ID-kaardi riske saab hajutada, kuid vaja on ka varuvarianti
ID-kaardi kriisi puhkemisest möödus hiljuti kaheksa kuud. Kolmapäeval toimus Kultuurikatlas konverents, kus esines ka turvariski avastanud Tšehhi krüptograaf Petr Švenda. Arvutiteadlane soovitas küll riiki usaldada, kuid ka survestada seda pidevalt riske hajutama.
"Ma ei arva, et valitsust ei peaks üldse usaldama. Ma ei suundu sinnapoole, aga kui sa sõltud tõesti ainult ühest lahendusest, üht tüüpi kiibist, siis on see probleem, mida peaks hajutama tehniliselt ja isiklikult," märkis Švenda.
Eestis kiirendas ID-kaartide uuesti kasutuskõlbulikuks muutmist just varasem kogemus mobiil-ID'ga. Vea kõrvaldamine tähendas aga, et mõlemad süsteemid põhinevad praegu sarnasel turvalahendusel – elliptkõveratel.
Seega, kui hakatakse välja andma uusi ID-kaarte, peaks kindlasti tegelema ka sellega, et muuta uuesti turvaliseks vana meetodi, RSA-krüptosüsteemi kasutamine. Selleks peaksid need mahutama vanadest kaartidest pikemaid võtmeid.
"Ideaalis tahaksin ma näha, et neid kasutataks paralleelselt, sest kui ühte süsteemi rünnatakse, saame kiiresti ühelt teisele minna või ideaalselt ei pea me vahetust tegema, sest allkiri antakse kahe täiesti erineva meetodiga. Kui üks on haavatav, jääb teine puutumata," laiendas krüptograaf.
Seda vajadust on Eestis tema sõnul üldiselt hästi mõistetud. "Tähtis ei ole mitte see, et me ajame mingisugust unistust taga, vaid me aktsepteerimegi, et mingitel hetkedel mingid asjad võivad katki minna ja sellisteks puhkudeks on vaja välja töötada alternatiivid," toonitas ka Tallinna Tehnikaülikooli tarkvarateaduse dotsent Rain Ottis.
Süsteemi kokkukukkumist ei saa vältida aga ainult tehnika hankimisega. Vaja on inimesi, kes asja tunnevad. "Kui meil on eksperte liiga vähe mingisuguse konkreetse valdkonna jaoks ja need eksperdid ei juhtu parasjagu saadaval olema, siis vahet pole, palju seda kola on kuskil serveriruumis või mitu rida koodi on. On vaja neid eksperte, kes suudavad selle mõistlikult kokku panna, vajadusel ära parandada ja lõpuks ka inimestel arusaadavalt ära seletada, mis siis nüüd tehti ja kuidas see kõik paremaks teeb," lisas dotsent.
Selle eelduseks on pidev koostöö ettevõtete, akadeemilise maailma ja riigi vahel. "Kui midagi juhtub, on väga hea, kui on juba teada usaldusväärsed inimesed ja kes on kursis sellega, kuidas on süsteemid üles ehitatud. Kuuekuulise sisselogimisperioodi asemel saab käised kohe üles keerata," märkis Ottis.
Seega peab Eesti korraga panustama nii arvutiteadlaste kui ka kommunikatsioonispetsialistide koolitamisse. Ja lisaks tuleb survestada riiki riske hajutama.
