Uudis

Hullem kui ID-kaardi kriis: Smart-ID turvaauk ajab pangad ja eksperdid ärevile

Kolm päeva tagasi saatis Riigi infosüsteemi amet (RIA) välja oma igakuise raporti selle kohta, mida huvitavat aprillis Eestis küberturbe alal juhtus. Nad kirjeldavad seal veebruaris alanud Smart-ID petuskeemi, aga “petuskeem” on selle kohta liiga viisakas sõna. Tegelikult on tegemist ID-kaardi kriisist alates kõige tõsisema küberriskiga Eestis, mis on ajanud ärevile nii selle ala asjatundjad kui ka Smart-ID-d kasutavad Eesti pangad.

Petuskeem seisnes selles, kirjutab RIA, et inimestele saadeti telefoni panga nimelt sõnum, mis suunas näiliselt panga sisselogimisleheküljele. Seal suunati inimene õngitsuslehele mobiil-ID-ga sisse logima.

Kui ohver oli sisestanud oma kasutajatunnuse, isikukoodi ja PIN 1, alustasid kurjategijad samal ajal uue Smart-ID konto loomist.

Ühest küljest tavaline õngitsusjuhtum, nagu neid on Eestis ikka ette tulnud ja juba pikka aega, kuid tähele tuleb panna, mida kurjategijad tegelikult tegid: nad lõid selle käigus inimestele Smart-ID kontod, mida nad said seejärel hakata täiesti segamatult ära kasutama nii netipanka sisse logimiseks, aga miks mitte ka digiallkirjade andmiseks.

Eelmise aasta novembrist on Smart-ID abil antud allkiri tunnustatud omakäelise allkirjaga võrdseks nagu ID-kaardi või Mobiil-ID abil antud allkiri.

Kõigi õngitsusjuhtumite ema

See kõik tähendab, et nende juhtumite näol polnud tegemist täiesti tavaliste õngitsusjuhtumitega, vaid, nagu võib öelda, kõigi õngitsusjuhtumite emaga. Täiusliku kuriteoga: õngitse inimene ära ühe korra ja sa oled saanud endale tema täieliku digitaalse identiteedi, mida võid kasutada ükskõik milleks, kuni keegi sind avastab, kui üldse avastab.

Smart-ID teenust ehitava firma SK Solutions juht andis samal päeval ka Geeniusele kommentaari, kus proovis juhtumeid üsna väikse asjana näidata.

“Sellised juhtumid saavad alati alguse hooletusest ja inimesed peavad ise tähelepanelikumad olema,” sõnas Pihl ja lisas, tegu on klassikalise õngitsusjuhtumiga. Ta lisas, et antud juhtumi valguses ei plaanita Smart-ID registreerimisel mingeid ümberkorraldusi teha.

Aga see pole sugugi tõsi. Tegemist on väga tõsise juhtumiga ja ilmselt tuleb Smart-ID juures teha mingisuguseid ümberkorraldusi, sest küberturvalisusega tegelevad inimesed on üsna närvilised.

“See on üks tõsisemaid asju, mida ma viimasel ajal olen näinud,” ütles LHV panga infoturbejuht Tiit Hallas. “Kui võrrelda ID-kaardi juhtumiga, siis praktilise ründe koha pealt on see oluliselt kriitilisem teema.”

Ta lisas, et SK ise on ka juhtumite pärast mures ning suhtuvad sellesse väga tõsiselt. Pankade ja SK vähel käib praegu agar arutelu, kuidas teha nii, et Smart-ID oleks endiselt turvaline.

Kuidas endale konto saab?

Lihtsalt väljendudes on Smart-ID probleem selles, kuidas inimesed endale konto saavad. ID-kaardi jaoks tuleb minna politsei- ja piirivalveametisse ning see dokument selleks koolitatud riigiametniku käest isiklikult taotleda.

Mobiil-ID saamiseks tuleb minna mobiilioperaatori esindusse, näidata sealsele töötajale oma dokumenti ning seepeale saad vastu spetsiaalse sinu Mobiil-ID andmetega SIM-kaardi. See tuleb omakorda veel ID-kaardiga aktiveerida ehk kontroll on mitmeastmeline.

Smart-ID, mis on sama kõva digitaalne identiteet nagu Mobiil-ID, saab aga palju lihtsamalt. Mugavuse ja lihtsuse mõttes on asjad korraldatud nii, et kuhugi kohale minema ei pea, oma nägu ega dokumenti kellelegi näitama ei pea. Tuleb vaid installida Smart-ID äpp, luua seal uus konto ning selleks tuvastada end Mobiil-ID abil.

