Politsei on Gemalto vastu esitanud kaks hagi. Esiteks läks 25. septembril 2018 kohtu poole teele ligi 300 000 euro suurune nõue seoses 2017 sügisel teatavaks saanud ID-kaardi turvaveast teavitamata jätmisega. Märksa suurem on aga 5. novembril 2018 esitatud 152 miljoni euro suurune hagi seoses ID-kaardi privaatvõtmete kiibivälise genereerimisega.

Miks pole aga sisult nii põhimõttelistes ja rahaliselt suuremahulistes hagides siiamaani otsuseid, millele on kulunud enam kui kaks aastat?

Esiteks otsustas Harju maakohus, et need kaks hagi võiks liita üheks kohtuasjaks. Kuid mõtles siis ümber ja tegi möödunud aasta lõpupoole uue otsuse ja lahutas need hagid taas.

Teiseks on osapooled esitanud selles kohtuasjas on pooled esitanud kohtule väga palju taotlusi. Igaüks neist eeldab mõlema poole teavitamisi ning asjaosalistele vastulause ja selgituste esitamiseks tähtaegade andmist.

Samuti peeti asjas 2019. aasta augustis eelistung, kus oli arutusel kompromissi leidmise võimalus, ka selleks andis kohus pooltele - nende enda soovil - aega, et kompromissi arutada. Kuna kompromissi saavutamine ning pooltevahelised läbirääkimised võtsid pikemalt aega, siis määras kohus 2020. aasta märtsis uue eelistungi aja, et kompromissi kulgu ühiselt arutada. Paraku kompromissini ei jõutud.

Seega on kohus asjaga küll pidevalt tegutsenud - lahendanud taotlusi, pidanud paar eelistungit ja proovinud pooli kompromissini viia -, ent see kõik on jäänud seni tulemuseta.

Mis edasi? Kas pooled venitavadki asjaga tahtlikult, et mitte liige suure hagi esitamise pärast häbisse jääda või teiselt poolt suurt rahalist kahju kannatada?

„Kohus planeerib järgmised istungid pidada veebruaris eeldusel, et see poolte esindajatele sobib," ütles eile Fortele Harju maakohtu pressiesindaja Viivika Siplane.

ID-kaardi privaatvõtmete väidetav väljaspool kiipi genereerimine tuli avalikuks 2018. aasta mais. Turvanõuete rikkumise tuvastamiseni viis koostöö Tartu Ülikooli teadlasega ja AS Cybernetiga. Ekspertide analüüs selgitas välja, et lepingupartner genereeris osa ID-kaartide privaatvõtmeid väljaspool kaardi kiipi.

«ID-kaardi turvalisuse tagamiseks on oluline kindlustunne, et privaatvõtmeid ei saa olla kuskil mujal kui ainult kaardi kiibis. Seetõttu oleme seadnud nõude, et privaatvõtmeid võib genereerida ainult kiibisiseselt. Paraku selgus, et lepingupartner rikkus seda nõuet aastaid ning näeme selles väga olulist lepingurikkumist. Cybernetica ekspertide analüüs näitas selgelt, et selline rikkumine sai toimuda ainult lepingupartneri teadliku ja tahtliku tegevuse tagajärjel,» sõnas toona PPA peadirektori asetäitja Krista Aas.

Turvanõuetele mittevastavad ID-kaardid väljastati 2011. aasta jaanuarist kuni 2014. aasta 16. oktoobrini ning elamisloakaardid 2011. a jaanuarist kuni 2014. aasta 17. detsembrini ja neid uuendati PPA teenindusbüroodes alates 2012. aaasta juulist kuni 2017. a juulini. Selliseid kaarte oli kokku üle 74 000. 1. juunil 2018 tunnistas PPA kehtetuks 11 111 ID-kaardi ja elamisloakaardi sertifikaadid.

Väiksema hagiga nõuab PPA kahjutasu seetõttu, et Gemalto rikkus lepingus sätestatud olulise info viivitamatu edastamise kohustust. Gemalto ei teavitanud PPA väitel Eesti riiki Gemalto toodetud dokumentides kasutatud Infineoni kiibi turvanõrkusest. Samuti ei olevat firma andnud teada Tšehhi teadlaste tööst, mille avaldamisel oli turvanõrkust võimalik kaardi ründamiseks ära kasutada.

Informatsioon ID-kaardi turvanõrkusest jõudis PPA väitel Eesti riigini alles 30. augustil 2017, kui Tšehhi teadlased teavitasid sellest Riigi Infosüsteemi Ametit (RIA). Gemalto kinnitas PPA-le turvanõrkuse olemasolu väidetavalt alles 5. septembril 2017 vastuseks PPA 4. septembril 2017 esitatud päringule ja ajal, mil PPA ja RIA informeerisid turvanõrkusest ka Eesti avalikkust. Turvanõrkus puudutas ligikaudu 750 000 kehtivat ID-kaarti ning turvanõrkuse ärakasutamise vältimiseks peatas PPA vastavate dokumentide sertifikaadid 3. novembril 2017.