Politsei vs. Gemalto: uued arengud (2)

Aivar Pau
, ajakirjanik
Copy
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
ID-kaart.
ID-kaart. Foto: Erik Prozes

Politsei- ja piirivalveamet (PPA) ning Gemalto on mõlemad esitanud avalikud pöördumised seoses Postimehes eile avaldatud materjalidega ID-kaardi kriisi puhkemise tagamaade kohta.

Avaldame mõlemad avaldused täismahus, muutmata kujul, laekumise järjekorras ning ilma omapoolsete kommentaarideta.

Politsei- ja piirivalveamet

6. septembri Postimehe loos «Miljoneid maksma läinud küberuimerdamine» avaldatud valeväited

1.  Politsei- ja piirivalveametil (PPA) tuleb lähinädalatel suure tõenäosusega tublisti sõnu süüa ning ID-kaardi kriisi ajal partnerettevõttele Gemaltole jõulise PRi saatel esitatud 20-miljoniline hiigelnõue suures osas korstnasse kirjutada.

PPA ei ole esitanud Gemaltole 20 miljoni euro suurust nõuet ega ole seda kunagi ka väitnud. PPA on esitanud Gemaltole nõudeid tulenevalt lepingus kokkulepitud määradele eri rikkumiste kohta. 20 miljonit eurot on ajakirjanduslik interpretatsioon, mis ei tugine PPA avaldatud infole.

2.  «Tšau, P. Ma kohtasin täna R-i ja ta rääkis mulle, et Sul on üks väga huvitav uus teema! Kas me võiksime kohtuda ja oled sa valmis mulle jagama selle juhtumi kohta lähemat infot? Tervitades, S.» Nii seisis ühe kõrge riigiametniku e-kirjas ettevõtjale, kes oli Eesti riigile üle kümne aasta ID-kaarte tootnud.

Just neist paarist lausest sai alguse Eesti e-riigi senise suurima kriisi teadvustamine.

Viidatud 15. juunist pärinev e-kiri on RIA töötaja kiri Gemalto esindajale. Samal päeval oli toimunud Gemalto esindaja ja PPA vahel regulaarne kohtumine, mille käigus ütles Gemalto esindaja PPA ametnikule, et tal on huvitavat tehnilist infot. Kuna valdkonna tehniline ekspertiis on RIAs, palus PPA ametnik Gemalto esindajal tehniline uus info RIA töötajale edastada. PPA ametnik informeeris RIA töötajat sellest, et Gemaltol võib olla uut ja huvitavat infot ning RIA esindaja kiri oligi selle tulemus. Margus Arm tegi Andreas Lehmannile kirjas ettepaneku kokku saada, kuid Lehmann helistas ja loobus kohtumisest põhjendusega, et ei ole midagi nii olulist.

Telefonikõne jooksul Andreas Lehmann küll ütles, et võib olla mingi probleem, kuid ei täpsustanud probleemi olemust, täpsustavatele küsimustele ei osanud vastata ning lubas anda infot siis, kui on selgust saanud. Ei selle kirja ega ka järgnenud telefonikõne jooksul ei andnud Gemalto esindaja edasi infot Infineoni kiibi turvariski kohta.

RIA esindaja Margus Arm on kirja ning sellele eelnenud ja järgnenud infovahetust selgitanud Aivar Paule antud intervjuus https://tehnika.postimees.ee/4321141/ria-gemalto-id-kaardi-vihjed-olid-stiilis-ei-tea-uurime-anname-teada

3.  See kirjake tähendab aga Eesti riigiametnikele ühte väga suurt probleemi, mis võib saada määravaks ka vaidlustes PPA ja talle ID-kaarte tootva Gemalto vahel.

PPA, RIA ja Gemalto vaheline kirjavahetus on PPA sisekontrolli ning RIA infoturbe poolt läbi uuritud. Esimene turvariski infovahetus, mis Gemaltoga suhtlemise e-kirjades leidub, pärineb 2017. aasta septembri algusest, milles Gemalto ei viita, et probleem oleks neile varasemast tuttav.

