Tee lahti

• Politsei teadis ID-kaardi probleemist kuid varem, kui avalikkusele väideti
• Trahvinõue kaarditootjale kuivas kokku
• ID-kaardi vea avalikustamiseni viisid paar semude vahel joodud õlu

Politsei- ja piirivalveametil (PPA) tuleb lähinädalatel suure tõenäosusega tublisti sõnu süüa ning ID-kaardi kriisi ajal partnerettevõttele Gemaltole jõulise PRi saatel esitatud 20-miljoniline hiigelnõue suures osas korstnasse kirjutada.

«Tšau, P. Ma kohtasin täna R-i ja ta rääkis mulle, et Sul on üks väga huvitav uus teema! Kas me võiksime kohtuda ja oled sa valmis mulle jagama selle juhtumi kohta lähemat infot? Tervitades, S.» Nii seisis ühe kõrge riigiametniku e-kirjas ettevõtjale, kes oli Eesti riigile üle kümne aasta ID-kaarte tootnud.

Just neis paarist lausest sai alguse Eesti e-riigi senise suurima kriisi teadvustamine. Kriis, mille käigus tuli riigil alles mitu kuud hiljem asuda ajaga võidu jooksma, et meie ID-kaardi kiibi turvavea kirjeldus ei jõuaks selle avastanud Tšehhi teadlastelt avalikkuse ja seega ka kurjategijate ette.

Äraandlik kuupäev

See kirjake tähendab aga Eesti riigiametnikele ühte väga suurt probleemi, mis võib saada määravaks ka vaidlustes PPA ja talle ID-kaarte tootva Gemalto vahel. Nimelt kannab see kuupäeva 15. juuni 2017. See on koguni kaks ja pool kuud varem, kui politsei- ja piirivalveamet avalikkusele sestsamast turvaveast teada andis ja tunnistas, et nüüd on kriis, sest tuleb hakata ligi 800 000 ID-kaarti välja vahetama enne, kui jõutakse valmis saada viga parandav tarkvaravärskendus.

Kirjas viidatud R on politseiametnik, kes oli 15. juuni hommikul pidanud kaarte tootva suurettevõttega Gemalto rutiinset ID-kaartide tootmise koosolekut. Kui juba mais oli Tartu Ülikooli teadlane Arnis Paršovs suutnud võltsida ühte Eesti ID-kaarti omaniku allkirja ja see teema oli päevakorras kindlalt sees, siis nüüd olid Tšehhi teadlased tuvastanud veelgi häirivama riski: digiallkirju saab piisava arvutusvõimsuse olemasolul võltsida suures osas Eestis välja antud kaartides.

Päev varem, 14. juunil oli ID-kaartidele kiipe tootnud ettevõte Infineon Gemaltot Skype’i teel tšehhide avastusest informeerinud. Nüüd räägiti see läbi rutiinsel koosolekul ja juba samal, 15. juuni õhtul toimus viis minutit ja 18 sekundit kestnud telefonivestlus Gemalto kurikuulsa esindaja Andres Lehmanni ning Riigi Infosüsteemi Ameti ID-valdkonna juhi Margus Armi vahel.

Veelgi kriitilisemaks läheb olukord neli päeva hiljem, 19. juunil: nii RIAle kui ka tehnilise järelevalve ametile saabuvad üksteisest sõltumatud ja eri allikatest pärinevad kirjad selle kohta, et Austria on 9. juunil kinni pannud kõik Eesti ID-kaardiga sama konfiguratsiooniga ID-kaardid, sest digiallkirjade andmisel on avastatud turvaviga.

Kõik need kirjad on Postimehe käsutuses. Pole kahtlust, et Eestil tulnuks hakkata kohe tegutsema; e-identiteedil põhineb kogu meie ühiskond. Paršovsi digiallkirja võltsingut oli avalikkuse eest edukalt varjul hoitud – Postimees avalikustas selle detsembri alguses –, kuid vähegi suurem juhtum lööks uppi kogu meie paberist võõrdunud riigi. Infineon oli ju Gemaltot informeerinud, et Tšehhi teadlased teevad oma avastuse detailid avalikuks juba sügisel.

