RIA kavatseb ID-kaardi turvavea parandada

Kuna elektroonilist isikutunnistust kasutab üle 300 000 inimese, siis võib potentsiaalne privaatsusleke olla laiaulatuslik. RIA kavatseb juba lähiajal vaadata üle kogu ID-kaardi turvakontseptsiooni ning sel nädalal algavad läbirääkimised, kes ja kuidas nn turvaaugu kinni lapib, vahendas ERR Uudised ETV saadet «Pealtnägija».

2008. aasta lõpus ID-kaardi uue baastarkvara arendajaks valitud OÜ Smartlink projekti tehniline juht ja IT Kolledži õppejõud Antti Andreimann kinnitas, et ID-kaardi kasutamine internetis lekitab isikuandmeid.

Praeguseks ei ole Smartlinikil ja Andreimannil ID-kaardi tarkvaraga enam mingit pistmist, sest riik lõpetas nendega lepingu tähtaegade eiramise tõttu. Uue lepingu sõlmis riik juba Sertifitseerimiskeskusega.

Andreimann nentis, et tähtaegadest ei suudetud kinni pidada, kuna tegemist oli turvalisuse seisukohalt ülitähtsa tarkvaraga. Tema sõnul on nüüd aga tulemus näha, sest paar nädalat tagasi ASis Sertifitseerimiskeskus valminud tarkvara sisaldab kiirustamisest tingitud turvavigu.

«Inimene üldjuhul eeldab, et kui ta internetis sõna võtab, näiteks Delfis kommenteerib või külastab seksihuviliste lehekülgi, siis on ta suhteliselt anonüümne. Tegelikult aga on võimalik, et kui ta pistab arvutisse ID-kaardi või veel hullem, teatud tingimustel ei pea isegi kaart lugejas olema, saab portaal kohe isikuliselt teada, kes ta on,» ütles Andreimann.

«Riiklikus plaanis on tegelikult tegemist strateegiliselt olulise ohuga, sest mõned inimesed, kes kasutavad ID-kaarti ja võib-olla külastavad neid erootilise sisuga lehti, on politseinikud, kohtunikud, riigiametnikud kõrgetel kohtadel ning neid on võimalik seeläbi šantažeerida,» märkis Andreimann.

Kui RIA sõlmis Smartlinki asemel lepingu Sertifitseerimiskeskusega, teatas keskuse direktor, et tegemist on kõige turvalisema autentimisvahendiga Euroopas. Andreimanni kinnitusel aga ei suhtu RIA turvalekkesse tõsiselt ning üritab tõestada, et viga ei ole.

RIA seevastu teatas, et nad on võimalikust infolekkest teadlikud, kuid päris nii kerge kui ABC ei pidavat nime ja isikukoodi teadasaamine ID-kaardilt siiski olema.

«Põhimõtteliselt on olukord selline, et kui mina lähen ühele lehele, siis haldajal ei ole võimalik saada minu andmeid. Kui see haldaja on spetsiaalselt selleks teinud illegaalse programmi, siis tal on võimalik minu käest mitte midagi küsimata need andmed kätte saada,» ütles RIA kommunikatsioonijuht Katrin Pärgmäe.

Andreimann nentis, et piisab, kui paigaldada paar vajalikku faili oma veebileheküljele ja need andmed tulevad. «Ja failide paigaldamine ei ole otseselt seadusega keelatud. Isikuandmete töötlemine on seadusega keelatud, kuid samamoodi on seadusega keelatud ka võõrasse ruumi sisenemine. Aga kas sellepärast, et võõrasse ruumi on sisenemine keelatud, peaksime loobuma ukse lukku keeramisest? Mina arvan küll, et mitte,» tõdes Andreimann.

Pärgmäe sõnul on võimalusi inimesi internetis ja ka päriselus santažeerida palju, kuid ta ei nõustu seda nimetama turvariskiks.

«See ei ole turvarisk, kuna need andmed on avalikud, nimi ja isikukood on avalikud. Nimetaksin seda riskiks privaatsusele, kuna inimeste andmeid võidakse kasutada ebaotstarbekalt. Olen nõus, et kuna see inimesi häirib, siis me peame selle parandama,» kinnitas Pärgmäe.

Avalikkus ei tea, et paralleelselt riigi arendatud tarkvaraga tegutses üle Eesti ka 20 vabatahtlikku, kes programmeerisid omaalgatuslikult ID-kaardile alternatiivse tarkvara. Andreimanni initsiatiivil poole aastaga loodud nn töökindel programm sai valmis oktoobri keskpaigas ja tema hinnangul võiks riik hoopis selle töösse võtmist kaaluda.

«Kindlasti nad võiksid seda kaaluda, sest esiteks on seal see nõrkus ära parandatud, teiseks see ei maksa midagi, see on vabatahtlikult ilma rahata tehtud ja me hea meelega annaksime selle, tuleksime riigile selle koha peal appi ja annaksime neile selle tarkvara kasutada,» kinnitas Andreimann.