5. septembril avaldas Riigi Infosüsteemi Amet oma kodulehel www.ria.ee/ee/id-kaardi-kiibis-avastati-turvarisk.html pressiteate:
ID-kaardi kiibis avastati turvarisk
30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte.
„Eesti ekspertide praeguse hinnangu kohaselt on turvarisk olemas ja me jätkame teadlaste väidete kontrollimist,“ ütles RIA peadirektor Taimar Peterkop. „Oleme juba välja töötanud esmased lahendused riskide maandamiseks ning teeme kõik selleks, et ID-kaardi turvalisus oleks jätkuvalt tagatud.“
„Praeguse info kohaselt ei ole antud turvarisk realiseerunud ning mitte kellegi digitaalset identiteeti ei ole selle abil kuritarvitatud,“ ütles Peterkop. „Kõik ID-kaardiga tehtud toimingud kehtivad ja astume rea samme, et seda turvariski ei oleks võimalik Eesti ID-kaardi ründamiseks kasutada ka tulevikus. Sulgesime ID-kaardi avalike võtmete andmebaasi, kuna ilma avalikku võtit teadmata ei ole võimalik antud turvariski kaardi ründamiseks kasutada.“
Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte) ehk kokku ligi 750 000 kaarti. Enne 2014. aasta 17. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta. Samuti ei puuduta antud turvarisk mobiil-ID-d.
„Eesti digitaalne ühiskond kasutab maailmas uuenduslikke tehnoloogiaid. Uute tehnoloogiatega kaasnevad mugavused, kuid paraku alati ka riskid. Oluline on, kuidas võimalikke ohte avastatakse ja välditakse. Antud juhtum on hea näide sellest, kuidas teadlased annavad avastustest meile teada ning Eesti riik saab asuda probleeme lahendama,“ ütles RIA juht Taimar Peterkop.
Lisainfo ning küsimused-vastused meie klientidele:
ID-kaardi näol on tegu riiklikult väljastatud dokumendiga. Aktsepteerime ID-kaarti pangateenuste kasutamiseks, kuni riik peab seda piisavalt turvaliseks. Pangana kohaldame täiendavaid riskipõhiseid meetmeid, tagamaks täiendavaid kontrolle maksete üle. Pangamaksete tegemiseks internetipangas ei piisa vaid inimese ID-kaardi andmetest, selleks peab lisaks teadma ka internetipanga kasutajatunnust. Viimane neist ei ole avalikult kättesaadav informatsioon.
Kas ID-kaart on turvaline?
ID-kaardi näol on tegu riiklikult väljastatud dokumendiga. Pangad aktsepteerivad ID-kaarti pangateenuste kasutamiseks, kuni riik peab seda piisavalt turvaliseks. Küll võivad pangad kohaldada täiendavaid riskipõhiseid meetmeid, kui nad peavad seda vajalikuks. Kuni riik peab ID-kaarti turvaliseks, peame ka meie seda turvaliseks mooduseks isiku tuvastamiseks ja allkirjastamiseks internetipangas.
Kas ID-kaardile on alternatiive?
ID-kaardi asemel võib kasutada mobiil-IDd. Paljudesse teistesse teenustesse, näiteks pangateenustesse sisse logimiseks saab kasutada ka Smart-IDd ja PIN-kalkulaatorit.
Kust saab mobiil-ID?
Mobiili-ID saamiseks palume pöörduda mobiilioperaatori poole lepingu sõlmimiseks.
Kust saab Smart-ID?
Smart-ID-ga saavad mobiili-ID ja ID-kaardi kasutajad liituda internetis aadressil www.smart-id.com.
Kust saab PIN-kalkulaatori?
PIN-kalkulaatori saab osta pangakontorist.
Kas mobiil-ID ja Smart-ID on turvalised?
Smart-ID ja mobiil-ID kasutavad teistsugust tehnoloogiat ja seetõttu ei ole kõnesolevast riskist mõjutatud.
Mida see minu jaoks tähendab?
Hetkel ei muutu midagi, internetipanka saate kasutada endiselt. Pank informeerib kohe oma kliente oma kodulehe ja sotsiaalmeedia kaudu, kui internetipanga kasutamisel ID-kaardiga peaks toimuma muudatusi.
Kas ma peaksin midagi tegema juba praegu?
Internetipanga kasutamiseks on 5 võimalust: Smart-ID, mobiil-ID, PIN-kalkulaator, ID-kaart ja koodikaart. Ülevaate erinevatest võimalustest leiate www.seb.ee/foorum/igapaevased-rahaasjad/milline-alternatiiv-koodikaardile.
Milliseid ID-kaarte see puudutab?
Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte). Enne 2014. aasta 17. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta.
Kas ID-kaardiga internetipanka sisse logimine ja tehingute/lepingute allkirjastamine on ebaturvaline?
ID-kaardi näol on tegu riiklikult väljastatud dokumendiga. Aktsepteerime ID-kaarti pangateenuste kasutamiseks, kuni riik peab seda piisavalt turvaliseks. Kui me peame vajalikuks, siis kohaldame ID-kaardi kasutamisele täiendavaid riskipõhiseid meetmeid, nende rakendamisest informeerime oma kliente oma kodulehe, internetipanga ja sotsiaalmeedia vahendusel.
Kust ma saan infot internetipangas ID-kaardiga seotud piirangute rakendamise kohta?
Kui rakendame piiranguid ID-kaardiga internetipanka sisse logimisele ja/või allkirjastamisele, siis anname sellest teada oma kodulehel ja sotsiaalmeedia vahendusel.
Mis on SEB sotsiaalmeedia kontod?
Facebook: www.facebook.com/seb.eesti/ ja www.facebook.com/seb.eesti.ru/
Twitter: https://twitter.com/SEB_eesti
Olen välismaal, ma ei saa mobiil-ID endale vormistada.
Välismaal olles saate alla laadida omale Smart-ID rakenduse ja selle saate oma ID-kaardiga aktiveerida.