Kes vassib: kõik, mida teame ID-kaardi riski teavitamisest (2)

Aivar Pau
, ajakirjanik
Copy
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
ID-kaart.
ID-kaart. Foto: Arvo Meeks / LEPM

Möödunud nädalal tekkinud konnatiigilainetuse tulemusel jõudis kõigi eestlaste teadvusesse arusaamine, et pole kuidagi võimalik aru saada ID-kaardi turvaprobleemidest teavitamise saagast Eesti riigi ja kaarditootja Gemalto vahel.

Kes keda ja millest teavitama pidi, kuidas asjad tegelikult läksid, kui selged on osapoolte sõnumid täna ja kuidas need omavahel haakuvad? Proovime asjaolud lühidalt korrastada ja ajajoonele panna ning räägime vaid teavitamisest sel määral, kui see on läbi käinud avalikest infokanalitest.  

Allolevast kokkuvõttest selgub muu hulgas, et informatsiooni vahetamine Gemalto ja riigi vahel on olnud tavapäraselt dokumenteerimata – koostati küll päevakavasid, kuid kokkulepitut või vahetatud infot polnud tavaks kirja panna. Saame ka teada, et vastupidiselt peaministri ja mõne riigiameti juhi väidetule info turvariski kohta liikus ka tegelikult juba 15. juunil, kuid riik ei pidanud seda tegutsemiseks piisavalt konkreetseks.

5. september: Peaminister Jüri Ratas kutsub kokku pressikonverentsi ja teatab: «Eelmise nädala neljapäeva õhtul (31. august – toim) on saanud Eesti riik ja meie ametnikud ühe teadlaste grupi poolt info, et Eesti ID-kaardi osas võib valitseda teoreetiline turvarisk.» Allikas: Postimehe video: https://tehnika.postimees.ee/4233255/id-kaardi-kiibis-avastati-teoreetiline-turvarisk

7. september: Selgub, et peaministri edastatud info ei olnud täpne ja info jõudis Eesti ametnikeni tegelikult juba 30. augustil.  Riigi Infosüsteemi Ameti (RIA) infoturbe intsidentide käsitlemise osakonna CERT e-postkasti oli potsatanud tšehhi teadlaste kiri, milles ID-kaardil tuvastatud turvanõrkuse lühike kirjeldus.

25. oktoober: RIA annab infot, et tšehhid olid Eesti ID-kaartidel oleva kiibi tootjat Infineoni teavitanud avastatud probleemist juba 1. veebruaril ning see omakorda suuri tehnoloogiaettevõtteid. Siiamaani pole selge, millal Infineon või tšehhi teadlased teavitasid probleemist Eesti ID-kaardi tootmise lepingupartnerit Gemaltot – Allikas https://geenius.ee/uudis/kahtlus-id-kaarte-valmistav-suurfirma-jattis-eesti-oigel-ajal-turvaaugust-teavitamata-ja-asus-oma-nahka-paastma/

14. november: Politsei- ja Piirivalveameti (PPA) arendusosakonna büroojuht Margit Ratnik tunnistas, et on esitanud Gemaltole seoses juhtumiga rahalise nõude. «Kinnitan teile, et Eesti riik on oma kahjud ja huvid kokku löönud ja vastava nõude lepingupartnerile esitanud,» sõnas Ratnik. Allikas: Postimes: https://tehnika.postimees.ee/4309959/riik-esitas-id-kaardi-probleemiga-seoses-kaarditootjale-noude

22. november: Eestile ID-kaarte tootva Gemalto esindaja Eestis kinnitab, et vastupidiselt Eesti riigiametite väljendatule informeeris ta neid ID-kaardi turvaprobleemidest juba suvel. «Informeerisin vastutavaid Eesti ameteid (PPA ja RIA) turvaprobleemist 15. juunil,» kinnitas Gemalto esindaja TRÜB Baltics AB juht Andreas Lehmann oma LinkedID-i lehel. Hiljem lisab ta, et tal on ka olemas seda kinnitavad e-kirjad. Allikas: Postimees - https://tehnika.postimees.ee/4319261/id-kaardi-tootja-informeerisime-eesti-ameteid-probleemist-juba-suvel