4.  See on koguni kaks ja pool kuud varem, kui politsei- ja piirivalveamet sestsamast turvaveast teada andis ja tunnistas, et nüüd on kriis, sest tuleb hakata ligi 800 000 ID-kaarti välja vahetama enne, kui jõutakse valmis saada viga parandav tarkvaravärskendus.

PPA ei ole kunagi andnud teada, et enne viga parandavat tarkvaralahendust tuleb hakata välja vahetama ligi 800 000 ID-kaarti. Esiteks, ei olnud turvaveast teavitamise alguses veel selge, missugune lahendus täpselt turvavea kõrvaldaks. Teiseks, ei olnud mõtet turvaveaga kaarte välja vahetada, sest ka uutel kaartidel oli enne tarkvarauuendust täpselt seesama turvaviga. Gemalto tarnib PPA-le siiani sama turvaveaga kaarti, millel kasutatakse teist krüptograafiat ja sellisel juhul turvaviga ei avaldu.

5. Kirjas viidatud R on politseiametnik, kes oli 15. juuni hommikul pidanud kaarte tootva suurettevõttega Gemalto rutiinset ID-kaartide tootmise koosolekut.

Kirjas viidatud inimene on küll PPA ametnik, dokumendivaldkonna nõunik-ekspert, kuid mitte politseiametnik.

6. Kui juba mais oli Tartu Ülikooli teadlane Arnis Paršovs suutnud võltsida ühte Eesti ID-kaardi omaniku allkirja ja see teema oli päevakorras kindlalt sees, siis nüüd olid Tšehhi teadlased tuvastanud veelgi häirivama riski: digiallkirju saab piisava arvutusvõimsuse olemasolul võltsida suures osas Eestis välja antud kaartides.

Analüüsides ID-kaartide avalike võtmete andmebaasi tuvastas TÜ teadlane Andris Paršovs dokumentide tootmisprotsessis vea, mille tõttu olid 15 kaarti saanud nõuetele mittevastavad nõrgad võtmed. Juuni 2017 sulges PPA 15 vigast kaarti ning väljastas inimestele garantiikorras uued kaardid.

Arnis Paršovs ei võltsinud allkirja. Teadlane näitas ühe praakkaardi varal teadustöö raames, et sellise tootmisvea esinemisel on võimalik digiallkirja järgi teha. Seda vigast kaarti ei olnud elektrooniliselt kordagi kasutatud.  RIA kontrollis üle ka kõikide teiste dokumentide sertifikaatide avalikud võtmed ning vigaste võtmetega kaarte rohkem ei leitud.

RIA informeeris teadlase tuvastatud anomaaliast kaarditootjat Gemalto ja sertifitseerimisteenuse osutajat ning võeti kasutusele meetmed, mis ei võimalda sellise veaga kaarte enam toota. 15. juunil 2017 toimunud kohtumisel käsitleti just nende, Gemalto toodetud praakkaartide küsimust.

Teadlase tuvastatud anomaalia ID-kaardi tootmisprotsessis, mille tõttu oli ringlusse jõudnud 15 praakkaarti, ei mõjutanud mitte kuidagi ülejäänud ID-kaartide turvalisust ja sel puudub seos Tšehhi teadlaste avastatud turvariskiga Infineoni toodetavates kiipides.

7.  Nüüd räägiti see läbi rutiinsel koosolekul ja juba samal, 15. juuni õhtul toimus viis minutit ja 18 sekundit kestnud telefonivestlus Gemalto kurikuulsa esindaja Andres Lehmanni ning Riigi Infosüsteemi Ameti ID-valdkonna juhi Margus Armi vahel.

Telefonivestlus toimus, selle jooksul Andreas Lehmann küll ütles, et võib olla mingi probleem, kuid ei täpsustanud probleemi olemust, täpsustavatele küsimustele ei osanud vastata ning lubas anda infot siis, kui on selgust saanud. Ei selle kirja ega ka järgnenud telefonikõne jooksul ei andnud Gemalto esindaja edasi infot Infineoni kiibi turvariski kohta.

