30 серпня 2017 року міжнародна команда дослідників повідомила естонському уряду про вразливість безпеки посвідчень особи, випущених приблизно для половини населення країни. Потенційний ризик стосується ID-карт, виданих починаючи з жовтня 2014 року (в тому числі й карт, виданих е-резидентам), тобто близько 750 000 карт. У зв’язку з цим Департамент державної інфосистеми Естонії вжив тимчасових заходів щодо обмеження деяких функцій посвідчень цього періоду випуску.
Оскільки реальних випадків несанкціонованого використання ID-карт зафіксовано не було, на сьогоднішній день вразливість носить теоретичний характер. Прогалину в системі безпеки було виявлено у зв’язку з просуванням національної ініціативи “e-Estonia”, покликаної привести громадян країни в цифрову екомистему державних і приватних послуг, засновану на безпеці та аудентифікації. Естонська ID-карта дає доступ до безлічі послуг. З її допомогою громадяни можуть проводити розрахункові операції, голосувати, подавати податкові декларації, заявки на отримання соціальної допомоги, заяви на службу в збройних силах та здійснювати багато інших дій дистанційно. Власники бізнесу можуть використовувати посвідчення особи для подання річних звітів, заявок на отримання ліцензії тощо, урядовці – для шифрування документів, розгляду й затвердження контрактів і дозволів, відправлення інформаційних запитів у правоохоронні органи. Цифрова аудентифікація зручна та заощаджує час і гроші державних, громадських і бізнес-структур. Однак для того, щоб вона ефективно функціонувала, на першому плані мають бути кібербезпека та конфіденційність.
Коментуючи ситуацію, що склалася, генеральний директор Департаменту Таймар Петеркоп запевнив, що естонські експерти вже розробили первинні рішення для зниження ризиків і роблять усе можливе, щоб забезпечити безпеку посвідчень особи. Так, було закрито базу даних відкритих ключів ID-карти, а без доступу до відкритого ключа неможливо використати вразливість для атаки на карту. Прем’єр-міністр Естонії Юрі Ратас зазначив, що цей інцидент не призведе до зміни курсу на електронну державу.
30 серпня 2017 року міжнародна команда дослідників повідомила естонському уряду про вразливість безпеки посвідчень особи, випущених приблизно для половини населення країни. Потенційний ризик стосується ID-карт, виданих починаючи з жовтня 2014 року (в тому числі й карт, виданих е-резидентам), тобто близько 750 000 карт. У зв’язку з цим Департамент державної інфосистеми Естонії вжив тимчасових заходів щодо обмеження деяких функцій посвідчень цього періоду випуску.
Оскільки реальних випадків несанкціонованого використання ID-карт зафіксовано не було, на сьогоднішній день вразливість носить теоретичний характер. Прогалину в системі безпеки було виявлено у зв’язку з просуванням національної ініціативи “e-Estonia”, покликаної привести громадян країни в цифрову екомистему державних і приватних послуг, засновану на безпеці та аудентифікації. Естонська ID-карта дає доступ до безлічі послуг. З її допомогою громадяни можуть проводити розрахункові операції, голосувати, подавати податкові декларації, заявки на отримання соціальної допомоги, заяви на службу в збройних силах та здійснювати багато інших дій дистанційно. Власники бізнесу можуть використовувати посвідчення особи для подання річних звітів, заявок на отримання ліцензії тощо, урядовці – для шифрування документів, розгляду й затвердження контрактів і дозволів, відправлення інформаційних запитів у правоохоронні органи. Цифрова аудентифікація зручна та заощаджує час і гроші державних, громадських і бізнес-структур. Однак для того, щоб вона ефективно функціонувала, на першому плані мають бути кібербезпека та конфіденційність.
Коментуючи ситуацію, що склалася, генеральний директор Департаменту Таймар Петеркоп запевнив, що естонські експерти вже розробили первинні рішення для зниження ризиків і роблять усе можливе, щоб забезпечити безпеку посвідчень особи. Так, було закрито базу даних відкритих ключів ID-карти, а без доступу до відкритого ключа неможливо використати вразливість для атаки на карту. Прем’єр-міністр Естонії Юрі Ратас зазначив, що цей інцидент не призведе до зміни курсу на електронну державу.