Äsja toimunud Pangaliidu küberturvalisuse ümarlaual leiti, et ehkki Smart-ID on tehniliselt turvaline inimeste identifitseerimise tööriist, vajab lahendamist see, kuidas garanteerida, et inimesed mõistaksid PIN2 koodiga alla kirjutades, mis on selle tegevuse tähendus.
Pangaliidu ümarlaud: Smart-ID on tehniliselt turvaline (1)
LHV küberturvalisuse valdkonna juht Tiit Hallas sõnas, et mitte alati ei adu inimesed, et digiruumis tehtav on võrreldav pärismaailmas tehtavaga.
«Inimesed ei teadvusta, et PIN2 allkirjastamine on võrdne paberil antud allkirjaga. Keegi meist ei tunne end mugavalt valgele paberile allkirja andes, aga PIN2 sisestamist nii ei nähta. Kusagil oleme digiteenuseid arendades teinud vea, ei ole piisavalt selgitanud,» tunnistas Hallas.
Üheks lahenduseks võiks tema hinnangul olla see, kui lisada näiteks mobiil-ID puhul eriti oluliste teenuste - nagu Smart-ID loomine - puhul veel kolmas kinnituskood.
Swedbanki küberriskide juhi Toomas Vaksa sõnul on inimesed Eestis küberohtudest küll teadlikud, kuid nende teadlikkus ohtudest on veidi madalam kui Euroopas keskmiselt.
«“Eestis on probleemid nii internetipanganduse kui ka andmeleketega olnud teiste riikidega võrreldes olematud ning eks see mõjutab ka üldist ohuteadlikkust. Inimeste turvalise käitumise oskuste tõstmine on üldise küberjulgeoleku kõige olulisem, hädavajalik koostisosa. Ka kõige keerukam turvasüsteem ei suuda inimest kaitsta tema enda tehtud halbade ostuste eest, mille põhjus on tavaliselt teadmatus, tähelepanematus või hooletus,» sõnas Vaks.
Samas nentis ta ka, et ehkki pettusi lõpuni ära hoida ei saa, peaks iga digitoode või -teenus ise olema võimalikult turvaline ja ohutu, selline, et pettus oleks tehtud võimalikult raskeks.
Riigi Infosüsteemi Ameti elektroonilise identiteedi osakonna juhataja Margus Arm aga rõhutas, et Smatrt-ID teenuse pakkuja peaks otsima täiendavaid võimalusi, kuidas garanteerida, et Smart-ID saab õige inimene.
«Smart-ID tehnoloogilist lahendust pole keegi ära lõhkunud, see on endiselt turvaline,» rääkis Arm.
Tavakodanik ei mõtlegi tema sõnul väga palju turvalisuse peale, ta soovib mugavat ja odavat teenust.
«Viimase kahe aastakümne jooksul on pangad, telekomettevõtted ja riik pannud mitu korda seljad kokku, et harida inimesi e-teenuste kasutamise või nutiseadmete osas. Ehk on aeg küps veel ühe sellise rohujuure tasandile jõudva hariva kampaania jaoks?» küsis Arm.
Ka Taltechi vanemteadur ja Ellex Raidla nõunik Eneken Tikk nentis, et ehk on Eestis tekkimas lõhe Eesti e-kuvandi ja ühiskonna tegeliku kaasatuse, teadlikkuse ja IT lahendustest saadava kasuteguri vahel.
CybExer Technologies asedirektor Merle Maigre toonitas, et samaväärselt digilahenduste mugavusega peaksime jutuks võtma küberturvalisuse teemad. Ta avaldas ka arvamust, et õpetussõnadest paremini jõuaksid inimestele ehk kohale positiivsed näited.
Riiklike e-teenuste hulgalt ja tasemelt maailmas kolme parima sekka kuuluv Eesti pidi aasta algul tegelema läbi aegade rängima küberturvalisuse juhtumiga: seni teadmata kurjategijail õnnestus luua teiste inimeste nimel Smart-ID kontosid.
Juba ammu turvalise isikutuvastusvahendina tunnustatud ID-kaardi ja Mobiil-ID puhul on seni räägitud vaid teoreetilistest tehnilistest turvanõrkustest ning ka ülemöödunud aastal ametnike tõttu ID-kaardi turvakriisiks kasvanud juhtum oli üks neist.
Salakavalate kurjategijate skeem oli üles ehitatud ilmselgelt Eesti inimeste harjumusele Mobiil-ID abil kuskile sisse logides või digiallkirju andes mitte kontrollida, kes on PIN1- või PIN2-koodi saatja ja kas kontrollnumbrid e-teenuses ja mobiilis ikka kattuvad. Lisaks on inimesed harjunud mitte just liiga kriitiliselt suhtuma kõigesse, mis neile SMSidega või e-kirjadega saadetakse.
Nii said sellegi juhtumi ohvrid justkui ühelt Eesti pangalt SMS-sõnumi süütu üleskutsega uuendada konto andmeid. Sõnum ei tulnud aga mitte pangalt, vaid kurjamitelt, kes olid selle sisusse lisanud lingi veebilehele, mis oli äravahetamiseni sarnane sellesama panga omaga.
Sellel kurikavalal petulehel tuli ohvritel Mobiil-ID abil end tuvastades sisse logida ja selleks ka SMSiga saadud PIN1 ja PIN2 sisestada, kust need otsejoones koos isikukoodiga häkkerite kätte sattusid. Just neid koode vajasid pätid selleks, et täpselt samal hetkel pihku itsitades inimestele nende endi teadmata Smart-ID konto valmis teha. Ja see õnnestuski. Üsna paljude inimeste puhul, kes moraalse kahju kõrval ka rahalist kahju said.