Vt p 2

8. Veelgi kriitilisemaks läheb olukord neli päeva hiljem, 19. juunil: nii RIA-le kui ka tehnilise järelevalve ametile saabuvad üksteisest sõltumatud ja eri allikatest pärinevad kirjad selle kohta, et Austria on 9. juunil kinni pannud kõik Eesti ID-kaardiga sama konfiguratsiooniga ID-kaardid, sest digiallkirjade andmisel on avastatud turvaviga.

Austria ID-kaardil ei ole kiipi ja Austria ID-kaarti ei ole suletud. Austrias suletud kaardid olid ühe teenusepakkuja poolt väljastatavad kiipkaardid. Teavitused ei viidanud ei otseselt ega kaudselt sellele, et suletud kaartidel oleks mingi tehnoloogiline seos Eestis kasutatava ID-kaardiga. Selles teavituses ei olnud viidatud ühelegi Eesti ID-kaardi lepingupartnerile ega ka kiibitootjale. Teavituses ei olnud välja toodud kaartide sulgemise juurpõhjust. Sama teavitus läks kõigile ELi liikmesriikidele, ükski hiljem mõjutatud riik ei lugenud sellest teavitusest välja mõju nende kaartidele.

Eesti tõstatas intsidentidest teavitamise üldsõnalisuse probleemi ELi vastavates töögruppides, toetajaid oli paljudest liikmesriikidest. EIDASi koostöövõrgustik on sellest tulenevalt välja töötamas nõudeid teavituste detailsusele.

9. Paršovsi digiallkirja võltsingut oli avalikkuse eest edukalt varjul hoitud – Postimees avalikustas selle detsembri alguses –, kuid vähegi suurem juhtum lööks uppi kogu meie paberist võõrdunud riigi.

ID-kaartide tootmises on ka varem praaki ette tulnud. 15 praakkaardi puhul informeeriti juunis 2017 kõiki inimesi, keda see puudutas ja nende kaart vahetati garantiikorras välja.

Meedias rääkis 15 praakkaardist ja nende väljavahetamisest esimest korda RIA esindaja 7. septembril PM loos https://www.postimees.ee/4235419/vihje-id-kaardi-kohta-andsid-tsehhi-teadlased

10.  Suurettevõte ja väike digiriik otsustasid aga vaikida ja mitte midagi teha.

Alates 31. augustist 2017, kohe pärast turvariskist teadlikuks saamist, asusid PPA ja RIA koguma turvariski olemuse ja mõjude kohta täiendavaid andmeid ning hakkasid otsima võimalikke lahendusi. PPA ja RIA teavitasid turvariskist avalikkust 5. septembril.

11. Riigile oli see arvatavasti strateegiline otsus hoidmaks mainet, Gemalto võis hinnata rahakoti raskuse vähenemist, kui kaarte peaks hakkama tõesti välja vahetama.

Riigi strateegiline otsus nii PPA, RIA, ministeeriumide kui ka Vabariigi Valitsuse tasemel oli algusest peale teavitada nii partnerasutusi kui ka avalikkust. Eesti e-riik püsib usaldusel ja usaldust ei ole võimalik säilitada infot varjates. Algusest peale oli selge, et nii suure mõjuga turvariski lahendamine eeldab riskist mõjutatud kaartide kasutajate kiiret teavitamist ja e-teenuse pakkujate kaasamist lahenduse leidmisse.

12. Nii saabuski suure tõenäosusega teadlikult valitud vaikelu, mis läks hiljem Eesti riigi rahakotile ja ka mainele vägagi kalliks maksma.

Eesti ametkonnad asusid pärast info saamist kohe tegutsema. Usaldus ID-kaardi ja e-teenuste vastu ei ole langenud, seda näitab ID-kaardi kasutamise statistika.

13.  Vähemalt neli miljonit eurot otseseid kulusid, pluss vähemalt sama palju inimeste raisatud töötunde oma kaartide kiirkorras väljavahetamisele.

Väide, et riigi otsesed kulud kriisi lahendamiseks olid vähemalt neli miljonit eurot, ei vasta tõele. PPA, RIA ja SMITi otsesed kulud olid 2 miljonit eurot ilma leppetrahvideta. Personalikuludest sisaldab see ainult töövälisel ajal tehtud ületunde ning ajutiselt palgatud lisatööjõudu. Sisse ei ole arvestatud seda, et suure hulga ametnike tööaeg kulus ainult ID-kaardi turvariski lahendamisega seotud tegevustele ning muud ülesanded pandi ootele.

