ID-kaardi kiibis avastatud turvarisk ja küsimused-vastused meie klientidele
Toome ära Riigi Infosüsteemi Ameti teate ID-kaardi kiibis avastatud turvariski kohta ning küsimused-vastused meie klientidele seoses ID-kaardi kasutamisega internetipangas.
5. septembril avaldas Riigi Infosüsteemi Amet oma kodulehel www.ria.ee/ee/id-kaardi-kiibis-avastati-turvarisk.html pressiteate:
ID-kaardi kiibis avastati turvarisk
30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte.
„Eesti ekspertide praeguse hinnangu kohaselt on turvarisk olemas ja me jätkame teadlaste väidete kontrollimist,“ ütles RIA peadirektor Taimar Peterkop. „Oleme juba välja töötanud esmased lahendused riskide maandamiseks ning teeme kõik selleks, et ID-kaardi turvalisus oleks jätkuvalt tagatud.“
„Praeguse info kohaselt ei ole antud turvarisk realiseerunud ning mitte kellegi digitaalset identiteeti ei ole selle abil kuritarvitatud,“ ütles Peterkop. „Kõik ID-kaardiga tehtud toimingud kehtivad ja astume rea samme, et seda turvariski ei oleks võimalik Eesti ID-kaardi ründamiseks kasutada ka tulevikus. Sulgesime ID-kaardi avalike võtmete andmebaasi, kuna ilma avalikku võtit teadmata ei ole võimalik antud turvariski kaardi ründamiseks kasutada.“
Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte) ehk kokku ligi 750 000 kaarti. Enne 2014. aasta 17. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta. Samuti ei puuduta antud turvarisk mobiil-ID-d.
„Eesti digitaalne ühiskond kasutab maailmas uuenduslikke tehnoloogiaid. Uute tehnoloogiatega kaasnevad mugavused, kuid paraku alati ka riskid. Oluline on, kuidas võimalikke ohte avastatakse ja välditakse. Antud juhtum on hea näide sellest, kuidas teadlased annavad avastustest meile teada ning Eesti riik saab asuda probleeme lahendama,“ ütles RIA juht Taimar Peterkop.
Lisainfo ning küsimused-vastused meie klientidele:
ID-kaardi näol on tegu riiklikult väljastatud dokumendiga. Aktsepteerime ID-kaarti pangateenuste kasutamiseks, kuni riik peab seda piisavalt turvaliseks. Pangana kohaldame täiendavaid riskipõhiseid meetmeid, tagamaks täiendavaid kontrolle maksete üle. Pangamaksete tegemiseks internetipangas ei piisa vaid inimese ID-kaardi andmetest, selleks peab lisaks teadma ka internetipanga kasutajatunnust. Viimane neist ei ole avalikult kättesaadav informatsioon.
Kas ID-kaart on turvaline?
ID-kaardi näol on tegu riiklikult väljastatud dokumendiga. Pangad aktsepteerivad ID-kaarti pangateenuste kasutamiseks, kuni riik peab seda piisavalt turvaliseks. Küll võivad pangad kohaldada täiendavaid riskipõhiseid meetmeid, kui nad peavad seda vajalikuks. Kuni riik peab ID-kaarti turvaliseks, peame ka meie seda turvaliseks mooduseks isiku tuvastamiseks ja allkirjastamiseks internetipangas.
Kas ID-kaardile on alternatiive?
ID-kaardi asemel võib kasutada mobiil-IDd. Paljudesse teistesse teenustesse, näiteks pangateenustesse sisse logimiseks saab kasutada ka Smart-IDd ja PIN-kalkulaatorit.
Kust saab mobiil-ID?
Mobiili-ID saamiseks palume pöörduda mobiilioperaatori poole lepingu sõlmimiseks.
Kust saab Smart-ID?
Smart-IDga saavad mobiili-ID ja ID-kaardi kasutajad liituda internetis aadressil www.smart-id.com.
Kust saab PIN-kalkulaatori?
PIN-kalkulaatori saab osta pangakontorist.
Kas mobiil-ID ja Smart-ID on turvaline?
Smart-ID ja mobiil-ID kasutavad teistsugust tehnoloogiat ja seetõttu ei ole kõnesolevast riskist mõjutatud.
