ID-kaardi turvaauk ehk Rein Langi soovunelm

Probleemile juhtis tähelepanu IT-ekspert veebinimega anttix, kes seadis üles lihtsa veebilehe, mis demonstreerib igaühele ID-kaardi väidetavat turvaauku. Kui inimene sisestab ID-kaardi lugejasse ja hakkab internetti sirvima, siis võib suvaline veebileht märkamatult salvestada kaardil olevad inimese andmed, näiteks nime ja isikukoodi.

Anttix on Antti Andreimann, IT-kolledži õppejõud ja infoturbe ekspert. „Piltlikult võib öelda, et isikuandmeid lekitav ID-kaardi tarkvara on nagu Rein Langi soov­unelm, mille abil saab ilma kohtu loata kergesti välja uurida, kes täpselt internetis midagi halvasti ütles,” selgitab Andreimann.

Tema sõnul on sellise turvaaugu potentsiaali hästi näitlikustanud raadiohääl ja ajakirjanik Mart Parve: „Oletame, et internetis on sel viisil isikuandmeid koguv n-ö seksihuviliste lehekülg. Mõned selle lehekülje külastajad on politseinikud, teised on kohtunikud, kolmandad on kõrged riigiametnikud. Väga kerge on isikustatud inimest hiljem tema „kahtlaste huvide” avalikustamise ähvardusega santažeerida.”

See pole mingi raketiteadus

Veebilehele sellise „lisaväärtuse” loomine, millega märkamatult ID-kaardilt andmeid kopeeritakse, pole Andreimanni sõnul mingi raketiteadus: „Iga programmeerija, kes on loonud mõne ID-kaardiga allkirjastamist kasutava veebilehekülje, on selleks võimeline.”

See auk pole mingi äsja tekkinud uuendus, vaid kogu aeg olnud osa ID-kaardi tarkvarast. „Eriti kurjaks teeb mind fakt, et see nõrkus on teada vähemalt viis aastat ja keegi ei tee mitte midagi selle paikamiseks. Selle asemel et viga ära parandada, püüavad riik ja sertifitseerimiskeskus vassida ja probleemi pisendada,” ei ole Andreimann rahul.

Pole ju võimalik, et selline auk on viie aasta jooksul märkamata jäänud?! Tõepoolest, riigi infosüsteemide arenduskeskus (RIA – juhib kogu riigi infosüsteeme) ei peagi seda turvaauguks, vaid tahtlikult loodud funktsionaalsuseks. „Tegemist ei ole tehnilises mõttes turvaauguga, pigem on see klassikaline tasakaalu otsimine kasutaja mugavuse ja privaatsuse vahel,” selgitab RIA kommunikatsioonijuht Katrin Pärgmäe.

Et turvaaugu kasutajamugavuse olemus puust ja punaselt ette teha, oletagem, et sisestate ID-kaardi lugejasse ja lähete näiteks eesti.ee portaali oma isikut tuvastama. Kui portaal ei tohiks ID-kaardilt märkamatult teie andmeid lugeda, hüppaks esmalt esile aken küsimusega: „Kas lubate portaalil teie ID-kaardilt teie nime lugeda?” Kui vastate „jah”, tuleb juba tuttav käsk: „Kodanik see ja see, sisestage oma PIN-kood”. Kuna praegu tohib portaal märkamatult ID-kaardilt nime lugeda, siis jääb esimene küsimus ära.

Nii teebki see turvaauk internetis ID-kaarti kasutavate inimeste elu tõesti veidi mugavamaks, sest säästab neid ühest hiireklikist.

Andmeid salvestada ei tohiks

„Küll aga ei tohi veebileht neid andmeid inimese teadmata ko­guda, see on seadusevastane. Vee­bileht peab küsima, kas ini­mene soovib oma andmeid talle kogumiseks anda ja peab selgitama, miks ta neid kogub,” kinnitab Pärgmäe. Tema sõnul pole infoturbega tegelejad siiani leidnud mitte ühtegi veebisaiti, mis andmeid pahatahtlikult koguks.

Niisiis on oht seni vaid teoreetiline. Ent asjatundjaid nagu Antti Andreimann see ei rahusta. „Pa­lun lõpetage vassimine ja lappige see viga ükskord ometi ära,” pöör­dub ta ID-kaardi riiklike haldajate poole. „Turvavead on pa­ra­tamatud ja isegi suured tarkvaratootjad tunnistavad julgelt oma vigu. Selliste probleemide eitamine kallab lihtsalt rohkem õli tulle.”