Hüvasti paroolikaardid! Muudatus, mis puudutab sadu tuhandeid internetipanga kliente
SEB andis oma klientidele teada, et koodikaardiga internetis ostlemisel rakendatakse uusi piiranguid. Pangad soovitavad klientidel sellest iganenud ning ebaturvalisest autentimismeetodist täielikult loobuda, kuigi sadadele tuhandetele klientidele on see jätkuvalt kõige mugavam ning harjumuspärasem teenuste kasutamise moodus.
Kuigi panga selgituse kohaselt puudutavad nimetatud piirangud praegu vaid 3D Secure internetioste, liigume selles suunas, et paroolikaardid kaovad peatselt ajalukku.
Karmide piirangute rakendamine, mille tulemusel muutuvad paroolikaardid praktiliselt kasutuks, tulenevad Euroopa Komisjoni direktiivist. Liikmesriigid peavad oma seadusandluse direktiiviga vastavusse viima hiljemalt tuleva aasta 13. jaanuariks.
„Autentimismuudatused tulenevad eeskätt üle-Euroopalisest pangandusalasest regulatsioonist – EL-is vastuvõetud direktiivist Payment Services Directive (PSD2). Direktiivi eemärk on tõsta turvalisust ning ennetada Euroopas viimastel aastatel jõudsamalt levinud identiteedi-, sh rahaülekannetega seotud pettusi,“ ütles Riigi Infosüsteemi Ameti analüütik Anto Veldre.
„Eestile tähendab PSD2 olulist turumuudatust, kuivõrd EL direktiiv ei võimalda inimestel koodikaardiga edasi tegutseda. Õigemini lubab, kuid piirangutega, mis muudaksid koodikaardi kasutamise praktikas mõttetuks. Vastuvõetud direktiivi artikkel 97 (autentimine) sätestab, et internetipankadele pääsetakse edaspidi ligi üksnes „nn „tugeva autentimise“ kaudu, mis koosneb kahest faktorist: miski mida klient teab, pluss miski, mis kliendil on. Koodikaardil on kaks olemuslikku muret - sellel leiduv teadmus on samal ajal ka ese, ning see ese pole turvaline (ei kasuta krüptograafiat ega sertifikaate),“ selgitas ekspert.
Veldre toonitas, et Eestil on teiste riikidega võrreldes ID-kaardi näol eelis. „Euroopas on hoopis teistsugune probleemistik. Säärast mugavat ja ühtlasi üliturvalist autentimisvahendit nagu ID-kaart, neil lihtsalt pole. Isegi kui mõnes riigis on olemas plastik ja kiip sellel, siis kiibi peal pole e-tehinguid võimaldavaid sertifikaate. Ning kui mõnes üksikus riigis ongi olemas sertifikaadid, siis nende väljastamisprotsess pole nii range nagu Eestis.“
Piirangud viivad varem või hiljem koodikaartide kaotamiseni
„Koodikaartide kasutus väheneb pidevalt,“ kinnitas SEB Balti e-panganduse juht Ragnar Toomla. „Täna on olemas koodikaartidest palju mugavamad ja turvalisemad lahendused nagu Smart-ID, Mobiil-ID ja ID kaart, soovitame kõikidel oma klientidel need kasutusele võtta. Tulevikus vähenevad koodikaartide kasutusvõimalused veelgi ja tõenäoliselt ühel hetkel ei ole neid enam vaja,“ rääkis Toomla, lisades, et millal täpselt koodikaardid kasutusel kaovad on hetkel veel vara öelda.
Toomla märkis, et koodikaartide kasutamisele rakenduvad üle-euroopaliste regulatsioonidega sellised piirangud, mis pikemas perspektiivis muudavad kaartide kasutamise ebaratsionaalseks. „Alates jaanuarist 2018 langeb koodikaardi autentimise alusel tehtud maksete päevane limiit EL õigusaktide nõuetest lähtuvalt. Lõplik tekst ei ole veel vastu võetud, viimases versioonis räägitakse summadest 30 eurot makse kohta ja 100 eurot päevas. See piirang ei puuduta kõiki makseid, vaid ainult kõrge riskiga makseid. Seega näiteks tavapärased maksed kommunaalteenuste osutajatele selle alla ei kuulu,“ selgitas Toomla toonitades, et igal juhul ei taga praegune otsus piisavat ohutust.
