Az elmúlt évek során az IT café is folyamatosan beszámolt arról a kiemelkedően sikeres észt digitalizálási programról, melynek következtében az észt polgárok mára gyakorlatilag elfelejtették a személyes hivatali ügyintézést, az országban működő kisebb és nagyobb vállalkozások rendre számolják fel irodáikat – hiszen egyre kevésbé van rájuk szükség –, a bankok a fiókjaikat, ráadásul a sok, egymásra épülő szegmensből álló projekt e-állampolgársági kezdeményezése megdobta a befektetéseket is. Ám ha a még a fejlesztés kezdeti szakaszában, tíz évvel ezelőtt történt, valószínűleg orosz eredetű kibertámadást leszámítjuk – igaz, ennek is megvoltak a maga tanulságai, és további fejlesztésekhez vezetett –, akkor komoly biztonsági incidensről nem számolhattunk be.
Egészen idáig. A múlt héten ugyanis az történt, hogy egy már jó ideje feltárt hiba következtében elővigyázatosságból és figyelemfelhívásból korlátozták az országos digitális rendszer működésének egy részét – ez a gyakorlatban azt jelentette, hogy péntek éjféltől hétfő hajnalig az ország polgárainak mintegy fele egy frissítés alkalmazásáig nem használhatta a gyakorlatilag minden célt kiszolgáló e-kártyáját - a valóban ott élők pedig hétfő után sem.
A híradások egy része ezt némileg eltúlozta, de a történet bonyolultabb, mint elsőre látszik, sőt, alaposabban megnézve átgondolt, hosszan mérlegelt és a lehető legoptimálisabb módon megoldott kormányzati akciónak tűnik.
A probléma gyökere az, hogy biztonsági kutatók még az év elején fedeztek fel egy biztonsági rést, mely a gyöngének számító titkosítási módszerből adódott, így megvolt az az elvi lehetőség, hogy támadók hozzájussanak a kártyahasználók személyes adataihoz. Habár az illetékesek többször és több helyen hangsúlyozták, hogy nincs tudomásuk a rés kihasználásáról, a tanúsítványkezelés hibájából adódó kockázat miatt nemrég kiadtak egy frissítést; erre a múlt hónap végén fel is hívták az érintettek figyelmét, de a rendőrség és az információbiztonsági hatóság nyomására úgy döntöttek, hogy egy figyelemfelhívó akció keretében egy hétvégére korlátozzák a kártyák felhasználhatóságát.
[+]
Ráadásul az észt kormányzat mindebbe úgy keveredett bele, hogy nem az állami rendszerben volt rés, hanem a kártyák chipjét gyártó vállalat hibájából jött létre. A hivatalos közlemény szerint a 2014. október 14. és 2017. október 25. között kiadott kártyák chipjeiről, tokenekről és egyéb biztonsági hardverekről van szó, amelyeket a német Infineon szállított az államnak. A hosszú ideig tartó mérlegelés hátterében az alkalmazandó taktika kialakítása állt, illetve az, hogy a folyamatos monitorozás ellenére nem tapasztaltak visszaélést. Ezekben az esetekben ugyanis nem elég a biztonsági javítás elkészítése – az Infineon már a múlt hónapban közölte, hogy kiadták a frissítést –, a probléma az, hogy ez az érintett eszközökre hogyan és mi módon jut el – a Smart ID nem OS, ahol van beépített automatikus update.
Az akció egyrészt mindenképp sikerrel járt, ugyanis a szolgáltatásokat el nem érők mind a neten, mind a még létező irodákban tömegesen jelentkeztek a frissítésért. És természetesen ebből adódott az is, hogy időnként sem a kiszolgáló szerverek, sem az alkalmazottak nem bírták a túlterhelést. Ugyanakkor a kissé erőszakos lépés azt mindenképp elérte, hogy a sebezhetőség létezése eljutott a polgárokhoz, hiszen a kártya nélkül még orvoshoz sem tudtak menni.
Jüri Ratas miniszterelnök elmondta, hogy nehezen szánták rá magukat a döntésre, de úgy ítélték meg, hogy a felhasználói bizalom és a biztonság az elsőrendű szempont, és ennek megtartása, illetve elérése megéri a radikális intézkedéseket is. Azt is hozzátette, hogy mivel egész bizonyosan nem mindenki vette elég komolyan a figyelmeztetést, a hétfői korlátozásfeloldás után az e-polgároknak még márciusig lehetőségük van a frissítésre, de a hónap elejétől másokat kitiltanak a rendszerből, aki nem az új tanúsítványokat használja.
Azt is fontos megjegyezni, hogy az Infineon a rést tartalmazó chipeket máshová is szállította, szerte a világban - de ha ott nincs ilyen erőteljes kormányzati fellépés, akkor megmarad a kockázat.
