"Eesti ID-kaardi süsteem on uurimisobjektina väga põnev, sest tegu on päriselt kasutatava üleriigilise elektroonilise isikutuvastuse skeemiga," ütles Arnis Paršovs. Oma doktoritöös andis ta põhjaliku ülevaate kõikvõimalikest turvariskidest ja muudest juhtumitest, mis ID-kaardi süsteemis selle 18 kasutusaasta jooksul ette tulid. Selleks vaatas ta läbi mitusada teemakohast uudislugu ja kogus andmeid ID-kaardi süsteemiga seotud osapooltelt. Lisaks tegi ta ehtsate ID-kaartidega erinevaid katseid.

Vead ja formaalsused

"Andmete kogumine ja analüüs näitas, et erineva tõsidusega turvariske esines süsteemis mitmel pool," sõnas Arnis Paršovs. Aastate jooksul tuli muresid ette ID-kaardi kiipidega, kaartide tootmisel ja väljastamisel, PIN-koodi ümbrike trükkimisel, ID-kaardi tarkvaras ning mujalgi.

Veel märkas Paršovs üksjagu murekohti seadustest kinnipidamisel. "Näiteks on ID-kaardi platvormide turvasertifikaadid toiminud vaid formaalselt," märkis ta. Näiliselt turvalise sertifikaadisüsteemi tõttu on erinevad osapooled loonud hulganisti uusi ID-kaardi platvorme, jättes sealjuures turvavead kahe silma vahele.

Riigi Infosüsteemide Ameti (RIA) peadirektori asetäitja Margus Armi sõnul on turvalisus aga protsess. "Turvalisuse tagamiseks tuleb sellega iga päev tegeleda nii tehnoloogia kui ka protsesside poole pealt," ütles ta.

Samas avastas Paršovs, et praegu kasutatav lähenemine ei pruugi alati olla piisav. "Kõige olulisem avastus oligi, et ID-kaardi eelmine tootja Gemalto rikkus turvanõudeid ja lõi väljaspool süsteemi privaatseid ID-kaardi võtmeid," ütles ta. Paršovsi sõnul tegutses Gemalto niimoodi viis aastat, ilma et turvaauditid asjale jälile saanuks. Juhtum on uurija sõnul märkimisväärne, sest osutab, et praegused auditi-mehhanismid ei suuda tuvastada väärtegusid ID-kaartide tootmisprotsessis.

Margus Arm märkis, et siseauditid polegi mõeldud maandama kõiki võimalikke turvariske. Pigem kontrollitakse audititega, kas asutus või protsess vastab sellele seatud nõuetele ja standarditele. "Kui need nõuded ja standardid on juba ise puudulikud, siis ega siseaudit ka puudujääke välja ei too," ütles ta. 

Paršovsi andmetel pole ID-kaardi tootmisel aga midagi põhimõtteliselt muudetud, et seni ilmnenud riske edaspidi ära hoida ja kinnitas, et siseauditist poleks siin niikuinii abi. "Pigem võiks meil olla tehnoloogiline lahendus, mis jääb turvaliseks ka siis, kui ID-kaartide tootja on pahatahtlik," soovitas ta. Näiteks võiks toimida lävendi krüptograafial põhinevad turvaskeemid, ent uurija sõnul nõuavad need palju täiendavaid uuringuid ja arendustööd.

Armi sõnul pole RIA ID-kaartide tootmist kuigivõrd muutnud, sest iga muutus süsteemis tähendab muutust ka kaardi kasutajale. Kui teadlased mõne uue lahenduse välja pakuvad, hindavad RIA ning politsei- ja piirivalveamet (PPA) seda mõlemast vaatenurgast. "Siin ongi turvalisus versus kasutatavus või mugavus. Kogu aeg on üks ühel pool otsas ja teine teisel pool ning kusagil tuleb kompromiss leida," selgitas Arm.

Täiuslikku süsteemi pole olemas, aga…

Vaatamata ID-kaardi süsteemi pikale seniste turvaprobleemide nimekirjale on ID-kaart Arnis Paršovsi sõnul toiminud seni erakordselt hästi. "Tähelepanuväärseid ID-kaardi väärkasutuse juhtumeid pole just kuigi palju üles tähendatud," põhjendas ta.

Uurija oletab, et rahalise kasu peal väljas olevad kurikaelad eelistavad minna kergemat teed ehk rünnata kasutajaid Mobiil-ID ja Smart-ID kaudu. Viimaste kaudu kaotavad igal kuul raha kümned inimesed, kelle pangakontod langevad õngitsuse ohvriks. "ID-kaardil, Mobiil-ID-l ja Smart-ID-l on küll seaduse silmis samaväärne staatus, ent turvalisuse poolest on ID-kaart oma kahest sõsartööriistast tublisti üle," osutas Paršovs.

