Техническое решение для обновления уязвимых эстонских ID-карт разработано и доступно, но, к сожалению, как оказалось, IT-системы предлагающих электронные услуги государственных учреждений Эстонии пока не готовы работать с обновленными картами. Об этом в четверг, 26 октября, сообщила на правительственной пресс-конференции министр предпринимательства и инфотехнологий Урве Пало (Urve Palo).
«Мы поставили себе целью решить проблему уязвимости ID-карт к 1 ноября, и я рада сообщить, что программное обеспечение готово. Несмотря на это, мы пока не призываем людей обновлять ID-карты, выданные после 16 октября 2014 года», — сказала Пало.
Накануне Департамент государственной инфосистемы (RIA) сообщил об успешном тестировании ПО для обновления ID-карт, отметив при этом, что часть важных электронных услуг и систем пока не поддерживают документы с новыми сертификатами. По данным RIA, в Эстонии насчитывается около 1500 поставщиков электронных услуг, и им всем придется соответственно обновить свои системы.
В связи с этим департамент попросил работников здравоохранения не обновлять свои ID-карты, а работников других учреждений — предварительно консультироваться со своим ИТ-отделом.
В четверг генеральный директор RIA Таймар Перекоп сообщил, что к утру 26 октября свои ID-карты обновили около 2500 человек.
Банки Эстонии отреагировали наиболее оперативно
В настоящее время, по словам Пало, ID-карты уже сейчас могут обновлять люди, которые пользуются ими только для доступа в интернет-банки.
«Банки на данный момент соответственно переделали свои системы», — подтвердила министр.
Она добавила, что ситуация в госучреждениях с каждым днем улучшается, и RIA сообщит о готовности электронных госуслуг работать с обновленными картами сразу, как только эта готовность будет достигнута.
Полиция расширит техническую поддержку ID-карт на период обновления
Для тех пользователей, у которых не получится самостоятельно обновить ID-карты, Департамент полиции и погранохраны (ДПП) изыскал возможности для оказания дополнительной технической поддержки.
Глава ДПП Элмар Вахер пояснил, что речь идет о продлении часов работы залов обслуживания, открытии их в выходные и праздничные дни, а также об открытии дополнительных пунктов обслуживания. По словам Пало, такие пункты могут быть временно открыты в торговых центрах.
«Например, человек несколько раз введет неправильный ПИН-код или система выдаст сообщение об ошибке. Мы договорились с ДПП, что они будут готовы расширить поддержку как в бюро ДПП, так и, при необходимости, открывать временные пункты в торговых центрах. Важно подчеркнуть, что в этих временных пунктах нельзя будет получить новые ID-карты, а лишь обновить программное обеспечение имеющихся», -пояснила министр.
Обновление ID-карт с уязвимостью займет несколько недель
Сейчас дистанционное обновление могут проводить максимально 1000 человек одновременно и 15 000 человек в день. Обновление возможности шифрования ID-карты займет около месяца. «Это не обычная ИТ-разработка, идет процесс предупреждения обладающего серьезным воздействием риска, поэтому мы вынуждены действовать быстрее», — отметил Петеркоп.
По словам Вахера, выявленная уязвимость затрагивает 800 000 карт, из них 500 000 активно используются в качестве дигитального удостоверения личности, в том числе 45 000 — очень активно.
ДПП по-прежнему рекомендует людям параллельно с ID-картой создать mobiil-ID.
Глобальная проблема и растущая угроза
Перекоп и Пало отметили на пресс-конференции, что выявленная проблема носит глобальный характер и касается не только карт с чипом, но и компьютеров.
«Теперь известно, что похожий риск безопасности выявлен у крайне широкого круга продукции, не только у ID-карт, как мы знали до сих пор, но и у программного обеспечения, которым пользуются современные компьютеры», — сказал директор RIA.
Пало добавила, что выявленная проблема касается не только Эстонии, но и всего мира. «Проблемы были вызваны чипом известного производителя. Им пользуются многие производители карт и электроники по всему миру, в частности, Microsoft и Google», — сказала министр.
Петеркоп также отметил возросший уровень угрозы в связи с обнаруженной уязвимостью.
«По сравнению с началом сентября оценка уровня опасности изменилась и вероятность попыток атак выросла. Выясняется, что этот риск касается все большего числа государств, производителей программного обеспечения и провайдеров услуг. Поэтому увеличивается риск того, что кем-либо будет разработано средство для нападения и злоупотребления этим риском», — сказал он, добавив, что в связи с этим действие уязвимых ID-карт вскоре будет приостановлено.
«Поэтому на второй неделе ноября мы приостановим действие сертификатов необновленных карт. Этим мы обеспечим, чтобы ни одну эстонскую ID-карту нельзя было бы взломать, но в то же время мы оставляем открытой возможность для обновления ID-карты», — пояснил гендиректор RIA.
В интервью «Актуальной камере» Перекоп напомнил, что работа обнаруживших уязвимость чешских ученых будет в полном объеме опубликована 2 ноября. «С этого момента потенциальным злоумышленникам будет гораздо легче воспользоваться уязвимостью этих чипов. И мы опасаемся, что это произойдет в течение нескольких недель», — сказал он.
Источник информации: rus.err.ee .