Kommenteeri - Politsei ja RIA peatasid isikuandmete ebaseadusliku allalaadimise

RIA eksperdid peatasid massilise dokumendifotode allalaadimise isikut tõendavate dokumentide andmebaasist. Seda võimaldas turvanõrkus RIA hallatavas, fotosid vahendavas teenuses. Politsei pidas kahtlustatava kinni ning alustas juhtunu asjaolude väljaselgitamiseks kriminaalmenetlust.

Kahtlustatav laadis isikut tõendavate dokumentide andmekogust alla 286 438 inimese fotod, kasutades selleks võltsitud digitaalseid sertifikaate. Kahtlustatav ei saanud ligipääsu andmekogule, vaid kuritarvitas turvanõrkust ühes RIA hallatavas teenuses, mis võimaldas päringutega saada kätte inimese dokumendifoto. RIA sulges fotode vahendamise teenuse kohe pärast väärkasutamise avastamist ja parandas turvavea. 23. juulil pidas politsei süüteos kahtlustatava mehe Tallinnas kinni.

Nimetatud teenus, mille turvanõrkust õnnestus ära kasutada, on üles ehitatud nii, et fotode saamiseks on vaja viie alasüsteemi täiendavat kontrolli. Kahtlustatav avastas turvanõrkuse ühes RIA rakenduses, mis ei kontrollinud saadud päringu õigsust piisavalt. „Selline süsteemidega manipuleerimine eeldab valdkonnateadmisi, vilumust ja reeglina ka läbimõeldud eeltööd. Ründaja pidi varasemast teadma inimese nime ja isikukoodi, mille abil oli võimalik jätta süsteemile mulje, nagu soovinuks inimene ise oma pilti alla laadida,“ ütles RIA peadirektor Margus Noormaa.

Keskkriminaalpolitsei küberkuritegude büroo juhi Oskar Grossi sõnul asus politsei ühes RIA ekspertidega juhtunut uurima ning selle käigus õnnestus leida viiteid, et kahtlustatav tuvastada. „Kui tavaliselt räägime küberkuritegude puhul rahvusvahelisest kuritegevusest, siis praegusel juhul tegutses kahtlustatav Eestis, mis võimaldas ta kiiresti kinni pidada. Läbiotsimiste käigus leidsid uurijad tema valdusest andmekogust alla laaditud fotod koos inimeste nimede ja isikukoodidega. Praegu ei ole meil alust arvata, et kahtlustatav oleks neid andmeid pahatahtlikult ära kasutanud või edastanud, kuid menetluse käigus täpsustame veel teo võimalikke motiive,“ kirjeldas Gross.

RIA eksperdid on täiendavalt kontrollinud ka teisi teenuseid, et välistada sarnaseid turvanõrkusi. „Monitooringu tulemusel ei ole me võimalikke ründeteid avastanud, kuid jätkame kontrollimist. Töötame koos partneritega pidevalt selle nimel, et avastada nõrkused enne, kui keegi neid kuritahtlikult ära kasutab,“ ütles Noormaa.

Ettevõtlus- ja infotehnoloogiaminister Andres Suti sõnul ilmestab kõnealune küberintsident maailmas üha kasvavaid küberohte, mistõttu tõstetakse ka Eestis kübervaldkonna kaitsevõimekust. „Küberturvalisus on Eesti digiriigi toimimise lahutamatu osa ja riikliku julgeoleku küsimus. Viimaste kuude vältel on kasvanud küberrünnakute sagedus, ulatus ja intensiivsus, mis näitab muutunud ohupilti küberruumis. Näiteks võib tuua rünnakud riigiasutuste, taristu, tervishoiusüsteemide ja hiljuti ka teenusepakkujate vastu, millest sõltusid Rootsi toidupoed, või ka näiteks lunavararünnakud Eesti ettevõtete vastu. Puutumata ei ole jäänud ka meie riiklikud süsteemid ning kasvavate küberohtude valguses tõstame veelgi oma kübervõimekust. Kui riigikaitses on meil selge eesmärk – 2 protsenti SKTst –, siis küberturvalisuse valdkonnas meil sellist eesmärki pole, kuigi meie digiühiskond vajab samuti kaitset. Minu eesmärk on kokku leppida samalaadne sihttase küberturvalisuse investeeringute jaoks, millest saab rahvusvaheline mõõdupuu,” lisas Sutt.

Kõigile neile, kelle dokumendifoto ebaseaduslikult alla laaditi, saadab PPA teavituse riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Ükski inimene, kelle foto alla laaditi, ei pea tegema uut fotot ega taotlema uut dokumenti.

Dokumendifoto, inimese nime ja isikukoodi põhjal ei saa siseneda ühessegi riigi e-teenusesse, teha notariaalseid jm rahalisi tehinguid. Juhtunu ei mõjuta kuidagi ID-kaarti, elamisloakaarti, mobiil-IDd ega Smart-IDd.

