Turvaaugud pangalinkides? Välisriigi kodanik sattus pangalingi kaudu e-maksuametis vale inimese kontole
Rahandusministeeriumi infoturbejuhi sõnul on kahel korral juhtunud, et internetipanga kaudu sattus välisriigi kodanik Eesti kodaniku e-maksuameti kontole, sest pangalingi autentimisteenus ei tuvastanud konkreetset inimest. Nüüd on ka edasine pangalinkide kasutamine küsimärgi all.
Esmaspäeval teatas maksuamet, et uuendab autentimislahendust, mille tõttu ei saa vähemalt kuu aega e-maksuametisse siseneda pangalingi kaudu. Hetkel on siseneda võimalik ainult ID-kaardi või mobiil-ID kaudu ning pankade kaudu lubatakse hakata sisenema e-maksuametisse hiljemalt jaanuari jooksul. Mida aga teates ei öeldud, oli fakt, et uuendamine toimub juhtumite pärast, kus pangalingi kaudu on inimesed sisenenud valele e-maksuameti kontole. Nüüd, paar nädalalt enne käibemaksudeklaratsioonide esitamise tähtaega otsustati aga turvalisusega mitte riskida.
Probleem teada pea aasta aega
Rahandusministeeriumi infotehnoloogiakeskuse infoturbejuht Andres Klemm selgitas Ärilehele, et probleem on teada alates talve lõpust (2014. aasta veebruarist -toim.) ning seni on pidevalt olukorda monitooritud ja jälgitud, et turvalisus oleks tagatud. "Üritasime ka pikalt koostöös pankadega leida sobivat lahendust, et pangad saaksid e-maksuameti/e-tolli jaoks autentimislahenduse uuendatud, kuid poolteist nädalat enne käibemaksudeklaratsiooni ja tehinguinfo esitamistähtaega sai selgeks, et uut autentimislahendust kõik pangad selleks ajaks kasutusele võtta ei jõua. Seoses käibemaksudeklaratsioonil tehinguinfo esitamisega ei saanud aga MTA eelistada klientide mugavust turvalisusele."
Pangalinkide kasutamine küsimärgi all
Klemmi sõnul peab olema väga suur asjaolude kokkulangemine, et internetipanga kaudu satuks välisriigi kodanik Eesti kodaniku e-maksuameti kontole. "Seda on juhtunud kahel korral. Pangalingi autentimisteenus peab lōplikult tuvastama konkreetse isiku, kes e-maksuametisse siseneb. Niikaua, kui kõikide pankade pangalingi autentimisteenus seda ei suuda, ei lase me pankade kaudu oma süsteemidesse alates tänasest siseneda," selgitas Klemm.
"Antud juhtum seabki eelkõige küsimuse alla edasise pangalinkide kasutamise, millest oleme ka riigi infosüsteemi ametit teavitanud. Esialgu oleme kokku leppinud pankadega, et hiljemalt jaanuari jooksul on uue autentimislahenduse tulemusel võimalik taas internetipanga kaudu e-maksuametisse siseneda."