Smart-ID kogu usaldusväärsus on pandud lootusele, et inimene, kes endale kontot teeb, tuvastab end Mobiil-ID kaudu, teeb seda ise ja täie teadmise juures ning on tõepoolest see inimene, mitte pettuse ohvriks langenu. Just see lootus vedaski Smart-ID pakkujaid alt.

Smart-ID kontosid võib olla ka mitu, kusjuures nad töötavad paralleelselt. Teise konto tegemiseks polnud telefoni vaja SIM-kaarti ning selle sai teha suvalise e-postiaadressiga.

Aga see pole veel kõik. Smart-ID kontosid võib inimesel olla mitu ehk kui sul juba üks konto on, saab sinna kõrvale teise seadmega teha teise konto. Proovisime selle toimetuses järele ning see toimis laitmatult, kusjuures teises telefonis kasutasime suvalist e-mailiaadressi ning telefonis polnud isegi SIM-kaarti.

See tähendab, et Smart-ID kasutajale nende teadmata konto loomiseks ei pea olema kurjategijad Eestist, vaid võivad olla kas või teisest maailma otsast, neil pole mingit seost Eesti ega ohvriga üldse vajagi.

Kui seejärel Smart-ID abil näiteks panka logida, pakkusid võimalust PIN-kood sisestada mõlemad telefonid, kuhu konto oli tehtud. Kui ühes, n-ö “päris” telefonis seda ignoreerida, sai PIN-koodi sisestada kenasti teises, “kurjategija” telefonis ning netipank avanes ikkagi.

See on suur turvaauk

Hetkel pole kellelgi täpselt teada, kui palju selliseid juhtumeid juba on ehk kui mitmele inimesele Eestis on nende tähelepanematust ära kasutades õngitsussõnumite abil tehtud võlts Smart-ID konto. RIA teatel on juhtumeid mitmeid, aga viimastel päevadel on sellesisulisi teateid neile ka juurde tulnud.

Mitmete Geeniusega rääkinud turvaasjatundjate jaoks on suur küsimärk see, kas nii kõva digitaalset identiteeti peaks saama välja anda nii lõdvalt ehk ilma inimest füüsiliselt tuvastamata. Osad neist väljendavad muret anonüümselt, osad oma nime alt.

Näiteks endine RIA küberturbeekspert, praegu küberturbefirmas CybExer töötav Klaid Mägi nimetas seda suureks turvaauguks ja ütleb, et sellesse tuleb suhtuda äärmiselt tõsiselt.

Närvis on ka mobiilioperaatorid, kes tegelikult konkureerivad Smart-ID lahendusega, sest erinevalt Mobiil-ID-st jäävad operaatorid Smart-ID puhul mängust üldse kõrvale.

Elisa telekomiteenuste valdkonna juht Mailiis Ploomann ütles, et kui me räägime inimese digitaalsest identiteedist, siis on see vaieldamatult toode, millega eksperimenteerimine lihtsalt ei saa olla lubatud.

“Tegemist ei olnud turvaauguga, mille kaudu mõnda konkreetsesse keskkonda sisse logiti,” rääkis Ploomann. “Selle juhtumi puhul loodi digitaalne isikutunnistus inimese teadmata ning protsess võimaldas seda teha. Selles ei saa süüdistada kasutajat, kasutuses on protsess, mis võimaldab ja kutsub nii kurjategijaid inimeste IT-oskuseid ja teadmisi proovile panema ja võimalusel ka kohe kuritarvitama.”

Paberid on korras

Üks küsimus on, et kuidas sellisel puhul üldse saab Smart-ID olla sama tugev digitaalne identiteet kui ID-kaart või Mobiil-ID. Smart-ID on sertifitseeritud Saksamaal vastavate küsimustega tegelevas ja väga usaldusväärses agentuuris TÜV Informationstechnik (TÜViT).

Nende antud sertifikaadis on aga kirjas, et TÜViT on kenasti sertifitseerinud ära Smart-ID tehnoloogia kui sellise turvalisuse, alates võtmete genereerimisest ja lõpetades mobiiliäpiga, kuid paketis pole igasuguseid muid küsimusi, kaasa arvatud näiteks kontode tegemise ja isikutuvastuse asju.

Selle kohta on ainult kirjas, et SK Solutions liidestab end usaldusväärsete väliste teenusepakkujatega, mis garanteerivad isiku tuvastamise kas olemasolevate digitaalsete identiteetide kaudu või füüsilise isikutuvastuse abil.

