TURVARISK ID-KAARDI KIIBIS

https://arileht.delfi.ee/news/uudised/ppa-soovitab-id-kaarti-probleemide-lahenemiseni-kasutada-mobiil-id-d-kuidas-seda-taotleda?id=79413158

https://epl.delfi.ee/news/arvamus/kiiranaluus-e-haaletamise-arajatmine-aitaks-keskerakonda-ja-norgestaks-paremjoude?id=79413236

Ratas: ma kinnitan, et Eesti riik toimib hetkel 24/7 täisvõimsusel, et see võimalik turvariski likvideerida.

Ratas: info tuli sisse neljapäeva õhtul. Kontrollisime, kas see on tõene, kas ohuhinnang on reaalne - see vajas aega. Aega vajas ka asja selgitamine riigi ametkondadesiseselt. Eile - esimene tööpäev sel nädalal - päris tõsiselt valitsuse nõupidamisel sai seda arutatud. Oli vaja kontrollida ja teha see selgeks, ega varem ei saanud sellega välja tulla.

Ratas: tegemist on teadustööga, mida ei hoita lauasahtlis. Palo: aga nad ei avalikusta võtit, millega saab meid rünnata.

Peterkop: kui pidevalt tuleb Apple´ile uuendused, siis Apple ei räägi, mis seal taga on. Usalduse üks osa on läbipaistvus.

Palo: küberrünnakust me tulime tugevamalt välja. Eesti on küberjulgeolekus üks eeskõnelejaid. Kui räägime IT-lahendustest ja e-riigist, siis me kõik teame, et peame tähelepanu pöörama küberlahendustele. Midagi ei ole elus 100% turvalist. Kui me lähme siit tugevamalt edasi, siis vastupidi see tuleb meile kasuks ja tõstab usaldust lõppkokkuvõtteks.

Kuidas juhtum meie avalikku kuvandit mujal Euroopas mõjutab? Ratas: see näitab Eesti kuvandit kui tugevast riigist. Eesti on e-lahendustele olnud väga avatud ja me oleme olnud selle üle väga uhked. Täna on see raske hetk, kus tuleb teatud küsimused korda tegema, me saame sellega hakkama ja läheme edasi. Eesti inimesed usaldavad e-lahendusi panganduses, meditsiinis.Me informeerime kõiki oma välispartnereid sellest. Kui mõtleme 2007. aastale, kui oli esimene küberrünnak siin, siis peale selle on väga palju teadmisi ja spetsialiste juurde tulnud.

Palo: tõepoolest, kui peaks toimuma rünne, siis tõepoolest ei jää muud üle, kui sertifikaadid sulgeda. Aga seepärast me soovitame juba aastaid, et pärast seda, kui mobiilne ID tekkis, võiks inimesel olla kaks identifitseerimisvõimalust. Soovitame vaikselt mobiili ID-d endale teha. Ratas: kui risk realiseerub, ei saa allkirjastamine, autentimine toimida. Riik võtab vastutuse meie ID- ja e-lahenduste toimimise eest.

Kui peaks toimuma rünne, kas riik kompenseerib kahju? Ratas: kui on info, et on toimunud reaalne identiteedivargus, peab toimuma kontroll. Kui info on väär, siis tänu Jumalale, et see on väär. Kui see vargus on toimunud, peab riik tegema otsustavaid samme. See oht on olnud üleval 28. jaanuarist 2002. Tänane on kõige tõsisem häirekell.

Ratas: need samad küsimused on olnud väga selgelt laual ka meil. Kas viga on kiibis, kiibis oleval tarkvaral või ühildavuses, selgitame.

Palo: võimalikud kahjunõuded tulevad ka.

Kui ulatuslik on kiibiprobleem? Peterkop: me tegeleme praegu lahenduse otsimisega, me ei otsi süüdlast. Näpuga näitamist praegu ei ole. Globaalselt Eesti teeb eriliseks see, et meil on kogu elanikkonnal selline kaart. Teisi selliseid riike Euroopas minuteada ei ole. Seetõttu see mõju on suurem kui mujal. On riike Euroopas, kus analoogse probleemi pärast on ID-kaardid kinni pandud, kus viga ka avaldus - Austria -, aga seal mingit mõju ühiskonnale ei olnud. Kuigi teema oli sarnane, siis oli teine tootja ja teine mõju.

Palo: me oleme aru saanud teema tõsidusest, muidu me sellest täna ei räägiks.

