Turvariskiga ID-kaardid on välja antud vahemikus 2011 kuni 16. okroober 2014. Selliseid kaarte oli kokku üle 74 000, kuid praeguseni kehtib neist 12 500. Ehk probleem ei puuduta neid ca 760 000 kaarti, mis olid mõjutatud 2017. aasta turvariskist, sest need kaardid olid välja antud hiljem kui oktoober 2014. 

Välja tuleb vahetada ka elamisloakaardid, mis olid välja antud vahemikus 2011 kuni 17. detsember 2014. Probleemseid elamisloakaarte on veidi alla 1500.

Turvanõuete rikkumise avastamiseni viis RIA koostöö Tartu Ülikooli teadlastega ning eelmisel nädalal valminud AS Cybernetica ekspertide analüüs. RIA teatel oli neil probleemiga avalikkuse ette tulekuks vaja kindlaid tõendeid ning neid viimase 14 kuu jooksul kogutigi.

"See info laekus meile möödunud aasta kevadel Tartu Ülikooli teadlase poolt, kes oma teadustöö raames avastas sellise anomaalia, et on olemas kaks sarnast avalikku võtit ja ta pöördus meie poole selle kahtlusega. Me oleme aasta jooksul läbi viinud põhjaliku uurimisprotsessi nii RIA sees kui ka kaasanud PPA-d ning lõpuks nüüd oleme jõudnud tulemusele, kus me saame seda fakti kinnitada," rääkis RIA eID valdkonna juht Margus Arm "Aktuaalsele kaamerale".

ID-kaardi tootja ei järginud kõiki turvanõudeid ja genereeris osadel ID-kaartidel privaatvõtmed väljaspool kiipi, mis annab võtmete genereerijale võimaluse kasutada ID-kaarti kaarti füüsiliselt omamata ja PIN-koodi teadmata.

"Eestis me oleme jälginud kogu aeg reeglit, et need võtmed genereeritakse kiibi peal, nad on seal ja kunagi ei välju. Aga nüüd selle protsessi tulemusel on kahtlus, et need võtmed on ka kusagil mujal, kuna nad on väljaspool kiipi tehtud ja see võib tähendada seda, et isiku identiteeti saab kasutada ilma ID-kaarti omamata," ütles RIA eID valdkonna juht Margus Arm ERR-ile.

Ühtegi kuritarvitamise juhtumit Eestile siiani teada ei ole.

"Iseenesest see võtmete genereerimine väljaspool kiipi ei ole midagi ebatavalist, seda kasutatakse mujal riikides, teistel kaartidel, aga sellisel juhul on see kõik väga hästi dokumenteeritud ja auditeeritud protsess ehk teatakse, mida nende võtmetega tehakse ja kuidas hävitatakse. Meil praegu seda teadmist ei ole," märkis Arm.

Turvanõuetele ei vasta ID-kaardid ja elamisloakaardid, mis on välja antud enne 2014. aasta oktoobrit ning mida on uuendatud politsei- ja piirivalveameti teenindustes kaarditootja Gemalto loodud tarkvara kaudu. PPA esitas ID-kaardi tootjale nõude turvanõuete rikkumise kohta, kuid tootja eitab rikkumist.

"PPA on nõudekirja Gemaltole juba esitanud. Pärast seda, kui me saime RIA käest teada selle analüüsi esialgsed tulemused, saatsime Gemaltole ka nõudekirja välja," kinnitas PPA identiteedi ja staatuste büroo peaekspert Kaija Kirch.

Gemaltoga ei ole siiani kokkuleppele jõutud ka eelmise, sügisel avalikuks tulnud turvariski hüvitamise osas ning suure tõenäosusega jõuab asi lähiajal kohtusse.

ERR võttis ühendust ka Gemalto Eesti esindaja Andreas Lehmanniga, kes aga keeldus kõikidest kommentaaridest, öeldes vaid, et tuleb ära oodata firma peakontori ametlik teadaanne. Millal see võiks tulla, Lehmann öelda ei osanud.

PPA saadab kõigile turvanõuetele mittevastavate ID-kaardi omanikele teavituse läbi eesti.ee portaali. PPA teatas, et paljud turvanõuetele mittevastava ID-kaardi kasutajad ei ole aga PPA saadetud personaalset teavitust saanud, kuna nende eesti.ee e-postiaadress ei ole edasi suunatud.

PPA selgitas, et inimesed, kellel on 2011. aastast kuni 2014. aasta 16. oktoobrini välja antud ID-kaardid ja 2011. aastast kuni 2014. aasta 17. detsembrini välja antud elamisloakaardid, mida on alates 2012. aasta juulist kuni 2017. aasta juulini PPA teenindusbüroodes uuendatud, kontrolliksid rakenduse kaudu, mida nad dokumendiga tegema peavad.

Kehtetute sertifikaatidega ID-kaarti ei saa 1. juunist enam elektrooniliselt kasutada. E-teenindusse sisenemiseks või digiallkirja andmiseks tuleb taotleda kas uus ID-kaart või kasutada mobiili ID-d.

Riik vahetab garantiikorras välja kõik turvanõuetele mitte vastavad ID-kaardid, mille kehtivusaeg on pikem kui kolm kuud alates dokumendi taotluse esitamisest. Oluline on, et riigi kulul ehk tasuta välja vahetatavad ID-kaardid ei kehti sellest hetkest viis aastat, vaid täpselt selle sama perioodi lõpuni, milleni pidanuks kehtima senine ID-kaart. Maksimaalselt saab see olla oktoobri keskpaigani 2019 arvestades, et turvariskiga ID-kaarte anti välja 16. oktoobrini 2014 ja et ID-kaardi kehtivusaeg on viis aastat. Täiesti uue viie-aastase ID-kaardi puhul tuleb tasuda riigilõiv 25 eurot täiskasvanutel.

Kaija Kirch selgitas "Aktuaalsele kaamerale" antud intervjuus, et kui aga ID-kaardi kehtivusaja lõpuni on veel jäänud näiteks pool aastat, on mõttekas kohe taotleda uus kaart, mitte võtta kuueks kuuks garantiikaart.

PPA rõhutab, et turvanõrkusega ID-kaardi omanikel ei ole vaja uue kaardi taotlemiseks minna teenindusbüroodesse. Seda saab teha e-kirja teel ning kaardi kättesaamiseks luuakse teenindustes eelisjärjekorrad.