Eestis said laiaulatuslikud õngitsuspettused alguse 2019. aastal, kui pangad loobusid paroolikaartidest ja viisid kliendid üle Smart-ID-le. Smart-ID krüptograafiast vaimustuses pangad jätsid tähelepanuta asjaolu, et õngitsusrünnete vastu pakub uus tehnoloogia nõrgemat kaitset kui eelnevalt kasutuses olnud paroolikaardid.

Paroolikaartidel oli oma nõrkusi, kuid paroolikoodide saamiseks pidid petturid ohvritele helistama ja küsima neid otse tekitades kahtlust ka kõige ettevaatamatute inimeste seas. Smart-ID puhul aga piisab ainult sellest, et kelm veenab ohvri kinnitama Smart-ID päringu ja täpselt selliselt ongi süsteem mõeldud toimima. Eelnevalt kasutuses olnud paroolikaardiga kinnitatud maksetele kehtis mõnesaja euro suurune päevalimiit, kuid Smart-ID puhul ei ole pangad sarnaseid piiranguid kehtestanud, hoolimata selle teadaolevatest turvariskidest.

Need pettused koormavad märkimisväärselt ka õiguskaitseorganeid, kes peavad tegelema probleemide tagajärgedega, mida pangad on otsustanud mitte ennetada.

Smart-ID põhiline nõrkus

Smart-ID peamine turvanõrkus seisneb selles, et selle ohutus sõltub täielikult kasutajate võimest tunda ära õngitsuslehti või kontrollida helistaja isikut. Enamik inimesi ei suuda seda usaldusväärselt teha. Aastakümnete jooksul tehtud uurimistööd on näidanud, et keskmise kasutaja suutlikkus tuvastada õngitsuslehti on lähedane juhuslikule äraarvamisele ning isegi tehniliselt pädevad kasutajad langevad sageli hästi koostatud pettuste ohvriks. Ometi eiratakse seda reaalsust Smart-ID turvalisuse aruteludes suuresti.

Pangad hoiatavad kliente Smart-ID päringute kinnitamise eest kahtlaste kõnede ajal, samal ajal kui nende enda klienditeenindus kasutab klientide tuvastamiseks täpselt sama meetodit. Kuidas peaksid kasutajad aru saama, miks on see ühel juhul vastuvõetav, kuid teisel mitte? Päriselus ei ole pärast enda tuvastamist võõrale isikule tal võimalust meid pangas esindada, kuid Smart-ID puhul see just juhtub.

Kasutajate vaatenurgast on ootamatu, et kuigi neid süsteeme turundatakse kui kõrgeima turvatasemega lahendusi, peavad siiski kasutajad ise hindama, kas isikustamist nõudev osapool on usaldusväärne ning identiteet vastavuses väidetavale. Sellise koormuse panemine kasutajale on vastuolus elementaarsete ootustega, mida turvaline autentimine peaks pakkuma.

Smart-ID looja SK ID Solutions (SK) kinnitab jätkuvalt, et Smart-ID on turvaline ning probleem peitub kasutajates, kes "kasutavad seda valesti". Kui aga enamik inimesi ei suuda digitaalset tööriista korrektselt kasutada, ei ole probleem inimestes, vaid tööriistas. Inimlik eksimus on paratamatu ning turvalisus peab olema süsteemi sisse ehitatud. Me ei anna lapsele teravat nuga ja seejärel ei süüdista teda siis lõikehaavade tekitamises. Sama peab kehtima ka digimaailmas.

Pangad jätavad õngitsusrünnete vastased meetmed kasutamata

Avalikkuse ees kipuvad pangad käsitlema õngitsust samas kategoorias pettustega, mis ei seisne tehnoloogilistes nõrkustes, nagu näiteks investeerimis- või romantikapettused, ning käituma justkui ei saaks nad teha muud kui ohvreid kaastundlikult kuulata ja soovitada neil edaspidi "ettevaatlikum olla". See ei vasta tõele.

Alustuseks eirab see narratiiv asjaolu, et igal Eesti elanikul on ID-kaart, mille autentimisprotsess on õngitsusrünnete suhtes vastupidav. Erinevalt Smart-ID-st ei saa õngitsuslehel tehtud ID-kaardi autentimist taaskasutada kasutaja asemel pangas esinemiseks. Ometi ei soovita ükski pank klientidel eelistada ID-kaarti turvalisuse nimel, sest see eeldaks Smart-ID nõrkuste tunnistamist. Samuti väärib märkimist, et Eesti jaepangandusturul domineerivad Swedbank ja SEB kuuluvad SK omanike hulka, mis annab neile selge huvi Smart-ID edendamiseks ja selle turvaprobleemide pisendamiseks.

Kuigi pangad kinnitavad avalikult, et klientide kaitsmine pettuste eest on neile väga oluline, tasub küsida, miks suurtest Eesti pankadest on ainult LHV kasutusele võtnud Smart-ID turvameetme, mis nõuab kasutajalt õige kontrollkoodi valimist mitme variandi seast. Põhjus on lihtne, teised pangad peavad isegi minimaalseid lisaturvameetmeid klientide jaoks lubamatuks ebamugavuseks, mis võib kahjustada nende konkurentsivõimet. Sisuliselt on LHV oma kaitset parandades asetanud end ebasoodsamasse konkurentsiolukorda.

