ID kaardi turvariski skandaal on läbinud juba mitu faasi, kuid eelmisel nädalal tuli uus pööre, kui Gemalto esindaja süüdistas Eesti ametiasutusi turvanõrkuse varjamises.

Sooja õhu võnkeid võivad siin kõik toota, aga lõpuks loeb sellistes kümnetesse miljonitesse ulatuvates lepingutes ikkagi see, mis on paberil, võttis asja kokku riigi infüsüsteemi ameti (RIA) juht Taimar Peterkop.

Tema alluva, RIA eID valdkonna juhi Margus Ermi sõnul pole mõeldav, et amet sai enne jaanipäeva turvaprobleemist teada, mille järel kolm kuud puhati ja siis kolm kuud töötati 24/7.

See oleks väga kallis viga mitmes mõttes. Seetõttu otsustas “Pealtnägija” kronoloogia üksipulgi lahti võtta.

Eesti ja mitme teise riigi ID-kaartide krüptovõtme probleemi avastas jaanuari lõpus Tšehhi Masaryki ülikooli teadlaste grupp. Probleem pole füüsiliselt kaardis ega kiibis, vaid kiibi krüpteerimise tarkvaras.

Seetõttu andsid tšehhid 1. veebruaril sellest teada Saksa firmale Infineon, mille toodetud kiipe kasutatakse Eesti ID kaartidel, aga ka paljudele teistele maailmas levinud toodetele näiteks Windowsi ja ChromeOS-iga töötavatele sülearvutitele.

Infineon kinnitas “Pealtnägijale” kirjalikult: “Niipea kui teadlased teavitasid meie toodet mõjutavast turvaprobleemist, uurisime seda põhjalikult ning seejärel teavitasime me Saksamaa sertifitseerimisasutust, seotud kliente ning pakkusime kahju vähendamise võimalusi.”

Eestile valmistab nende Saksa kiipidega ID-kaarte Hollandis asuva peakontoriga suurkorporatsioon Gemalto, kes on konkreetselt lepingus meie Politsei- ja Piirivalveametiga.

Gemalto on Eesti ID kaartide tarnepartner olnud pikalt ja alates 2002. aastas on toodetud meile 3 420 000 kaarti, mis isikustatakse siin koha peal aadressil, mida ei avalikustata. Infineon ei vastanud küsimusele, millal täpselt teavitas turvariskist Gemaltot. Samas on Infineoni kodulehel kirjas, et firma teavitas kliente koheselt.

Tagantjärele on teada, et ka Google ning Microsoft said hoiatuse aegsasti, sest tulid sügisel välja tarkvaraparandustega. Kuid Eesti vastavate asjameesteni info ei jõua, mis on seda kummalisem, et kontakt ID-kaardi tootja ning nende kohaliku esindaja Andreas Lehmanniga oli nende sõnul tihe ja hea.

Koer võib olla maetud sinna, et Gemalto kaebas selle aasta 29. mail politsei- ja piirivalveameti (PPA) kohtusse, sest kaotas ID kaartide hanke ja tuleva aasta sügisest pidi tootmine üle minema konkurendile.

Võib vaid oletada, et keset seda vaidlust oli väga piinlik lagedale tulla infoga, et nende kiibi turvalisuses on probleem ja kogu Eesti rahva saladused seetõttu rünnatavad. Kuid ometi just seda Gemalto esindaja Lehmann nüüd järsku väitis.

Eelmisel nädalal kirjutas ta oma LinkedIn’i kontol, et informeeris vastutavaid Eesti ameteid (PPA ja RIA) turvaprobleemist 15. juunil. Ja et Eesti ametvõimud jätsid tema info tähelepanuta ilmselt seetõttu, sest oli puhkuste aeg.

Ahastus, pettumus ja suur tühjus

PPA arendusosakonna büroojuht Margit Ratnik ütles, et selline informatsioon tekitas ahastust, millele järgnes pettumus ja siis suur tühjus. "Selliste valedega on väga raske võidelda, eriti veel olukorras, kus sul on taga lepingud, mis on kaetud väga tugeva konfidentsiaalsusklausliga."

