Статья уточнена и дополнена официальной информацией Департамента государственной инфосистемы Эстонии.
Причина заключается в потенциальных проблемах в безопасности в 750 000 ID-карт, выпущенных после 17 октября 2014 года. Для страны с населением 1,3 млн. человек это означает, что инцидент затрагивает практически каждого.
О том, что у эстонских ID-карт есть проблемы с безопасностью, стало известно еще 30 августа. Тогда некие "зарубежные ученые" предупредили правительство страны о том, что ID-карты скомпрометированы — можно украсть "цифровую личность" любого гражданина страны, после чего подписывать от его имени электронные документы, пользоваться его банковскими счетами, голосовать на выборах.
Департаменту государственной инфосистемы (Riigi Infosüsteemi Amet, RIA) Эстонии потребовалось менее недели, чтобы подтвердить — проблема действительно существует (вот тут большое разъяснение на русском языке, опубликованное уже после написания этой статьи).
Одновременно серверы, которые хранят открытый ключ, используемый в системе ID-карт, были отправлены в оффлайн, что, по большому счету, сделало эстонские ID-карты обычными оффлайновыми удостоверениями личности (хотя технически сертификаты безопасности не были аннулированы — это пока оставили на усмотрение каждого конкретного владельца карты). Для электронных транзакций и авторизации в банках и системах государственного е-управления жителям страны пока настоятельно рекомендовано пользоваться решением Mobile ID — оно не скомпрометировано.
Во-вторых, проблема кроется не в самой системе электронной подписи и ID-карт Эстонии, а лишь в программном обеспечении в чипах на самих ID-картах. Более того, она затрагивает не только эстонские ID-карты, но и вообще все карты с конкретным чипом или программами конкретного производителя. Таковых во всем мире около миллиарда. 750 000 эстонских ID-карт на этом фоне — это менее 0,1% от общего числа.
Имя разработчика чипов или Java-апплета на них не называется, однако ID-карты для Эстонии делает крупная компания Gemalto. Ее производители на пресс-конференции во-вторник подтвердили факт наличия проблем. Интересно, что эта компания также является партнером банка SEB в Латвии, делая для него бесконтактные расчетные карты. Кроме того, она поставляет "пластиковые" (не электронные) элементы защиты латвийских паспортов.
Этот инцидент также связан с Латвией через держателя тех самых "выключенных" серверов — SK ID Solutions (в прошлом — Sertifitseerimiskeskus). Клиенты Swedbank, SEB и, возможно, других банков в Латвии пользуются его мобильным приложением Smart-ID, предназначенным для авторизации в е-банках.
Сейчас власти Эстонии взяли тайм-аут на то, чтобы совместно с партнерами решить — что теперь делать. Это может занять несколько месяцев. Под вопросом и электронное голосование на предстоящих 15 октября выборах в самоуправления, а ведь эстонцы к е-голосованию уже привыкли (в 2015 году свой голос удаленно отдали 30% голосовавших). При всем при этом правительство страны однозначно заявило — эта проблема не заставит Эстонию свернуть с е-пути. Решение с ID-картами будет найдено и, похоже, что за ценой страна не постоит — ведь ее история е-успеха является национальной гордостью.
Инцидент практически исчерпан? Только не для тех, кто хотел бы все же знать — а что, собственно, случилось-то? Хотя бы для того, чтобы не повторять ошибок соседей. И вот тут начинается самое интересное.