"Koodikaartide turvalisus on ebapiisav kuna selle andmeid on väga lihtne kopeerida. Mure on siinkohal mitte ainult pangakonto turvalisuses, vaid samuti potentsiaalses isiku identiteedivarguses, sest läbi internetipanga on võimalik siseneda ka teiste teenusepakkujate e-teenindustesse. Selle pärast on oluline hoida ligipääs internetipanka võimalikult turvaline,“ rääkis Toomla.
Tehnoloogia areneb - on aeg edasi liikuda
Swedbanki kommunikatsioonispetsialist Kristel Peterson märkis samuti, et piiranguid sunnivad pankasid rakendama eurootsused.
„Swedbank ei ole teinud otsust paroolikaartide kaotamise või mittekaotamise kohta. Küll aga sunnib üle-Euroopaline seadusemuudatus peagi kõiki panku rakendama karmimaid nõudmisi klientidele enda isiku tuvastamisel ja maksete kinnitamisel, sh piirama paroolikaardiga sisse logides tehtavaid tehinguid. Näitlikult öeldes tähendab see seda, et kui praegu saab ühes päevas teha paroolikaardiga tehinguid 200 euro piires (mobiili- ja internetipangas), siis piirangute rakendudes saab paroolikaardiga teha makseid kuni 100 euro ulatuses. Ja seda tingimusel, et klient peab logima vahepeal panka tugeva autentimisvahendiga (Smart-ID, ID-kaart, mobiil-ID, PIN-kalkulaator),“ lausus Peterson.
„Seega ainult paroolikaarti tulevikus kasutama ei saa jääda, vaid teatud info nägemiseks või maksete summa täitumisel tuleb enda isik tuvastada tugeva autentimisvahendiga.
Piirangute põhjuseks on tõsiasi, et 20 aasta jooksul, mil paroolikaardid on kasutusel olnud, on tehnoloogia oluliselt arenenud. Kuna inimesed tarbivad üha rohkem digitaalseid teenuseid, pöörab ka regulaator tähelepanu sellele, et nende kasutus oleks mugav ja turvaline,“ märkis Peterson.
Nordea enam paroolikarte ei kasuta
Kui SEB-l ja Swedbankil saab veel paroolikarte kasutada, siis Norde on need juba ajaloo prügikasti saatnud. „Alates 2017. aasta 1. aprillist ei saa enam Nordea panga paberkandjal koodikaarte interneti- või mobiilipanka sisenemisel autentimiseks kasutada,“ kinnitas Nordea kommunikatsioonispetsialist Jana Kutšinskaja.
„Kuigi ID-kaardi, Mobiil-ID ja püsiparooliga jääb interneti- ja mobiilipanga kasutamine endiseks, oleme palunud klientidel endale Nordea koodirakendus või digivõti tellida, sest nendest saavad ainsad isiku tuvastamise vahendid telefonipangas ning on Nordea kanalite kasutamisel edaspidi oluliseks tagavaralahenduseks,“ rääkis ta.
Ka Kutšinskaja tõdes, et koodikaardid ei vasta turvalisusnõuetele. „Hiljemalt 13. jaanuariks 2018 peab Eesti üle võtma Euroopa Liidu 2. makseteenuste direktiivi. Sellega peavad pangad ja teised makseteenuse pakkujad tagama internetiülekannete teostamisel klientide turvalise isikutuvastuse. Siiani kasutuses olnud paroolikaardid ei vasta tugeva autentimise nõuetele. Neid peetakse ebaturvalisteks, kuna koode on võimalik hõlpsasti kopeerida,“ ütles ta.
