RIA lõpetas SK ID Solutionsi suhtes Smart-ID menetluse
Riigi Infosüsteemi Amet (RIA) tegi järelevalvemenetluse käigus SK ID Solutionsile (SK) ettepanekud, kuidas paremini ära hoida Smart-ID kontode loomist kurjategijate poolt. Ettepanekute täitmisel lõpetas RIA menetluse.
Peamine ettepanek puudutas seda, kuidas paremini tõkestada inimestelt andmete välja petmist.
"Meie esialgne ettepanek nägi ette eraldiseisva kanali või keskkonna loomist, mida Smart-ID konto looja peab teenuse aktiveerimiseks külastama. Kuna SK töötas välja oma lahenduse ning see on 1. juulist kasutusel, siis praegu me eraldiseisva keskkonna loomist ei nõua. Kui aga selgub, et SK meede ei ole piisavalt tõhus, siis tuleb teha uus riskianalüüs ning rakendada RIA esialgset lahendust alternatiivse keskkonna kujul," rääkis RIA küberturvalisuse teenistuse juht Uku Särekanno.
SK ID Solutions viis 1. juulist sisse muudatuse, mis teeb Smart-ID konto registreerimise selgemaks. Nüüd jõuab inimese mobiil-IDga seotud seadmesse eraldi teavitus ja kood, mis tuleb Smart-ID konto loomisel lisaks sisestada.
RIA tegi ka ettepaneku, et SK viiks kontode loomise riski hindamiseks läbi turvaanalüüsi ja riskida maandamise plaani ning annaks inimestele läbi olemasolevate kontaktandmete täiendavat infot Smart-ID konto loomise kohta. Lisaks tuleb lasta järgmises vastavusehindamise raportis hinnata uusi meetmeid.
Smart-ID skeemi peamine mure on see, et inimene, kelle andmed on kurjategija kätte sattunud, ei pruugi aru saada, et ta annab digiallkirja Smart-ID konto loomiseks.
"Aktiveerimisprotsess peab olema selgem ning inimene peab aru saama, et luuakse Smart-ID kontot. Kurjategijad kasutasid libalehti ja jätsid inimestele mulje, et digiallkirja on vaja pangaandmete uuendamiseks. Reaalsuses aga alustati samal ajal Smart-ID konto loomist," ütles Särekanno.
Veebruarist juunini levisid õngitsuskirjad, mille kaudu meelitasid kurjategijad inimestelt PIN-koode ning lõid nende teadmata Smart-ID kontod. Petuskeem seisnes selles, et inimestele saadeti mobiiltelefoni tuntud panga nimelt sõnum, mis suunas näiliselt panga sisselogimisleheküljele. Seal suunati kasutaja õngitsuslehele mobiil-ID-ga sisse logima. Kui ohver oli sisestanud oma kasutajatunnuse, isikukoodi ja PIN 1, alustasid kurjategijad samal ajal uue Smart-ID konto loomist.
Inimeste tähelepanematust kasutades suunati teda tegema järgmisi vajalikke samme, näiteks sisestama PIN 2, et Smart-ID konto loomine taustal lõpetada. Niimoodi said kurjategijad luua uue Smart-ID konto ja logida ohvri andmetega ning tema teadmata sisse erinevatesse e-teenustesse, kus on kasutusel Smart-ID, sealhulgas internetipanka.
RIA järelevalvemenetluse lõpetamine ei mõjuta politsei ja prokuratuuri algatatud kriminaalmenetlust, mille eesmärk on selgitada välja petuskeemi taga olevad inimesed.