Viroa kohahdutti eilen tieto digitaalisten henkilökorttien tietoturvariskistä. Jopa pääministeri Jüri Ratas keskeytti ulkomaanmatkansa korttipulman vuoksi.
Pahimmillaan ID-kortin hakkeroinut henkilö olisi voinut luoda kortin omistajasta virtuaalikloonin ja toimia verkossa hänenä.
Postimees-lehti kertoo tarkemmin, mitä korttiongelma tarkoittaa ja mitä sen avulla olisi mahdollista saada aikaan.
Riigi Infosüsteemi Amet (Viron Valtion Informaatilaitos eli RIA) sai viikko sitten kansainväliseltä tutkijaryhmältä tiedon henkilökorttien turvariskistä. Riski koskee noin 750 000 digitaalista henkilökorttia, jotka on myönnetty vuoden 2014 lokakuun jälkeen.
Lehden mukaan korttiongelma liittyy sen kolme vuotta sitten uudistettuun siruun. Eurooppalaiset it-spesialistit löysivät neljä-viisiasteisen ketjun, jonka avulla ihmisten henkilökohtaisia kortteja on mahdollista hakkeroida rikollisessa tarkoituksessa.
Digiklooni ihmisestä
Ihmisestä olisi mahdollista tehdä digitaalinen klooni ja käyttää ID-korttiin liitettyjä palveluita hyväkseen ilman korttia ja PIN-koodeja. Tärkeimmät ja samalla eniten haittaa aiheuttavat ID-kortin mahdollisuudet ovat henkilöllisyyden varmistaminen ja digitaalinen allekirjoitus.
Koko kohun aiheuttanut riski sisältyy ID-kortissa olevan sirun yhteen ohjelmiston osaan. Riski syntyy, kun siru on tekemisissä Viron valtion korttiin tilaaman ohjelmiston kanssa.
Digitaalinen ID-kortti koostuu avoimesta ja yksityisestä avaimesta. Postimees kirjoittaa, että asiantuntijat ovat ilmeisesti saaneet selville, kuinka julkisesta voidaan tehdä yksityinen avain ja toimia sen avulla.
RIA:n asiantuntijat haluavat muistuttaa, että paniikkiin ei ole syytä. Riski on lähinnä teoreettinen, kortit olisi rikollisesti hakkeroitava yksi kerrallaan. Koko systeemiä ei saa haltuun kerralla.
ID-kortin saaminen rikolliseen tarkoitukseen vaatisi myös todella paljon laskentatehoa ja useiden kymmenien tuhansien eurojen verran tietokoneaikaa. Rikollisella on myös vastassaan muita, esimerkiksi kortinlukijaan liittyviä ongelmia ohitettavanaan.
RIA:n laskelmien mukaan yhden kortin murtaminen maksaisi rikolliselle noin 80 000 euroa. Kaikkien 750 000 kortin noin 60 miljardia.
Vaalit vaarassa
Digitaalinen henkilökortti ja siihen liittyvät palvelut ovat olleet kansalaisten joukossa ja poliittisellakin kentällä yksimielisesti hyväksyttyjä asioita vuosituhannen alusta.
Nyt on alkanut kuulua ääniä, jotka vaativat jopa tulevien paikallisvaalien e-äänestyksen poistamista. Kunnallisvaalit ovat Virossa lokakuun 15. päivä. Maan keskusvaalilautakunta pohtii, voiko e-äänestämistä toteuttaa lainkaan.
Digitaalisen henkilökortin mahdollista turva-aukkoa on ehditty pitää ennen kaikkea e-Viron mainetta tahraavana asiana.
Oikeusministeri Urmas Reinsalu sanoo päivän Postimehessä, että ID-kortin ympärillä vellova keskustelu täytyisi pitää irti e-vaaleista. Esimerkiksi Viron Konservatiivisen Kansanpuolueen nokkamies Mart Helme on sanonut, että nyt on tapahtunut se, mitä olisi pitänyt pelätä jo paljon aiemmin.
Viron entinen presidentti Toomas Hendrik Ilves on myös ottanut kantaa asiaan. Digitaalisuuden puolesta paljon omana presidenttiaikanaan puhuneen Ilveksen mukaan kyse on mekaanisesta ongelmasta, eikä asia ole päivänpolitiikkaa.
Toistaiseksi ei ole tullut ilmi yhtään tapausta, jossa virolaista henkilökorttia olisi rikollisesti hakkeroitu.