Eesti ID-kaartide tootja eitab rikkumist

Nimelt ei järginud ID-kaardi tootja kõiki turvanõudeid ja genereeris osadel kaartidel privaatvõtmed väljaspool kiipi. Väljaspool kiipi võtmete genereerimine annab võtmete genereerijale võimaluse kasutada ID-kaarti füüsiliselt kaarti omamata ja PIN-koodi teadmata. Selle riski maandamiseks tunnistab PPA nende kaartide sertifikaadid juunist alates kehtetuks.

"Meile ei ole teada ühtegi kuritarvitamise juhtumit. Kõik seni tehtud tehingud ja kaardiga antud allkirjad on õiguspärased ja kehtivad, kaasa arvatud e-hääletamine," kinnitas riigi infosüsteemi ameti eID valdkonna juht Margus Arm.

PPA dokumendieksperdi Kaija Kirchi sõnul on nende jaoks oluline kindlustunne, et ID-kaardi omanike privaatvõtmeid ei saa olla kuskil mujal kui ainult kaardi kiibis. "Kui seda turvanõuet on lepingupartner rikkunud, siis peame kaartide sertifikaadid kehtetuks tunnistama," selgitas ta.

Turvanõuetele ei vasta need ID-kaardid ja elamisloakaardid, mis on välja antud enne 2014. aasta oktoobrit ning mida on uuendatud kaarditootja rakenduse kaudu politsei- ja piirivalveameti teeninduses.

Turvanõuete rikkumise avastamiseni viis koostöö Tartu Ülikooli teadlase Arnis Paršovsiga ning eelmisel nädalal valminud ASi Cybernetica ekspertide analüüs.

"Avastatud rikkumine näitab selgelt, kui oluline on koostöö valdkonna teadlaste ja ekspertidega, kelle kaasabil saame digitaalset maailma turvalisemaks muuta," ütles Margus Arm.