Kas Eesti ID-kaardi turvaaugu avastasid soomlased?

Väljavõte eestinen.fi veebist.

Eestinen.fi vahendab uudist selle kohta, et septembri algusest alustas Helsingis tegevust ELi ja NATO hübriidohtude kompetentsikeskus. See on keskus, millega liitusid kohe Läti ja Leedu, aga Eesti millegipärast koheselt mitte, ilmselt seetõttu, et Tallinnas tegutseb juba NATO küberkaitsekeskus, mille tegevus osaliselt selle Soome omaga kattub. Iseenesest on huvitav, et see uus dubleeriv keskus üldse Helsingisse tehti, ilmselt on Tallinnas mingi probleemid.

Ning üks probleem ongi - Eesti ID-kaart, mis nagu välja tuleb, pole turvaline. Ja mis huvitav, selle kaardi turvaaugud tulid välja kohe, kui Helsingi keskus tegevust alustas. Turvaaugu avastamise taga olevat teadlaste grupp - aga Soome keskuses töötavadki teadlased ja soomlased on küberturvalisuse alal maailmas esirinnas, sealne F-Security on pika ajalooga küberturbefirma, mille toodangut kasutatakse üle maailma. Viimasel ajal on Eesti ID-kaart Soomes seoses e-residentsusega palju tähelepanu äratanud, eriti seoses lubadusega maksude maksmisest Eestis, kui digi-ID kaudu firma registreerida Eestis. Soomes on tähelepanu juhitud, et kuivõrd maksud makstakse reaalse elu- või tegevuskoha järgi, siis on Eesti e-residentsuse reklaamjutt Eestis maksude maksmise kohta lihtsalt bluff. Ma ei imesta, kui tuleb välja, et Eesti ID-kaardi turva-augu avastasid soomlased.

Mis veel huvitav - Eesti ID-kaardi turvaaukudest on räägitud ka varem, aga seda teoreetilisel tasemel.  Eestis pole neid jutte kunagi varem tõsiselt võetud, kuigi on teada, et nende võimalike turvaaukude tõttu on mujal riikides suhtutud Eesti ID-kaarti kerge muigega. Umbes nii, et las nad seal Eestis proovivad ja katsetavad, Eesti on maailma mastaabis nii väike, et kui midagi untsu läheb, siis on võimalik risk minimaalne.

Ent olukord muutus siis, kui Eesti hakkas oma kaarte välja andma ja reklaamima välismaalastele. Sellega seoses hakkas risk kasvama, mistõttu kasvas huvi vead välja tuua. Nüüd, nagu näib, on Eesti ametivõimudele puust ja punaseks selgeks tehtud, kuidas on võimalik Eesti digiallkirja võltsida. Sest konkreetselt on teada, et see puudutab peale 2014. aastat välja antud kaarte (ehk siis KÕIKI e-residentsuse projektiga seoses välja antud kaarte) ja et probleem on kaardi sees olevas kiibis. Ja et Eesti asutused kohe hirmsalt tõmblema hakkasid peale seda.

Kuidagi ebaveenev on ka Eesti ametnike selgitav jutt, et sarnaseid kiipe on kasutusel maailmas miljard. Kui see kiip on näiteks kohvimasinas, ja neid kohvimasinaid on müüdud miljard, siis ei kujuta see sellist ohtu, nagu need ligemale miljon Eesti ID-kaarti, millest on juttu olnud.

Eestis on küll väidetud, et probleem lahendatakse mõne kuuga ja valimisteks on asi korras, aga kui asi on kiibis, siis on loogiline, et kaardid tuleks välja vahetada. Ma ei kujuta ette, kuidas on võimalik kiibi probleemi muul moel lahendada. Tegelikult tuleks üldse ID-kaartide kasutamine mõneks ajaks peatada, kuni pole teada, milles üldse asi ja kuidas seda lahendada. Või siis üldse kaardipõhisest ID-st loobuda, sest on muud vahendid nagu mobiiltelefonid. Olgem ausad, kaart on küllalt ebamugav kaasas kanda ja võib kergesti kaotsi minna. Kaarti on raske kasutajatele kohale toimetada - erinevalt pangakaartidest ei edastata seda posti teel. Lisaks vajab kaart veel eraldi lugejat. Näiteks miks ei võiks digi-ID olla lihtsalt kiip koos usb pistikuga, nagu usb-mälukaardid, mille saab võtmehoidja külge kinnitada?

Sellega tuleb muidugi nõustuda, et sellise vea leidmine aitab ID-kaarti muuta turvalisemaks ning ilmselt koguni seda e-asjandust muuta välismaa silmis usaldusväärsemaks. Samas pole probleemi avalikustamine mingi eriline kangelastegu, nagu on püütud mõista anda. Eesti pole ju enam NSV Liit, kus kõik kinni mätsiti. Liiati pole tänapäeval võimalik asju salastada, kui just internetti ei tsenseerita, nagu seda tehakse Hiinas või ei piirata juurdepääsu, nagu seda tehakse Põhja-Koreas ja Kuubal. Aga need viimased variandid on väga kulukad ja nõuavad veidi teistsugust riigikorda, inimeste liikumise piiramist jne.