RIA eID valdkonna juht Margus Arm ütles, et kui RIA oleks sellest saanud teada isegi juunis või veel varem märtsis-veebruaris, oleks olnud palju suurem ajapuhver seda kõike rahulikumas tempos läbi viia.

PPA arendusosakonna büroojuht Margit Ratnik kinnitas, et tõesti 15. juunil toimus tema alluva ja Lehmanni vahel üks-ühele regulaarne töökohtumine.

Ratniku sõnul ütles Gemalto Andreas Lehmann kohtumisel muu hulgas, et tal on veel huvitavat informatsiooni, aga see on tehniline. "Mille peale minu töötaja võttis ühendust RIAga, kuna RIA on meil riigis kokku lepituna see pool, kes vastutab kiibi rakenduse eest. Ta andis selle info edasi, et Andreas Lehmannil on informatsiooni, mis on väga huvitav."

Margus Arm RIA-st ütleb, et kirjutas seepeale Lehmannile ja pakkus võimalust kokku saada. "Lehmann helistas mulle tol õhtul ja küsisin, et mis teema on, et saaks arutada, saaks kokku. Vastus oli, et teema ei ole selline, mis vääriks kokkusaamist. Mitte ühtegi väidet selle kohta, et meie ID kaart oleks kuidagi ohustatud või me peaksime midagi ette võtma, muretsema, sellist ei olnud."

"Aktuaalses kaameras" väitis Lehmann, et tal on juunis tehtud hoiatusest ka kirjalik tõestus PPA-lt ja RIA-lt.

Margit Ratniku sõnul tegi PPA sisekontroll põhjaliku uurimistöö kõikidele failidele, nii ametlikele kui mitteametlikele. "Tulemus on täpselt see, millest ma olin ka veendunud pärast seda, kui Andreas Lehmann väitis, et oleks Eestit justkui millestki varem teavitanud. Ehk et seda ei ole toimunud."

Just Margit Ratnik on see inimene, keda oleks Gemalto pidanud riskist kirjalikult informeerima. Asjaomased rõhutavad, et Gemaltoga sõlmitud 40 miljoni eurose mahuga ID-kaardi tootmise lepingus on täpselt kirjas, kuidas probleemidest teada anda.

Ratnik toob võrdluse, et isegi nii väiksest asjast nagu ID-kaardi PIN-ümbriku kujunduse muudatusest teavitas Gemalto teda digitaalselt allkirjastatud failiga.

Selgub, et päev hiljem ehk 16. juunil kohtus Gemalto esindajatega ka peaminister Jüri Ratas. Eesti riigijuht oli Prantsusmaal visiidil, kus kohtus värske presidendi Emmanuel Macroniga, aga ka tööandjate liiduga, mille juht on Gemalto valitsusprogrammide direktor Hervé Trojani.

Poolteist tundi kestnud ümarlaua järel rääkis Ratas koos Eesti delegatsiooniga ka Gemalto esindajatega üks-ühele, kuid mingitest muredest ei kostunud prantslastelt poolt silpigi, ütles peaministri büroo “Pealtnägijale”.

RIA eID valdkonnajuht Margus Arm uuris enda sõnul juuni lõpus uuesti Lehmannilt ebamäärase vihje kohta. "Pöördusime uuesti Andrease poole, et küsida üle, kas on uut informatsiooni, sest selleks ajaks oli tulnud ka teavitus Austria kaartide sulgemise kohta."

"Küsisin, kas see võib olla kuidagi seotud ka Austria kaardi teemaga. Ja sealt tuli vastus, et ei see ei ole seotud Austria kaardiga. Nagu me hiljem teame, see tegelikult oli omavahel seotud teema," rääkis Arm.

Gemalto palus vabandust

Ehk et kui Austria pani juba juunis kinni kuni tuhat ID-kaarti, kinnitas Gemalto esindaja, et see ei puuduta eestlasi kuidagi. Alles siis, kui Tšehhi teadlased, kes nägid, et Eesti miskipärast ei tegutse, 30. augusti õhtul Tallinnaga ühendust võtsid, läksid häirekellad tööle.