Tegelikkuses saaksid pangad teha palju rohkem pettuste ennetamiseks ja varajaseks tuvastamiseks. Pangad töötlevad tohutul hulgal andmeid, mille abil oleks võimalik tuvastada kahtlast tegevust internetipanganduses – uued seadmed või ebatavalised asukohad, makselimiitide muutmised, ebatüüpilised tehingud, ligipääs riigist, mis erineb Smart-ID seadme asukohast, IP-aadresside maine jne. Ometi puuduvad avalikud tõendid selle kohta, et pangad neid võimalusi sisuliselt rakendaksid. Ja miks nad peaksidki, kui kahjud jäävad klientide, mitte pankade kanda?

Seaduse järgi ei ole pangad kohustatud hüvitama pettusega tehtud makseid, kui need on kinnitatud pangaga kokku lepitud autentimisviisil. Samal ajal on pangal kohustus mitte aktsepteerida ebaturvalisi autentimisviise. Ainult pank, mitte klient, mõistab täielikult erinevate autentimisvahendite riske ning suudab rakendada meetmeid klientide kaitsmiseks.

Eelmise aasta juunis tõi SK kasutusele Smart-ID+ turvafunktsiooni, mis nõuab kasutajalt toimingu algatamist QR-koodi skaneerimise teel. See muudab telefonikõnedele tuginevad õngitsusrünnakud oluliselt keerulisemaks. Veelgi enam, kui Smart-ID+ autentimine algatatakse samast mobiilseadmest, kus töötab Smart-ID rakendus, muutub autentimisprotsess täielikult õngitsuskindlaks, pakkudes ID-kaardi tasemel turvalisust. Hoolimata sellest ei näita pangad Smart-ID+ kasutuselevõtul mingit pakilist huvi.

Võib küsida, miks SK lubab pankadel kasutada Smart-ID-d ilma rangemaid turvanõudeid kehtestamata. Põhjus on lihtne: SK tasulised kliendid on pangad ja teenusepakkujad, mitte Smart-ID kasutajad. See loob selge stiimuli eelistada mugavust ja laialdast kasutuselevõttu turvameetmete arvelt ning kasutajatele ei anta võimalust tugevamat turvalisust ise valida.

Sisuliselt on Smart-ID kiire edu suurel määral rajatud õngitsusohvrite kannatustele, kes on kandnud mugavusele orienteeritud turvamudeli kulud. Mugavatel makselahendustel on oma koht, kuid pankade kohustus on arvestada vastavate tehnoloogiariskidega ja rakendada kaitsemeetmeid, nagu nad teevad viipemaksete puhul, millele kehtib 50-eurone tehingulimiit.

Pankade vastutus oma teenuste turvalisuse eest

Vastutusest rääkides väidavad pangad, et ohvrid peavad kandma täielikku vastutust petturlike Smart-ID PIN2 maksepäringute kinnitamise eest, eirates asjaolu, et turvarike toimub enne PIN2 kinnitust, nimelt hetkel, kui pank annab petturile ligipääsu ohvri internetipangakontole. Just see ligipääs võimaldab petturil üldse esitada ohvri seadmesse petturliku PIN2 maksepäringu.

Kliendi vaatenurgast on selliste päringute kinnitamine täiesti mõistlik, kuna kliendid eeldavad õigustatult, et selliseid päringuid saavad algatada vaid nemad ise või panga volitatud esindaja. Klientidel on täielik õigus oodata, et pangad kasutavad piisavalt turvalisi süsteeme, kus kolmandad isikud ei saa ligipääsu internetipangale ega teha toiminguid kliendi nimel.

Probleem ei piirdu üksnes Smart-ID autentimisprotsessi puudulikus kindluses õngituspettustele. Viimasel ajal on petturid hakanud ära kasutama ka nõrkusi Smart-ID väljastamise protsessis. Vastutus selle eest, et elektroonilised identiteedivahendid jõuaksid üksnes nende õiguspäraste omanike kätte, lasub eelkõige Smart-ID teenusepakkujal SK-l.

Samal ajal peavad pangad mõistma, et autentimisvahendid, mille väljastamine ei hõlma füüsilist isikutuvastust, pakuvad olemuslikult nõrgemat turvet ning see tuleb vastavalt arvesse võtta pankade riskihindamises ja kaitsemeetmete rakendamises.

Arvestades, et pangakliendid ei saa mõjutada ei panga süsteemide ega nende poolt kasutatavate autentimisvahendite turvalisust, peaksid Smart-ID õngitsusohvrid lõpetama enda süüdistamise ja nõudma kahjude hüvitamist pankadelt. Panga tsiviilvastutus võib tuleneda mitte ainult õigusvastasest tegevusest, vaid ka üldise hoolsuskohustuse rikkumisest teenuste turvalisuse ja usaldusväärsuse tagamisel.

Nagu toodud näited kirjeldavad, on pangad käitunud süsteemselt hooletult, jättes kasutamata olemasolevad meetmed Smart-ID õngitsusrünnete ennetamiseks või nende mõju piiramiseks.

Kokkuvõtteks tuleb probleemi lahendamiseks tunnistada, et edukate Smart-ID õngitsusrünnete põhjus ei peitu inimestes, vaid ebaturvalises tehnoloogias, ning nõuda vastutust selle tegelikelt kandjatelt.

Pangad on väga tõhusad riskide juhtimisel, mille eest nad vastutavad, ning kuna just nemad on parimas positsioonis neid tehnoloogilisi riske maandama, on pankade vastutuse kehtestamine igati põhjendatud. Seda saab saavutada kas seadusandliku täpsustamise või kohtupraktika kaudu, mis kohustab panku vastutama oma lahenduste turvalisuse eest ja hüvitama Smart-ID õngitsusrünnetest põhjustatud kahjud.