RIA: ID-kaardi lugejad tuleks turvalisemate vastu vahetada
10. detsember 2012, 23:13
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Riigi Infosüsteemi Ameti (RIA) test tuvastas, et kümmekond aastat Eestis kasutusel olnud ID-kaardi lugejad võimaldavad pahavaraga nakatunud arvutite puhul PIN-koodide vargust ning seetõttu tuleks need ametiasutustes turvalisemate vastu välja vahetada.
Nimelt kasutatakse praegu nii kontorites kui ka kodudes peamiselt USB-liidese abil arvuti külge kinnitatud või sisse ehitatud ID-kaardi lugejaid, mille puhul sisestab kasutaja salasõnad ja koodid otse arvutisse.
«Kasutaja teadmata installeeritud pahavara võib aga seda tegevust teoreetiliselt «pealt kuulata». Näiteks kui arvuti on nakatatud klahvikuulaja pahavaraga (keylogger), on oht, et kasutatavad salasõnad satuvad kolmandate isikute kätte,» märgib RIA oma põhjenduses.
Internetis ringlevate klahvikuulajate eesmärk on salvestada kõik kasutaja klahvivajutused ning edastada see teave varjatult kolmanda isiku meiliaadressile või serverisse. Pahavaraga võib nakatuda hooletul veebisirvimisel aga seda on võimalik ka osta, alla laadida ja tahtliku jälgimise eesmärgil kellegi arvutisse paigaldada. Tõsi, tehinguid salasõnade varastaja ohvri nimel siiski teha ei saa, sest selleks on jätkuvalt vaja ka ID-kaarti.
Riigiasutused võiks uute lugejate kasutuselevõtul olla teenäitajaks ka eraisikutele.
Ettenägematu risk
RIA peadirektori asetäitja küberturbe alal Toomas Vaks ütles, et ühtegi sellist ID-kaardi taristu, PIN- või PUK-koodi vastu suunatud rünnakut tänaseni Eestis tuvastatud ei ole ja algatusega püütakse lihtsalt riske vähendada. Taoliste intsidentide esinemise oht suureneb aga aasta-aastalt, sest ID-kaarti kasutatakse üha rohkem ja tehingute kaalukus kasvab.
Lahendusena soovitab RIA kasutusele võtta ID-kaardi lugejad, mille külge on ehitatud koodide sisestamiseks vajalik sõrmistik. Sellega kaob ka vajadus paroole ja koode arvutisse sisestada ning pahavaral pole neile ligipääsu.
Oma analüüsi käigus töötaski RIA välja turvalise ID-kaardi lugeja kriteeriumid ja edastas need mitmele kaardilugejate tootjale. Turvaliseks võib lugeda sellist sõrmistikuga lugejat, mis ei võimalda ID-kaardiga suhtlemisel andmevahetust arvutiga, mille lugejasisene tarkvara pole uuendatav ja mida ei saa lahti muukida.
Vaks ütles, et sellised lugejad võiksid olla näiteks avalikes internetipunktides, pankades ja asutustes, kus sama arvutit kasutavad tehingute tegemiseks mitmed inimesed. Selliste lugejate turvatestimise käigus avastas RIA aga, et enamik praegu müügil olevatest lugejatest nõudmisteni ei küündi ja soetamiseks sobiks neist vaid üht tüüpi, firma Gemalto seade.
«Sellist lahendust ja sellises mahus ongi tegelikult maailmas ainult Eesti otsimas, kuna kellelgi teisel see ID kaardiga seonduv struktuur nii suur ei ole,» põhjendas Vaks, kelle sõnul võiks riigiasutused olla uute lugejate kasutuselevõtul teenäitajaks ka eraisikutele.
Kõrgem hind
Registrite ja Infosüsteemide Keskuse eestvõttel kogutaksegi nüüd riigiasutustelt teavet selle kohta, kui paljudele lugejatele tuleks riigihange korraldada. Esialgu tähendab see tõenäoliselt kopsakat väljaminekut, sest Postimehe analüüs näitas, et kui tavaline lugeja maksab jaemüügis 6 kuni 30 eurot, siis RIA nõudmistele vastav ligi 70.
2002. aastal kasutusele võetud ID-kaardi elektroonilisi võimalusi kasutab umbes pool miljonit inimest ning ühes päevas antakse kuni 125 000 digiallkirja. Nädalapäevad tagasi täitus 100 miljoni digiallkirja piir.
Vaks kinnitas, et tavalise ID-kaardi lugeja kasutajal pole põhjust muretsemiseks. Samas pereisal, kes teeb oma ettevõtte äritehinguid ka koduarvutis, mida kasutavad vabalt tema lapsed, soovitaks Vaks uus lugeja osta.
«See kindlasti muudab ID kaardi kasutamist mugavamaks ja võtab tulevikus kindlasti riske maha. Kuigi me räägime teoreetilistest riskidest, siis parem on selle koha pealt kindel olla.»