04.11.2016, 12:29

Lugeja: Eesti ID turvalisus on püsinud suuresti ainult põhjusel, et tegemist on globaalses mõttes kärbsemusta suuruse keskkonnaga

Rahva hääle lugeja

Foto on illustratiivne

FOTO: Foto: Ester Vaitmaa

Tänane Päevaleht kirjutab sellest, kuidas Sertifitseerimiskeskus tutvustas eile uut e-identiteedi lahendust Smart-ID. Sisuliselt meenutab see senist mobiil-ID-d, kuid kasutajatel on võimalus kasutajaks hakata ka SIM-kaarte vahetamata ja enam ei pea ka operaatoritele teenustasu maksma. Lugejale jääb selgusetuks selle "tasuta lõuna" äriplaan, et plaanitakse laieneda turgudele, aga kuidas raha teenitakse või kes maksma hakkab?

Isegi kui tarbijale äpp on tasuta ja pankadele ja teistele tasuline, maksab tarbija selle lõpuks kinni - seega tasuta ei ole tegelikkuses midagi.
Turvalisuse kohapealt ma väga optimistlik ei oleks, nii nagu arvutis on võimalik klaviatuuri pealt kuulata, teada saada kasutajanimesid ja paroole, on mobiilimaailmas see veel lihtsam.

On lausa hinnatud, et kolmandik äppe nutiseadmetes tegeleb ka muu tegevusega peale loodu-reklaamitu. Tavapäraselt korjab erinevaid kasutajaandmeid, saadab neid oma serverisse ja süstematiseerib seal teadmata eesmärgiks.

Kuidas on välistatud olukord, kus X pahalane kuulab mu sisestatud pinne ja vajadusel virtuaalselt loob võltsitud smart-id sessioone, kus kenasti mu pool- või veerandvõtmed paistavad sertifitseerimiskeskusele igati audentsed.

Eesti ID teema turvalisus on püsinud suuresti ainult põhjusel, et tegemist on globaalses mõttes kärbsemusta suuruse keskkonnaga ja ei ole pälvinud pahade häkkerite ja võõrriikide küberründe teenistuste tähelepanu. Sisuliselt ID teemal tegemist maksimaalselt miljoni kasutajaskonnaga eksklusiivse projektiga, mis on mõne suvalise suurlinna linnaosa suurus.

Oleks väga hea, kui Eesti ID lahendused saavutaks edu suurematel turgudel ja pandaks seal proovile - see näitaks kiiremini ära tegeliku turvalisuse ehk nõrgad kohad tuleks kiiremini välja. Paraku on tõsiasi, et suuremad turud, riigid mõõdavad riske ka teistel skaaladel ja väga ei kipu oma raha ning elu kergekäeliselt nutiseadmetele-äppidele loovutama.

Samuti kaasnevad süsteemsed riskid, kus sertifitseerimiskeskuse väljalangemisel või suvaliste leviprobleemidega võib su elu ja äri saada kahjustatud. Olen isiklikult kandnud reaalset kahju, kus üks ainult ID logimist võimaldav keskkond oli reedese serveritarkvara vahetuse tõttu terve nädalavahetuse rivist väljas. Ma ei pääsenud ligi andmetele, mis olid vajalikud hinnapakkumise tegemiseks, mille tähtaeg kukkus pühapäeva südaööl - pakkumine jäi lihtsalt tegemata, võimalik töö saamata.

Kommenteeri Loe kommentaare