"RIA andis sellest kohe teada ka PPA-le ja esimesed kohtumised, kriisikohtumised, mida me läbi viisime, kus osales ka algusest peale Andreas Lehmann, ei ütlenud ta mitte kordagi, et kuulge naised ja mehed, te teate sellest juba ammu," ütles Ratnik.

Tänaseks on Lehmann palju kära tekitanud postituse eemaldanud ja ta keeldus “Pealtnägija” intervjuust. Margit Ratniku ootus on see, et Gemalto ütleks avalikult, et Lehmann ei rääkinud tõtt.

"Gemalto kontor, peakontor, on eilse õhtu seisuga meie peadirektorile vabanduse esitanud, minu ootus on see, et Gemalto julgeks seda öelda ka avalikult," ütles Ratnik.

Isiklikud solvumised kõrvale jättes, puudutab vaidlus, kes, keda ja millal teavitas teoreetiliselt miljoneid eurosid. Üks asi on mainekadu, aga kuna eestlased olid viimaste hulgas, kes turvaaugust teada said, tähendas see kiireid ja suuri ümberkorraldusi, rääkimata sellega seotud ületundidest.

PPA esitas juba septembris kahjunõude, mille mahtu ei avaldata, aga see on ilmselt lähiajaloo suurim. Kõik see kukub aga kokku, kui peaks selguma, et keegi asjaomastest teadis siiski varem.

Teisipäeva õhtul tuli Gemaltolt ametlik kiri, et alates 2. detsembrist on Andreas Lehmanni asemel uus kontaktisik.

Ettevõte saatis "Pealtnägijale" Gemalto OY tegevjuhi Tommi Nordbergi nimel ametlikud seisukohad, millest olulisim on, et tüli Eestiga püütakse lahendada läbirääkimistega:

• Gemalto on olnud kauaaegne (juba alates 2001. aastast) ja usaldusväärne Eesti eID programmi tarnepartner.
• Gemalto on alati kinni pidanud oma lepingulistest kohustustest.
• Mis puudutab hiljuti ühe Tšehhi ülikooli avastatud teoreetilist turvaviga (täpsemalt RSA krüptograafilist tarkvara registrit) ühe maailma suurema kiibitootja Infineon toodetud kiibis, mille valis PPA Eesti e-ID kaardile 2014. a, siis Gemalto teeb aktiivset koostööd ning toetab PPA-d ja RIA-t igapäevaselt; turvariski tõttu leidsime ja arendasime koostöös lahenduse sellele potentsiaalsele haavatavusele.
• Gemalto andis koos PPA ja Eesti teiste osapooltega oma panuse kauguuendamise lahenduse planeerimisse, disaini, testimisse ja käivitamisse, nii et eID-kaartide puhul on nüüd kõnealune küberhaavatavus täielikult välistatud. Teistel Euroopa valitsusasutusel, mis ei ole Gemalto kliendid, kuid seisavad silmitsi sama turvariskiga, ei ole tänaseni kindlat plaani ega lahenduskäiku. Tänaseni ei ole ühtegi kaarti või identiteeti kuritarvitatud ning üle 300 000 ID-kaardi turvasertifikaadi on juba uuendatud. Veelgi enam – antud turvariski enam ei eksisteeri, sest PPA peatas turvasertifikaadid kaartidel, mida polnud uuendatud.
• Andreas Lehmanni poolt 22. novembril 2017 postitatud kommentaar LinkedIn’i lehel on tema isiklik avaldus ning seda ei saa kuidagi pidada Gemalto ametlikuks seisukohaks.
• Gemalto on järginud ja järgib ka edaspidi vastastikku siduvat konfidentsiaalsuskohustust, mis on sätestatud PPA-ga sõlmitud lepingus.
  Gemalto ja PPA on alustanud erimeelsuste lahendamiseks läbirääkimisi.

Gemalto OY tegevjuht Tommi Nordberg ja PPA juht Elmar Vaher sõlmimas 2013. aastal lepingut 1,35 miljoni passiplangi ostmiseks. Autor: PPA