Leht: ID-kaardi tootjad ei selgita turvaveast teavitamisega venitamist
Eesti ametiasutused kinnitavad, et ID-kaardi nõrkusest teavitasid neid Tšehhi teadlased otse, mitte kiibitootja ega PPA lepinguline partner ning ID-kaardi tootjad ei selgita, miks Eesti turvaveast viimasena teada sai.
Eesti Päevaleht pöördus ID-kaardi tootja Gemalto ja kiipide tootja Infineoni poole küsimustega, millal turvarisk neile teatavaks sai ja millal nad sellest Eesti riiki teavitasid ning kuigi selgeid vastuseid ei antud, on ilmne, et ettevõtete ja riigi arusaamiste vahel on erinevusi.
ID-kaardile kiipe tootvat Infineoni teavitasid Tšehhi teadlased turvanõrkusest veebruaris ja Infineon alustas seejärel uurimist, kas teadlaste pakutud matemaatiline meetod tõesti võimaldab ID-kaarte murda. Infineoni väitel teavitati seejärel probleemist ja selle lahendusest oma kliente.
Infineoni esindaja sõnul polnud Eestit ID-kaardi kiibi nõrkusest teavitada nende, vaid kaardi tootja Gemalto kohustus.
Gemalto valitsusprogrammide suhtekorraldaja Eric Billiaert jättis ajalehe küsimustele sisuliselt vastamata. "Me alles analüüsime oma Eesti partneritega, kuidas kulges informatsioon, mis puudutas Infineoni toodetud turvariskiga kiipe," sõnas Billiaert.
Lehele teadaolevalt on olukord keeruline, sest Gemaltost on antud mõista, et ka nemad ei saanud probleemist teadlikuks veebruaris, vaid hiljem, kuid samal ajal on Gemalto lehele teadaolevalt väitnud riigi infosüsteemi ametile (RIA), et nemad teavitasid Eestit turvanõrkusest ammu enne augustit.
Gemalto Eesti-poolne lepingupartner on politsei- ja piirivalveamet (PPA).
"Me tegeleme antud asjaga seotud õiguslike küsimuste lahendamisega ja seetõttu ei saa hetkel info liikumise kohta täpsemaid kommentaare anda," ütles PPA-d esindav vandeadvokaat Merit Lind.
Asja saab mõnevõrra vabamalt kommenteerida RIA, mida ei seo Gemaltoga ranged lepingud. "Meie saime turvanõrkusest teada augusti lõpus Tšehhi teadlastelt otse," kinnitas RIA pressiesindaja Helen Uldrich, lükates ümber väite, justkui Gemalto teade oleks varem Eestisse jõudnud.
Tšehhi teadlaste novembri alguses esitletud teadustöö paljastas peale ID-kaardi kiibi turvavea ka informatsiooni, et väidetavasti teavitasid teadlased turvaveaga kiipide tootjat avastatud riskist juba veebruaris.
Tehnoloogiahiiud nagu Google ja Microsoft said kohe vigu parandama hakata, aga Eesti ametiasutusteni jõudis teade avastatud riskist alles augusti lõpus.
Toimetaja: Marek Kuul