Avalikustatud dokumendid tõid päevavalgele kümnenditaguse ID-kaardi kriisi
Eesti ID-kaart saab järgmise aasta veebruaris 20-aastaseks ning eelmisel nädalal avalikustati mõned varem salastatud dokumendid. Need kinnitavad asjatundjate varasemaid kahtlusi – aastate jooksul on Eesti suures pildis väga eduka ID-kaardiga olnud siiski suuri probleeme, millest avalikkus ei tea.
Kõik mäletavad 2017. aasta ID-kaardi kriisi, aga tegelikult oli ka mõned aastad varem peaaegu sama tõsine jama. Mis garanteerib, et säärased asjad ei kordu?
"Minu arvates Eesti ID-kaart on üks paras ime. Mina kasutan seda, sajad tuhanded kasutavad seda. Laske aga samamoodi edasi. Ja mul on väga suur rõõm, et riik on lõpuks nende üksikute räpaste saladustega, mis sinna kappi kogemata on tekkinud, on lõpuks kapist välja tulnud," ütles küberturbeekspert, endine RIA töötaja Anto Veldre, kes oma ametiaja jooksul nägi neid intsidente lähemalt.
RIA peadirektori asetäitja Margus Armi otsusega tehti hiljuti avalikuks rida dokumente, mis neile probleemidele valgust heidavad. Armi sõnul on võimalike intsidentide hilisem avaldamine parem kui nendest vaikimine.
Tartu Ülikooli küberkaitse teaduri Arnis Paršov märkis, et tema hinnangul ei tea riik endiselt päris hästi, kuidas ID-kaardi tootja selle turvalisusega tegeleb.
Lätist pärit, aga kümme aastat Eestis elanud Paršovs kaitses kevadel Tartu Ülikoolis ID-kaardi turvaprobleemidest doktoritöö, mis on teadaolevalt kõige põhjalikum sõltumatu uuring sel teemal.
Kõik kolm meest kinnitavad, et Eesti ID-kaart – arvestades selle kasutuse ulatust ja rolli – on kõige edukam omalaadne maailmas, aga ligi 20-aastasel teekonnal on olnud mitmeid jamasid, millest avalikkus seni kuulnud pole.
"Esiteks peab mõistma, et ID-kaardi turvalisus ei piirdu vaid ID-kaardi ja selle kiibi enda turvalisusega. On teisi protseduure, avalik infrastruktuur, tarkvara ja nii edasi. ID-kaardi nii-öelda ökosüsteem on väga suur ja seal võib mitmeid asju valesti minna," rääkis Paršovs.
"Teades seda tehnoloogia käitumist ja elukaart, siis see ei ole väga suur üllatus. Pigem teeks mind murelikuks see, kui me ütleksime, et 20 aasta jooksul ei ole olnud tehnoloogiaga üldse mingeid probleeme. Siis ma pigem kardaks seda, et ju me pole neid siis lihtsalt üles leidnud," ütles PPA peadirektori asetäitja Krista Aas.
Suurim intsident jääb 10 aasta taha
Tõsisemad sündmused algasid juba aastaid tagasi, aga ulatuvad otsaga tänapäeva. Juba 2011. aasta detsembris avastasid RIA turvatestijad Eesti ID-kaardi tarkvaras programmeerimisvea.
"Üks viga, mis seal oli täiesti kogemata tehtud, tähendas seda, et kaarti saab kasutada ilma PIN-koodi teadmata. Mis tähendab, et ID-kaart, see on turvaseade, tegelikult ei täitnud oma funktsiooni turvaseadmena, vaid oli, noh… lihtsalt mingi asi. Kui sa ta kätte saad, siis sa saad temaga sisse," kirjeldas Veldre.
Arm märkis, et see ründevektor eeldas, et inimeselt tuleb lihtsalt saada kätte tema ID-kaart. "Aga kui ID-kaart oli inimesel enda kontrolli all, rahakotis, siis keegi teda väärkasutada ei saanud," sõnas ta.
Lihtsustatult oli probleem, et kui kaardile anda teatav pikk käsklus, ei küsinud ta enam PIN koodi. Selgus, et probleemsed olid kõik 2011. aastal väljastatud ID-kaardid ehk umbes 120 000. Kaarte tootis tol hetkel Šveitsi firma Trüb, mille hiljem neelas alla Prantsuse kontsern Gemalto, kuid mõlema kohalik esindaja oli Andreas Lehmann.
