Palo lükkas ümber väited ID-kaardi turvariski varasemast teavitusest: Gemalto Eesti esindaja vihje oli ebamäärane ja Austria raport oli puudulik
Ettevõtlus- ja infotehnoloogiaminister Urve Palo selgitas kirjas, et ID-kaartide tootja Gemalto Eesti esindaja võttis küll 15. juunil RIA-ga turvariski osas ühendust, kuid esitas vaid ebamääraseid vihjeid. Austria ID-kaardi sertifikaatide sulgemine puudutas Gemalto sõnul teist kiibitootjat ega mõjutanud Eesti ID-kaarte. Hiljem selgus, et kaks juhtumit on siiski omavahel seotud.
Külliki Kübarsepp saatis novembri lõpuks ettevõtlus- ja infotehnoloogiaminister Urve Palole küsimused selle kohta, kas Riigi Infosüsteemide Ameti (RIA) ametnikud said ID-kaardi turvariskist teada enne 30. augusti.
"Riigi Infosüsteemi Amet (RIA) sai Eesti ID-kaartides kasutatava Infineoni kiibi turvanõrkuse kohta infot 30. augusti õhtul. Selle edastasid Tšehhi teadlased RIA intsidentide käsitlemise osakonnale (CERT-EE)," vastas Palo.
Tegevused pärast info saabumist:
- 31. augustil 2017 kontrolliti RIAs, kas info vastab tõele ning teadlastelt saadud infot jagati Politsei- ja Piirivalveametiga (PPA).
- 1. septembril 2017 toimus RIAs kriisikohtumine, kaasatud olid ka PPA, Majandus- ja Kommunikatsiooniministeerium, Siseministeerium, SK ID Solutions AS ja Gemalto tütarettevõte Trüb Baltic AS. Algas lahenduse otsimine. Võimalik lahendus selgus 4. septembril.
- 5. septembril 2017 toimus pressikonverents ja avalikkust teavitati turvariskist. Samal päeval alustati ka arendustöödega.
Palo kohaselt laekub RIA-le infot erinevate ohtude ja võimalike intsidentide kohta igapäevaselt. Infot kontrollitakse kogu aeg ning intsidentide korral ka reageeritakse. "Infot on saadud ka teadlastelt, kes on uurinud ID-kaardi võimalikke kriitilisi kohti. Varasemalt on tegemist olnud aga üksikute n-ö praaktoodetega ning erinevad tehnilised vead on nendel kaartidel likvideeritud. Näiteks koostöös ühe Tartu Ülikooli teadlasega vahetati välja 15 ID-kaarti, mille võtmed olid liialt lühikesed. Igaks juhuks kontrollis RIA tänavu suve hakul üle kõik Eestis kasutusel olevad ID-kaardi sertifikaadid ning rohkem selliseid anomaaliaid ei leitud," vastas ta kirjas.
Andreas Lehmann andis ebamääraseid vihjeid
Riigi Infosüsteemi Amet vahetab ID-kaardi teemal regulaarselt infot kaardi väljaandmisega seotud osapooltega, sh Trüb Baltic ASiga. Infot vahetatakse nii tehnikute tasandil kui ka ühistel kohtumistel PPA-ga.
Infot vahetati Palo sõnul ka 15. juunil, mil Trüb Baltic ASi tegevdirektor Andreas Lehmann ja RIA eID valdkonna juht Margus Arm vestlesid telefoni teel. Samas vestlus ei sisaldanud mitte ühtegi konkreetset fakti, mis viidanuks suurtootja Infineoni kiibis peituvale nõrkusele. Telefonivestluses andis Andreas Lehmann väga ebamääraseid vihjeid, et võib olla mingi probleem. Täpsustavate küsimuste peale ütles Lehmann, et ta veel ei tea, uurib ning annab teada. Kui Margus Arm nädal hiljem uuesti küsis, siis uut infot ei olnud.
Ajakirjanduses on välja toodud ka Austria raportit, milles teatati, et Austria sulgeb oma ID-kaartide sertifikaadid. Info Austria raporti kohta jõudis RIAsse 20. juunil. "EID valdkonna juht Margus Arm uuris koos partneritega infot. Kirjas oli välja toodud, et intsident puudutas teise kaarditootja kaarte (Atos IT Solutions) ning selle rakendust. Viidet Infineoni kiibile või seostele Eesti ID-kaardiga ei olnud. 22. juunil sai RIA ka Trüb Baltic ASi tegevjuhilt kinnituse, et 15. juunil edastatud ebamäärane info võimaliku probleemi kohta ei ole seotud Austria raportis tooduga," selgitas Palo.
Hiljem selgus Tšehhi teadustöö põhjal, et Atos IT Solutionsi ja Infineoni turvavead on omavahel seotud.
"Austria raportit on teravalt kritiseerinud ka teised riigid, sest raportis sisalduv info oli nii puudulik, et ükski riik ei osanud selle teavituse põhjal oma ID-kaarte selle intsidendiga seostada. Gemalto tütarettevõte Trüb Baltic AS ei võtnud suve jooksul midagi ette, et Eesti riiki turvariskist teavitada või võimalikku probleemi lahendada. Info Infineoni kiibis peituva nõrkuse kohta laekus Gemaltolt Eesti riigile septembri alguses ehk pärast seda, kui Politsei- ja Piirivalveamet selle küsimusega nende poole pöördus," vastas Palo oma kirjas.