Praėjusią savaitę pasirodžius žiniai apie dalies Estijos asmens tapatybės kortelių veiklos apribojimą dėl trūkumų mikroschemose, kai atsirado terpė pavogti asmens duomenis, kibernetinio saugumo ir IT ekspertas Marius Pareščius įspėjo: Lietuvos piliečių asmens duomenys galimai irgi nėra saugūs. Tačiau Ryšių reguliavimo tarnyba mano kitaip.
DELFI M. Pareščius pasakojo, kad lietuviškos asmens tapatybės kortelės yra paremtos tuo pačiu programiniu-technologiniu sprendimu kaip estų, todėl grėsmė kyla ir mums. „Mes praktiškai nukopijavome viską nuo estų, šį kartą buvome kaip beždžioniukai – pamatėme, kad pas kaimynus viskas gerai ir nusprendėme, kad ir mums reikia, todėl nusipirkome to paties gamintojo produkciją asmens tapatybės kortelėms“, – atkreipė dėmesį jis. DELFI primena, kad Estija nuo praėjusio šeštadienio vidurnakčio sustabdė saugumo sertifikatus iki 760 tūkst. valstybės išduotų elektroninių tapatybės kortelių su trūkumų turinčiomis mikroschemomis.
Kaip rašė BNS, nuo 2001 metų Estijos elektronines tapatybės korteles gamina šveicarų kompanija „Trub AG“ ir jos perėmėja „Gemalto AG“. Estijos pareigūnai taip pat perspėjo, kad pavojus yra iškilęs ir kitoms kortelėms bei kompiuterių sistemoms visame pasaulyje, kurioms naudojamos to paties gamintojo mikroschemos.
© DELFI / Kiril Čachovskij
Žala ypatinga
M. Pareščius aiškino, kad asmens tapatybės kortelės turi mikroprocesorių – lustą, kuriame yra mikroprograma. Būtent ši mikroprograma leidžia apsaugoti vartotojus nuo kortelės sertifikatų nelegalių panaudojimų. „Yra tokia kompanija, kuri vadinasi „Gemalto AG“. Ta kompanija gamina programinę-technologinę įrangą, naudojamą kriptografijoje, t. y. identifikavimas-autoritezavimas kortelėse. Toje programinėje įrangoje, lustuose atrastos klaidos, kurios leidžia pasinaudoti duomenimis, esančiais tapatybės kortelėse – vadinamais sertifikatais. Todėl žmonės tapo nesaugūs“, – pasakojo jis. M. Pareščius aiškino, kad šiuo metu Estijoje bus diegiama nauja programinė įranga, leisianti užlopyti saugumo skyles, kad asmens duomenimis nebūtų pasinaudota, tačiau Lietuva, anot jo, nedaro nieko.
„Jei jūs su savo autorizacijos kortele užeinate į kokią svetainę, pavyzdžiui, į tą patį portalą, portale esanti programinė įranga, kuri yra kenkėjiška, specifiškai įdiegta, pavagia jūsų sertifikatus, esančius kortelėje ir tuos sertifikatus ateityje piktavaliai gali panaudoti apsimetinėjimui jumis.
Pavyzdžiui, prisijungti prie jūsų el. bankininkystės, jūsų vardu paimti paskolą, pasirašyti kelias sutartis, pereiti per visus greitukus (turi omenyje greitųjų paskolų bendroves – DELFI), nueiti į valstybinį portalą ir atsisakyti pilietybės“, – apie grėsmes pasakojo jis.
M. Pareščius tvirtina, kad lietuviai taip pat galimai yra nesaugūs, nes mūsų kortelėse, anot jo, įdiegta ta pati programinė įranga, tik esame saugesnėje situacijoje vien dėl to, kad asmens tapatybės korteles autorizacijai naudojame retai.
„Estai jas naudoja kasdien ir dažniausiai po kelis kartus – el. bankininkystei, prisijungimui prie valstybinių portalų. Tai dėl savo kortelių vartojimo populiarumo jie labiau ir susirūpino. Aš labai nenorėjau, kad Lietuvoje atsirastų kažkoks ažiotažas, skandalas, kad esame nepatikimi, todėl kelias savaites tylėjau, nes valstybės atstovus informavau iškart, bet, žiūriu, niekas nesureagavo“, – apie priežastis prabilti sakė jis.
Ramino: lietuviams grėsmės nėra
DELFI kreipusis į Ryšių reguliavimo tarnyba (RRT), jos Tinklų ir informacijos saugumo departamento direktoriaus pavaduotojas Vaidotas Ramonas nuramino, kad lietuviams grėsmės nėra. „RRT žiniomis, Estijos ID kortelių pažeidžiamumas yra susijęs su kai kuriais „Infineon Technologies AG“ gamintojo kriptografiniais lustais, kurie buvo naudojami dalyje Estijos ID kortelių“ Lietuvos asmens tapatybės kortelių, su kuriomis išduodamus kvalifikuotus elektroninio parašo sertifikatus sudaro Asmens dokumentų išrašymo centras (ADIC) prie Vidaus reikalų ministerijos, savininkai yra saugūs, kadangi Lietuvos asmens tapatybės kortelėse naudojami kiti kriptografiniai lustai, kurie šio pažeidžiamumo neturi. Šią informaciją RRT patvirtino ir ADIC“, – tikino jis.
Jis pažymėjo, kad būtent lustai lietuvių kortelėse yra kitų nei estų – „Samsung“ ir „NXP“ gamintojų. V. Ramonas patikino, kad jei asmens tapatybės kortelėse būtų rastas pažeidžiamumas, būtų ieškomas optimalus sprendimas, kaip užtikrinti duomenų saugumą. Savo duomenų saugumui, RRT rekomenduoja naudoti stiprius slaptažodžius ir kibernetinio saugumo priemones – ugniasienes, antivirusines programas ir pan., duomenis šifruoti, daryti atsargines duomenų kopijas, o išsamiau su šiomis rekomendacijomis susipažinti RRT svetainėje esaugumas.lt.