Kas probleemi ivast on aru saadud? Peterkop: 100% juurpõhjuseni ma ei saa väita, et oleme jõudnud. Uurime edasi, see maailm on keeruline: väga palju osapooli, ettevõtteid, kes tootmisahelas on osalenud. Küll oleme veendunud, et teame lahendust ja töötame selle lahenduse nimel.

Ratas: ID-kaardi taotlustega, e-residentsusega läheb Eesti edasi. Ühtegi meile teadaolevat reaalset identiteedivargust ei ole toimunud.

Peterkop: pidevalt meile eri teadlased, huvigrupid ütlevad, et on leidnud ID-kaardist turvaaugu. Uurime neid juhtumeid ja vastavalt sellele oleme kasutusele võtnud ka meetmed ja meile teadaolevalt ei ole ID-kaardi 15-aastase ajaloo jooksul kordagi selle turvalisust murtud.

Palo: hetkel ei maksa tormama minna ID-kaarti vahetama. Pärast seda, kui meil on tarkvara, siis saame uue tarkvaraga kiipi väljastama. Pikemas perspektiivis oleme mõelnud sellele, et inimesed saaksid oma kodudes kiipi uuendada. Palo sõnul läheb uuendustega kuni kaks kuud, kuid ei või iial teada.

Peterkop: kiibi uuendamine ei ole ainus meede. Meetmeid on terve rida. Kõiki loomulikult ei avalda. Ratas: maksumuse defitsiidi taha kindlasti ei jää nende lahenduste kiirel väljatöötamisel.

Digiallkirju üle duubeldada ei tule.

Kas sügisestel valimistel saab e-hääletada? Kui teoreetiline oli teadlaste rühma tuvastus? Ratas: see on valimiskomisjoni otsus, valimiskomisjon peab nõu valimisteenistusega, nad kogunevad täiskoosseisus ja teevad selle otsuse. Mis on võimalikult oluline: et inimesed seda võimalikult kiiresti teada saaks. See ei ole mitte mingil juhul valitsuse, riigikogu otsus. See on valimiskomisjoni otsus.Peterkop: teadlaste uurimus ei puudutanud Eesti ID-kaarti, vaid kiipi, mis on kasutusel globaalselt, mida on välja antud enam kui miljard. Ja kuna me kasutame seda kiipi, puudutas see meid. Me pole näinud ühtegi reaalselt võimalust seda rünnet läbi viia. Tehnikud ütlevad, et see on matemaatiliselt tõestatud, et haavatavus on olemas, aga et sinna peale ehitada üles praktiline rünne, seda me ei näe, et seda oleks võimalik teha ka selle haavatavuse pealt.

Vaher: meie ekspertidel tuleb võimalikke riske iga kuu. Taaskord peavad analüütikud panema väga palju töötunde selleks, et seda väidet või fakti kontrollida. See ongi RIA ja oma professionaalide igapäevatöö.

Peterkop: ülikoolid, riik, ettevõtjad teevad koostööd. Valitsus on andnud rahalise ressursi, et lahendus tuleb maksimaalselt mõne kuu jooksul.

Palo: RIA töötab välja tarkvara, mille kaudu saab inimene kiibi ära parandada.

Ratas: meie hetkel suurim soov on, et see turvarisk saaks suletud. Kui see tähendab lisa inimressurssi, rahastust, on valitsus valmis seda eraldama. Mitte keegi ei suuda öelda, millal see korras on. Kindlasti see ei juhtu lähimate päevade, nädalate jooksul. See on lähimate kuude küsimus, kui see võimalik turvarisk saab likvideeritud. Ma kasutan edasi oma ID-kaardi teenuseid ja see teoreetiline turvarisk tähendab nii paljude teiste asjade kokkulangevust: ajaressurssi ja rahalist ressurssi.

Vaher: me teeme ettepaneku, et inimene saab lisaks ID-kaardile, mis töötab, mis on turvaline, kasutada teise võimalusena mobiili ID-d. Tõstame veel kõrgemale tasemele meie teenindussaalide professionaalsuse: me peame olema valmis ID-kaartide taotlemisel vastama lisaküsimustele. See on üks meede, mida oleme teoreetilise riski maandamiseks ette võtnud. Meie partneriks ID-kaardi tootmisel on ettevõte Gemalto (ID-kaartide tootja aastast 2010). Oleme kohtuvaidluses hanke teise võitja ja Gemaltoga.