Mida võiks lugejad siis tema doktoritöö valguses kõrva taha panna? Paršovsi sõnul näitab tema töö, et turvariske ja muid probleeme ei uurita piisavalt. Sageli tuli ette juhtumeid, kus sama või sarnast viga juhtus mitu korda. "See tähendab, et juhtunust ei võeta õppust ja süsteemi ei parandata, et tulevikus sarnaseid juhtumeid ära hoida," ütles uurija. Ta pakkus välja, et juhtumitest teavitamine võiks muutuda läbipaistvamaks, sest nii tunneks asjasse segatud osapooled suuremat vastutust.

"Küsimus on laiemalt selles, kui edukalt suudab riik e-ID valdkonda hallata, arvestades, et riik ise on e-ID arenduses üks peamisi osalisi," märkis Paršovs veel. Ta lisas, et murekoht võib olla ka ressursinappus. Nimelt tunneb Eesti ID-kaarti ja selle ökosüsteemi täielikult vaid käputäis inimesi. Kõik nad on süsteemi haldamisega hõivatud ega tegele esmajoones süsteemi tõhustamisega.

Ainulaadne võimalus ja maha vaikitud probleemid

Arnis Paršovsi sõnul kasutavad Eesti ID-kaardile sarnast skeemi maailmas teisedki riigid, aga tema teada ei ole üheski riigis süsteem kasutusel nii laialt kui Eestis. "Seega on kõigil Eesti kogemusest palju õppida, sealhulgas ka pea 20 aasta jooksul ette tulnud turvaväljakutsetest ja probleemidest," ütles ta.

Ehkki Paršovs on kõigile oma infoallikatele väga tänulik, polnud tal enda sõnul siiski võimalik kõigi juhtumite kohta infot hankida. "Näiteks on 2017. aastal leitud ID-kaardi turvaviga hästi dokumenteeritud ja pea kõik Eestis teavad seda. Samas ei tea laiem avalikkus, et sarnase ulatusega juhtum avastati ka 2012. aastal," seletas ta.

Aastal 2012 leitud viga mõjutas kõiki 2011. aastal väljastatud kaartide kiipe. Kuna selleks ajaks said võimud veale jälile, otsustasid nad juhtunu üksikasjad avalikkuse ees maha vaikida. "Kahjuks ei tea me toonaseid üksikasju isegi nüüd, mil viga on ammu parandatud," märkis Paršovs. "Sestap võib ID-kaardiga olla juhtunud veel ohuolukordi, millest me midagi ei tea."

Margus Arm ütles 2011. aasta juhtumi kohta, et nüüd on keeruline 10 aasta taguseid otsuseid selgitada. "Ma ise usun igal juhul, et tol hetkel tehti otsused, tuginedes tolle aja riski- ja ohuhinnangutele," ütles ta. Üldjuhul eelistabki RIA esmalt mistahes ohu kõrvaldada ja alles seejärel avalikkust teavitada. Arm lisas, et vastasel korral annaks amet ise kurjategijatele tööriistad kätte.

Lisaks oli 2017. ja 2012. aasta juhtumitel põhimõttelisi erinevusi. "Kui 2017. aastal oleks nõrkust saanud ära kasutada ka siis, kui ID-kaart ei olnud ründaja käes ehk ilma omaniku teadmata, siis 2011. aastal oli pigem olukord selles, et neid nõrkusi ei saanud ära kasutada ilma füüsiliselt kaarti omamata," selgitas Arm. Teisisõnu polnud hoolas inimene, kes oma kaardil silma peal hoidis, 2012. aastal võimalikus ohus.

Siiski märkis Paršovs, et ajalooliselt peavad võimuesindajad ID-kaardi turvalisust oma siseasjaks, mida pole vaja avalikult arutada. "Loodan, et see muutub nüüd, sest ID-kaardi ja üleüldse e-ID süsteemi turvalisus on kogu digiühiskonna mure," ütles ta.

Arm nõustus, et riik võib edaspidi vajadusel läbipaistvam olla. "Nagu Arnise töö ka näitab, siis selline varjamine ajaloos ei vii kuhugi lõpuks välja ning tehnoloogia ja kõik muugi areneb edasi," ütles ta. Varem või hiljem avastavad teadlased juhtunud probleemid, mistõttu on Armi sõnul parem juhtumitest ise rääkida. "Siis on küsimus usalduses ja ma arvan küll, et pigem rääkida, kui varjata," märkis ta.

Arvutiteaduste instituudi doktorant Arnis Paršovs on uurinud Eesti ID-kaardi ökosüsteemi pea kümme aastat. Ta kaitseb informaatika erialal doktoritööd "Estonian Electronic Identity Card and its Security Challenges" ("Eesti elektrooniline ID-kaart ja selle turvaväljakutsed")  9. aprillil Tartu Ülikoolis.