Разделы

Безопасность Госрегулирование Стратегия безопасности ИТ в госсекторе

Эстония аннулировала своим гражданам половину электронных паспортов

Уязвимость в электронных паспортах жителей Эстонии вынудила власти временно аннулировать их действие для 760 тыс. человек, то есть для половины населения страны. Для всех затронутых документов придется менять сертификаты безопасности. Это можно сделать онлайн, но в выходные сервис, созданный для этого, постоянно валился под наплывом посетителей.

Запереть, чтобы не украли

Жители Эстонии испытывали в минувшие выходные серьезные проблемы с электронными паспортами. Власти приняли решение аннулировать паспорта сразу 760 тысяч человек, то есть, половины населения страны. Это связано с уязвимостью, обнаруженной в начале осени в чипах, используемых в электронных паспортах. Эксплуатация этой уязвимости позволяет злоумышленникам совершать «кражу личности».

Чтобы избежать этого, власти страны приняли решение «заморозить» все электронные паспорта, выданные в период между 16 октября 2014 г. и 25 октября 2017 г. до тех пор, пока пользователи не обновят для них сертификаты.

Электронные идентификационные документы используются для общения со всевозможными онлайн-сервисами, включая банки и государственные учреждения. В минувшие выходные использование электронных паспортов оказалось затруднено или вовсе невозможно.

Сервис по обновлению сертификатов для них регулярно падал под натиском посетителей, и в итоге для широкой публики закрыли и его: сервис оставался доступным только для медиков и «наиболее активных пользователей».

Половине эстонцев придется заменять электронные паспорта из-за обнаруженной «дыры»

Как следствие, в конце прошлой недели в полицейских участках и других государственных учреждениях было нехарактерно много народу.

Проблема единого производителя

Проблема с чипом затронула далеко не только эстонские паспорта: уязвимость стала следствием ошибки производителя – швейцарской компании Gemalto; пострадали и многие другие информационные системы, использующие этот же чип.

В свою очередь, власти Эстонии заверяют, что никаких инцидентов, связанных с эксплуатацией данной уязвимости, не наблюдалось, хотя известно, что уязвимость затронула все электронные документы, выпущенные в оборот в конце 2014 г. и позднее.

«Функционирование электронного правительства основывается на доверии, и государство не может допускать кражи личности владельцев электронных паспортов. Насколько мы знаем на данный момент, примеров подобного не наблюдалось, однако, оценив угрозу, полиция, Управление пограничного контроля и Управление информационными системами считает риск существенным. Блокируя сертификаты электронных паспортов, государство обеспечивает их безопасность», - говорится в заявлении премьер-министра страны Юри Ратаса (Jüri Ratas).

Техподдержка «Базальт СПО» — гарантия надежной работы вашей ИТ-инфраструктуры
Маркет

У тех, кто успел ранее авторизовать свои электронные паспорта с помощью мобильного приложения Smart-ID, возможность использовать банковские и государственные онлайновые сервисы сохранилась, однако и им придется поменять сертификаты - до марта 2018 г.

«Дигитализация документооборота и общенациональные программы «электронного правительства» неизбежно влекут за собой многочисленные риски для безопасности, - отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Но в целом перевод личных документов – прав, паспортов и так далее – в цифровой формат улучшает их защиту от попыток подделать».

Роман Георгиев