Avalikult kättesaadavad andmed aitavad kaasa identiteedivargustele

Koos isikutunnistuse ehk ID-kaardi saabumisega avanes meile võimalus dokumente digitaalselt allkirjastada. Digitaalallkirja andmiseks ning isiku elektrooniliseks tuvastamiseks kasutatavate sertifikaatide kehtivuskontrolliks on internetis kõigile kättesaadav andmebaas.

Enamik inimesi ei oskaks Sertifitseerimiskeskuse andmebaasist avalikult kättesaadava infoga midagi halba peale hakata. Taibukas pahasoovija oskab aga aadressilt ldap://ldap.sk.ee leitavat nime, isikukoodi ning eesti.ee e-postiaadressi aluseks võttes inimese kohta teada saada rohkem, kui see ilmselt sooviks.

Saame Sertifitseerimiskeskuse andmebaasis leiduva info põhjal teada järgmist: isikukoodi järgi saame teada inimese sünniaja ning soo, loogikale ja tõenäosusele tuginedes võime sünniaegade põhjal teha järeldusi samanimeliste isikute suguluse kohta, eriti kui tegemist harvaesineva perekonnanimega. Avalikule eesti.ee postiaadressile võime saata kirja, et selgitada, kas aadress on aktiveeritud. Kui kiri veateatega tagasi ei tule, võib pidada tõenäoliseks, et meie huvialusel on vähemalt elementaarsed tehnilised teadmised, mida aadressi aktiveerimiseks tarvis.

Edasi proovime inimese nime sisestada mõnda otsingumootorisse. Võimalik, et saame sealtkaudu teada tema huvialadest, töökohast ja laste koolist ning näeme ka paari fotot. Isikukoodi teades võime kasutada kinnisturegistri avalikku teenust, et saada ülevaade isikule kuuluvatest kinnistutest. Päringuid saab teha krediidiinfo.ee ja tasuja.ee andmebaasidest.

Äkitselt polegi informatsiooni inimese kohta enam nii vähe. Seejuures ei ole me selle hankimiseks teinud midagi ebaseaduslikku. Kuigi Äripäev ei kavatse kirjutada sellest, mida kõike kogutud informatsiooniga peale hakata, on kurjategijad on sellest paraku teadlikud ka ajalehe abita.

Kuigi avalik isikukood ei ole kaugeltki ainus võimalus teise inimesena esinemiseks, muudab selle kerge kättesaadavus ahvatlevaks kui mitte rohkema, siis kas või naljategemise mõttes kaugel välismaal viibiva tuttava krediitkaardi sulgemise.

Kuigi see näide võib esmapilgul tunduda süütuna, saab probleemi sügavus kiiresti selgeks näiteks parasjagu Brasiilias puhkajale, kelle ainus pangakaart äkitselt poes konfiskeeritakse.

Internetiteenuste areng, digitaalsed finantsteenused ning üha kergemini antavad krediidid koos mahajäämustega valdkonda reguleerivates seadustes teevad identiteedivarguste vastu võitlemise eriti keerukaks.

Hansapanga meediasuhete juhi Kristiina Tambergi sõnul on katseid kasutada võltsitud dokumenti võrreldes 90ndate aastate lõpuga väga vähe. Koolitatud personal ja tehnika aitavad võltsingud kohe avastada.

Ühispanga turvaanalüüsi osakonna juhataja Tarmo Kährik kinnitab, et isiku identifitseerimine on panga kohustus ja tavaliselt ei tulene kliendile eksimusest materiaalset kahju.

Pangas kehtivad Tambergi sõnul turvareeglid, mis vähendavad võimalust väärkasutusteks ? nii näiteks ei anna pank telefonitsi infot kliendi pangaasjade kohta, ilma et helistaja teaks vastavaid paroole. Pangakaardi kadumise korral tuleb see lasta kohe sulgeda.

Andmekaitse inspektsiooni vaneminspektori Hillar Põldmaa sõnul näitas hiljutine katse neljas Eesti pangas, et kaardi sulgemiseks piisab kaardiomaniku nime ja isikukoodi teadmisest. Sama lihtne on Starmani kaabeltelevisiooni paketi vahetus või mõne mobiilioperaatori SIM-kaardi sulgemine. Pangakaardi avamine ilma kohalviibimiseta on tavaliselt võimatu.

Põldmaa sõnul tuleb teha vahet isiku identifitseerimise ning tuvastamise vahel. Esimesel juhul ütleb inimene ise, kes ta on, teisel juhul ka tõestatakse, kes ta on.

Sertfitseerimiskeskuse müügijuht Andres Kuut ei pea väärkasutuse riskist hoolimata reaalset ohtu kuigi suureks.

Kuudi sõnul on oma andmete varjamiseks võimalik sertifikaate kaardi kättesaamisel mitte avada või nende kehtivus hiljem peatada. Isikukoodi varjata ning digiallkirja anda korraga ei saa. Sertifikaatide kehtivuse peatamiseks tuleb helistada ID-kaardi abitelefonil 1777. Isiku tuvastamiseks küsitakse isikukoodi ning kahtluse korral muid abiküsimusi. Sertifikaatide taasavamiseks tuleb minna pangakontorisse.

Oktoobris 1999 volitas Brunhild Dorothea Tiesenhausenina esinenud ning võltspassi kasutanud variisik teist variisikut müüma oma Tallinnas Toom-Rüütli 8/Kohtu 12 asuvat maja. Samuti võltsitud passi kasutanud Toivo Toim müüs maja 5 miljoni krooni eest edasi. Paari kuu pärast vahetas maja veel kord omanikku.

Proua Tiesenhausen sai alles 2000. aasta aprillis teada, et ta polegi enam maja omanik ning andis asja tsiviilkohtusse. Politsei algatas kriminaalasja, mille uurimise käigus süüdlasi ei leitud. Brunhild Dorothea Tiesenhausen sai oma maja tagas alles 2004. aasta suvel, sõlmides pika kohtuprotsessi käigus kompromisslepingu, mille järgi kohtualuse Tiit Kurvitsa firma Pankrannik hüvitas Tiesenhausenile tekitatud kahju.

Tiesehauseni juhtumi puhul oli algselt tegemist vea või lohakusega isiku visuaalsel tuvastamisel notari poolt.

Autor: Andres Palm