Politsei loobus hiigelhagist Gemalto vastu

PPA on Gemalto vastu kohtule esitanud kaks hagi. Esiteks läks 25.09.2018 kohtu poole teele ligi 300 000 euro suurune nõue seoses 2017 sügisel teatavaks saanud ID-kaardi turvaveast teavitamata jätmisega. Märksa suurem on aga 5.11.2018 esitatud 152 miljoni euro suurune hagi seoses ID-kaardi privaatvõtmete kiibivälise genereerimisega.

Kahe aasta jooksul pole nende hagide menetlemine aga kohtus kuhugile välja jõudnud ja täna õhtul teatas politsei, et loobub.

Kohtuasja asemel sõlmisid pooled kompromisskokkulepe, millega lahendatakse ka kohtunõuded.

„See kokkulepe võimaldab meil vältida riigi ja Thalese jaoks pikaks ja koormavaks kujunevat kohtuvaidlust ning Gemalto AG maksab riigile hüvitisena 2,2 miljonit eurot. Saame selle peatüki lõpetada ja keskenduda uute e-riigi lahenduste pakkumisele Eesti kodanike hüvanguks," põhjendas PPA peadirektori asetäitja Krista Aas, miks politsei Gemaltole ligi 150 miljoni euro ulatuses järeleandmise tegi.

„Hindame tugevat ja pikaajalist koostööd Eestiga kõrgelt," ütles kommentaariks Thalese Põhjamaade ja Balti regiooni juht Tommy Ayouty.

ID-kaardi privaatvõtmete väidetav väljaspool kiipi genereerimise võimalus tuli avalikuks 2018. aasta mais. Turvanõuete rikkumise tuvastamiseni viis koostöö Tartu Ülikooli teadlasega ja AS Cybernetiga. Ekspertide analüüs selgitas välja, et lepingupartner genereeris osa ID-kaartide privaatvõtmeid väljaspool kaardi kiipi.

«ID-kaardi turvalisuse tagamiseks on oluline kindlustunne, et privaatvõtmeid ei saa olla kuskil mujal kui ainult kaardi kiibis. Seetõttu oleme seadnud nõude, et privaatvõtmeid võib genereerida ainult kiibisiseselt. Paraku selgus, et lepingupartner rikkus seda nõuet aastaid ning näeme selles väga olulist lepingurikkumist. Cybernetica ekspertide analüüs näitas selgelt, et selline rikkumine sai toimuda ainult lepingupartneri teadliku ja tahtliku tegevuse tagajärjel,» sõnas toona PPA peadirektori asetäitja Krista Aas.

Turvanõuetele mittevastavad ID-kaardid väljastati 2011. aasta jaanuarist kuni 2014. aasta 16. oktoobrini ning elamisloakaardid 2011. a jaanuarist kuni 2014. aasta 17. detsembrini ja neid uuendati PPA teenindusbüroodes alates 2012. aaasta juulist kuni 2017. a juulini. Selliseid kaarte oli kokku üle 74 000. 1. juunil 2018 tunnistas PPA kehtetuks 11 111 ID-kaardi ja elamisloakaardi sertifikaadid.

Väiksema hagiga nõudis PPA kahjutasu seetõttu, et Gemalto rikkus lepingus sätestatud olulise info viivitamatu edastamise kohustust. Gemalto ei teavitanud PPA väitel Eesti riiki Gemalto toodetud dokumentides kasutatud Infineoni kiibi turvanõrkusest. Samuti ei olevat firma andnud teada Tšehhi teadlaste tööst, mille avaldamisel oli turvanõrkust võimalik kaardi ründamiseks ära kasutada.

Informatsioon ID-kaardi turvanõrkusest jõudis PPA väitel Eesti riigini alles 30. augustil 2017, kui Tšehhi teadlased teavitasid sellest Riigi Infosüsteemi Ametit (RIA). Gemalto kinnitas PPA-le turvanõrkuse olemasolu väidetavalt alles 5. septembril 2017 vastuseks PPA 4. septembril 2017 esitatud päringule ja ajal, mil PPA ja RIA informeerisid turvanõrkusest ka Eesti avalikkust. Turvanõrkus puudutas ligikaudu 750 000 kehtivat ID-kaarti ning turvanõrkuse ärakasutamise vältimiseks peatas PPA vastavate dokumentide sertifikaadid 3. novembril 2017.