Elmar Vaher: võtame olukorda väga tõsiselt, oleme kaasanud Eesti parimad eksperdid, ülikooli sõltumatut ekspertiisi. Oluline on see, et me praegu keskendume koos RIAga selle olukorra lahendamisele ja umbes kahe kuu jooksul suudame taas kord välja anda ja viia need 750 000 ID-kaarti veel tugevamale turvatasemele. Sellega tegelevad meie parimad töötajad ja siin ei ole piiranguid. Pingutame, et see juhtuks võimalikult kiiresti. IT-maailm vajab ka aega: et me mõistaksime täna neid eksperte, analüütikuid, kes peavad saama rahus tööd teha.

Peterkop: see risk on teoreetiline, seda ei ole meile teadaolevalt praktiliselt läbi viidud. Selle praktiliseks läbiviimiseks on vaja väga palju raha.

Taimar Peterkop: Eesti teeb eriliselt digiühiskond, et avalikke teenuseid nii palju osutatakse ning see teeb meid haavatavaks. Sõltuvus ühest tehnoloogiast on niivõrd suur. See väljakutse on meie jaoks ainulaadne, siit ei ole teistelt midagi kopeerida, õppida. Olen kindel, et saame sellega hästi hakkama ja osa meie eduloost jätkub.

Palo: ametkonna töö üle viimase nelja päeva jooksul võib uhke olla. Sellest kogemusest saame tugevamaks ja lähme siit koos edasi.

Urve Palo: antud turvarisk on piisav selleks, et võtta seda väga tõsiselt ja astuda konkreetseid samme, et see likvideerida. Kuid ta pole piisav selleks, et võtta vastu otsust ja kõik olemasolevad sertifikaadid sulgeda. Tagasiteed paberimajandusele kohe kindlasti ei ole. Eesti on võtnud juhtiva suuna digitaliseerimisel ja e-riigi arendamisel.

Ratas: riskid ei tähenda, et me peaksime oma kurssi muutma. Ohtudele tuleb vastu seista ja need ära lahendada. Eile oli meil valitsuses töönõupidamine, kus eksperdid andsid meile soovitusi. Reaalseid meetmeid on juba võetud. Kindlasti valitsus toetab asutusi, et turvarisk sulgeda. Minu ootus meie ametkondadele ja asutustele on see, et võtta võimalikult kiiresti kasutusele meetmed, et risk eemaldada.

Ratas: mis saab 750 000 kaardist. Kõik e-teenused jäävad püsima. E-residentsust antakse edasi välja. Soovitame inimestel minna üle mobiilID-le. Me oleme suhelnud telekomettevõtete ja pankadega. Kõik kinnitavad, et võimalused mobiilID kasutuseks on olemas.

Ratas: Riski all on 750 000 ID-kaarti. Varasemate puhul turvariski ei ole. Me arvame, et ametkonnad on astunud reaalseid samme, et turvarisk eemaldada.Täna on see hetk, kus on keeruline olla uhke meie e-teenuste üle. E-riik ja e-teenused jäävad Eestis toimuma.

Jüri Ratas: See on senisest kõige tugevam häirekell. Meile teadaolevalt ühtegi identiteedivargust ega allkirjastamist või muid kelmusi ei ole. Reaalselt me ei saa öelda, et on kuritarvitatud kellegi digitaalset identiteeti.

Jüri Ratas: Eelmise nädala lõpus on saanud Eesti riik info välismaa teadlaste grupilt, et Eesti ID-kaardi osas võib valitseda teoreetiline turvarisk. Ma rõhutan, et oht on teoreetiline. Me oleme kontrollinud alates neljapäeva õhtust oma tippspetsialistidega, kas teoreetiline risk on põhjendatud ja hinnang on, et see on olemas.

Valimiskomisjoni esindaja sõnul ei tee komisjoni ühtegi otsust kiirustades ja võtab aega, et infot koguda. Loe lähemalt SIIT. https://www.delfi.ee/news/paevauudised/eesti/kas-e-valimised-jaavad-ara-valimiskomisjon-jatab-kaardid-lahtiseks?id=79411202

https://forte.delfi.ee/news/tarkvara/id-kaardi-tarkvara-sai-suure-uuenduse?id=78724550

Kokku puudutab turvarisk 750 000 inimest.

Täna lõunal teatas RIA turvariskist ID-kaardi kiipides. https://arileht.delfi.ee/news/uudised/id-kaardi-kiibi-turvarisk-seab-e-valimised-kahtluse-alla?id=79410302