Riik hindab Smart-ID-d ka pettustelaine järel turvaliseks lahenduseks
Riigi infosüsteemi amet (RIA) hindab Smart-ID-d turvaliseks vaatamata sellele, et kurjategijatel õnnestus selle abil varastada paljude inimeste identiteet. Ka pangad jätkavad teenuse kasutamist klientide autentimiseks.
Identiteedivarguse ründed puudutasid kõigi suuremate pankade kliente. Rahalist kahju kandis mitu inimest, kelle tehingud on nüüdseks siiski tagasi pööratud.
Märke, mille abil inimene saanuks tuvastada, et tegemist ei olnud tegelikult internetipangaga, kuhu ta oma andmeid vabatahtlikult sisestab, oli mitu.
"See veebisaidi aadress, kuhu ta liikus, ei kuulunud kaugeltki mitte sellele pangale, kuhu ta sattus, ja see muutus - erineval hetkel olid nad erinevas serveris. Selge oli, et tegemist ei olnud ühegi Eestis tegutseva pangaga selle aadressiriba järgi," kirjeldas SK ID Solutions juhataja Kalev Pihl.
Pihli kinnitusel varastati sedasi kümnete inimeste identiteet, mis päris sajani ei ulatunud. Siiski ei leia ta, et Smart-ID seetõttu ebaturvaline oleks ja ringitegemist vajaks. Tema sõnul piisaks, kui inimesed oleksid pangatehinguid tehes tähelepanelikumad, siis ei õnnestuks petturitel oma eesmärki lõpuni viia.
"Inimest on petetud sellega, et panga asemel saadab Smart-ID talle sõnumi, ta ei pane seda tähele, ta teeb seda veel kaks korda - kõik need oleksid võinud hetked olla, kus inimene paneb seda tähele, aga antud juhtumil ei pannud seda tähele," tõdes Pihl.
SK ID Solutions on rakendanud alates intsidentide tuvastamisest aprillis monitooringusüsteemi, mille abil peaks häkkimiskatsed olema kiiresti avastatavad. Smart-ID lahenduse pakkuja ei pea teenuse ajutist peatamist vajalikuks.
"Süsteemis on muudetud teavitusi, süsteemi on toodud palju preventatiivset jälgimist, et me tuvastaksime ründeid, mis vastavad just nendele mustritele, mida me näinud oleme, ja me loodame, et sellest ongi palju abi," kommenteeris Pihl.
RIA ootab Smart-ID teenuse pakkujalt SK ID Solutionsilt detailset raportit, misjärel järgnevad sanktsioonid.
"Etteheited tulevad ettekirjutuse vormis ja siis, kui järelevalvemenetlus saab oma punkti. Praegu me selgitame asjaolusid," ütles Särekanno. Menetluse peale võib minna veel vähemalt kuu aega.
Riigi teenuseid, nagu näiteks e-hääletust Smart-ID abil kasutada ei saa, selleks ei ole lahendus veel vajalikke turvateste läbinud. Siiski hindab RIA Smart-ID jätkuvalt turvaliseks, mistõttu ei pea inimesed seda näiteks internetipanka logimisel kartma. Tuleb lihtsalt tähelepanelik olla.
"Minu hinnang täna on see, et süsteem kui selline ei ole ebaturvaline. Tegelikult ei ole lõhutud Smart-ID tehnoloogilist poolt, ei ole murtud Smart-ID krüptot. Küll aga tuleks ilmselt ümber vaadata protseduurid, mis puudutavad Smart-ID väljastamist, ja see on ka teema, mida me tegelkult järelevalvemenetluse raames käsitleme," kommenteeris RIA peadirektori asetäitja küberturvalisuse alal Uku Särekanno. "Pangad ei ole täna keelanud Smart-ID kasutamist autentimisel ja maksete tegemisel ja järelikult see peegeldab ka nendepoolset riskianalüüsi."
Pangaliit kinnitas ERR-ile, et neile teadaolevalt ükski pank Smart-ID teenust peatanud ei ole ega pea seda ka vajalikuks.
"Me pole arutanud, kas hakata Smart-ID-d piirama või mitte. Smart-ID pettuse eesmärk ei erine millegipoolest tavalisest õngitsusrünnakust. Teadlikkuse suurendamine on ainus meede selle vastu võitlemisel," kommenteeris pangaliidu nõunik Enn Riisalu.
Kõik, kes avastavad, et nende andmed on varastatud ja kes on kahju kandnud, peaksid pöörduma esimeses järjekorras politseisse.
Smart-ID abil välja õngitsetud identiteedid saadi kätte intelligentse petuskeemi abil: Smart-ID-d kasutava inimese telefonile saabus SMS justkui tema pangalt lingiga näiliselt internetipanka, mis tegelikult oli samasuguse väljanägemisega õngitsusleht. Seal paluti inimesel end mobiil-ID-ga sisse logida ja sisestada oma kasutajatunnus, isikukood ja PIN1. Seejärel alustasid kurjategijad uue Smart-ID konto loomist. Et tegevus taustal lõpetada, suunati inimene tema tegevuses hoidmiseks järgmisi samme astuma ning seda tegevust PIN2-ga kinnitama. Niimoodi said kurjategijad luua uue Smart-ID konto ja logida ohvri andmetega ja tema teadmata sisse erinevatesse e-teenustesse, kus on kasutusel Smart-ID, sealhulgas internetipanka. inimeste PIN-koodid siiski kurjategijate valdusesse ei sattunud.
Toimetaja: Merilin Pärli