Ligi 500 000 uuendatud kaardist uuendati ca 360 000 kauguuenduse teel. Garantiikorras on välja vahetatud ca 1900 kaarti, sellisel juhul ei olnud inimesel muud võimalust kui teenindusse kohale tulla.

14. Kordame üle: kiibitootjat Infoneoni oldi avastusest informeeritud juba 1. veebruaril, Infineon oli Gemaltot informeerinud 14. juunil ja see omakorda Eesti ametivõime päev hiljem. Austria oli juba 9. juunil kaardid sulgenud ja mitut kanalit pidi sellest ka Eestit informeerinud.

Gemalto Eestit turvariskist ei teavitanud. 31. augustil teavitas PPA Gemaltot Eesti ID-kaarti mõjutavast turvariskist.

Austria teavitus kaartide sulgemisest oli Eestini jõudnud, kuid teavitused ei viidanud otseselt ega kaudselt sellele, et suletud kaartidel oleks mingi tehnoloogiline seos Eestis kasutatava ID-kaardiga. Teavituses ei olnud viidatud ühelegi Eesti ID-kaardi lepingupartnerile ega ka kiibitootjale. Teavituses ei olnud välja toodud kaartide sulgemise juurpõhjust. Sama teavitus läks kõigile ELi liikmesriikidele, ükski hiljem mõjutatud riik ei lugenud sellest teavitusest välja mõju nende kaartidele.

Eesti tõstatas intsidentidest teavitamise üldsõnalisuse probleemi ELi vastavates töögruppides, toetajaid oli paljudest liikmesriikidest. EIDAS koostöövõrgustik on sellest tulenevalt välja töötamas nõudeid teavituste detailsusele.

15.  Algas kriis ja kõige kummalisem on, et riik valis selle avalikustamise PR-strateegiaks oma pikaaegse koostööpartneri Gemalto süüdistamise – justkui polevat juunis mingisugust infovahetust vea asjus olnudki.

PPA ja RIA kaasasid Gemalto ID-kaardi turvariski lahendamisse esimesest päevast alates. Gemalto esindajat käsitleti meeskonna liikmena ja nii meeskonnas kui ka avalikus kommunikatsioonis hoiduti teadlikult süüdlaste otsimisest. Alles novembris asus Andreas Lehmann esmakordselt väitma, et Gemalto teavitas PPAd ja RIAt turvariskist juba juunis ning seejärel tekkis esimest korda avalik konflikt koostööpartnerite vahel.

16. Ettevõttele esitati kohe ka hüvitise nõue 20 miljonile eurole ning see ongi summa, mis on nüüdseks peaaegu kokku kuivanud.

PPA esitas esimese kahjutasunõude Gemaltole lepingu rikkumise eest küll juba septembri lõpus, kuid ei vasta tõele see, et nõude suurus oleks olnud 20 miljonit eurot. Vastavalt lepingule on kahjutasunõude summa avaldamine lepingu konfidentsiaalne info, mille avaldamise eest oleks Gemaltol omakorda õigus esitada PPA-le leppetrahv lepingus kokkulepitud ulatuses. Kompromisskokkulepe, leppetrahv ja kahjutasunõue on erinevad terminid.

17. Postimehe andmetel on PPA ja Gemalto jõudnud kokkuleppele, et septembris sõlmitakse kompromissleping, mis lõpetab kõik kolm omavahelist suuremat vaidlust.

Ei vasta tõele, et PPA ja Gemalto oleksid jõudnud septembri alguseks kokkuleppele: kindlust ei olnud ühegi PPA esitatud tingimuse ega ka tähtaja osas.

