Toomas Lepa avalik küsimus Eesti riigile: kes vastutab, et digiallkiri pole meil turvaline?
Eilses (26.08.) KUKU raadio saates Digitund teatas IT spetsialist hr. Mart Parve: “Kui kurjategijal on täielik kontroll sinu arvuti üle, siis ta saab sinu eest ka digiallkirja anda”.
RIA koduleheküljel olev napp informatsioon teatab: "Seda viga DDOC failide käsitluses ära kasutades on võimalik ohvri arvutis tema kasutajaõigustes üle kirjutada suvalisi faile, kui ründaja meelitab kasutaja avama spetsiaalselt vormindatud digiallkirjastatud faili".
Tõlgin: Täielik kontoll sinu arvuti üle sinu teadamata oli võimalik kui kasutasid ID kaardi vanemat tarkvara, versioon 3.5 või vanemat. Ka praegu on seda tarkvara kasutavad arvutid kaitsetud.
Niisiis, hr. Parve info on tõene, kurjategija saab/sai teatud tingimustel täielliku kontrolli sinu arvuti üle. Need tingimused kahjulks eksisteerisid või eksisteerivad ka paregu.
Kui 24.07 2013 annulleeriti minu ID kaardi sertifikaadid, küsisin avaliku kirjas Delfi vahendusel:
"Kuidas üldse saab juhtuda, et 40 000 ID kaardi sertifikaati on tunnistatud mitte kehtivaks? Kes selle eest vastutab?"
Sain Peadirektori asetäitja kodakondsuse ja migratsiooni alal Merike Jürilolt teate, mis ülaltoodud küsimusele vastust ei andnud, küll aga olid kirjas järgmised read:
“ID-kaart on praeguseks Eesti inimesi edukalt teeninud üle 10 aasta ning on jätkuvalt maailma tipptase nii funktsionaalsuselt kui turvalisuselt. See ei ole juhtunud iseenesest, vaid eeldab meilt igapäevast pingutamist ja pidevaid tehnoloogilisi arendusi.”
Kaks nädalat hiljem teatab RIA, et ID kaardi tarkvaras on ohtlik turvaauk ja et digidoc-tarkvaras pole kaitset ühte kindlat tüüpi rünnaku vastu.
Niisugused on lood siis maailma tipptaseme turvalisusega. Niisugused on lood siis riikliku dokumendiga, mille omandamine on pandud kodankiu seaduslikuks kohustuseks.
Kas on veel mõni riik peale küberkaitse esirinnas oleva Eesti, kus seadusesse kirjutatakse turvaaukude omamine?
Ilmselt mitte. Põhjus on ikkagi see, et 100% kindla turvakaardi loomine praegu teadaoleva kogu maailma IT taseme juures on alles lapsekingades või olematu.
Kui üleolevalt räägivad IT tehnoloogid, et juhtub, kõigil juhtub: teame ju hästi Microsofti tarkvaras perioodiliselt avastatavid turvaauke, vigaseid koode vms.
Digitunni saatejuht Henrik Roonemaa kirjutab:
“ID kaart peab tunduma kindel nagu pass, nagu riigi sümbol. Eriti olukorras, kus ID-kaardi maine on aastaid avalikkuse ees olnud nigel, kus lähenevad järjekordsed valimised ja kus vähemasti üks suur erakond teeb kõik endast oleneva, et oma ligi 30% toetajaid ID-kaardi ja e-valimiste vastu pöörata või vähemasti selles tugevalt kahtlema panna. Kui nüüd sellises olukorras tuleb välja, et ID-kaardi tarkvaras on turvaauk, mis võimaldab "ohvri arvutis tema kasutajaõigustes üle kirjutada suvalisi faile" ja selleks piisab vaid sulle e-mailiga tulnud kurja ddoc-faili avamisest, siis on minu arvates küll väga, väga erakordselt kummaline väide et "aga kes see ikka avaks talle e-mailiga tulnud ddoc-faili".
Mina näiteks avan neid faile iga päev ja muuseas olen ka elektroonselt hääletaja. Henrik Roonemaa tunneb muret, et enne valimisi kasutatakse turvaaukude teema ära. Loomulikult kasutatakse, aga mitte üks suur erakond pole selles süüdi, vaid Eesti riik, seesama hoomamatu Eesti riik, kes kustutab mõni nädal pärast e-valimiste hääletuslogid, kes ei taga OECD pärast 2011. aasta Riigikogu valimisi tehtud märkuste elluviimist. Üks neist oli (vist) kontrolli võimaluse puudumine. Ma küll hääletan, aga ei saa kontrollida, kellele mu hääl läks.
Jah, just lähenevate valimiste valguses küsin ma Eesti riigilt, Sertifitseerimiskeskuselt, Riiklikult Infosüsteemide Ametilt, Majandus- ja Kommunikatsiooniministeeriumilt, Siseministeeriumilt, Kodakondusus- ja Migratsiooniamtilt ning võib-olla veel kümnetelt ja kümnetelt riiklikelt institutsioonidelt: kes vastutab?
Kogu aeg on kõikvõimalkud ametimehed meile kinnitanud, ID allkiri on turvaline. Nüüd selgub, nii see pole. Kurjategijal on võimalus sinu eest allkiri anda. Kurjategijal oli see võimalus oli olemas. 2011. aastal ei olnud ID kaardi tarkvara versiooni 3.7 mis SK teatel likvideerib praeguse ohuolukorra.
Aga kas ikka likvideerib?
Millal tuleb järgmine teade, et vabandust, minge kaarte vahetama, sorry, võib-olla mõni kurjategija kasutas teie arvuti koode.
Kes vastutab Eesti riigi maine, tema usaldusväärsuse eest? Kes vastutab ID kaardi ja muude sellega sellega seotud tarkvara tehniliste lahenduste eest?
Hr. Roonemaagi nendib: “Hoopis olulisem on selle teema juures tähele panna puhtalt tehnilise kõrval ka usalduse- ja mainekomponenti, mis tehnilisest kõrge kaarega üle käib. Me räägime ikkagi Eesti riigist, mitte mingist Hotmailist.”
Muuseas, hr. Roonemaa, kadunud Hotmail tegi Steven Jürvetsonist miljonäri. Hotmail on kadunud, aga kirjad, mis sealt läbi on käinud säilivad igavesti. Mailid ei põle. Digiallkirjad küll.
Toomas Lepp,
allkirjastatud digitaalselt