Скриншот из рекламного ролика [1] о ID-картах с сайта правительства Эстонии e-Estonia.com [2].
[Ссылки ведут на страницы на английском языке, если не указано иного].
4 ноября 2017 года эстонское правительство заблокировало более 760 тысяч электронных ID-карт [3] (удостоверений личности) в связи с уязвимостью в системе безопасности, которая могла привести к раскрытию данных ID-карт, выпущенных с 16.10.2014 по 26.10.2017, и, возможно, даже более раннего выпуска.
Эстония в большей степени полагается на цифровые технологии, чем большинство других стран, для предоставления базовых услуг: рецепты на лекарство, голосование, банковские переводы и электронные подписи. Вообще, 98% эстонцев имеют ID-карты [2], которые они могут использовать в том числе для путешествий по Европе, доступа к медицинской страховке и уплаты налогов. Электронные ID-карты были введены в 2002 году и стали краеугольным камнем для всех электронных услуг в стране. Эстония является одним из мировых лидеров по быстроте широкополосного соединения, а также уровню электронной грамотности, доступу к интернету и развитию электронного правительства.
В рамках всеобщей программы борьбы с незаконным использованием личных данных программное обеспечение заблокированных ID-карт будет заменено на более новое и безопасное. Сертификаты удостоверений были отозваны после того, как группа специалистов из Чехии обнаружила в системе безопасности чипов дефект, [4] который мог привести к крупным утечкам личных данных граждан. Было обнаружено, что ID-карты, выпущенные с 16.10.2014 по 26.10.2017 (хотя возможно и выпущенные ранее, после 2012 года [4]), имели уязвимость в общедоступных и личных ключах шифрования и были плохо защищены от кражи персональных данных.
Чипы были выпущены компанией по производству микросхем Infineon, штаб-квартиры которой располагаются в США и Германии. Она предоставляет такие услуги, как государственная идентификация [5], безопасность мобильных систем и встроенные системы безопасности и доверенные вычисления.
По данным эстонского правительства, случаев дешифровки карт еще не было зафиксировано, а блокировка уязвимых ID-карт – это мера предосторожности для избежания кражи персональных данных граждан. Для бесперебойной работы электронного правительства примерно 35 тысяч жителей, использующих ID-карты для работы – государственные служащие и врачи, получили обновления системы безопасности первыми.
2 ноября 2017 года премьер-министр Эстонии Юри Ратас сказал [6]в своем заявлении [7][эст]:
E-riigi toimimine püsib usaldusel ning riik ei saa lubada Eesti ID-kaardi omaniku identiteedi vargust. Praeguse teadmise järgi ei ole e-identideedi vargust aset leidnud, kuid PPA ja RIA ohuhinnang näitab, et see oht on muutunud reaalseks.
В основе работы электронного государства лежит доверие, и мы не можем допустить случаев кражи личных данных владельцев эстонских ID-карт. По последним данным, пока нет случаев воровства электронных ID, однако оценка этой угрозы Департаментом полиции и погранохраны и Департаментом государственной инфосистемы (RIA) указывает, что она реальна.
Найденная чешскими специалистами уязвимость актуальна не только для ID-карт в Эстонии. Предположительно все чипсеты от компании [8] Infineon, произведенные в указанное время, имеют тот же дефект. Следовательно, компьютерные системы во всему миру, в которых используются чипсеты Infineon, находятся под угрозой. Эта уязвимость подчеркивает те серьезные проблемы безопасности, возникающие вместе с оцифровкой ID-карт и государственных систем.
В обсуждениях этой проблемы в соцсетях, а в частности в Twitter, бывший президент Эстонской Республики (2006-2016) Тоомас Хендрик Ильвес [9] прокомментировал происходящее и предположил, что правда в том, что, по всей видимости, производитель этих карт, Gemalto [10], узнал об уязвимости еще в феврале, но не сообщил покупателям. Эстонские электронные ID-карты с 2001 года изготавливаются компанией Trub AG, которая в последствие была передана Gemalto AG, швейцарской фирме, использующей технологии Infineon [11].
Бывший президент Тоомас Хендрик Ильвес заявил [12], что голландская фирма «проинформировала коммерческих пользователей, но не клиентов из государственных служб», призвав журналистов глубже изучить эту проблему.
Estonian ID is not the only one made by Gemalto. However, no other govt made any noise. Probably because the cards are issued but never used.
— Giulio (@dullboy) November 8, 2017 [13]
Gemalto производит ID-карты не только для Эстонии. Однако правительства других стран молчат. Возможно, потому что карты были выпущены, но никогда не использовались.
Or perhaps the story is a tech-empathetic gov't that responded quickly and measuredly to a crypto security vulnerability. That is news!
— Andres Jaan Tack (@ajtack) November 8, 2017 [14]
Или, может быть, история в том, что высокотехнологичное правительство быстро и разумно отреагировало на уязвимость в криптошифровании. Вот это новость!
Решение Эстонии заменить сертификаты карт привлекло внимание активистов информационного общества во всей центральной и восточной Европе. В обсуждении в Facebook [15] проживающий в Эстонии сербский IT-специалист рассказал о видении проблемы конечным пользователем в своем комментарии:
Obavestili su nas pre nekoliko meseci (dok je rizik bio samo teoretski), a pre par nedelja su pustili update sertifikata kroz zvaničnu app (ne mora da se menja ID). Trenutno ume da štuca autorizacija, ali imamo i rezervni način autorizovanja (preko mobilne app) tako da nismo blokirani.
Нас уведомили несколько месяцев назад (когда угроза была еще чисто теоретической), а пару недель назад они выпустили обновления сертификатов через мобильное приложение (поэтому никому не придется менять ID). В процессе авторизации иногда происходят сбои, но благодаря существованию резервного метода авторизации через телефон влияние блокировки совсем не ощущается.