Kuidas ID-kaardi teoreetilise haavatavusega toime tulla?

Septembri alguses andis Tšehhi teadlaste grupp Eestile teada, et Saksa ettevõtte Infineon Technologies AG poolt 2014. aastal toodetud ning Gemalto poolt tarnitud kiibid sisaldavad turvaviga, mis võib teoreetiliselt mõjutada Eesti ID-kaardi kasutamist. Eestis on sellise kiibiga ID-kaarte 750 000 ning teoreetiliselt võib tekkida võimalus nende avalikest võtmetest tuletada privaatvõtmeid.  Uudist kuuldes tekkis küsimus, kas ID-kaardi kasutamine on enam turvaline ning kuidas me peaksime sellises olukorras käituma. ID-kaardi võimaliku turvariski teemal korraldati ka pressikonverents, kus teemat põhjalikult käsitleti.

Hetkel teadaoleva info kohaselt on ohu realiseerumise tõenäosus ülimalt väike. Sel põhjusel ei suletud ühtegi Eesti e-teenust ega digiallkirja süsteemi. Riigiasutused, pangad, poed ja kõikide muude teenuste pakkujad töötavad samamoodi edasi. Samuti andis vabariigi valimiskomisjon teada, et oktoobris toimuvaid e-valimisi ära ei jäeta. Kuna aga igasse sellisesse haavatavusesse on põhjust suhtuda ülima tõsidusega, siis sulges politsei ja piirivalveamet ID-kaardi avalike võtmete andmebaasi kuni teoreetilise probleemi lahendamiseni.

Eesti on digitaalse ühiskonna teerajaja, mistõttu ei ole võimalik maailmast sarnaste probleemide lahendamisel eeskuju võtta. Suur osa Eesti infoühiskonna turvalisusest põhineb avaliku võtme krüptograafial ning sellega seotud väljakutsete lahendamine on maailmas unikaalne kogemus. Võiks öelda, et Eesti digitaalühiskonna arendamine on nagu kosmoseprogramm, mille elluviimisel kohtutakse ootamatute raskustega. Probleemidega toimetulemise strateegiad, praktikad ja võimekus luuakse arengu käigus.

Mida on meil sellisest olukorrast õppida? Selleks, et taolised ootamatused Eestit ei üllataks, oleks vaja, et riik koondaks rohkem eksperte järjepidevalt tegelema infoühiskonna jaoks kriitiliste teguritega. Nii Eesti ühiskonnale kui ka muule maailmale annaks kindlustunde see, kui me suudame tehnoloogia rakendamise riskid võimalikult hästi läbi mõelda ning neid tavatöö käigus ennetada või maandada.

About the author
raul_veeb
Programme Director of National Cyber Security