Aga mida otsustasid suurettevõte ja tema kliendiks olev väike digiriik? Vaikida ja mitte midagi teha. Ei tarkvarauuendusi, ei ettevalmistavaid samme kaartide ennetähtaegseks väljavahetamiseks või tarkvara kauguuendamiseks, ei mingeid ühendusevõtmisi Tšehhi teadlastega. Konkreetset informatsiooni oli liiga vähe – nii väidavad asjaosalised tagantjärele, kuid levinud on ka arvamus, et oluline info magati lihtsalt kompetentsi puudumise tõttu või ka teadlikult maha.

Suvise uimerdamise põhjusi võib tõesti vaid aimata ja need jäävad nähtavasti igavesest ajast igavesti politseiameti koosolekuruumide seinte vahele. Siiski. Juba kahe nädala pärast oli algamas Eesti esimene Euroopa Liidu eesistumine ja digiriigi müüride kindlus oli üks Eesti peateemasid. Nagu ka e-valimiste propageerimine – olid ju sügisel taas siinmailgi omavalitsuste valimised, kus e-hääletamine oli jätkuvalt lubatud.

Hinnaline viivitus

Riigile oli see arvatavasti strateegiline otsus hoidmaks mainet, Gemalto võis hinnata rahakoti raskuse vähenemist, kui kaarte peaks hakkama tõesti välja vahetama.

Nii saabuski suure tõenäosusega teadlikult valitud vaikelu, mis läks hiljem Eesti riigi rahakotile ja ka mainele vägagi kalliks maksma. Vähemalt neli miljonit eurot otseseid kulusid, pluss vähemalt sama palju inimeste raisatud töötunde oma kaartide kiirkorras väljavahetamisele.

Vaikusele saabus lõpp alles augustis, kui vea avastanud Masaryki ülikooli teadlane Petr Svenda sattus suhtlema oma endise koostööpartneri, RIA töötaja Martin Paljakuga Eestist, kellega muuhulgas varem ka ühiselt õlut oli joodud ja suhted seega usalduslikud ja head.

Nii saabuski suure tõenäosusega teadlikult valitud vaikelu, mis läks hiljem Eesti riigi rahakotile ja ka mainele vägagi kalliks maksma.

Tšehhile ei mahtunud kuidagi pähe, miks polnud Eesti ikka veel midagi oma ID-kaartidega pihta hakanud. Kordame üle: kiibitootjat Infoneoni oldi avastusest informeeritud juba 1. veebruaril, Infineon oli Gemaltot informeerinud 14. juunil ja see omakorda Eesti ametivõime päev hiljem. Austria oli juba 9. juunil kaardid sulgenud ja mitut kanalit pidi sellest ka Eestit informeerinud.

«Kontakteerusime CERTiga (Riigi Infosüsteemi Ameti allüksus – toim) 30. augustil, kuid enne seda me ei teadnud, kas neil (Eestil – toim) juba on plaan ja kas nad juba teavad sellest. Kahtlesime, kas on üldse vaja nendega ühendust võtta. Tundsin aga isiklikult Martin Paljakut seoses ühiste avaliku koodi arendusprojektidega ja tänu mõnele varasematel aastatel joodud õllele,» rääkis Svenda hiljem oma toonastest sammudest.

Just Paljak oli see, kes soovitas teadlastel saata CERTile täpsemad andmed avastuse kohta ning 30. augustil see nii ka läks. Algas kriis ja kõige kummalisem on, et riik valis selle avalikustamise PR-strateegiaks oma pikaaegse koostööpartneri Gemalto süüdistamise – justkui polevat juunis mingisugust infovahetust vea asjus olnudki. Ettevõttele esitati kohe ka hüvitise nõue 20 miljonile eurole ning see ongi summa, mis on nüüdseks peaaegu kokku kuivanud.