Šveitslane nõustus küll Pealtnägijaga rääkima, aga mitte kaamera ees intervjuuga, viidates konfidentsiaalsusele, aga ka traumale, mille järgnevad sündmused põhjustasid. Ta viitas, et osaliselt olid süüdi algsed hanke tingimused ja Eesti riigi aja jooksul muutunud soovid, kuid möönab, et viga tõepoolest tehti.
Probleem polnud nõrkuste selgumises, vaid riigi reaktsioonis
Kriitikute sõnul polegi üllatav, et mingeid nõrkusi tekib, aga suurem probleem oli see, kuidas edasi käituti – nimelt anti avalikkusele asjast teada üheksa kuud hiljem ehk septembris 2012 ja läbi lillede, kui kutsuti inimesi poole aasta jooksul sertifikaati uuendama: "Tuvastasime rutiinse ID-kaardi analüüsi käigus, et üks 2011. aasta ID-kaardi turvameetmetest vajab ajakohastamist," selgitas tollane RIA peadirektori asetäitja. "ID-kaardi kasutajatel ei ole muretsemiseks põhjust. Kaart on turvaline ning kõik sellega tehtavad toimingud on usaldusväärsed."
Paršovsi sõnul oli avaliku üleskutse sõnastus vastupidine riigi sammudega, kuna miks peaks probleemi puudumisel hakkama sertifikaate uuendama.
Arm nentis, et tõepoolest võib jääda mulje, et suur jama vaikiti maha. "See, et 120 000 kaardi puhul on võimalik selline teoreetiline rünne läbi viia, kui kaart kätte saada ja ilma PIN-koodita seda kaarti kasutada, on tõesti jama. Seda tegelikult ei tohiks mitte mingil juhul juhtuda. Aga ju siis viidi läbi turvahinnang, ohuhinnangud, analüüsiti olukorda," sõnas ta.
Veldre sõnul olid siseringis tegevuskäigu üle väga sügavad arutelud. "Kõigepealt, kas selline käitumine on aus ja eetiline? Teiseks, kui me oleme inimestele andnud turvaseadme ja see kohe üldse mitte ei tööta, et kas me siis peaksime neile ka sellest teadma andma? Või nad elavad edasi õndsas pimeduses? Ja sinna kusagile keset küla siis see ametlik narratiiv maha kukkus," rääkis ta.
Mitme allika kinnitusel teavitati toona probleemist ka valitsust, mida juhtis Andrus Ansip, kuid lõpuks otsustati, et teoreetiline oht ei kaalu üles kasutajate ebamugavust ja mainehoopi, kui kaardid päevapealt sulgeda. Viimased vigased sertifikaadid tühistati alles juulis 2013.
Väidetavalt kõik inimesed, kes omal ajal otsuste juures viibisid, liikusid edasi ja dokumendid salastati. Algul viieks aastaks ja siis veel viieks.
"Kui see praegu juhtuks, ma arvan, et see praegune situatsioon on hoopis teistsugune. Räägitakse rohkem turvaaukudest, nõrkustest, parandatakse ära, siis teavitatakse. Et ehitada läbipaistvust ja usaldust selle peale. Tol hetkel, 10 aastat tagasi, ühiskond võib-olla ei olnud valmis sellisteks hetkedeks," ütles Arm.
Kaartide uuendamine tõi kaasa suurema probleemi
Sellega aga lugu alles algab. Nimelt tekitati kaartide uuendamisel uus tehnoloogiline probleem.
Nimelt peaks ID-kaardi privaatvõti, millega autenditakse allkirju, olema genereeritud kaardi sees.
"Et privaatvõtme ühekordsust tagada peab sellest olema vaid üks versioon ja see peab olema ID-kaardi sees, turvanõue on luua privaatvõti kaardi sees ja et see kunagi kaardilt ei lahkuks," selgitas Paršovs.
Veldre sõnul on ID-kaardi dokumendid alati nõudnud, et võtmed genereeritaks kaardi sees, kuid kaartide väljastamisega hätta jäänud tootja võttis kasutusele otsetee.
"Seda turvanõuet rikkus ID-kaardi tootja. Peale uuendatud tarkvara kaardile installeerimist ei loodud võtmeid kaardi sees, vaid kuskil ID-kaardi tootja serveris ja kopeeriti kaardile üle interneti," kirjeldas Paršovs.
Armi sõnul on väga suur probleem, et seda tehti ja seda ka ilma riigi teadmata.