Mida see minu jaoks tähendab?
Hetkel ei muutu midagi, internetipanka saate kasutada endiselt. Informeerime koheselt oma kliente oma kodulehe ja sotsiaalmeedia kaudu, kui internetipanga kasutamisel ID-kaardi peaks toimuma muudatusi.
Kas ma peaksin midagi tegema juba praegu?
Internetipanga kasutamiseks on 5 võimalust: Smart-ID, mobiil-ID, PIN-kalkulaator, ID-kaart ja koodikaart. Ülevaate erinevatest võimalustest leiate www.seb.ee/foorum/igapaevased-rahaasjad/milline-alternatiiv-koodikaardile.
Milliseid ID-kaarte see puudutab?
Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte). Enne 2014. aasta 17. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta.
Kas ID-kaardiga internetipanka sisse logimine ja tehingute/lepingute allkirjastamine on ebaturvaline?
ID-kaardi näol on tegu riiklikult väljastatud dokumendiga. Aktsepteerime ID-kaarti pangateenuste kasutamiseks, kuni riik peab seda piisavalt turvaliseks. Kui me peame vajalikuks, siis kohaldame ID-kaardi kasutamisele täiendavaid riskipõhiseid meetmeid, nende rakendamisest informeerime oma kliente oma kodulehe, internetipanga ja sotsiaalmeedia vahendusel.
Kust ma saan infot internetipangas ID-kaardiga seotud piirangute rakendamise kohta?
Kui rakendame piiranguid ID-kaardiga internetipanka sisse logimisele ja/või allkirjastamisele, siis anname sellest teada oma kodulehel ja sotsiaalmeedia vahendusel.
Mis on SEB sotsiaalmeedia kontod?
Facebook: www.facebook.com/seb.eesti/ ja www.facebook.com/seb.eesti.ru/
Twitter: https://twitter.com/SEB_eesti
Olen välismaal, ma ei saa mobiil-ID omale vormistada
Välismaal olles saate alla laadida omale Smart-ID rakenduse ja selle saate oma ID-kaardiga aktiveerida.
Miks ma peaksin tegema omale Smart-ID või mobiil-ID?
Alati on hea omada mitut lahendust. Näiteks on hea omada tagavaravõtit - kui ühega midagi juhtub, siis saab kasutada teist. Sama on isiku tuvastamise ja digitaalse allkirjastamisega. Kui ühte lahendust ei ole võimalik kasutada, saab kasutada teist. Hea kui see võimalus on olemas enne, kui selleks tekib vajadus.
Kumba soovitate? Smart-ID või mobiil-ID?
Mobiil-ID kasutamisvõimalused on hetkel laiemad, kui Smart-ID kasutamisel. Kui kõne all on üksnes internetipanga kasutamine, siis soovitame teha endale võimalusel mõlemad, alati on hea, kui on olemas erinevad lahendused (Smart-IDl puudub teenustasu, kuid see ei tööta ilma internetiühenduseta, mobiil-IDl on kuutasu, kuid see töötab sõnumite põhiselt ja seetõttu lisanduvad sellele välismaal kasutamisel teenustasud ning olenevalt roaminguoperaatorist võib olla sõnumite liikumisel viivitus, mis segab toimingute tegemist). Ülevaate erinevatest võimalustest leiate www.seb.ee/foorum/igapaevased-rahaasjad/milline-alternatiiv-koodikaardile.
Kas ja kuidas saan oma ID-kaardi sertifikaadid tühistada? Kas seda peaks tegema?
Sertifikaate saab peatada ID-kaardi abitelefonil 1777. Lisainfot leiab www.id.ee lehelt.
Sertifikaadid võib peatada või tühistada iga kaardi omanik ise või teenusepakkuja. Praegu selleks otsest vajadust ei ole. Kui olukord muutub, siis teavitatakse sellest kaardiomanikke kohe.
Kui kaardiomanik tahab kuritarvituse võimaluse välistada, võib soetada mobiil-ID või Smart-ID ja selle aktiveerimise järel ID-kaardi sertifikaadid peatada või tühistada.
Sertifikaadi peatamise korral saab sertifikaadi uuesti aktiveerida, tühistamise korral kaarti enam digitaalselt kasutada ei saa ja tuleb tellida uus kaart.