Kas ka alternatiivid on ebatäiuslikud?
Vaatamata sellele, et paroolikaardid on paljudele jätkuvalt kõige mugavam autentimise meetod, on selge, et üleminek alternatiivsetele meetoditele on vältimatu. Kuid ka neil on omad puudused. Nii tuleb Mobiil-ID eest maksta kuutasu, Smart-ID eeldab nutitelefoni olemasolu, ka PIN-kalkulaator maksab ning ID-kaardi kasutajad seisavad pidevalt silmitsi erinevate probleemidega.
„Tuleb tunnistada, et pidevad väga järsud ülemaailmsed muudatused internetisirvikute turva-arhitektuuris viimase 2-3-4 aasta jooksul on tõesti põhjustanud olukorra, kus ID-kaardiga sisselogimisel muutub oluliseks nii teenusepakkuja kui kliendipoolsete programmide uuendamise ja paikamise õigeaegsus. Olukord oleks parem, kui nii kliendi kui teenuse poolel programme õigeaegselt ajakohastataks,“ tunnistas Veldre probleemide olemasolu.
Kõige eesrindlikuma alternatiivina koodikaardile soovitab SEB Smart-ID. „Kaasaegsetest autentimisvahenditest soovime kasutada aasta alguses tutvustatud Smart-ID, mis on tasuta, väga lihtne ja turvaline autentimisvahend. Selle kasutamise ainukeseks piiranguks on nutitelefoni olemasolu,“ rääkis Toomla. „Mobiil-ID seevastu töötab ka vanemate telefonidega. Täiendavaks alternatiiviks on samuti PIN – kalkulaator.“
„Mõistame meie kliente, kes on aastakümneid harjunud kasutama koodikaarte, kuid innustame neid proovima uusi – mugavamaid ja turvalisemaid autentimisvahendusi. Hetkel saame koodikaarte võrrelda kunagi laialt kasutatud tšekiraamatuga – omal ajal oli see läbimurrang ja suur uuendus, tänapäeval on see aga aegunud lahendus,“ rääkis SEB esindaja.
Petersoni sõnul on loomulikult on iga kliendi enda valik, millist autentimisvahendit ta soovib kasutada. „ Smart-ID rakendus (panga klientdele tasuta), ID-kaart, Mobiil-ID (kuutasu kuni 1 euro sõltuvalt mobiilioperaatorist ja 15 eurot maksev, PIN-kalkulaator,“ tõi Swedbanki esindaja välja paroolikaardi võimalikud alternatiivid.
Nordea pakub lisaks standardalternatiividele ( peale Smart-ID) ka erilahendusi ning soovitab just neid kasutada.
„Nordea pakub klientidele interneti- või mobiilipanka sisenemisel autentimiseks mitmeid mugavaid ning paroolikaartidega võrreldes turvalisemaid alternatiive: tasuta koodirakendus Nordea, mis töötab koidel platvormidel ka siis, kui mobiilandmeside on välja lülitatud; digivõti sarnaneb PIN-kalkulaatoriga ning on kõikidele üle 60-aastastele eraklientidele tasuta; ID-kaardi, Mobiil-ID ja püsiparooliga sisenemine,“ rääkis Kutšinskaja.
Sajad tuhanded kliendid
Vaatamata juttudele koodikaartide ebaturvalisusest, ei ole politsei nendega seotud kuritarvituste kohta teateid saanud. „Viimase kahe aasta jooksul ei meenu, et oleks politseisse laekunud teateid paroolikaartidega seotud kelmuste kohta,“ kinnitas PPA pressiesindaja Kerttu Krall. Täpset arvu on tema sõnul keeruline öelda, kuna eraldi statistikat paroolikaartidega seotud kelmuste kohta politseil ei ole.
Swedbanki arvestuste kohaselt kasutab praegu koodikaarti umbes 300 000 klienti. SEB esindaja ei osanud täpset arvu öelda, kuid märkis, et paroolikaarte kasutab umbes 45% klientidest.