Andreas Lehmann väidab, et lahenduse tegi nende kohalik partner, sest tellija ehk PPA nõudis, et kaardi uuendamine ei tohi kesta üle viie minuti. Šveitslase sõnul ei teadnud ka tema, et see saavutati privaatvõtme kiibivälise genereerimisega.
"Mina ütleksin, et see on puhtalt tootja probleem. Selle asemel, et öelda, et kallis tellija, et nüüd on midagi liiga suureks läinud, kas mahud või nõuded, selle asemel tema ütles, yes, sir! ja muudkui trükkis uusi kaarte juurde meetoditega, mis paraku enam kusagile ei kõlvanud," rääkis Veldre.
Paršovsi sõnul poleks seda ilmselt avastatud, kui ID-kaardi tootja poleks teinud saatuslikku viga. "Mitmel juhul kopeeriti tarkvara tõrke tõttu sama privaatvõti erinevate kaardihoidjate ID-kaardi tootjate peale. See tähendab, et need inimesed oleks saanud üksteise identiteeti elektrooniliselt ära kasutada," ütles ta.
Paršovs hakkas küsimusi esitama ja isegi demonstreeris, kuidas Toivo sai esineda elektrooniliselt Üllena ja vastupidi, kuid pikka aega ei teatud või ei tahetud tõtt rääkida. "Kui ma avastasin selle, oli mu esimene mõte, et võimud ja ID-kaardi tootja on sellest teadlikud. Hiljem sain teada, et riiki sellest ei informeeritud," ütles ta.
Tõde tuli ilmsiks jaokaupa. 2017. aasta suve lõpus puhkes mäletatavasti suur ID-kaardi kriis, mis puudutas 750 000 inimest. Ehkki mõlemal puhul oli kaardi tootja sama firma, on oluline rõhutada, et probleemi sisu erinev.
Kui 2011 oli vaja rünnakuks kätte saada füüsiline kaart, siis 2017 sai e-identiteedi teoorias kaaperdada ilma kaarti omamata ja PIN-i teadmata. Kui 2011. aastal seisnes viga Eestis loodud lahenduses, siis 2017. aastal tuli nõrkus hoopis kiibi tootjalt välismaal.
Valdkonna sees pole probleeme saladuses hoitud
"Ühest asjast tuleb aru saada, et paljude inimeste jaoks, kes on olnud selles tööstusharus sees, ei ole see 2011. aasta mure olnud kunagi saladus. Ja need arvukad kogemused, mis selle loo tagajärjel kõigil tekkisid – igaüks pidi ju mõtlema, et mis on ilus ja mida tohib ja kuidas ma järgmine kord teeksin – need kogemused läksid asja ette 2017. aastal, siis kui me saime kõik teada sellest ID-kaardi tootja jamast," rääkis Veldre.
Veldre sõnul oli see üks põhjus, miks ei tekkinud 2017. aastal ka mõtet viga salajas hoida. "Kõik juba teadsid, millega see lõpeb, milliste süümepiinade, kahtluste ja kõige muuga. Selline mõte visati kohe aknast välja," ütles ta.
"Mina ütlen nii, et kui seda 2011. aasta skandaali ei oleks olnud, siis 2017. aasta omaks me ei oleks üldse olnud valmis," sõnas Veldre.
Margus Arm asus RIA-sse tööle 2016. aastal ja Krista Aas sai PPA peadirektori asetäitjaks 2017. aasta kevadel ning sattusid otse möllu keskele. Olukord, kus poole elanikkonna e-identiteet läks väljavahetamisele, oli ka rahvusvaheline suur uudis.
Kriisi tuules võeti aga uuesti luubi alla ka 2011. aasta intsident ja nüüd avastati privaatvõtme loomine väljaspool kaarti. "Meie saime seda teada 2018 aprillis, aprilli lõpus. Ja sama moodi jällegi tänu teadlaste tööle meieni see info jõudis," ütles Aas.
Paršovsi sõnul on oluline märkida, et ID-kaardi tootja genereeris privaatvõtit väljaspool kaarti üle viie aasta pikkuse perioodi jooksul, mille ajal ükski sise- ega välisaudit viga ei tuvastanud. "See toob valgusesse olulise riski – keegi ei tea, mida ID-kaardi tootja privaatvõtmetega teeb. Ei ole kedagi, kes seda kontrolliks," ütles ta.
Turvavõtme kiibivälise genereerimise probleem puudutas 74 000 kaarti, millest olid veel kasutuses umbes 12 000, mis vahetati välja juuniks 2018. Teadaolevalt ühtegi loos kirjeldatud nõrkustest ei õnnestunud ründeks kasutada.
