Autor: Indrek Kald • 23. mai 2019

Viimasel ajal on kahtluse alla seatud Smart-ID turvalisus ning riigi infosüsteemi amet on asunud asja uurima. Kahtluste ajendiks on juhtumid, kus kurjategijad on enda valdusse saanud inimeste Smart-ID äpid ja kasutanud neid pettusteks.

Toimunud juhtumite valguses pole pangaliidu infoturbe toimkonna teatel siiski põhjust kahelda Smart-ID turvalisuses. Tegemist on lahendusega, mis on kõrgeimal nõutud turvalisuse tasemel ja millega antud digitaalne allkiri on sarnaselt ID-kaardiga antule tunnistatud Euroopa Liidus võrdväärseks käsitsi antud allkirjaga. Seda luba ei saa niisama – Smart-IDd on mitmekülgselt turvatestitud ja tema turvalisust on tunnustanud ka rahvusvaheline sertifitseerimisettevõte.

Pangaliidu infoturbetoimkonna liige, Swedbanki küberriskide juht Toomas Vaks sõnas, et turvaprobleem ei seisne tehnilise turvalisuse puudustes, vaid inimeste hea usu ja vähese teadlikkuse ärakasutamises petturite poolt.

"Pealtnäha pangalt või mõnelt muult ettevõttelt pärinev ja enamasti kiiret tegutsemist nõudev tekstisõnum või e-kiri juhatab lingi kaudu väliselt vahel isegi usaldusväärse ning ehtsana näivale veebilehele. Tegu on aga petturite lehega, kus palutakse kasutajal sisestada oma kasutajatunnus, isikukood ja siseneda teenusesse mobiil-ID abil, et näiliselt kinnitada oma konto andmed või teha mõni muu olulisena tunduv toiming," kirjeldas ta.

Kuna selle tegevuse käigus sisestab kasutaja oma Mobiil ID PIN-koodid, võimaldab see kurjategijatel luua ja aktiveerida nende abil ohvri isikuga seotud Smart-ID. Selle tulemusena ongi kurjategijatel vabad käed ohvri elektroonilise identiteediga pettusi toime panna.

"Halvemal juhul saavad petturid kasutada isiku digitaalset identiteeti pikema aja jooksul ka teistes e-teenustes ja suudavad tekitada väga palju kahju. Põhimõtteliselt sarnaneb toimunu olukorrale, kus isikult on välja petetud tema ID-kaart koos PIN-koodidega," kirjeldas Toomas Vaks petuskeemi.

Kui Smart-ID on juba võõraste käsutusse sattunud, on selle kasutamist raske piirata. Siiski on inimestel võimalus Smart-ID iseteenindusportaalis näha ning vajadusel sulgeda oma kehtivaid Smart-ID lepinguid.

Kuigi nii Smart-IDd pakkuv ettevõte SK ID Solutions kui ka pangad on selliste pettuste tõkestamiseks parandanud järelevalvet ja politsei teeb jõupingutusi kurjategijate tabamiseks, on pettuste ärahoidmiseks kõige tähtsam siiski paras annus kasutajapoolset ettevaatlikust ja täpsust oma internetis toimuvates asjaajamistes, teatas pangaliit.

Täna kasutab Smart-IDd enam kui 2,1 miljonit inimest, kes teostavad selle autentimisvahendiga rohkem kui 35 miljonit toimingut kuus.

Pangaliidu soovitused turvaliseks interneti- ja mobiilipanga kasutamiseks:

•Jälgi, et internetipanka või e-teenusesse sisenemiseks küsitakse PIN1 ning toimingute kinnitamiseks PIN2, mitte kunagi vastupidi!

•Veendu teenuse kodulehe õigsuses. Jälgi, et teenuse veebilehe aadress oleks korrektne ning veebilehitseja ei annaks veateateid.

•Mobiil-ID ja Smart-ID puhul jälgi alati, et telefonis näidatud kontrollkood vastaks interneti- või mobiilipanga lehel kuvatud koodile.

•Mobiil-ID ja Smart-ID kasutamisel kontrolli alati, mis toimingut sa kinnitad: telefoni ekraanil on näha nii teenuse nimetus kui lühike toimingu kirjeldus. Kui sa ei ole kindel toimingu õigsuses, ära PIN-koodi sisesta!

•Juhul, kui sa ei ole tehingut algatanud, kuid saad Mobiil-ID või Smart -ID parooli küsiva teavituse, ära kunagi sisesta oma PIN-koodi! Tõenäoliselt on tegemist kas pettuskatse või teise kasutaja veaga oma kasutajanime sisestamisel.

•Ära kasuta internetipanka sisenemiseks e-kirjas või sõnumis olevaid linke vaid sisesta soovitud internetipanga veebiaadress alati ise brauseri aadressiväljale, tavaliselt siis nimekujul https://www.panganimi.ee