22. november: RIA juht Taimar Peterkop kirjutas ameti esindaja vahendusel Postimehele, et Andreas Lehmanni väited ei ole tõesed.  «Kui me oleks varem teadnud, oleksime ka varem tegutsenud. RIA sai tšehhide teadustööst ja meie ID-kaardi kiibis peituvast turvariskist teada 30. augusti õhtul. Info laekus Tšehhi  teadlastelt,» kinnitas Peterkop.

22. november: Taimar Peterkop kinnitab Aktuaalse kaamera otse-eetris veelkord, et „ei suuliselt ega kirjalikult ei ole Gemalto meid teavitanud». Allikas: ERR http://www.err.ee/644335/peterkop-gemalto-jutt-juunis-teatamisest-on-sooja-ohu-vongutamine

23. november: Peaminister Jüri Ratas ütleb valitsuse pressikonverentsil, et Andreas Lehmanni väidetud teavitust Eesti riiki ei ole tulnud ei 15. juunil ega ka varasemal kuupäeval. «See info jõudis Eesti riiki täpselt siis, kui me oleme ajakirjandusele öelnud, et me hakkasime sellel teemal arutama. Võib öelda siis nii, et septembri esimestel päevadel,» kinnitas Ratas. Allikas: pressikonverentsi stenogramm - https://www.valitsus.ee/et/uudised/valitsuse-pressikonverentsi-stenogramm-23-november-2017

24. november: RIA eID valdkonna juht Margus Arm tunnistab Postimehele, et 15. juunil Gemaltolt siiski info turvariski kohta laekus, kuid see polnud piisavalt konkreetne.  «Selles vestluses ei andnud Gemalto esindaja Andreas Lehmann infot Infineoni kiibis peituva nõrkuse kohta. Telefonivestluses andis Andreas Lehmann väga ebamääraseid vihjeid, neid ei saaks kuidagi pidada küberintsidendist või turvariskist teavitamiseks,» ütles Margus Arm Postimehele. Armi sõnul olevat Lehmann kasutanud sõnastust stiilis «võib olla mingi probleem». Täpsustavate küsimuste peale oli ainuke selgitus, et «veel ei tea, uurime ning anname teada». Allikas: Postimees https://tehnika.postimees.ee/4321141/ria-gemalto-id-kaardi-vihjed-olid-stiilis-ei-tea-uurime-anname-teada

24. november: Politsei ja piirivalveameti (PPA) pressiesindaja Kristi Ruuli sõnul on PPA ja kaarditootja Gemalto kohtunud regulaarselt umbes kord kuus, et arutada ID-kaardi ja passi tootmise lepingute täitmisega seonduvaid praktilisi küsimusi. Selline kohtumine toimus ka 15. juuni hommikul PPAs. Nõupidamise kutse koos päevakorraga saatis PPA Ruuli sõnul 9. juunil, päevakorras oli kümmekond punkti ja PPA esindaja palus Andreas Lehmannil päevakorda täiendada, kui tal on omalt poolt midagi lisada. Andreas Lehmann päevakorda oma teemasid ei lisanud.
Toimunud koosolekuid aga ei prokollitud. «Kahjuks ei ole olnud praktikat neid kohtumisi protokollida. Kohtumisel osalenud PPA ametniku sõnul  ei rääkinud Andreas Lehmann Infineoni kiibi turvariskist, mis puudutab enam kui pooli Eesti ID-kaarte ning sellele ei viita ka edasine kirjavahetus Gemalto esindajaga,» kinnitas Ruul.

Kommentaarid (2)
Copy
Tagasi üles