Kohtus mindi kokkuleppele
PPA esitas kohtusse kaks hagi – üks puudutas nn ID-kaardi kriisi ja teine kiibivälist võtmete genereerimist. Kusjuures just viimasega seoses hinnati kahju suuruseks kuni 152 miljonit eurot. Üllataval kombel sõlmiti tänavu kohtuväline kokkulepe 2,2 miljoni peale.
Aasa sõnul ei olnud 152 miljonit eurot kunagi kahju, vaid lepingujärgne maksimaalne võimaliku leppetrahvi summa. "Mis puudutab Eesti riigile tekkinud kahju, siis loomulikult mainekahju on üks ja seda rahasse ümber ei arvuta. Küll aga kahju, mis puudutab nüüd Eesti riigi kulusid selleks, et seda nõrkust likvideerida ja kaartide turvalisust kiiresti tagada, siis need kulud ei olnud mitte 152 miljonit, vaid 2,2 miljonit eurot," ütles Aas.
Ilmselge on, et mõlemad pooled olid kompromissist huvitatud. Kohtuasja vastaspool oli kontsern Thales Group, kes oli eelmised firmad üle võtnud ja soovis eluga edasi minna. Kaebuse ja kokkuleppe täpsem sisu on konfidentsiaalne ja Thales annabki Pealtnägijale diplomaatilise kommentaari: "Leidsime ühisosa, et mõlema poole jaoks rahuldavalt teema sulgeda".
Andreas Lehmann, kellest kujunes kriisi antikangelane, väidab, et tegelikult magas Eesti riik ka ise maha mitu hoiatust ja et potentsiaalselt piinlikku ning kulukat kohtuasja vältida, läks kompromissile.
"Meie läksime kohtusse ainuüksi selle mõttega, et ikkagi meie lepingu partneri rikkumised saaksid tuvastatud ja meile vastavad kahjutasud või leppetrahvid määratud. Meie küll ei leia, et Eesti riik oleks olnud nendes turvanõrkustes süüdi," ütles Aas.
Riik otsustas dokumendid avalikustada
Miks me sellest kõigest ikkagi räägime? Selle aasta lõpus hakkas koitma aeg, mil mitme dokumendi salastusperiood lõpeb ja RIA otsustas mitte enam peitust mängida ning jagas neid Paršovsiga, et ta teeks sõltumatu analüüsi.
Suur kohtuasi lahenes kompromissiga ja Eesti ID-kaarti toodab juba uus firma Idemia ning väidetavalt palju rohkem kontrollitud standardi alusel. Kui teadlane kutsub üles, et kaarditootjat ei usaldataks pimesi, siis praktikud ütlevad, et päris elus ei ole võimalik Eesti riigil iga millimeetrit üle kontrollida.
"See maailm on keeruline, usaldatakse väga palju sertifitseeritud tooteid. Saksa, Prantsusmaa, suurriikide suured laborid annavad sinna oma sertifikaadi peale. Eesti riigil ei ole sellist võimekust, et teha seda sama tööd veel paremini, leida need vead ülesse, mida see labor seal ei leidnud," ütles Arm.
Aasa sõnul ei ole ei Eesti ega ühelgi teisel riigil suutlikkust kogu tehnoloogia paikapidavust ja turvanõudeid ise lõpuni üle valideerida. "See ongi see, mida me üle maailma suurtelt tootjatelt, kes meile müüvad seda usaldusena. Mida me saame teha, on see, et me oma lepingud, millega me seda usaldust ostame, teeme väga läbimõeldult," ütles ta.
Veldre sõnul on Eesti digitaalne süsteem ja selle suurus nagu väike ime. "Ja et selleni jõuda, tõenäoliselt mingisuguseid vigu tuli teha, mingisuguseid valeradasid pidi tuli käia. Hetkel me oleme seal, kus me oleme. Ja minu arust on see ülimalt hea saavutus," sõnas ta.
Kokkuvõttes – võib olla raske leppida, aga hüperkiirusel arenevas kübermaailmas ei ole olemas igavest turvalisust ja mingit sorti probleeme, võibolla isegi kriise võib tulla ka tulevikus. See on ka üks põhjus, miks ID-kaart kehtib korraga vaid viis aastat. Kõik tegelased selles loos usuvad ja kasutavad enda sõnul ID-kaarti. Saab näha, kas kõik luukered on nüüd ikka läbi valgustatud.
Toimetaja: Barbara Oja