Nüüd on küsimus, mis saab edasi ning kas Smart-ID konto tegemine on võimalik muuta praegustes oludes turvalisemaks või peaks kogu süsteemi ümber ehitama nii, et ilma füüsilise isikutuvastuseta kontot üldse teha ei saakski.

“Juhul, kui Smart-ID soovib jätkata omakäelise allkirjaga võrdsel turvatasemel, siis tuleks viivitamatult viia protsessi sisse füüsiline isikutuvastuse komponent,” ütles Ploomann. “Antud hetkel peaksid teenusepakkujad Smart ID-de kaudu isikutuvastuse oma keskkondades sulgema. Hetkel ei saa pangad või teised teenusepakkujad olla kindlad, et inimene, kes Smart ID-ga sisse logib, on õige inimene, sest juba on toimunud mitu identiteedivargust. Kahetsusväärselt pole see hüpoteetiline olukord. See on fakt.”

Pangad on väga mures

Pangad Smart-ID suhtes nii karmid ei ole, kuigi tunnistavad, et nad on väga mures.

“Mul on mure olemas, aga me Smart-ID kinnipanekut täna veel kaalunud ei ole,” ütles Tiit Hallas. “Meil on pangaliidu ja SK-ga arutelu, kuidas selle asja võimalikult kiiresti kontrolli alla saaks. Me peame midagi välja mõtlema.”

Swedbanki finantskuritegude vastase üksuse juht Indrek Tibar peab toimunud Smart-ID petuskeemi tõsiseks juhtumiks, aga Smart-ID kinnipanemise varianti panka sisenemiseks hetkel ei kaaluta. Pigem näeb ta lahendust Smart-ID-le turvameetme lisamisega ja inimeste teadlikkuse tõstmisega.

“Kui ikkagi kliente rünnatakse, siis see on tõsine asi,” ütleb Tibar, kuid nendib samas, et analüüs on neil alles pooleli. “Smart-ID kui selline pole midagi valet, pigem on üks küsimus selles, et kuidas veenduda, et Smart-ID kasutajakonto tegija ja hiljem kasutaja pole mõni kolmas isik, kellel selleks õigustus puudub. Ehk on vaja mingeid täiendavaid kontrolle välja mõelda?”

Konto loomisel saab nüüd Smart-ID käest ka SMSi infoga ning SK loodab, et just see sõnum äratab inimestes kahtlust, kui nad tegelikult kontot teinud pole ning päästab turvaaugust.

Tiit Hallas pakub välja ka võimaluse, et kui inimene Smart-ID abil panka logib, saaks pank selle kohta mingit täiendavat infot, näiteks mis seadmelt Smart-ID kinnitus anti ja nii edasi. Praegu nad autentimise kohta mingit lisainfot ei saa peale selle, et autentimine oli edukas ja inimene tuleks panka lubada.

Üks asi on praeguseks tehtud. Kui inimesel on Smart-ID konto juba olemas ja talle luuakse teine konto, siis saab ta esimese konto teinud telefoninumbrile SMSi infoga, et tal on nüüd ka teine konto.

Hallas loodab, et sellest on abi. “Niipea, kui saad sõnumi et sinu nimele tehti Smart-ID, siis inimene peab teadma, et see on tõsine asi ja kui ta ise pole seda kontot teinud, siis ta peaks kohe helistama SKsse ja laskma selle kinni panna,” rääkis ta.

SK: kõik ei pea kuuliveste kandma

SK ID Solutionsi juht Kalev Pihl ütleb, et probleemiga peab tegelema, aga mitte nii, et kui kusagil pätt, siis peavad kõik teised inimesed maailmas hakkama kuuliveste kandma.

Kasutajatele ebamugavuste tekitamine pole Pihli sõnul lahendus.

“Seda balanssi me otsime ja parendusi oleme tegelikult päris palju teinud selle viimase kuu ajaga. Ründeedukus oleks täna oluliselt väiksem, kui kuu aega tagasi,” ütles ta.

Ka Pihl loodab sellele, et inimestele laekuv SMS teeb nad valvsaks ja lisaks avaldas ta lootust, et inimestele varikontosid teinud kurjategijad leitakse üles ja võetakse vastutusele.

Küsimusele, kas kas SK-l on plaanis Smart-ID konto registreerimise protsessi muuta, vastas Pihl, et see on kaalumise kohta.

“Me oleme mitu-mitu sammu sinna vahele teinud. Aga teisest otsast, tahan öelda, et me peame tegelema pättide püüdmisega,” lausus ta.

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.