Вытянувшая миллионы евро кибернеторопливость (2)

«Чао, П. Сегодня я встретил Р. и он сказал мне, что у тебя есть очень интересная новая тема! Можем ли мы встретиться, и не поделишься ли ты со мной информацией? С приветом, С.» Это письмо высокопоставленного государственного чиновника предпринимателю, который больше десяти лет производил для Эстонии ИД-карты.

Именно с этих фраз началось оповещение о самом крупном кризисе в э-государстве Эстонии. Кризисе, в ходе которого несколько месяцев спустя государству пришлось работать на опережение, чтобы описание ошибки в системе безопасности нашей ИД-карты не попало от обнаруживших ее чешских ученых к общественности, а значит, и к преступникам.

Предательская дата

Это письмецо означает и одну очень большую проблему для государственных чиновников, которая может стать роковой в споре между Департаментом полиции и погранохраны и производившей ИД-карты Gemalto. А именно, оно датируется 15 июня 2017 года. Это на целых два с половиной месяца раньше, чем Департамент полиции и погранохраны оповестил общественность о наличие ошибки в системе безопасности и признал, что речь идет о кризисе, поскольку нужно обменять почти 800 000 карт еще до того, как будет готово обновление программного обеспечения, устраняющее обнаруженную ошибку.

Р., на которого ссылаются в письме, это – сотрудник полиции, который утром 15 июня был на рутинном совещании с представителями занимающейся производством ИД-карт фирмы Gemalto. Если еще в мае ученый Тартуского университета Арнис Паршовс смог подделать подпись одного из владельцев эстонской ИД-карты, и эта тема точно была на повестке дня, то теперь чешские ученые обнаружили еще более тревожный риск: при наличии компьютера с достаточной мощностью можно подделать подписи большей части выданных в Эстонии карт.

Днем ранее, 14 июня, производитель чипа ИД-карт Infineon проинформировал Gemalto по Skype об открытии чехов. Теперь это обсудили на рутинном совещании и уже вечером того же дня, 15 июня, состоялся телефонный разговор, длившийся пять минут и 18 секунд между представителем пресловутого Gemalto Андресом Лехманном и руководителем ИД-сферы Департамента государственной инфосистемы Маргусом Армом.

Еще более критической ситуация стала через четыре дня, 19 июня: как Департамент государственной инфосистемы, так и Департамент технического надзора независимо друг от друга и из разных источников получили письма о том, что 9 июня Австрия заблокировала все одинаковые по своей конфигурации с эстонскими ИД-карты, поскольку при внесении дигитальной подписи была обнаружена ошибка в системе безопасности.

Все эти письма есть в распоряжении Postimees. Нет сомнений, что Эстония должна была начать действовать сразу – на э-идентитете базируется все наше общество. Подделка подписи Паршовса была благополучно скрыта от общественности, – Postimees писал об этом в начале декабря, - но она могло пустить на дно все наше отказавшееся от бумаги государство. Infineon же проинформировал Gemalto о том, что чехи детально представят свое открытие общественности уже осенью.

Но что решили крупное предприятие и являющееся его клиентом маленькое государство? Молчать и ничего не делать. Никаких обновлений программного обеспечения, никаких предварительных шагов для досрочного обмена карт или отдаленного обновления программного обеспечения, никаких попыток связаться с чешскими учеными. Конкретной информации было слишком мало: так говорят участники процесса задним числом, но распространено и такое мнение, что важную информацию просто проспали по причине нехватки компетентности, а может быть и умышленно.

О причинах летней неторопливости можно только гадать, и, судя по всему, они навсегда так и останутся в стенах помещения для совещаний Департамента полиции. И все же. Уже через две недели начиналось первое председательство Эстонии в Евросоюзе, а крепость стен дигистраны была одной из главных тем республики. Как и пропаганда э-выборов: осенью должны были пройти муниципальные выборы, в которых э-голосование было по-прежнему разрешено.

Дорогостоящая заминка

Государству это, предположительно, стратегическое решение должно было сохранить репутацию, а Gemalto могло бы оценить уменьшение тяжести кошелька, если бы карты на самом деле начали менять.

Все это в итоге очень дорого обошлось государственной казне, да и репутации. Минимум четыре миллиона прямых расходов, плюс столько же трудочасов людей, которые были задействованы в обмене карт в ускоренном порядке.

