/nginx/o/2016/09/27/5890251t1h2857.jpg)
Juhul kui üks ID-kaart peaks reaalselt lahti murtama, on politsei- ja piirivalveamet (PPA) ja sertifitseerimiskeskus seadusest tulenevalt kohustatud sulgema tõenäoliselt kõik 750 000 turvaohuga ID-kaarti.
Ühe ID-kaardi murdmine kohustaks ligi 750 000 sulgema
4. oktoober 2017, 08:22
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
«Põhimõte on nii, et kui keegi suudab kaardi lahti murda ja riigi infosüsteemide amet (RIA) seda kinnitab, siis pannakse sertifikaat kinni. Sellisel juhul tuleb sulgeda kõik turvariskidega kaardid,» ütles PPA pressiesindaja Kirsti Ruul.
PPA identiteedi ja staatuste büroo juhataja Margit Ratniku sõnul tähendaks turvariski realiseerumine ka ühe näite puhul kõikide turvariski poolt puudutavate ID-kaartide sertifikaatide peatamist.
«Juhul kui on olemas kindlad tõendid selle kohta, et risk on realiseerunud, peatab PPA kui dokumendi väljaandja ainult selle turvariskiga kaartide sertifikaadid. See tähendab seda, et neid ID-kaarte ei saa pärast sertifikaatide peatamist enam elektrooniliselt kasutada. ID-kaardid, mida turvarisk ei puuduta, jäävad edasi kehtima ning neid saab jätkuvalt ka elektrooniliselt kasutada,» lisas Ratnik.
Õiguslik kohustus sertifikaadid sulgeda tuleneb Ratniku sõnul isikut tõendavate dokumentide seadusest. Selle kohaselt võib dokumendi väljastaja sertifikaadi kehtetuks tunnistada juhul, kui on põhjendatud alus arvata, et sertifikaadis nimetatud avalikule võtmele vastavat privaatvõtit on võimalik kasutada dokumendi kasutaja nõusolekuta.
Samuti tuleneb e-identimise ja e-tehingute usaldusteenuste seadusest kohustus usaldusteenuse osutajale ehk sertifitseerimiskeskusele tunnistada sertifikaat kehtetuks, kui seda peaks taotlema pädev asutus või sertifikaadi omaja. Juhul kui sertifikaadi omajal on kahtlus ID-kaardi nõusolekuta kasutamise võimaluseks, on omakorda tema kohustatud taotlema sertifikaadi kehtetuks tunnistamist.
«Sertifitseerimiskeskus pakub usaldusteenust, kui usaldus kaob, siis peab dokumendi väljaandja käituma turvalisel viisil. Ehk peab kaitsma dokumendi omanikke rünnaku alla sattumisest,» märkis Ruul.
Mõningane kaalutlusõigus PPA-l Ruuli sõnul siiski on. Nimelt ei olnud Tšehhi teadlaste Eestile teada antud teoreetilise turvariski leidmine veel piisav alus kõikide ohus olevate sertifikaatidega ID-kaartide sulgemiseks. Kuid konkreetse kaardi murdmise korral selline kohustus tekiks.
Turvarisk puudutab 2014. aasta oktoobrist välja antud ID-kaarte, mida on ligikaudu 750 000.
Senise teadaoleva teabe kohaselt ei ole turvarisk ühegi konkreetse kaardi puhul realiseerunud. Praeguseks on suletud ID-kaardi avalike võtmete andmebaas, kuna avalikku võtit teadmata ei ole võimalik antud turvariski kaardi ründamiseks kasutada.