Lahku minnakse kompromissiga

Postimehe andmetel on PPA ja Gemalto jõudnud kokkuleppele, et septembris sõlmitakse kompromissleping, mis lõpetab kõik kolm omavahelist suuremat vaidlust.

Selle kohaselt võtab Gemalto esiteks ringkonnakohtust tagasi hagi PPA korraldatud ID-kaardi järgmise tootmisperioodi hanke vastu. Teiseks võtab PPA tagasi nõude seoses ühe väiksema ID-kaardi veaga ning kolmandaks nõustub Gemalto tasuma riigile vaid pool ID-kaardi kriisi lahendamise otsestest kuludest ehk ligi 1,5 miljonit eurot.

Vaidlus käib veel ainult selle üle, kuidas küll õnnestus politseil kulutada oma ametnike ületundidele ID-kaartide aktiivse ümbervahetamise perioodil 1,5 miljonit eurot. Vastupidiselt Riigi Infosüsteemi Ametile, kellel kulus kriisi lahendusele 1,8 miljonit, ei tulnud politseil ju tellida ID-kaardi tarkvaraarendusi ning kogu summa sai kuluda vaid ametnikele. Kas tööl käidi vaid taksodega ja lõunat toodi tipprestoranidest?

Septembris peaks sõlmitama kompromissleping, mis lõpetab kõik kolm omavahelist suuremat vaidlust.

Igal juhul ei tee kumbki pool enam saladust, et vägikaikaveost ollakse surmani tüdinud. Gemalto tahab väärikalt ja ilma ühegi avaliku kommentaarita lahkuda ja jätkata oma globaalset – mitmemiljardilise aastakäibega – äri edasi maailma valitsuste heaks kõikjal mujal peale väikese Eesti. Suure tõenäosusega nõustutakse selle nimel loovutama Eesti politseile miljon eurot.

Täpselt sama meelt paistab olevat ka politsei. «Lahendust on otsitud ligi aasta ning soovime edasi minna,» tunnistas Postimehele PPA identiteedi ja staatuste büroo peaekspert Kaija Kirch ja kinnitab, et otsus peaks tulema lähiajal.

«Otsustame septembri jooksul, kas Gemaltoga on võimalik kahjude hüvitamise osas saavutada kokkulepe või esitame kohtusse hagiavalduse. See puudutab nii 750 000 turvariskiga kaarti kui ka kaarte, mille privaatvõti oli teadlaste hinnangul loodud väljaspool kiipi,» märkis Kirch.

Seega otsitakse kokkulepet ning ei nõuta tagasi enam kaugeltki poolt 40-miljonilise lepingu kogusummast, nagu oli plaanis alguses.

Väga suure tõenäosusega peitub põhjus selles, et PPA ei suuda kuidagi tõestada Gemalto süüd turvaveas, mille Tšehhi teadlased toodetud ID-kaardi kiipidel olid avastanud. Nagu öeldud, oli info kõigil osalistel olemas juba juunis.

Kriisi lahendamine tõi aga paljudele Eesti riigiametnikele presidendilt ordeni rinda. Kriise lahendada me tõesti oskame, veidi teine lugu on nende ennetamisega.

Tšehhi Ülikooli teadlased olid avastanud, et Infineoni kiipide turvavea tõttu saab sertifikaatide avaliku osa abil tuletada kiipides olevat privaatset osa ja nii kasutajate identiteet varastada. Kui tavalise 2048-bitise võtme puhul kuluks selliseks tuletuseks 6442450944000000 (vCPU ehk protsessori) aastat, siis Infineoni kiipide puhul vaid 140 vCPU aastat, mis võimsate arvutiparkide korral lüheneks veelgi.