Politsei vs Gemalto: kaks aastat kohtuveskeid ja ei tühjagi…
(1)
PPA on Gemalto vastu kohtule esitanud kaks hagi. Esiteks läks 25.09.2018 kohtu poole teele ligi 300 000 euro suurune nõue seoses 2017 sügisel teatavaks saanud ID-kaardi turvaveast teavitamata jätmisega. Märksa suurem on aga 5.11.2018 esitatud 152 miljoni euro suurune hagi seoses ID-kaardi privaatvõtmete kiibivälise genereerimisega.
PPA nõunik-ekspert Kaija Kirch tunnistas Fortele, et sisulise aruteluni kohtus kummaski kaasuses veel jõutud ei ole.
„Kohtuvaidluse menetlemist juhib kohus, mistõttu palume seda puudutavate küsimuste osas pöörduda Harju Maakohtu poole," soovitas Kirch.
Anneli Vilu maakohtust selgitas, et kohtunik on otsustanud need kaks asja liita ühte menetlusse.
Miks aga on menetlus kohtus nii kaua veninud?
„Antud kohtuasjas on pooled esitanud kohtule väga mitmeid erinevaid taotlusi, mille igaühe lahendamine eeldab ka mõlema poole teavitamisi ning kõigile asjaosalistele vastulause ja selgituste esitamiseks tähtaegade andmist," ütles Vilu.
Selles kohtuasjas on tänaseks peetud üks eelistung 2019. aasta augustis, kus oli arutusel kompromissi leidmise võimalus.
„Kuna kompromissi saavutamine ning pooltevahelised läbirääkimised võtsid pikemalt aega, siis määras kohus selle aasta märtsis uue eelistungi aja, et kompromissi kulgu ühiselt arutada. Hetkeseisuga ei ole kompromissi saavutatud ning kohtul on lahendada poolte esitatud taotlused. Peale nende lahendamist saab kohus määrata uue istungi toimumise aja, plaani kohaselt veel selle aasta sügisel, ja määrata edasised tähtajad," lisas Anneli Vilu.
Tema hinnangul on kohus seega terve kohtumenetluse asjaga pidevalt sisuliselt tegutsenud - lahendanud taotlusi, pidanud kohtuistungeid, abistanud kompromissi saavutamiseks.
„Selliste keerulisemate vaidluste puhul võibki kahjuks aega minna pikemalt, et jõuda ühise arusaamani, kuidas ja mil viisil on võimalik kohtumenetlusega lõpuni jõuda," lisas Vilu.
ID-kaardi privaatvõtmete väidetav väljaspool kiipi genereerimine tuli avalikuks 2018. aasta mais. Turvanõuete rikkumise tuvastamiseni viis koostöö Tartu Ülikooli teadlasega ja AS Cybernetiga. Ekspertide analüüs selgitas välja, et lepingupartner genereeris osa ID-kaartide privaatvõtmeid väljaspool kaardi kiipi.
«ID-kaardi turvalisuse tagamiseks on oluline kindlustunne, et privaatvõtmeid ei saa olla kuskil mujal kui ainult kaardi kiibis. Seetõttu oleme seadnud nõude, et privaatvõtmeid võib genereerida ainult kiibisiseselt. Paraku selgus, et lepingupartner rikkus seda nõuet aastaid ning näeme selles väga olulist lepingurikkumist. Cybernetica ekspertide analüüs näitas selgelt, et selline rikkumine sai toimuda ainult lepingupartneri teadliku ja tahtliku tegevuse tagajärjel,» sõnas toona PPA peadirektori asetäitja Krista Aas.
Turvanõuetele mittevastavad ID-kaardid väljastati 2011. aasta jaanuarist kuni 2014. aasta 16. oktoobrini ning elamisloakaardid 2011. a jaanuarist kuni 2014. aasta 17. detsembrini ja neid uuendati PPA teenindusbüroodes alates 2012. aaasta juulist kuni 2017. a juulini. Selliseid kaarte oli kokku üle 74 000. 1. juunil 2018 tunnistas PPA kehtetuks 11 111 ID-kaardi ja elamisloakaardi sertifikaadid.
Väiksema hagiga nõuab PPA kahjutasu seetõttu, et Gemalto rikkus lepingus sätestatud olulise info viivitamatu edastamise kohustust. Gemalto ei teavitanud PPA väitel Eesti riiki Gemalto toodetud dokumentides kasutatud Infineoni kiibi turvanõrkusest. Samuti ei olevat firma andnud teada Tšehhi teadlaste tööst, mille avaldamisel oli turvanõrkust võimalik kaardi ründamiseks ära kasutada.
Informatsioon ID-kaardi turvanõrkusest jõudis PPA väitel Eesti riigini alles 30. augustil 2017, kui Tšehhi teadlased teavitasid sellest Riigi Infosüsteemi Ametit (RIA). Gemalto kinnitas PPA-le turvanõrkuse olemasolu väidetavalt alles 5. septembril 2017 vastuseks PPA 4. septembril 2017 esitatud päringule ja ajal, mil PPA ja RIA informeerisid turvanõrkusest ka Eesti avalikkust. Turvanõrkus puudutas ligikaudu 750 000 kehtivat ID-kaarti ning turvanõrkuse ärakasutamise vältimiseks peatas PPA vastavate dokumentide sertifikaadid 3. novembril 2017.
