbrik, oleks hoitud alati salajas, sSest kui juba kurjategija saab enda valdusesse PIN-koodi ümbriku, ei takista keegi tal seda avamast.

RIA soovitab hoida PIN-koode kindlasti salajas ning ainult omanikule teada kohas. Ühtlasi soovitab ta suurema turvalisuse huvides oma PIN-koodi kaardi saamisel ära muuta DigiDOC haldusvahendit kasutades.

«PPA on sisemiselt ja aastate jooks juurutanud protseduurid, mis lubavad meil väita, et antud turvanōrkuse kuritarvitamine dokumentide väljastamise käigus on välistatud. Maksimaalse turvalisuse saavutamiseks on sellised tähelepanekud ja nendest teavitamine väga vajalikud, mistõttu on iga valdkonna eksperdi avastused meile väga olulised,» lisas Särekanno.

Turbeekspert: see näitab riigi suhtumist

LHV infoturbejuht ja pangaliidu infoturbe toimkonna juht Tiit Hallas ütles juhtumit kommenteerides Geeniusele, et kindlasti pole ID-kaardi turvaümbriku avastus hea asi, aga samas pole tegemist ka mingi väga suure turvaauguga.

«Hoolimata sellest, et tegemist ei ole tõsise turvanõrkusega, mida massiliselt ära saaks kasutada, on tegemist pigem suhtumise näitamisega,» rääkis Hallas. «Kui me selliseid väikseid asju endale lubame, siis vähendab see meie valvsust ning üldsuse suhtumist turvalisusesse.»

Hallas ütles, et ta pole ise uut ID-kaardi ümbrikku näinud, aga Martin Paljaku piltidelt näib, nagu oleks probleem selles, et turvaümbriku muster on sinine, kuid selles sees olev PIN-koodi tekst musta värvi.

«See tähendab, et kui sa valguse ümbrikust läbi lased, paistab sinine värv läbi, musta aga valgus neeldub ning PIN on näha,» rääkis Hallas.

Tagasi üles