Leht: ID-kaardi tootjad ei selgita turvaveast teavitamisega venitamist ({{commentsTotal}})

ID-kaart
ID-kaart Autor/allikas: POSTIMEES/SCANPIX

Eesti ametiasutused kinnitavad, et ID-kaardi nõrkusest teavitasid neid Tšehhi teadlased otse, mitte kiibitootja ega PPA lepinguline partner ning ID-kaardi tootjad ei selgita, miks Eesti turvaveast viimasena teada sai.

 

Eesti Päevaleht pöördus ID-kaardi tootja Gemalto ja kiipide tootja Infineoni poole küsimustega, millal turvarisk neile teatavaks sai ja millal nad sellest Eesti riiki teavitasid ning kuigi selgeid vastuseid ei antud, on ilmne, et ettevõtete ja riigi arusaamiste vahel on erinevusi.

ID-kaardile kiipe tootvat Infineoni teavitasid Tšehhi teadlased turvanõrkusest veebruaris ja Infineon alustas seejärel uurimist, kas teadlaste pakutud matemaatiline meetod tõesti võimaldab ID-kaarte murda. Infineoni väitel teavitati seejärel probleemist ja selle lahendusest oma kliente.

Infineoni esindaja sõnul polnud Eestit ID-kaardi kiibi nõrkusest teavitada nende, vaid kaardi tootja Gemalto kohustus.

Gemalto valitsusprogrammide suhtekorraldaja Eric Billiaert jättis ajalehe küsimustele sisuliselt vastamata. "Me alles analüüsime oma Eesti partneritega, kuidas kulges informatsioon, mis puudutas Infineoni toodetud turvariskiga kiipe," sõnas Billiaert.

Lehele teadaolevalt on olukord keeruline, sest Gemaltost on antud mõista, et ka nemad ei saanud probleemist teadlikuks veebruaris, vaid hiljem, kuid samal ajal on Gemalto lehele teadaolevalt väitnud riigi infosüsteemi ametile (RIA), et nemad teavitasid Eestit turvanõrkusest ammu enne augustit.

Gemalto Eesti-poolne lepingupartner on politsei- ja piirivalveamet (PPA).

"Me tegeleme antud asjaga seotud õiguslike küsimuste lahendamisega ja seetõttu ei saa hetkel info liikumise kohta täpsemaid kommentaare anda," ütles PPA-d esindav vandeadvokaat Merit Lind.

Asja saab mõnevõrra vabamalt kommenteerida RIA, mida ei seo Gemaltoga ranged lepingud. "Meie saime turvanõrkusest teada augusti lõpus Tšehhi teadlastelt otse," kinnitas RIA pressiesindaja Helen Uldrich, lükates ümber väite, justkui Gemalto teade oleks varem Eestisse jõudnud.

Tšehhi teadlaste novembri alguses esitletud teadustöö paljastas peale ID-kaardi kiibi turvavea ka informatsiooni, et väidetavasti teavitasid teadlased turvaveaga kiipide tootjat avastatud riskist juba veebruaris.

Tehnoloogiahiiud nagu Google ja Microsoft said kohe vigu parandama hakata, aga Eesti ametiasutusteni jõudis teade avastatud riskist alles augusti lõpus.

Toimetaja: Marek Kuul



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: