Politsei ja siseministeeriumi IT-teenistus (SMIT) avastas ligi 15 000 ID-kaarti, mis oleksid pidanud olema kehtetuks muutunud, kuid mida tarkvaravea tõttu sai rohkem kui aasta vältel ikkagi edasi kasutada.
Tarkvaravea tõttu jäi ligi 15 000 ID-kaarti õigeaegselt sulgemata (4)
Möödunud aasta lõpust alates ilmnes PPA teatel järjest juhtumeid, kus uue dokumendi saamisel ei aktiveerunud selle sertifikaadid. Asja uurides selgus, et vana dokumendi kehtetuks tunnistamisel jäid osa ID-kaartide ja elamisloakaartide sertifikaate edasi kehtima. Probleemi lahendamise käigus jõutigi andmevahetushäire tuvastamiseni.
Andmevahetushäire tõttu oli osa ID-kaartidega võimalik e-teenuseid kasutada ka pärast kaardi kehtetuks tunnistamist. Tegu on surnud inimeste kaartide, algselt elamisloaga Eestis viibinute, kuid vahepeal kodakondsuse saanud inimeste kaardide ning nime muutnud inimeste kaardidega. Viie aasta jooksul on PPA andmetel e-teenustes kasutatud 353 kehtetuks tunnistatud kaarti, neist 285 puhul oli tegemist surnud inimese dokumendiga.
PPA alustas kriminaalmenetlust kontrollimaks, kas mõnda ekslikult kehtima jäänud kaarti on kasutatud süütegude toimepanemisel. Ka RIA alustas SK ID Solutions kui usaldusteenuse osutaja ning PPA suhtes järelevalvemenetlust. PPA puhul kontrollib RIA järelevalvemenetluse käigus riigi infosüsteemide turvameetmete (ISKE) nõuete täitmist PPA infosüsteemis.
«Kuna andmevahetus infosüsteemide vahel ei toiminud korrektselt, oli e-teenustes võimalik edasi kasutada näiteks ID-kaarte, mis olid kehtetuks tunnistatud seoses abiellumisel nime vahetamisega ja elamisloakaarte, mis muutusid kehtetuks Eesti kodakondsuse omandamisel,» selgitas PPA arendusosakonna ekspert Kaija Kirch. «Neil juhtudel ei ole mingit põhjust eeldada, et kaarti oleks e-teenustes omaniku asemel kasutanud keegi teine.»
«Surnud inimese dokumentide kasutamise puhul on lähedased peamiselt tasunud surnud inimese arveid ja matusekulusid ning lõpetanud lahkunu nimel olnud teenuslepinguid, mis on loomulik käitumine pärast lähedase lahkumist. Ühe kaardi puhul uurib aga PPA võimalust, et pereliige kuritarvitas surnud inimese dokumenti teadlikult ja selle osas on alustatud kriminaalmenetlust,» ütles Kirch.
SMITi identiteediteenuste osakonna juhataja Kalle Kuusiku sõnul ei jõudnud andmevahetushäire tõttu dokumentide kehtetuks tunnistamisel PPA infosüsteemist UUSIS kõigi kaartide kohta andmed sertifikaate teenindava ettevõtteni SK ID Solutions. «Seetõttu oligi osa kaarte võimalik e-teenustes edasi kasutada,» lisas Kuusik. «Praeguseks on probleem lahendatud ja kõik need sertifikaadid on tühistatud.»
Riigi Infosüsteemi Amet eID valdkonna juhi Margus Armi sõnul ei ole digimaailmas garantiisid ning selliseid intsidente tuleb ikka ja jälle ette. «Kõige olulisem on sellistel puhkudel kiiresti reageerida, võimalikud riskid maandada ning neist õppida. Selle juhtumi puhul on riskid maandatud ja meile on täpselt teada mõju ulatus. Ehk PPA-l on ülevaade selle kohta, milliseid kaarte on pärast kehtetuks tunnistamist edasi kasutatud,» ütles Arm.
«Üheks riski ennetavaks meetmeks on pidev süsteemide toimivuse jälgimine, uuendamine ja arendamine,» selgitas Arm ja lisas, et RIA alustas järelevalvemenetlust nii SK ID Solutionsi kui ka PPA tegevuse suhtes, et selgitada muu hulgas välja, kas on täidetud usaldusteenuse nõudeid ning järgitud infosüsteemide turvameetmete ISKE nõudeid.
Siseministeeriumi infotehnoloogia- ja arenduskeskus (SMIT), kes PPA andmekogusid arendab ja haldab, lisas infosüsteemile ka täiendava kontrollimehhanismi, välistamaks analoogse tõrke tekkimise tulevikus.
Kui kellelgi on kahtlus, et tema või ta lähedase juba suletud kaarti on kuritarvitatud, saab seda kontrollida Eesti.ee lehel, kuhu tuleb vastavasse lahtrisse sisestada isikukood ning süsteem ütleb, kas kaarti on pärast selle sulgemist kasutatud ning kui vastus tuleb jaatav ja inimesel on mingi kahtlus, et on toimunud väärkasutus, tuleks politseile avaldus esitada.