В результате возникшей на прошлой неделе буре в стакане воды, жители Эстонии поняли, что в споре между Эстонией и фирмой Gemanto по поводу оповещений о рисках, связанных с безопасностью ИД-карт, непонятно ничего.
Кто привирает: все, что мы знаем об оповещении о рисках, связанных с ИД-картой
/nginx/o/2017/01/06/6230373t1ha947.jpg)
27 ноября 2017, 14:40
Обращаем ваше внимание, что статье более пяти лет и она находится в нашем архиве. Мы не несем ответственности за содержание архивов, таким образом, может оказаться необходимым ознакомиться и с более новыми источниками.
Кто кого и о чем должен был оповестить, как все произошло на самом деле, насколько правдивы участники этой истории сегодня и с чего они грызутся между собой? Попробуем коротко разложить все карты по полочкам, определиться со временем и поговорить об информировании в том виде, в котором нам об этом известно по открытым инфоканалам.
В ходе составления обзора в числе прочего выяснилось, что обычно обмен информацией между Gelmanto и Эстонией не документировался – планы совещаний, конечно, составляли, но договоренности и обмен информацией в письменном виде как правило не фиксировались. Также мы узнали, что вопреки утверждениям премьер-министра и руководителей некоторых департаментов, информация о рисках, связанных с безопасностью, на самом деле поступила уже 15 июня, но государство не восприняло ее как призыв к конкретным действиям.
5 сентября: премьер-министр Юри Ратас созывает пресс-конференцию и сообщает: «На прошлой неделе, в четверг вечером (31 августа – ред.) Эстония и наши чиновники получили информацию от группы ученых о том, что у эстонской ИД-карты может быть теоретический риск, связанный с безопасностью».
7 сентября: выясняется, что переданная премьер-министру информация не была точной и в действительности эстонские чиновники получили сведения о рисках еще 30 августа. На почтовый адрес отдела рассмотрения инцидентов CERT Департамента государственных инфосистем поступило письмо от чешских ученых, в котором была коротко описана обнаруженная уязвимость в безопасности ИД-карт.
25 октября: департамент сообщил, что чехи уведомили Infineon - производителя чипа, используемого в эстонской ИД-карте - об обнаруженной узвимости еще 1 февраля, а тот в свою очередь передал информацию крупным инфотехнологическим предприятиям. До сих пор неясно, когда Infineon или чешские ученые сообщили об этом договорному партнеру Эстонии по производству ИД-карт, фирме Gemalto.
14 ноября: руководитель бюро отдела развития Департамента полиции и погранохраны Маргит Ратник признала, что в связи со случившимся фирме Gemalto было предъявлено денежное требование: «Заверяю вас, что Эстония подсчитала нанесенный ей ущерб, и соответствующее требование предъявлено договорному партнеру».
22 ноября: представитель производителя эстонских ИД-карт Gemalto в Эстонии подтвердил, что вопреки утверждениям эстонских департаментов, он проинформировал о риске, связанном с безопасностью, еще летом. «Я проинформировал соответствующие департаменты (Департамент полиции и погранохраны и Департамент государственных инфосистем) о проблемах с безопасностью еще 15 июня», – сообщил представитель Gemalto руководитель TRÜB Baltics AB Андреас Лехманн на своей странице в LinkedID.
22 ноября: руководитель Департамента государственных инфосистем Таймар Петеркоп через представителя департамента написал Postimees, что утверждения Андреаса Лехманна не отвечают действительности: «Если бы мы знали раньше, мы начали бы и действовать раньше. О научной работе чехов и скрывающихся в чипах наших ИД-карт рисках мы узнали 30 августа вечером. Информация поступила от чешских ученых».
22 ноября: в прямом эфире «Актуальной камеры» Таймар Петеркоп еще раз заверяет, что «ни устно, ни письменно» Gemalto их не информировал.
23 ноября: на пресс-конференции правительства премьер-министр Юри Ратас говорит, что сообщения, о которых говорит Андреас Лехманн, не поступили в Эстонию ни 15 июня, ни до этой даты: «Эта информация пришла в Эстонию точно тогда, когда мы заявили СМИ, что начали обсуждать эту тему. Можно сказать, что это было в первые дни сентября».
24 ноября: руководитель eID-области Департамента государственных инфосистем Маргус Арм признал Postimees, что 15 июня информация о риске, связанном с безопасностью, от Gemalto все же поступила, но она не была достаточно конкретной. «В том разговоре представитель Gemalto Андреас Лехманн не представил информацию о слабости, кроющейся в чипе Infineon. В ходе телефонного разговора Андреас Лехман передал очень неопределенную информацию, которую нельзя считать каким-то оповещением о кибер-инциденте или риске, связанном с безопасностью», - сказал Маргус Арм Postimees. По его словам, Лехманн якобы выразился в том духе, что может быть какая-то проблема. А на уточняющие вопросы ответил в стиле «еще не знаем, выясним и сообщим».
24 ноября: по словам пресс-секретаря Департамента полиции и погранохраны Кристи Рууль, представители департамента и производителя карт Gemalto встречаются регулярно примерно раз в месяц, чтобы обсудить практические вопросы, связанные с исполнением договора о производстве ИД-карт и паспортов. Такая встреча произошла и утром 15 июня в Департаменте полиции и погранохраны. Приглашение вместе с планом совещания, по словам Руули, департамент отправил 9 июня, в плане было десять пунктов, и представитель полиции попросил Андреаса Лехманна внести свои уточнения в него, если ему есть что добавить со своей стороны. Андреас Лехманн своих тем в план совещания не добавил.