Mart Parve: ID-kaardi turvaprobleem on ülepaisutatud

“Kui kas või üks ID-kaart on murtud, tuleb kõik veaga kaardid sulgeda,” lõpetab Geenius oma artikli ID-kaardi turvaprobleemidest. Samasugustest hüsteerilistest nootidest on kantud kogu digitaalse identiteedi turvatemaatika. “Kui pulk läks katki, siis tuleb kohe kogu trumm minema visata!”

Hull lugu. Aga mis siis ikkagi täpselt juhtub, kui üks ID-kaart murda? Kurjategijad on enamaltjaolt rahateenimise äris ning kui ühe kaardi murdmisesse on investeeritud kümneid tuhandeid eurosid, peaks olema näha võimalus see investeering mitmekordselt tasa teenida. Kuidas?

Esimene hüsteeriline reaktsioon võiks olla midagi sellist: “Nad võtavad siis kogu mu raha ja vara!” Kuid kas ikka võtavad? Esimese filtri seab juba asjaolu, et suure mõjuga tehinguid tuleb ka digitaalsel ajastul siiski minna notari juurde sõlmima. Näiteks oma kinnisvara pärast ei pea sa muretsema ka siis, kui kirjutad PIN-koodid markeriga kaardi peale ning viskad kaardi tänavale. Sama kehtib ettevõtete müügi kohta. Päris kogu raha ja vara niisiis löögi all ei ole.

Murrame pangakontole?

Aga vaatame edasi. Mis siis veel teha saaks? Hopaa, aga mis oleks, kui kurjategija valib eriti varaka ohvri, logib tema pangakontole ja kannab sealt raha välja? See on juba tõsisem mure. On ju teada, et maailmas eksisteerivad küberkurjategijate võrgustikud, kes kannavad raha kontolt teistese pankadesse, kust siis tankistid eksootilistes riikides raha sulas välja võtavad ning öhe haihtuvad. Ent kui ID-kaardi turvanõrkust serveeritakse eelkõige lõppkasutaja probleemina, siis tegelikult vastutab pangaklient tehnilise vahendi turvaprobleemi tõttu varastatud raha eest vaid 150 euro ulatuses. Pankadel on niisiis tõesti põhjust muretseda, ent eraisikutel nii väga mitte.

Kuid kuidas on lood keerukamate rünnetega? Näiteks kas ei või kurjategija asutada ohvri nimele ettevõtet ning asuda raha pesema või riigilt raha välja petma? Ka see meetod ei tundu paljulubav. Esiteks saab ohver kohe oma eesti.ee mailiaadressi peale teatise, et on loodud mingi ettevõte. Teiseks ei ole võimalik sellele ettevõttele vähemalt Eestis pangakontot luua, ilma et ohver ise oma näoga ei figureeriks. Kolmandaks tehakse selliseid pättusi täna tankistide abiga, oluliselt väiksema kuluga kui kaardimurdmine.

Digiallkiri ja päris allkiri

Ning mis põhiline – ärgem unustagem, et digiallkiri on võrdne omakäelise allkirjaga. Kui turvakontekstis viidatakse sellele kui õudsele asjaolule (“Vaadake, nad saavad ID-kaardiga KÕIKE teha, mida omakäelise allkirjagagi!”), siis see seos töötab ka teistpidi. Võltsitud omakäelisi allkirju pööratakse kohtus väga vabalt tagasi.

Lisaks saab tunnistada kohtus kehtetuks eksimuse mõjul antud allkirjad – sellised, mida normaalne inimene mõistlikel tingimustel poleks andnud. Näitena saab siin tuua juhud, kus eluheidikud või ülekavaldatud vanainimesed on saanud tagasi neilt välja petetud kodud.

ID-kaardi osas pole minu teada küll veel kohtupraktikat, aga eks räägi seegi ju eelkõige sellest, kui turvaline see vahend on olnud.