Märt Belkin • 12 september 2017

Varem või hiljem saab risk reaalseks

PPA peadirektor Elmar Vaher.  Foto: Andras Kralla

„Meil on mõni kuu kuni aasta,“ ütles riigi infosüsteemi ameti (RIA) peadirektor Taimar Peterkop ID-kaardi turvanõrkuse kohta – varem või hiljem saab teoreetilisest riskist reaalne rünnakukoht. Õnneks on RIA-l töös lahendusvariant.

Eelmisel nädalal sai avalikuks teave, et rahvusvahelised eksperdid avastasid ID-kaardi kiibis turvariski, mis mõjutab enam kui 750 000 dokumenti.

Peaminister Jüri Ratas kinnitas nädal tagasi pressikonverentsil, et kõik e-teenused jäävad püsima ning Eesti jääb jätkuvalt e-riigiks. "Ei pea kurssi muutma, ohud tuleb ära lahendada ja siis edasi minna," rääkis ta.

Kõiki igapäevaseid e-teenuseid osutab riik praegu edasi, ka kõikidele pankadele on riskidest teada antud ning rahaasju saab samuti edasi ajada. Kõike saab teha ID-kaardiga ning ka e-residentsust väljastatakse edasi.

Esialgu on vabariigi valimiskomisjon otsustanud, et põhjust oktoobri alguses toimuvate kohalike valimiste e-hääletuse ärajätmiseks pole, aga on lubanud, et kui tuleb uut infot, saab otsuse üle vaadata.

„Me jookseme ajaga võidu,“ ütles RIA peadirektor tänasel pressikonverentsil. Nimelt tahavad kaks nädalat tagasi ID-kaardiga seotud kiipides teoreetilise turvariski avaldanud teadlased oma töö ka teadusartiklina avaldada. See peaks juhtuma kuu aja jooksul ning siis saavad kõik töö osta ning nõrkusega tutvuda.

Peterkop rõhutas, et kindlasti hakkab hulk eri gruppe otsima võimalust, kuidas seda praktikas realiseerida. „Tõenäoliselt võtab aega minimaalselt mõni kuu, et see risk praktikas realiseeruks,“ tõi ta välja, et varem või hiljem on tõsine probleem vältimatu ning asja lihtsalt eirata ei saa.

Seetõttu ongi kõik suunatud praegu sellele, et reaalset rünnet ennetada. RIA peadirektor kinnitas, et ametil on lahendusvariant töös. Kuna viga tekib Gemalto-nimelise firma toodetud kiibi ja meie tarkvara omavahelises suhtluses, siis saab amet lihtsalt luua tarkvara, mis aitab iga kaardi puhul vea kõrvaldada.

„Arenduseni jõudmine võtab aega, aga töö suund on selge ja liigume lahenduse poole,“ rääkis Peterkop. Kui tarkvara valmis, siis tuleb seda testida ning seejärel asi tootmisse anda. Siis saab iga inimene oma probleemse ID-kaardi arvutisse sisestada ning RIA tehtud uuendus ajab asja korda.

Sööt erasektorile

See aga ei tähenda, et kriis oleks lahendatud. Turvariski seejärel enam küll pole, ent tekib hoopis uus probleem – kas parandatud ID-kaart ka erafirmade loodud veebiteenustes tööle hakkab. Selleks peavad ettevõtjad ka ise veebiarendust tegema.

„Kõik eraettevõtted, kes pakuvad kliendile teenust, peavad tegema tööd, et neid kaarte aktsepteeritaks,“ rääkis politsei- ja piirivalveameti (PPA) peadirektor Elmar Vaher. Uuendused tuleb teha teenustes, brauserites, infosüsteemides – ühesõnaga kõikjal.

Et turvapaik inimesteni viia, kutsus politseijuht inimesi juba praegu üles siduma enda eesti.ee lõpuga meiliaadress isikliku e-postiga. Vaher selgitas, et nii saab riik teha otsepostituse ning teada anda, kui midagi on valesti ning mida asja lahendamiseks teha tuleks.

Samuti tõi PPA juht taas välja, et endale tasuks teha mobiil-ID. Selle kaudu turvarisk kuidagi realiseeruda ei saa, teenus on mugavam ning lisaks on tavalisele ID-kaardi autentimisele ühe uue isikutuvastuse variandi juurde lisamine turvalisem, märkis Vaher.

 

Hetkel kuum