Эстония практически в последний момент узнала об уязвимости наших ИД-карт, и произошло это благодаря… пиву. Об этом сегодня сообщил чешский ученый во время своего выступления на конференции в Таллинне
Пиво спасло эстонские ИД-карты (1)
Научный сотрудник Масарикова университета Петр Свенда заявил, что группа ученых, которой он руководил, выявила риск безопасности в чипе Infineon в конце января 2017 года. Уже 1 февраля об этом сообщили Infineon по электронной почте, а в мае первые клиенты Infoneon сами связались с исследователями. 20 июня Австрия сообщила об ошибке всем европейским странам, пишет Postimees.
Но до эстонских чиновников эта новость не дошла, или же на фоне обилия различной информации это сообщение просто-напросто не заметили. У нас спохватились лишь в начале августа, когда чехи сами проверили наши сертификаты и нашли подтверждение уязвимости.
«Мы связались с CERT (подразделение Департамента государственных инфосистем - ред.) 3 августа, но наше сообщение не заметили. К счастью, я лично знал Мартина Пальяка (сотрудника Департамента государственных инфосистем - ред.), благодаря общедоступным базам данных и благодаря нескольким бокалам пива, выпитым с ним в прошлом году», - сказал Сведа на проходившей сегодня в Таллинне конференции на тему ИД-карт.
Именно Пальяк оказался тем человеком, который посоветовал ученому отправить уточненные данные об обнаруженной уязвимости, 30 августа это и было сделано.
Генеральный директор Департамента государственных инфосистем Таймар Петеркоп сказал на сегодняшней конференции, что Infineon не был обязан информировать Эстонию, поскольку наша страна не является непосредственным клиентом производителя чипов. По его словам, об ошибке нам должен был сообщить изготовитель ИД-карт - предприятие Gemalto, с которым у Эстонии был заключен договор, но предприятие этого не сделало. Как ранее утверждали в Gemalto, они проинформировали эстонских чиновников об ошибке еще в июне.
Чем раньше в Эстонии узнали бы об ошибке, тем больше времени было бы у государства, чтобы устранить уязвимость прежде, чем ее обнаружат хакеры и сумеют ею воспользоваться. Из-за уязвимости были аннулированы сертификаты более чем 800 000 эстонских ИД-карт. Почти 500 000 жителей Эстонии обновили сертификаты, а те, кто не успел этого сделать - их чуть более 300 000 человек, - больше не могут использовать свои ИД-карты для получения электронных услуг.
Если бы хакерам удалось взломать эстонские ИД-карты и начать использовать их от лица жертв, это нанесло бы серьезный ущерб. Можно лишь порадоваться, что пиво спасло эстонские ИД-карты.