Тишину прорвало в начале августа, когда ученый Масариковского университета Петр Свенда, обнаруживший ошибку, смог пообщаться со своим бывшим партнером из Эстонии, работником Департамента государственной инфомистемы Мартином Пальяком, с которым раньше сиживал за кружкой пива, а потому отношения были доверительными и хорошими.

Чехи никак не могли понять, почему Эстония до сих пор ничего не предприняла в плане своих ИД-карт. Повторим: производитель чипа Infoneon был проинформирован еще 1 февраля, сам Infineon передал информацию Gemalto 14 июня, а тот сообщил официальным властям Эстонии еще день спустя. Австрия еще 9 июня заблокировала свои карты и несколько каналов должны были уведомить об этом и Эстонию.

«Мы контактировали с CERT (подразделение Департамента государственной инфосистемы – ред.) 30 августа, но до того мы не знали, есть ли у них (в Эстонии – ред.) уже план, и знают ли они уже об этом. Мы сомневались, нужно ли вообще с ними связываться. Но я лично был знаком с Мартином Пальяком по общему проекту, связанному с развитием официального кода, благодаря и тому, что в прежние годы мы вместе пили пиво», - рассказал Свенда позже о своих тогдашних шагах.

Именно Пальяк был тем, кто посоветовал ученым отправить CERT более точные данные о своем открытии, и 30 августа это было сделано. Начался кризис и самое странное - то, что государство выбрало для его обнародования с качестве PR-стратегии обвинение своего многодетнего партнера Gemalto – словно никакого июньского обмена информацией об ошибке не было. Предприятию тут же выставили требование на 20 миллионов евро, и это там сумма, которая на данный момент здорово усохла.

Разойдутся с компромиссом

По данным Postimees, Департамент полиции и погранохраны достигли договоренности, что в сентябре будет заключен компромиссный договор, который прекратит все три крупных спора.

На его основании, во-первых, Gemalto отзовет из окружного суда иск против объявленного департаментом конкурса на господряд о производстве ИД-карт в следующий производственный период. Во-вторых, департамент заберет свое требование об одной меньшей ошибке ИД-карты, и, в-третьих, Gemalto согласится выплатить государству лишь половину прямых расходов государства во время кризиса, то есть почти 1,5 миллиона евро.

Спор продолжается лишь о том, как полиции удалось потратить на переработку своих работников в период активного обмена карт 1,5 миллиона евро. В отличие от Департамента государственной инфосистемы, который потратил на решение кризиса 1,8 миллиона евро, полиции же не пришлось заказывать новое программное обеспечение для ИД-карт, и всю сумму потратили на одних только работников. Неужели на работу ездили только на такси, а обеды привозили из лучших ресторанов?

В любом случае, ни для кого уже не секрет, что от этого перетягивания каната все устали до смерти. Gemalto хочет достойно, не дав ни одного официального комментария, уйти и продолжить свой глобальный – с многомиллиардным годовым оборотом – бизнес в пользу правительств всех стран мира, кроме маленькой Эстонии. С большой долей вероятности, именно поэтому они выплатят эстонской полиции миллион евро.

Того же мнения, как кажется, придерживается и полиция. «Решение искали почти год и хотим жить дальше», - призналась Postimees главный эксперт бюро идентитета и статуса Департамента полиции и погранохраны Кайя Кирх, и заверила, что решение должно появиться в ближайшее время.

«В течение сентября мы решим, можно ли достичь договоренности с Gemalto в плане компенсации ущерба, или в суд будет подан иск. Он касается как 750 000 карт с риском системы безопасности, так и тех карт, приватные ключи которых, по оценке ученых, были созданы за пределами чипов», - отметила Кирх.

Таким образом, ищут консенсус, и требуют вернуть далеко не половину из 40-миллионого договора, как это планировалось вначале.

С большой долей вероятности, причина кроется в том, что Департамент полиции и погранохраны никак не может доказать вину Gemalto в ошибке, которую выявили чешские ученые. Как было сказано, информация об этом у всех участников процесса была уже в июне.

А решение кризиса принесло многим государственным чиновникам ордена, которые они получили из рук президента. Решать кризисы мы действительно умеем, но совсем другая история с их предотвращением.