See artikkel on trükitud:
https://www.eesti.ca/id-ehmatusest-tootab-saada-having-pm/article50585
ID-ehmatusest tõotab saada häving PM
02 Nov 2017 EWR Online
 - pics/2017/11/50585_001_t.jpg

Aivar Pau
tehnikaportaali toimetaja
Risto Berendson
uuriva toimetuse juhataja
1. november 2017
https://tehnika.postimees.ee/4...
Riik on ülekoormuse tõttu võimeline uuendama vaid mõni tuhat kaarti päevas
Järgneva 48 tunni jooksul kaarte kinni ei panda
Praegu on uuendamata veel 780 000 asjasse puutuvat kaarti

ID-kaardi sertifikaatide uuendajad on tekitanud politsei- ja piirivalveameti teenindussaalides sabad. Näiteks Tallinnas Tammsaare tee teenindussaalis tuli eile pärastlõunal oodata teenindaja jutule pääsemiseks tunnipikkuses järjekorras. | FOTO: Eero Vabamägi

«Olukord on hull,» ütles eile Postimehele juba viimased paar päeva ID-kaardi turvariskiga tegelenud kõrge riigiametnik. «Meie aeg on otsa lõppemas ja meie infosüsteemid jooksevad pidevalt kokku.»

Viimastel päevadel on Riigi Infosüsteemi Ametis (RIA) käinud pidev tulekahju kustutamine – kümned, kui mitte rohkemad IT-spetsialistid tegelevad RIA palvel ööpäev ringi sellega, et hoida üleval ID-kaartide sertifikaatide uuendamiseks vajalikke infosüsteeme. Kuid need ei tööta, sest koormus süsteemile on liiga suur.

Väidetavalt suutsid infosüsteemid näiteks teisipäeval uuendada vaid 1300 ID-kaarti loodetud 15 000 asemel. Kolmapäeval kauguuendati ligi 2000 ID-kaarti. Seda on arvestatust mitukümmend korda vähem.

Aeg uuendusi teha saab aga kohe-kohe otsa. Ohuhinnang ehk must stsenaarium on selline: rünnak Eesti ID-kaardi kiibi turvasüsteemile tuleb tõenäoliselt hiljemalt reedel-laupäeval.

Kui paar kuud tagasi, e-ehmatuseks tituleeritud uudise avaldamise ajal oli rünnaku potentsiaalne sihtmärk vaid Eesti ID-kaardil oleva kiibiga seonduv turvarisk, siis nüüd on ohuhinnang globaalne. See hõlmab samasugust kiibitehnoloogiat kasutavaid suuri rahvusvahelisi kompaniisid ja teisi riike. Ja erinevalt Eestist ei ole nemad jõudnud selleks valmistuda. Seetõttu sulges Slovakkia sel nädalal kõik oma ID-kaardid.

«Sihtmärk on ründamiseks üliahvatlev. Ja see, et häkkerid seda 48 tunni jooksul teevad, on tõenäolisem võimalusest, et seda ei tehta,» ütles üks Postimeest konsulteerinud erialaspetsialist.

Kui rünnak õnnestub, tähendab see ebaturvaliste kiipidega seotud sertifikaatide kohest sulgemist. Eesti on sellega arvestanud ja meie spetsialistid olid aegsasti välja töötanud lahendused, mis aitavad turvariskist mööda minna. Selleks tuleb vaid ID-kaartidel tarkvara uuendada.

Eesti probleemiks sai aga uuendamissüsteemide vastupanuvõime. Nimelt kipub see pidevalt kokku jooksma ja nii sai esialgsest hinnangust – et korraga uuendatakse süsteemis 1000 ja ööpäevas kokku kuni 21 000 ID-kaarti – justkui helesinine unenägu. Viimase paari päeva tulemus on alla 4000 uuenduse. Seda on väga vähe.

RIA lubab siiski, et sertifikaatide sulgemisele eelneb 24-tunnine eelhoiatus. RIA eID-valdkonna juhi Margus Armi sõnul ei tule kõne allagi tagantjärele informeerimine – et ükskõik mis põhjusel 800 000 ID-kaardi sertifikaadid ootamatult suletakse. «Sellise sammuga viiksime kõik lõplikult umbe – alates klienditeeninduse numbritest ja lõpetades kaardi kauguuendamise süsteemidega,» ütles ta.

Arm kinnitas, et RIA ei ole praegu otsustanud, millal turvariskiga kaartide sertifikaadid peatatakse ja nendega enam IT-süsteemidesse sisse logida ei saa. «Kindel on see, et järgneva 24 ega ka 48 tunni jooksul kaarte kinni ei panda,» lausus ta.

Kui aga saab teatavaks mingi oluline uus info või keegi tuleb välja lahtimuukimist tõestava infoga, siis lähebki käiku must stsenaarium ja probleemsed kaardid suletakse otsekohe. See on ka täiesti mõistetav, sest kui kellelgi õnnestub lahti muukida Eesti ID-kaardi süsteem, siis oleksime kogu oma e-riigi arengult hetkega tagasi kiviajas.

