Pettustele piiri panemiseks tuleb Smart-ID loomise protseduur ümber teha

Eesti inimeste ja ettevõtete vastu suunatud digitaalsete pettuste kiireks ja väga oluliseks piiramiseks on olemas üks meetod – tuleb koheselt lõpetada olukord, kus turgu valitsevaks autentimisviisiks kujunenud Smart-ID saab igaühele luua tema teadmata kes iganes. Täna on kurioosne olukord, kus inimesele unikaalse Smart-ID loomiseks ei ole vaja läbida selle isiku näotuvastust ja näokuva võrdlust kehtiva isikutuvastusdokumendiga, mis lihtsustab kurjategijate elu ja soodustab pettuste laia levikut, leiab Bigbanki pettuste tõkestamise osakonna juht Kristofer Evert.

Olukorra näitlikustamiseks jagab Kristofer Evert värsket, 5. detsembri Politsei- ja Piirivalveameti operatiivteadetes avaldatud lugu, kus võõraste maksevahendite kasutamisega seotud pettusega tekitati inimesele kahju 73 000 eurot. “Kannatanu isiklikult arveldusarvelt ning temale kuuluva ettevõtte arveldusarvelt tehti mitmeid rahalisi ülekandeid erinevatele arveldusarvetele, mille algatamist kannatanu ei ole ise teinud ega heaks kiitnud. Lisaks tehti kannatanule uus Smart-ID konto, mille loomise kohta puudub kannatanul igasugune teadmine ning mille avamist ta ei ole ise algatanud ega volitanud,“ andis politseikroonika kiretult edasi juhtunu faktid.

Saatanpeitub ikka detailides ning antud juhul on konks Everti sõnul selles, et isegi juhul kui telefoni või meili teel on inimeselt ühekordselt välja petetud tema ID-kaardi või Mobiil-ID pin-koodid, ei saa kurjategijad neid hiljem mitmete erinevate tehingute jaoks kasutada, sest iga kord tuleb vastav teavitus- ja kinnitusküsimuse teade inimesele telefoni peale. “Kui aga kurjategijad kasutavad neid ühekordselt välja petetavaid PIN-koode pettuse ohvrile ilma tema teadmata Smart-ID loomiseks, siis see autentimisviis on seotud vaid kurjategija käes oleva sideseadmega ning ükskõik, mida pahasoovijad siis edaspidi ette võtavad, saavad nad kõiki neid tehinguid teha nii, et petetule ei tule mingit teavitust,” märkis ta. Kui Smart-ID on kurjategija poolt loodud ja sellega seotud sideseade tema käes, saab ta selle abil korduvalt sisse logida netipankadesse, tõsta vajadusel maksete või sularaha väljavõtmise limiite, võtta laenu, teha ohvri kontolt väljamakseid jne. Samamoodi saab sisse logida riiklikkesse andmebaasidesse ja koguda tundlikku infot inimese kohta või teha ohvri nimel ja tema arvelt kõike, mida iganes tänane digimaailma võimaldab – alates ostudest netipoodides kuni erinevate teenuste tellimise või mingite ühiskondlike petitsioonide allkirjastamiseni jne.

Kristofer Evert toob välja, et Smart ID-d eristab teistest tunnustatud autentimisviisidest tõik, et nii füüsilise ID-kaardi kui Mobiil-ID koodide väljastamisel tuvastab Politsei- ja Piirivalveamet või telekomiettevõte inimese ja kontrollib, et väärtusliku info saaja on ikkagi see, kes ta väidab end olevat ning et tema dokumendid on ka korras ja kehtivad. Smart-ID puhul aga mingit isikutuvastamist ega kontrolli ei toimu – piisab sellest kui selle loomise algatav isik teab vastava inimese isikukoodi ja telefoninumbrit ning suudab ühekordselt saavutada selle, et petetav isik kas avaldab petturile oma PIN-koodid või siis näiteks telefonikõne käigus viiakse ohver nii kaugele, et saabuvale sõnumile vastuseks sisestab ta koodid ühekordselt ise. 

„Smart-ID probleem võtab kokku tänase digimaailma vastuolu – efektiivseks toimimiseks tuleb teenuseid ja tooteid optimeerida ning kasutusmugavus ja lai levik saavutatakse tihti millegi arvel, antud juhul siis turvalisuse arvelt. Digiriigina ja selle kodanikena tahame me ju, et lõppkasutaja vaates oleksid kõik asja kliendi jaoks mugavad ja väga kiired, aga sellega kaasnevad ka riskid ja haavatavused. Nüüd on viimane aeg on asuda tehtud vigu parandama,“ kutsub Evert üles. Smart-ID on tema sõnul väga vajalik ja parema asenduse puudumisel ei saa seda ka ära kaotada: „Küll aga võimalik sinna kindlasti juurde teha mingid lisaturvanõuded, näiteks hetkel on juba testiperioodis Smart-ID pluss, mis juba on sammuke lahenduse poole, kuid ei lahenda veel fundamentaalset probleemi.“

Eesti kontekstis on oluline näiteks ka valimiste ja e-hääletuse korraldus, kus Everti hinnangul võivad samuti kuhjuda Smart-ID-ga seotud riskid. „Senist praktikat analüüsides võivad kurjategijaid või vaenulikud riigid suhteliselt vähese vaeva ja investeeringuga tekitada õige mitmeid hääli ühe või teise kandidaadi kasuks. „Valimisõiguslikelt inimestelt võetakse pettusega üle nende digiidentiteet üle, tehakse Smart-ID-d ja kas siis hääletatakse valimistel osaleda mitte kavatsenud inimese eest salaja või siis näiteks e-valimise viimasel päeval muudetakse ära tema poolt antud hääl petturite soositava poliitiku kasuks,“ kirjeldab ta hüpoteetilist turvariski.