Как справиться с теоретической уязвимостью ИД-карты?
В начале сентября группа чешских ученых сообщила в Департамент государственной инфосистемы Эстонии о том, что произведенные в 2014 году немецкой компанией Infineon Technologies AG и поставленные Gemalto микрочипы содержат ошибку в протоколе безопасности, которая теоретически может повлиять на использование эстонских ID-карт. В Эстонии было выдано 750 000 ID-карт с таким микрочипом. После опубликования этой новости в обществе возникли вопросы о безопасности дальнейшего использования таких ID-карт и путях решения проблемы.
По имеющейся в настоящее время информации, можно сделать вывод о том, что возникновение реальной угрозы крайне маловероятно. Поэтому не закрыта ни одна из э-услуг и систем электронных подписей в Эстонии. Государственные учреждения, банки, магазины и прочие поставщики товаров и услуг по-прежнему используют ID-карты. Более того, республиканская избирательная комиссия заявила о том, что э-выборы в октябре отменены не будут. Но поскольку каждая потенциальная уязвимость требует серьезнейшего рассмотрения, Департамент полиции и пограничной охраны закрыл базу данных с открытыми ключами ID-карт до момента, когда эта теоретическая проблема будет решена.
Эстония является первопроходцем в области э-общества, и поэтому соответствующих готовых решений в других странах еще не существует. Безопасность информационного общества Эстонии зиждется в значительной степени на криптосистеме с открытыми ключами, и решение возникающих здесь проблем – уникальная задача в глобальном контексте. Развитие э-общества в Эстонии можно сравнить с программой освоения космоса, ведь в обоих случаях возникают непредвиденные трудности. Стратегия, практика и компетенции для преодоления каждой проблемы создаются в ходе развития.
Какой урок мы можем из этого извлечь? Бесперебойное функционирование ID-карт является для Эстонии задачей стратегической важности, и поэтому критически важные компетенции должны стать более институциализированными. Эстонии следует укрепить местные возможности работы с различными технологическими аспектами и проведения анализов уязвимостей во избежание дальнейших неожиданностей.
Какой урок мы можем из этого извлечь? Для того чтобы подобные неожиданности не нарушали фундаментальные аспекты информационного общества в Эстонии, необходимо привлекать больше экспертов для постоянного рассмотрения вопросов кибербезопасности и технологий. Эстонское общество и жители других стран лишь выиграют от того, что Эстония сможет своевременно обнаружить и нейтрализовать риски применения различных технологий.