Igal juhul on neil, kes vajavad ID-kaarti veebis iga päev, armuaega vähemalt paar päeva. Arvestada tasub ka sellega, et politsei- ja piirivalveameti büroodes saab ID-kaardi uuendada hõlpsalt ning hädavajaduse korral saavad inimesed seal kindlasti abi.

«Uuendama peaksid minema need, kellel on haavatav kaart, mida nad kasutavad tihti, ning kel ei ole alternatiivseid sisselogimise viise ehk mobiil-IDd,» selgitas küberturvalisuse keskuse CERT-EE juht Klaid Mägi ja lisas, et näiteks ka pangalingid riiklike e-teenuste kasutamiseks toimivad edasi.

Kokku on turvariskiga ID-kaarte 800 000 ja nendest oli sertifikaadid eile õhtuks uuendada õnnestunud ligemale 25 000 inimesel.

«Kui me võtame uuendamist vajavate kaartide üldarvust maha need, kes kasutavad ID-kaarti väga-väga harva, ja selle hulga, kellel on mobiil-ID või muu ligipääs pangaveebi, siis jääb alles vaid 100 000 – 150 000 inimest, kellel tõesti oleks oluline ID-kaart operatiivselt ära uuendada,» lausus Mägi.

Statistika näitab, et kord aastas logib ID-kaardiga mõnda süsteemi sisse ehk kasutab oma kaardiga seotud sertifikaate vaid 600 000 inimest ja neist ligi pooled omakorda vaid maksude deklareerimise ajal.

Mäe sõnul ei suuda loomulikult ükski kiirelt kokku klopsitud tarkvaralahendus korraga 800 000 inimest ära teenindada ning sellest on tingitud ka nädala alguses tekkinud tõrked uuendamissüsteemides. Narvas tuli eile näiteks üks vanem daam politseibüroosse korraga uuendama lausa nelja ID-kaarti – olevat sõbranna käest kuulnud ja reageerinud.

Kaugeltki sellist paanikat ei tekkinud aga näiteks Slovakkias, kus ööl vastu kolmapäeva tühistati samasuguse lahendusega ID-kaartide sertifikaadid. Kuid seal pole kaart kohustuslik – ega seega ka hädavajalik – ning toiming puudutas vaid 300 000 selle riigi kodanikku. Juunis tühistas ID-kaartide sertifikaadid ka Austria, kus see otsus puudutas 100 000 kaardiomanikku.

«Pragmaatiliselt öeldes ei sõltunud nende riikide ID-kaartide kinnipanemisest suurt mitte midagi – nii teenuste kui ka kasutajate arv on neis hästi väike. Eestis on mõju kindlasti kordades suurem,» lisas Mägi.

CERT-EE juht kinnitas, et praegu pole maailmas häkkerit, kes oleks tõestanud Eesti ID-kaardi rünnatavust. «Kui täna oleks selline tõestus, siis oleksime juba kaardid kinni pannud,» sõnas ta.

Mis puutub mobiil-ID kasutajate hulka, siis see on viimastel nädalatel küll mõnevõrra kasvanud, kuid jääb ikka veidi alla 150 000. Riigiametnikkegi ei saa sundida seda kasutama hakkama, kuna see teenus on siiski tasuline, olgugi et maksab inimesele vaid ühe euro kuus.

Digiretseptid liiguvad igal juhul

Riik kinnitab, et iga ametnik, kelle osutatavad teenused on riigi toimimise ja elanike teenindamise seisukohalt hädavajalikud, pääseb kas ID-kaardi, mobiil-ID või erilahenduste teel süsteemidesse.

Näiteks teatas sotsiaalministeerium, et ID-kaardi sertifikaatide peatamise korral saavad arstid, õed ja apteekrid e-tervise teenuseid ajutiselt edasi kasutada ka uuendamata ID-kaartidega. See lahendus läheb kasutusse kohe, kui RIA on teatanud turvariskiga ID-kaartide sertifikaatide peatamisest. See tähendab, et arst saab endiselt koostada digiretsepti ja apteeker selle alusel retseptiravimit müüa.

Mis võib tingida ID-kaartide ootamatu sulgemise?

RIA on aga siiski valmis sulgema ohustatud kaardid kohe, kui nende lahtimurdmise oht kasvab üle kriitilise piiri. Risk on järsult suurenenud ja sulgemise kuupäeva on nihutatud varem arvatust neli-viis kuud ettepoole.

«Sellest hetkest alates, kui tšehhide töö avalikustati ning selgus, et puuduse taga on veel slovakid, hispaanlased, sakslased, Microsofti ja Google’i teenused, kasvas rahvusvaheline tähelepanu niivõrd palju, et tekkis juurde ka neid tüüpe, kel on huvi meie kaarte lahti närima hakata,» ütles CERT-EE juht Mägi.
Märkmed: