Kui täna algaks uus ID-kaardi kriis - riigil on olemas plaan, aga salajane

 (16)
ID-kaardi sertifikaatide uuendamine
ID-kaardi sertifikaatide uuendamineFoto: Anni Õnneleid

Eestit taba kahe ja poole aasta eest taasiseseisvumisaja üks suuremaid kriise, kui meie e-riigi alustala ID-kaarti ohustas väidetav turvanõrkus ning igaks juhuks asuti neist ligi kolmveerand miljonil kiibitarkvara välja vahetama. Riik ei olnud selleks ilmselgelt valmis, kuidas on seis täna?

Meenutuseks: 2017. aasta 30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutas Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte ehk kokku ligi 750 000 kaarti. Probleem peitus ID-kaardi kiibis ning selleks tuli kõigil kaardiomanikel asuda käima politsei esindustes ja ajutistes punktides sertifikaate välja vahetamas. Turvanõrkus ei realiseerinud, küll aga kulus miljoneid eurosid maksumaksja raha ja raisatud töötunde.

RIA peadirektori asetäitja Margus Arm ütles kommentaaris Fortele, et täna ollakse võimalikuks turvanõrkuseks palju enam valmis.

„Riskianalüüsid ja toimepidevusplaanid erinevateks võimalikeks olukordadeks on olemas, kuid need on nö elavad dokumendid, mida vajadusel pidevalt täiendatakse. Konkreetse juhtumi lahenduskäik sõltub alati väga paljudest erinevates asjaoludest ja kuigi plaanid on olemas, töötatakse lõplik tegevuskava alati välja siis, kui on teada, millist olukorda lahendatakse," selgitas Arm.

Tema sõnul alustas RIA eelmisel aastal ID-kaardi kauguuendamise välja töötamist ning saab sellega ühele poole sel aastal.

Seotud lood:

„Siiski loodan, et seda lahendust ei ole mitte kunagi vaja," märkis Arm. „Kui paljud ID-kaardi kriisi õppetunnid puudutasid töökorraldust ja riskianalüüside uuendamist, siis kauguuendamine on konkreetne lahendus, mis maandab ID-kaardi kiibiga, võtmetega ning sertifikaatidega seotuid riske."

Mis puutub detailsesse asjade käiku võimaliku kriisi puhkemisel, siis seda RIA ei avalikusta.

„Nagu riskide hindamise, nende maandamise ja tagajärgedega tegelemise valdkonnas heaks tavaks ning avalikus sektoris ka õigusaktides sätestatud, on riskianalüüsid ja toimepidevusplaanid konfidentsiaalne info ning nende sisu ei avaldata. Sest sellel, kellel on huvi sellist võimalikku olukorda pahatahtlikult ära kasutada, on ka huvi takistada olukorra lahendamist ning toimepidevusplaani sisu annab talle olukorra lahendamise takistamiseks üsna väärtuslikku infot," selgitas Margus Arm.