Äripäev • 17 mai 2018
Jaga lugu:

12 500 ID-kaardil avastati ränk turvaviga

ID-kaart
ID-kaart  Foto: ÄP fototoimetus

Tänase seisuga on Eestis kasutusel pea 12 500 turvanõuetele mittevastavat ID-kaarti, mille sertifikaadid tunnistatakse alates 1. juunist kehtetuks, teatas täna Riigi Infosüsteemi Amet RIA.

Turvanõuetele ei vasta ID-kaardid ja elamisloakaardid, mis on välja antud enne 2014. aasta oktoobrit ning mida on uuendatud kaarditootja rakenduse kaudu politsei- ja piirivalveameti teeninduses.

Turvanõuetele ei vasta ID-kaardid ja elamisloakaardid, mis on välja antud enne 2014. aasta oktoobrit ning mida on uuendatud politsei- ja piirivalveameti teenindustes kaarditootja Gemalto loodud tarkvara kaudu.

Veaga ID-kaardid on välja antud aastast 2011 kuni 2014. aasta 16. oktoobrini ning vigased elamisloakaardid kuni 2014. aasta 17. detsembrini ning neid peab olema uuendatud vahemikus 2012. aasta juulist kuni 2017. aasta detsembrini PPA büroodes.

Probleem ei puuduta kaarte:

mis olid mõjutatud 2017. aasta turvariskist ja mida on uuendatud oktoobrist 2017 kuni aprillini 2018;

mida on kauguuendatud;

mida ei ole üldse uuendatud;

mis on välja antud hiljem kui oktoober 2014 (elamisloakaart hiljem kui 17.12.2014).

RIA märgib, et ID-kaardi tootja ei järginud kõiki turvanõudeid ja genereeris osadel ID-kaartidel privaatvõtmed väljaspool kiipi. Väljaspool kiipi võtmete genereerimine annab võtmete genereerijale võimaluse kasutada ID-kaarti füüsiliselt kaarti omamata ja PIN-koodi teadmata. Selle riski maandamiseks tunnistab PPA nende kaartide sertifikaadid kehtetuks.

Kehtetu sertifikaadiga ID-kaarti ei saa enam elektrooniliselt kasutada ning e-teenustesse sisenemiseks või digiallkirja andmiseks tuleb taotleda kas uus kaart või kasutada mobiil-ID-d. Riik vahetab garantiikorras välja kõik turvanõuetele mitte vastavad ID-kaardid, mille kehtivusaeg on pikem kui kolm kuud alates dokumendi taotluse esitamisest.

Kõik, kelle on turvanõuetele mittevastav ID-kaart, saavad kaardi väljavahetamise kohta isikliku teavituse.

Tootja eitab rikkumist

Turvanõuete rikkumise avastamiseni viis koostöö Tartu Ülikooli teadlasega ning eelmisel nädalal valminud AS Cybernetica ekspertide analüüs.

PPA esitas ID-kaardi tootjale nõude turvanõuete rikkumise kohta, kuid tootja eitab rikkumist. "Praegu ei ole teada ühtegi kuritarvitamise juhtumit. Kõik seni tehtud tehingud ja kaardiga antud allkirjad on õiguspärased ja kehtivad, k.a e-hääletamine," kommenteeris RIA eID valdkonna juht Margus Arm.

Tegemist on aasta jooksul juba teise ID-kaardi turvalisust puudutava suure probleemiga. Möödunud aasta 30. augustil informeeris rahvusvaheline teadlaste grupp RIAt, et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte ehk kokku ligi 750 000 kaarti.

Kõigi nende kaartide sertifikaadid tuli välja vahetada. Probleem peitus ID-kaardi kiibis ning ka selle juhtumiga seoses on riik esitanud Gemaltole trahvinõude.

Gemalto toodab Eestile ID-kaarte selle aasta lõpuni.

Sellel veebilehel kasutatakse küpsiseid. Veebilehe kasutamist jätkates nõustute küpsiste kasutamisega. Loe lähemalt