Praegu teada oleva info põhjal ei ole andmevargus seotud hiljutise pääsuõiguste haldussüsteemi iseteeninduskeskkonnas nähtaval olnud isikuandmete juhtumiga.

Kronoloogia

16.07 – SK ID Solutions teavitab RIAt suurenenud päringute arvust.
21.07 – RIA tuvastab täiendava monitooringu kaudu massilise andmete allalaadimise isikut tõendavate dokumentide andmebaasist (KMAIS) ning sulgeb teenuse.
22.07 – RIA fikseerib võimaliku IP-aadressi, mille kaudu dokumendi fotosid alla laaditi ning edastab info politseile.
22.07 – RIA alustab asutusesisest kontrolli, et selgitada välja põhjus, mis võimaldas pildisüsteemi kontrollimehhanismiga manipuleerimist.
23.07 – Politsei peab andmete alla laadimises kahtlustatava mehe kinni ja teeb esmaseid menetlustoiminguid.
23.07 – RIA taasavab parandatud pildisüsteemi, mille kaudu saab inimene taas enda dokumendi pildi alla laadida.
23.–27.07 – RIA kontrollib täiendavalt sarnase ründevektori võimalikkust teistes teenustes.

Küsimused ja vastused

Kas minu andmed varastati?

Kõigile neile, kelle dokumendi foto koos isikukoodi ja nimega varastati, saadab riik teavituse riigiportaali kaudu suunatud e-posti aadressile. Andmete komplekt, mis kurjategija kätte sattus, sisaldab endas dokumendi fotot, ees- ja perekonnanime ning isikukoodi.

Mida pean tegema, kui selgub, et minu andmed varastati?

Praeguse info põhjal teame seda, et andmed ei jõudnud kahtlustatava arvutist edasi. Seega on alust arvata, et neid andmeid ei ole rohkem kuritarvitatud.

Juhul, kui neid andmeid siiski edastati, tuleb arvestada võimalusega, et pildi, nime ja isikukoodi kogumit saab kasutada selleks, et luua algeline võltsdokument (turvaelementideta). Võimalik, et sellist dokumendi saab kasutada näiteks mõne teenuse kasutamiseks, kus isikut tuvastatakse pildi alusel (nt auto- ja/või rattarent). Pigem kasutatakse selliseid teenuseid välismaal. Võimalik on teha ka näiteks sotsiaalmeedia libakontosid.

NB! Kui Sul on kahtlus, et keegi on Sinu andmeid nimetatud viisidel kasutanud, siis anna sellest politseile teada.

Oluline on meeles pidada, et nende andmete vargus ei avalda mõju ID-kaardile, Mobiil-ID-le ega Smart-ID-le. Samuti kehtivad kõik isikut tõendavad dokumendid, ka need, mille foto andmebaasist ebaseaduslikult alla laaditi. Dokumendi foto, isikukoodi ja nime alusel ei ole võimalik siseneda e-teenustesse, anda digiallkirja ega teha seeläbi erinevaid finantstehinguid (sh pangaülekanded, ostu-müügitehingud, notariaalsed tehingud jms). Inimesed, kelle dokumendi foto kaaperdati, ei pea taotlema uut füüsilist ega ka digitaalset dokumenti (pass, ID-kaart, elamisloakaart, mobiil- ja Smart-ID jt) ega uut dokumendifotot tegema. Kõik isikut tõendavad dokumendid ning pildid kehtivad jätkuvalt.

Kuidas pääses kurjategija ligi minu andmetele (foto, isikukood ja nimi)?

Dokumendifotode allalaadimiseks pidi kurjategija teadma inimese nime ja isikukoodi. Kuigi need on avalikud andmed, st kättesaadavad erinevatest avalikest andmebaasidest, siis andmete täpsema päritolu ja kurjategija motiivid selgitab välja menetlus. Nime ja isikukoodi abil õnnestus kurjategijal võltsida inimese sertifikaati nii, et süsteem arvas, et pilti soovib alla laadida inimene ise mitte kurjategija. RIA selgitas süsteemivea välja ning parandas selle. Täna enam selline manipulatsioon läbi minna ei saa.

Kes ja mis põhjusel minu andmeid soovis?

Politsei on kinni pidanud ühe Eesti kodaniku, kelle arvuti kaudu vargus toime pandi. Kas see inimene tegutses üksi, mis olid tema eesmärgid ja mida ta andmetega teha soovis, selle selgitab välja kuriteomenetlus.

Kas keegi teine on veel sellisel moel süsteemi vea tõttu Eesti inimeste andmeid varastanud?

Praeguse info kohaselt ei ole meil alust arvata, et midagi sarnast on varem tehtud, kuid kontrollime seda infot.

Kui kaua see vigane süsteem toimis enne, kui see avastati?

Kuigi lahendus oli loodud juba sellise veaga mitu aastat tagasi, siis praeguste monitooringute ja info põhjal ei ole alust arvata, et selline rünnak süsteemi vastu oleks varasemalt õnnestunud.

Teema: Küberturvalisus