/nginx/o/2017/01/06/6230373t1ha947.jpg)
/nginx/o/2017/12/01/7366407t1hd0f2.jpg)
В распоряжении Postimees оказалось письменное доказательство того, что официальные власти Эстонии и 20 июня получили по официальным же каналам информацию о серьезной проблеме ИД-карт, которая уже накрыла Австрию, где в использовании было такое же количество карт с аналогичными чипами, как и в нашей стране.
Получивший информацию Департамент государственных инфосистем (RIA) не усмотрел в приостановке сертификатов всех ИД-карт Австрии достаточный сигнал об опасности и не отреагировал на поступившие совершенно конкретные материалы. Проснулись лишь в последний день августа, когда ту же самую информацию вновь прислали чешские ученые.
Действовать в июне не начали и несмотря на то, что всего за два дня до этого о возможных рисках для ИД-карт сообщил производитель карт Gemalto – насколько точно и конкретно, об этом споры продолжаются. Но насколько теперь известно, проигнорированы были оба извещения.
Очень точно в поступившем 20 июля в подразделение RIA по разбору кибер-инцидентов CERT-EE передана информация о том, что 9 июня Австрии пришлось закрыть сертификаты своих ИД-карт, поскольку в них была обнаружена уязвимость в системе безопасности. Было предоставлено и техническое описание имеющихся проблем.
«Из-за данной уязвимости Австрия аннулировала все предоставленные квалифицированным, заслуживающим доверие партнером, сертификаты, которые были выданы до 9 июня 2017 года, а также проинформировала об этом и общественность, и все стороны, на которых это может повлиять», - говорится в числе прочего в предоставленной Эстонии информации.
Позже RIA узнал, что в Австрии таких ИД-карт были тысячи, и там возникла та же сама проблема, которая затронула эстонские ИД-карты. Карты точно с такими же чипами используются, например, в Словакии и в Испании, где также было приостановлено действие проблемных сертификатов.
Комментарий Департамента государственных инфосистем (RIA):
Чешские ученые уведомили Эстонию об уязвимости чипа Infineon вечером 30 августа через отдел разрешения киберинцидентов RIA (CERT-EE). Письма, содержащие общую информацию о различных рисках, подобные тому, что опубликовал Postimees, поступают в RIA каждую неделю, и мы всегда проверяем эту информацию.
Руководитель области eID RIA Маргус Арм: «Указаний на чип Infineon или на связь с эстонскими ИД-картами не было. Этот рапорт сильно критиковали и другие страны, потому что содержащаяся в нем информация недостаточна для того, чтобы какая-либо страна на основе этого извещения могла связать с этим инцидентом свои ИД-карты. Информация о том, что угроза связана с чипом Infineon и ей подвержены и эстонские ИД-карты, поступила лишь от чешских ученых».
Сообщение Австрии подвергли критике
Руководитель eID области RIA Маргус Арм ответил, что департамент вместе с партнерами изучал полученную информацию.
«В письме было сказано, что инцидент касается карт другого производителя и их программного обеспечения. Указания на карты Infineon или на эстонские ИД-карт не было», - сказал Арм.
Он отметил, что это сообщение было раскритиковано из-за недостаточной информации и в других странах, поскольку информация об том, что опасность касается большей части чипов Infineon появилась позже и повлияла на многие страны, в том числе, и на Эстонию.
Государству пришлось потратить огромные деньги на поиск решения возникшей проблемы и для очень быстрого обновления сертификатов закрытых ИД-карт, как через Интернет, так и в пунктах обслуживания.
Многие высокопоставленные политики и государственные чиновники открыто в последние три месяца утверждали, что Эстония узнала о проблемах с безопасностью ИД-карт 30 августа по также поступившей в CERT-EE информации.
Опровергнуты утверждения представителя производящего карты предприятия Gemalto о том, что Эстония узнала о проблеме еще в июне. Сегодня от фирмы потребовали публичных извинений, а ранее Департамент полиции и погранохраны предъявил ей предварительное денежное требование.
Время получения информации о риске и начало работы на ее основе – это важно, поскольку от этого зависит, как много времени будет у участников процесса для исправления проблемы до того, как вероятность реализации риска приблизится к критической черте, и нужно будет принимать решение: блокировать из-за этого ИД-карты, или нет.
В Эстонии зашли так далеко, что RIA пообещал найти решение при открытом бюджете – потратим столько, сколько потратим.
Эстония решила заблокировать 760 000 проблемных ИД-карт в начале ноября до того, как большую часть из них успели обновить. Обновление программного обеспечения через Интернет шло медленно, поскольку государственные инфосистемы не были в состоянии достаточно быстро соединяться между собой. Причиной того, почему карты было решено заблокировать раньше запланированного, стало предложение Департамента полиции и погранохраны и RIA правительству.
Для решения проблемы использовали бюджет Эстонии, а не производителя карт. По данным Postimees, Эстония выставила Gemalto требование на сумму в почти 20 миллионов евро.
Представители Эстонии назвали случившееся с ИД-картой «реальной теоретической уязвимостью в системе безопасности».