18. Selle kohaselt võtab Gemalto esiteks ringkonnakohtust tagasi hagi PPA korraldatud ID-kaardi järgmise tootmisperioodi hanke vastu. Teiseks võtab PPA tagasi nõude seoses ühe väiksema ID-kaardi veaga ning kolmandaks nõustub Gemalto tasuma riigile vaid pool ID-kaardi kriisi lahendamise otsestest kuludest ehk ligi 1,5 miljonit eurot.

Kompromissleppe kirjeldatud sisu ei vasta PPA kasutuses olevale kompromissleppe ettepanekule. Küll aga ei oma kompromissleppe detailid enam mingit tähtsust, sest PPA katkestas 6. septembril kompromissleppe läbirääkimised, teavitas sellest Gemaltot ja esitab esimesel võimalusel kohtusse hagiavalduse.

19. Vaidlus käib veel ainult selle üle, kuidas küll õnnestus politseil kulutada oma ametnike ületundidele ID-kaartide aktiivse ümbervahetamise perioodil 1,5 miljonit eurot.

Summa 1,5 miljonit PPA ametnike ületundidele ei vasta tõele. Kompromissleppes räägitud 2 miljonit eurot moodustavad PPA, RIA ja SMITi ametnike ületunnid, tellitud arendused, audit ning muud otsesed kulud kokku.

20. Vastupidiselt Riigi Infosüsteemi Ametile, kellel kulus kriisi lahendusele 1,8 miljonit, ei tulnud politseil ju tellida ID-kaardi tarkvaraarendusi ning kogu summa sai kuluda vaid ametnikele.

Väide, et vaidluse sisu on PPA kulutused, ei vasta tõele. Kompromisslepe sisaldas algusest peale PPA, RIA ja SMITi otseseid kulusid kokku, sh tellitud tarkvaraarendusi.

21. Seega otsitakse kokkulepet ning ei nõuta tagasi enam kaugeltki poolt 40-miljonilise lepingu kogusummast, nagu oli plaanis alguses.

PPA ei ole esitanud Gemaltole 20 miljoni euro suurust nõuet ega ole seda kunagi ka väitnud. PPA on esitanud Gemaltole erinevaid nõudeid tulenevalt lepingus kokkulepitud määradele erinevate rikkumiste kohta. Pool lepingu kogusummast ehk 20 miljonit eurot on ajakirjanduslik interpretatsioon, mis ei tugine PPA avaldatud infole.

22. Väga suure tõenäosusega peitub põhjus selles, et PPA ei suuda kuidagi tõestada Gemalto süüd turvaveas, mille Tšehhi teadlased toodetud ID-kaardi kiipidel olid avastanud.

Gemaltol on kohustus tarnida PPA-le ilma veata kaarte ning olulisest infost anda teada lepingus sätestatud kontaktisikule kirjalikult. PPA-l on olemas vettpidavad tõendid kohtusse minekuks.

23. Nagu öeldud, oli info kõigil osalistel olemas juba juunis.

PPA Gemaltolt infot ID-kaardi turvariski kohta ei saanud ei juunis ega ka hiljem.

AG Gemalto

Seoses Eesti meedias neljapäeval, 6. septembril 2018 avaldatuga soovib Gemalto AG rõhutada, et ettevõte ei ole avalikustanud pressile ega mõnele teisele kolmandale osapoolele ükskõik millist informatsiooni, mis puudutab käimasolevaid kokkuleppele suunatud läbirääkimisi politsei- ja piirivalveametiga (PPA), olgu selleks siis läbirääkimiste toimumise fakt või nende sisu.

Gemalto AG ei laseks kunagi pressil või mõnel teisel kolmandal osapoolel sekkuda sarnastesse läbirääkimistesse, mis oma loomu poolest ja õnnestumise huvides peavad jääma konfidentsiaalseks.

Gemalto AG soovib jätkuvalt saavutada PPAga läbirääkimistel kompromissi, mille tunnistuseks on arvukad ja pidevad infovahetused ja kohtumised kokkulepe saavutamise nimel. Siinkohal kinnitame, et teeme endiselt suuri jõupingutusi, et jõuda selle eesmärgini ning täielikult ja lõplikult lahendada erimeelsused kohtuväliselt, kuna usume, et see oma mõlema poole huvides.

Kommentaarid (2)
Copy
Tagasi üles