- Global Voices по-русски - https://ru.globalvoices.org -

В Эстонии заблокировали 760000 электронных удостоверений личности из-за риска кражи личных данных

Категории: Восточная и Центральная Европа, Эстония, власть, гражданская журналистика, развитие, технологии, экономика и бизнес

Скриншот из рекламного ролика [1] о ID-картах с сайта правительства Эстонии e-Estonia.com [2].

[Ссылки ведут на страницы на английском языке, если не указано иного].

4 ноября 2017 года эстонское правительство заблокировало более 760 тысяч электронных ID-карт [3] (удостоверений личности) в связи с уязвимостью в системе безопасности, которая могла привести к раскрытию данных ID-карт, выпущенных с 16.10.2014 по 26.10.2017, и, возможно, даже более раннего выпуска.

Эстония в большей степени полагается на цифровые технологии, чем большинство других стран, для предоставления базовых услуг: рецепты на лекарство, голосование, банковские переводы и электронные подписи. Вообще, 98% эстонцев имеют ID-карты [2], которые они могут использовать в том числе для путешествий по Европе, доступа к медицинской страховке и уплаты налогов. Электронные ID-карты были введены в 2002 году и стали краеугольным камнем для всех электронных услуг в стране. Эстония является одним из мировых лидеров по быстроте широкополосного соединения, а также уровню электронной грамотности, доступу к интернету и развитию электронного правительства.

В рамках всеобщей программы борьбы с незаконным использованием личных данных программное обеспечение заблокированных ID-карт будет заменено на более новое и безопасное. Сертификаты удостоверений были отозваны после того, как группа специалистов из Чехии обнаружила в системе безопасности чипов дефект, [4] который мог привести к крупным утечкам личных данных граждан. Было обнаружено, что ID-карты, выпущенные с 16.10.2014 по 26.10.2017 (хотя возможно и выпущенные ранее, после 2012 года [4]), имели уязвимость в общедоступных и личных ключах шифрования и были плохо защищены от кражи персональных данных.

Чипы были выпущены компанией по производству микросхем Infineon, штаб-квартиры которой располагаются в США и Германии. Она предоставляет такие услуги, как государственная идентификация [5], безопасность мобильных систем и встроенные системы безопасности и доверенные вычисления.

По данным эстонского правительства, случаев дешифровки карт еще не было зафиксировано, а блокировка уязвимых ID-карт – это мера предосторожности для избежания кражи персональных данных граждан. Для бесперебойной работы электронного правительства примерно 35 тысяч жителей, использующих ID-карты для работы – государственные служащие и врачи, получили обновления системы безопасности первыми.

2 ноября 2017 года премьер-министр Эстонии Юри Ратас сказал [6]в своем заявлении  [7][эст]:

E-riigi toimimine püsib usaldusel ning riik ei saa lubada Eesti ID-kaardi omaniku identiteedi vargust. Praeguse teadmise järgi ei ole e-identideedi vargust aset leidnud, kuid PPA ja RIA ohuhinnang näitab, et see oht on muutunud reaalseks.

В основе работы электронного государства лежит доверие, и мы не можем допустить случаев кражи личных данных владельцев эстонских ID-карт. По последним данным, пока нет случаев воровства электронных ID, однако оценка этой угрозы Департаментом полиции и погранохраны и Департаментом государственной инфосистемы (RIA) указывает, что она реальна.

Найденная чешскими специалистами уязвимость актуальна не только для ID-карт в Эстонии. Предположительно все чипсеты от компании [8] Infineon, произведенные в указанное время, имеют тот же дефект. Следовательно, компьютерные системы во всему миру, в которых используются чипсеты Infineon, находятся под угрозой. Эта уязвимость подчеркивает те серьезные проблемы безопасности, возникающие вместе с оцифровкой ID-карт и государственных систем.

В обсуждениях этой проблемы в соцсетях, а в частности в Twitter, бывший президент Эстонской Республики (2006-2016) Тоомас Хендрик Ильвес [9] прокомментировал происходящее и предположил, что правда в том, что, по всей видимости, производитель этих карт, Gemalto [10], узнал об уязвимости еще в феврале, но не сообщил покупателям. Эстонские электронные ID-карты с 2001 года изготавливаются компанией Trub AG, которая в последствие была передана Gemalto AG, швейцарской фирме, использующей технологии Infineon [11].

Бывший президент Тоомас Хендрик Ильвес заявил [12], что голландская фирма «проинформировала коммерческих пользователей, но не клиентов из государственных служб», призвав журналистов глубже изучить эту проблему.

Или, может быть, история в том, что высокотехнологичное правительство быстро и разумно отреагировало на уязвимость в криптошифровании. Вот это новость!

Решение Эстонии заменить сертификаты карт привлекло внимание активистов информационного общества во всей центральной и восточной Европе. В обсуждении в Facebook [15] проживающий в Эстонии сербский IT-специалист рассказал о видении проблемы конечным пользователем в своем комментарии:

Obavestili su nas pre nekoliko meseci (dok je rizik bio samo teoretski), a pre par nedelja su pustili update sertifikata kroz zvaničnu app (ne mora da se menja ID). Trenutno ume da štuca autorizacija, ali imamo i rezervni način autorizovanja (preko mobilne app) tako da nismo blokirani.

Нас уведомили несколько месяцев назад (когда угроза была еще чисто теоретической), а пару недель назад они выпустили обновления сертификатов через мобильное приложение (поэтому никому не придется менять ID). В процессе авторизации иногда происходят сбои, но благодаря существованию резервного метода авторизации через телефон влияние блокировки совсем не ощущается.