Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
PPA esitas Gemalto vastu veel ühe hagi
Esmaspäeval esitas politsei- ja piirivalveamet (PPA) kohtule uue hagiavalduse Gemaltolt leppetrahvi nõudmiseks selle eest, et viimane jättis möödunud aasta sügisel teatavaks saanud ID-kaartide turvariskist teavitamata. Hagiavalduses nõuab PPA Gemaltolt turvariskist teavitamata jätmise eest leppetrahvi ja viivist kokku ligi 300 000 eurot, teatas PPA.
PPA nõuab leppetrahvi enda teatel seetõttu, et Gemalto rikkus lepingus sätestatud olulise info viivitamatu edastamise kohustust. Gemalto ei teavitanud PPA väitel Eesti riiki Gemalto toodetud dokumentides kasutatud Infineoni kiibi turvanõrkusest. Samuti ei olevat firma andnud teada Tšehhi teadlaste tööst, mille avaldamisel oli turvanõrkust võimalik kaardi ründamiseks ära kasutada.
Informatsioon ID-kaardi turvanõrkusest jõudis PPA väitel Eesti riigini alles 30. augustil 2017, kui Tšehhi teadlased teavitasid sellest Riigi Infosüsteemi Ametit (RIA). Gemalto kinnitas PPA-le turvanõrkuse olemasolu väidetavalt alles 5. septembril 2017 vastuseks PPA 4. septembril 2017 esitatud päringule ja ajal, mil PPA ja RIA informeerisid turvanõrkusest ka Eesti avalikkust. Turvanõrkus puudutas ligikaudu 750 000 kehtivat ID-kaarti ning turvanõrkuse ärakasutamise vältimiseks peatas PPA vastavate dokumentide sertifikaadid 3. novembril 2017.
„Politsei- ja Piirivalveamet on seisukohal, et vaatamata Gemalto esindaja vastupidistele väidetele ei teavitanud Gemalto neile teatavakssaanud turvariskist Politsei- ja Piirivalveametit enne 5. septembrit 2017, kuigi lepingu järgi oleksid nad olnud kohustatud seda viivitamatult tegema. Esimest korda esitasime Gemaltole teavitamata jätmise eest nõude juba 2017. aasta septembris, kuid kahjuks kohtuväliselt lepingupartner trahvinõuet täitma ei soostunud,“ ütles PPA peadirektori asetäitja Krista Aas.
Peadirektori asetäitja sõnul puudutab käesolev hagiavaldus ainult ühte rikkumist mitmetest sama turvariskiga seotud rikkumistest. PPA esitab ID-kaardi lepingu erinevate rikkumiste kohta eraldi hagiavaldused, kuna tegemist olevat juriidiliselt ja ka tehniliselt väga keeruliste juhtumitega.
26. septembril esitas Politsei- ja Piirivalveamet Harju Maakohtule hagiavalduse seoses Gemalto AG väidetava lepingurikkumisega, mis puudutab ID-kaardi privaatvõtmete genereerimist väljaspool kiipi. Hagiavalduses nõuab PPA välja ID-kaardi lepingu rikkumisega seotud leppetrahve summas 152 miljonit eurot. Tänavu mais avalikuks tulnud turvanõuete rikkumise tuvastamiseni viis koostöö teadlastega. Ekspertide analüüs selgitas välja, et lepingupartner genereeris kokku enam kui 74 000 ID-kaardi privaatvõtmed väljaspool kaardi kiipi.