Täna hommikul potsatas umbes iga viienda Eesti inimese postkasti politsei- ja piirivalve (PPA) kiri, kus teavitati andmelekkest. Ei kirjas ega RIA pressiteates palutud inimestelt vabandust. Miks seda ei tehtud, kuigi inimese andmed läksid riigi käest jalutama?

RIA ei taandanud vastutusest ja loomulikult on RIA valmis igat moodi vabandama veel. Praegu oli RIA see, kelle teenusesse ründaja pääses. RIA vabandab ja teeme seda veel, kui on vaja. Ehk oleks pidanud PPA teates see vabandus ka olema.

Kes ja millal arendati dokumendifotodele ligipääsu tagava süsteemi?

Aastal 2008 riigi enda poolt enne RIA loomist. Seega ei oska hinnata, kui kalliks süsteem läks. Ilmselt kulus sinna eelkõige palju inimeste töötunde, lisakulusid polnud.

Milles seisnes täpsemalt nõrkus, mis lubas lekkel juhtuda?

Kui hästi lihtsalt selgitada, siis erinevate andmebaaside suhtlus toimub sertifikaatide abil. Sertifikaat on inimkeeles nagu dokument. Võtame võrdluseks ID-kaardi - sellel on lisaks fotole veel inimese nimi, sünniaeg ja palju teisi andmeid. Samamoodi on üles ehitatud sertifikaadid. Piiril annate dokumendi ja vaadatakse, kas Teie olete dokumendifotol ja kas muud andmed klapivad. Sertifikaatidel samamoodi kontrollitakse erinevate näitajate klappimist, aga üks kontroll, sertifikaadi väljaandja kontroll läks katki. Kui süsteem ehitati, oli see olemas. Ründaja avastas augu ja sai süsteemist fotod kätte.

Miks see katki oli?